Plan de

Seguridad de
Software
ENFOQUE INTEGRAL PARA LA
PROTECCIÓN DE ACTIVOS DIGITALES

Presentado por:

CRISTIAN VERDUGA
Estudiante Ingeniería en
Software
CONTENIDO

Contenido
FUNDAMENTOS DE SEGURIDAD Y GESTIÓN DE RIESGOS 03

GESTIÓN DE ACTIVOS DE SEGURIDAD 09

ARQUITECTURA Y DISEÑO DE SEGURIDAD 13

COMUNICACIÓN Y SEGURIDAD EN REDES 18

GESTIÓN DE IDENTIDAD Y ACCESO (IAM) 22

EVALUACIÓN Y PRUEBAS DE SEGURIDAD 26

OPERACIONES DE SEGURIDAD 29

SEGURIDAD EN EL DESARROLLO DE SOFTWARE 33

Plan de Seguridad de Software 01

 Introducción
En el contexto actual de ciberamenazas en constante evolución y regulaciones cada
vez más estrictas, la seguridad de la información se ha convertido en una prioridad
crítica para todas las organizaciones. Para abordar esta necesidad, hemos
desarrollado un plan de seguridad integral que abarca todos los dominios y subtemas
relevantes para garantizar la protección efectiva de los activos de información y la
mitigación de riesgos.

OBJETIVO
Nuestro objetivo es establecer un marco sólido para proteger la información de la
INTRODUCCIÓN

organización, cumplir con regulaciones y estándares, minimizar incidentes de

seguridad y fomentar una cultura de seguridad continua.

ALCANCE
El plan abarca todos los aspectos de seguridad de la información, incluyendo la
integración de seguridad en el desarrollo de software, la aplicación de controles
técnicos y la formación del personal, con el fin de proteger los activos de la
organización y mitigar riesgos.

FUNDAMENTOS DE SEGURIDAD EN EL
SEGURIDAD Y GESTIÓN DE DESARROLLO DE
RIESGOS SOFTWARE
Establecimiento de principios de seguridad, Integración de seguridad en el ciclo de vida del
evaluación de riesgos y promoción de la conciencia desarrollo de software, aplicando controles y
en seguridad. directrices de codificación segura.

GESTIÓN DE ACTIVOS DE EVALUACIÓN Y PRUEBAS

SEGURIDAD DE SEGURIDAD
Implementación de controles seguros y evaluación de Estrategias de evaluación y pruebas para identificar y
vulnerabilidades en sistemas. mitigar vulnerabilidades en sistemas y procesos.

ARQUITECTURA Y DISEÑO OPERACIONES DE

DE SEGURIDAD SEGURIDAD
Diseño e implementación de medidas de seguridad Gestión de incidentes, monitoreo de eventos y
en sistemas y redes mantenimiento de controles preventivos y detectivos.

COMUNICACIÓN Y GESTIÓN DE IDENTIDAD Y

SEGURIDAD EN REDES ACCESO (IAM)
Diseño y gestión de arquitecturas de red seguras, Control de acceso y gestión de identidad, asegurando
protegiendo la comunicación y los dispositivos. la autenticación y autorización adecuadas.

Plan de Seguridad de Software 02

 Fundamentos de
Seguridad y Gestión
de Riesgos
FUNDAMENTOS DE SEGURIDAD Y

Este dominio aborda los pilares fundamentales de la seguridad de la información y la

gestión de riesgos en una organización. Incluye la comprensión y aplicación de los
GESTIÓN DE RIESGOS

principios éticos, como la confidencialidad, integridad, y disponibilidad de los datos.

Además, se trata de alinear estratégicamente la seguridad con los objetivos del
negocio y evaluar, analizar y responder a los riesgos de manera efectiva. También se
aborda la concienciación y capacitación en seguridad para fomentar una cultura de
seguridad en toda la organización.

SUBTEMAS

Ética Principios de Seguridad Gestión de Modelado de

profesional y seguridad empresarial y riesgos: amenazas y
códigos de alineación evaluación, Supply Chain
ética estratégica análisis, Risk
respuesta y Management
control

Plan de Seguridad de Software 03

 Ética profesional y
códigos de ética
Este capitulo aborda la importancia de los principios éticos en el campo de la
seguridad de la información. En un entorno donde la confianza, la integridad y la
responsabilidad son fundamentales, comprender y adherirse a los códigos éticos
FUNDAMENTOS DE SEGURIDAD Y

establecidos es esencial para mantener la credibilidad y la confianza en el trabajo

realizado. Esto implica no solo estar al tanto de los códigos de ética profesionales,
GESTIÓN DE RIESGOS

como el Código de Ética Profesional de ISC2, sino también promover activamente

estos estándares dentro de la organización y la comunidad profesional. El
cumplimiento de estos principios éticos no solo es una obligación moral, sino que
también contribuye a establecer y mantener un entorno de trabajo seguro y
respetuoso, donde la integridad y la confianza son pilares fundamentales.

ISC2 CODE OF PROFESSIONAL ETHICS:

El Código de Ética Profesional de (ISC)² establece los estándares éticos que los
profesionales de la seguridad de la información deben seguir en su práctica. Este
código abarca principios fundamentales, como la responsabilidad hacia los clientes y
la profesión, la confidencialidad de la información, la integridad y la conducta ética en
todas las interacciones profesionales. Algunos de los principios clave incluyen actuar
con honestidad e integridad, proporcionar servicios competentes, salvaguardar la
confidencialidad y la privacidad de la información, y actuar en interés del bienestar
público.

CÓDIGO DE ÉTICA ORGANIZACIONAL:

El código de ética organizacional es una guía interna que establece las expectativas
éticas y de comportamiento para los empleados en relación con la seguridad de la
información. Este código suele ser específico de cada organización y puede incluir
directrices sobre el uso adecuado de los recursos de la empresa, la protección de
datos confidenciales, la prevención de conflictos de interés y la conducta en
situaciones éticamente complejas. Está diseñado para garantizar que todos los
empleados actúen de manera ética y en línea con los valores y objetivos de la
organización en materia de seguridad de la información.

Plan de Seguridad de Software 04

 Principios de
seguridad
El entendimiento y la aplicación de los principios de seguridad son esenciales para el
diseño, desarrollo y mantenimiento de sistemas seguros de software. Estos principios
proporcionan un marco fundamental para garantizar la protección adecuada de los
FUNDAMENTOS DE SEGURIDAD Y

datos y los sistemas contra amenazas y vulnerabilidades. En este capítulo,

exploraremos los conceptos clave de seguridad, incluida la confidencialidad,
GESTIÓN DE RIESGOS

integridad, disponibilidad, autenticidad y no repudio, desde una perspectiva técnica

centrada en el desarrollo de software. Profundizaremos en cómo estos principios se
aplican en el diseño y la implementación de sistemas de software seguros, y cómo
contribuyen a mitigar riesgos y proteger la información sensible.

CONFIDENCIALIDAD:
la confidencialidad se refiere a la protección de la información sensible de accesos
no autorizados. Esto implica implementar controles de acceso apropiados, cifrado de
datos y prácticas de gestión de identidad para garantizar que solo usuarios
autorizados puedan acceder a la información confidencial.

INTEGRIDAD:
La integridad se refiere a la garantía de que la información no ha sido modificada de
manera no autorizada o accidental. En el desarrollo de software, esto implica
implementar técnicas de validación y verificación de datos para detectar y prevenir
la alteración no deseada de la información durante su almacenamiento, transmisión o
procesamiento.

DISPONIBILIDAD:
La disponibilidad se refiere a la garantía de que los recursos y servicios de un sistema
están disponibles y accesibles cuando se necesitan. En el contexto del desarrollo de
software, esto implica diseñar arquitecturas robustas y redundantes, implementar
medidas de tolerancia a fallos y gestionar adecuadamente la capacidad para evitar
interrupciones no planificadas en el acceso a los servicios.

AUTENTICIDAD:
La autenticidad se refiere a la verificación de la identidad de los usuarios, sistemas o
datos para garantizar que sean genuinos y no hayan sido falsificados o manipulados.
En el desarrollo de software, esto implica implementar sistemas de autenticación
sólidos, como la autenticación de dos factores o biométrica, y técnicas de firma
digital para verificar la autenticidad de los datos transmitidos.

Plan de Seguridad de Software 05

 Principios de seguridad
empresarial y alineación
estratégica
Este capítulo se enfoca en cómo establecer y mantener esta alineación estratégica,
considerando los procesos organizacionales, roles y responsabilidades, así como los
FUNDAMENTOS DE SEGURIDAD Y

marcos de control de seguridad. Además, exploraremos el concepto de diligencia

GESTIÓN DE RIESGOS

debida y debida diligencia en el contexto de la seguridad empresarial, destacando su

importancia en la gestión de riesgos y la toma de decisiones informadas.

ALINEACIÓN DE LA FUNCIÓN DE SEGURIDAD CON LA

ESTRATEGIA EMPRESARIAL, METAS, MISIÓN Y OBJETIVOS:
Este principio se centra en la integración de la seguridad de la información en la
estrategia global de la empresa. Implica comprender cómo los objetivos de seguridad
contribuyen a los objetivos comerciales más amplios y cómo se pueden integrar
eficazmente en la planificación estratégica de la organización.

PROCESOS ORGANIZACIONALES:
Este aspecto se enfoca en los procesos organizacionales que pueden influir en la
seguridad empresarial, como las adquisiciones, desinversiones y los comités de
gobernanza. Se discute cómo estos procesos pueden afectar la postura de seguridad
de la organización y cómo se deben gestionar para mitigar riesgos y asegurar la
continuidad del negocio.

ROLES Y RESPONSABILIDADES ORGANIZACIONALES:

Aquí se abordan los roles y responsabilidades relacionados con la seguridad de la
información dentro de la organización. Se analizan roles clave como el oficial de
seguridad de la información (CISO), equipos de gestión de riesgos y propietarios de
activos, y cómo deben interactuar para garantizar una postura de seguridad efectiva.

FRAMEWORKS DE CONTROL DE SEGURIDAD:

Se explora la importancia de los marcos de control de seguridad, como ISO 27001,
NIST Cybersecurity Framework y COBIT, en el establecimiento de controles efectivos
y la evaluación de la postura de seguridad de la organización. Se discuten los
principios fundamentales de estos marcos y cómo se pueden adaptar e implementar
en diferentes contextos organizacionales.

Plan de Seguridad de Software 06

 Gestión de Riesgos
La gestión de riesgos es un componente fundamental de cualquier estrategia de
seguridad de la información efectiva. En un entorno empresarial en constante
evolución y con una creciente cantidad de amenazas cibernéticas, es crucial
identificar, evaluar y mitigar los riesgos potenciales que podrían afectar a la
organización y sus activos de información. Este capítulo se centra en los procesos
clave involucrados en la gestión de riesgos, desde la evaluación inicial hasta la
implementación de controles para mitigar los riesgos identificados. A través de un
FUNDAMENTOS DE SEGURIDAD Y

enfoque sistemático y basado en riesgos, las organizaciones pueden fortalecer su

GESTIÓN DE RIESGOS

postura de seguridad y proteger sus activos críticos contra una amplia gama de
amenazas.

EVALUACIÓN DE RIESGOS
La evaluación de riesgos es el proceso de identificar, analizar y evaluar los riesgos
potenciales que podrían afectar a la organización. Este proceso implica la
identificación de activos críticos, amenazas, vulnerabilidades y posibles impactos, así
como la estimación de la probabilidad y gravedad de estos eventos. La evaluación de
riesgos proporciona una base para la toma de decisiones informada sobre cómo
mitigar o gestionar estos riesgos.

ANÁLISIS DE RIESGOS
El análisis de riesgos implica la evaluación más detallada de los riesgos identificados
durante la evaluación inicial. Este proceso busca comprender mejor la naturaleza y el
impacto potencial de los riesgos, así como priorizarlos según su probabilidad y
gravedad. El análisis de riesgos puede implicar técnicas como el análisis cualitativo y
cuantitativo para evaluar el riesgo y tomar decisiones fundamentadas sobre cómo
abordarlos.

RESPUESTA A RIESGOS
La respuesta a riesgos implica el desarrollo e implementación de estrategias para
abordar los riesgos identificados. Esto puede incluir la mitigación de riesgos
mediante la implementación de controles de seguridad, la transferencia de riesgos a
terceros a través de seguros o contratos, la aceptación de ciertos riesgos cuando
son inevitables o la evitación de riesgos al evitar ciertas actividades o prácticas.

CONTROL DE RIESGOS
El control de riesgos implica la implementación y gestión de controles de seguridad
para reducir la probabilidad o el impacto de los riesgos identificados. Esto puede
incluir controles técnicos, como firewalls o sistemas de detección de intrusos, así
como controles administrativos y organizacionales, como políticas y procedimientos.
El control de riesgos es un proceso continuo que requiere monitoreo y revisión
regular para garantizar su eficacia en la mitigación de riesgos.

Plan de Seguridad de Software 07

 Modelado de Amenazas
y Gestión de Riesgos de
la Cadena de Suministro
(SCRM)
FUNDAMENTOS DE SEGURIDAD Y
GESTIÓN DE RIESGOS

El modelado de amenazas y la gestión de riesgos de la cadena de suministro son

componentes esenciales para garantizar la seguridad integral de una organización. En
un entorno empresarial interconectado y globalizado, las amenazas pueden surgir no
solo desde dentro de la propia organización, sino también a lo largo de toda la
cadena de suministro. Este capítulo se enfoca en identificar y modelar las amenazas
potenciales que podrían impactar en los activos de información de la organización y
en la gestión de los riesgos asociados con los proveedores y socios externos. Al
comprender las amenazas y los riesgos específicos a los que se enfrenta, las
organizaciones pueden tomar medidas proactivas para mitigar estos riesgos y
fortalecer la resiliencia de su cadena de suministro.

MODELADO DE AMENAZAS:
El modelado de amenazas implica identificar y evaluar las posibles amenazas que
podrían explotar las vulnerabilidades en los sistemas de información de una
organización. Utilizando metodologías como STRIDE (Spoofing, Tampering,
Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), los
profesionales de seguridad pueden analizar diferentes escenarios de amenazas y sus
posibles impactos.

GESTIÓN DE RIESGOS DE LA CADENA DE SUMINISTRO (SCRM):

La gestión de riesgos de la cadena de suministro (SCRM) se centra en comprender y
mitigar los riesgos asociados con los proveedores externos y los socios de la cadena
de suministro. Esto incluye evaluar los riesgos relacionados con hardware, software y
servicios proporcionados por terceros, así como establecer requisitos mínimos de
seguridad y niveles de servicio para garantizar la integridad y seguridad de los
productos y servicios adquiridos. Además, implica realizar evaluaciones y monitoreo
continuo de los proveedores externos para garantizar el cumplimiento de los
requisitos de seguridad establecidos y mitigar los riesgos potenciales.

Plan de Seguridad de Software 08

 Gestión de Activos de
Seguridad
Este dominio se centra en la gestión adecuada de los activos de información de la
organización. Esto incluye la clasificación y manejo de la información y activos, así
GESTIÓN DE ACTIVOS DE SEGURIDAD

como la implementación de controles de seguridad y el cumplimiento normativo. Se

trata de asegurar que los recursos de información sean adecuadamente protegidos a
lo largo de su ciclo de vida y que se establezcan medidas para garantizar su
seguridad y cumplimiento.

SUBTEMAS

Clasificación y Gestión de Implementaci

manejo de recursos ón de
información y seguros y controles de
activos ciclo de vida seguridad de
de los datos datos y
cumplimiento

Plan de Seguridad de Software 09

 Clasificación y Manejo
de Información y
Activos
GESTIÓN DE ACTIVOS DE SEGURIDAD

La clasificación y el manejo adecuado de la información y los activos son

fundamentales para garantizar la seguridad de la información dentro de una
organización. La clasificación implica asignar niveles de sensibilidad a la información
en función de su importancia y nivel de confidencialidad. Por otro lado, el manejo de
activos incluye la identificación, inventario, y seguimiento de todos los activos
relacionados con la información, como hardware, software, datos y documentos. Esta
clasificación y manejo adecuados permiten a las organizaciones proteger sus activos
críticos y garantizar que se implementen los controles de seguridad adecuados para
protegerlos.

CLASIFICACIÓN DE INFORMACIÓN:
La clasificación de información implica categorizar los datos en diferentes niveles de
sensibilidad, como público, interno, confidencial y altamente confidencial. Este
proceso se basa en la evaluación del valor de la información para la organización, su
impacto en caso de divulgación no autorizada y los requisitos legales y regulatorios
aplicables. La clasificación permite establecer políticas y procedimientos claros para
el manejo y protección de la información en toda la organización.

MANEJO DE ACTIVOS:
El manejo de activos abarca la identificación, inventario y seguimiento de todos los
activos relacionados con la información, incluidos hardware, software, datos y
documentos. Esto implica mantener un registro actualizado de todos los activos,
incluidos los detalles de su ubicación, propietario, estado de mantenimiento y nivel
de sensibilidad de la información que contienen. Además, se establecen
procedimientos para el acceso autorizado, la protección física y lógica, y la
disposición segura de los activos al final de su vida útil. El manejo adecuado de
activos garantiza la protección continua de la información crítica y la disponibilidad
de los recursos necesarios para el funcionamiento de la organización.

Plan de Seguridad de Software 10

 Gestión de Recursos
Seguros y Ciclo de
Vida de los Datos
GESTIÓN DE ACTIVOS DE SEGURIDAD

La gestión de recursos seguros y el ciclo de vida de los datos son aspectos críticos
para garantizar la protección y disponibilidad de la información en una organización.
La gestión de recursos seguros implica implementar controles y procedimientos para
proteger los activos de información, incluidos los sistemas de TI y la infraestructura
de red, contra amenazas internas y externas. Por otro lado, el ciclo de vida de los
datos se refiere al proceso completo de gestión de los datos, desde su creación
hasta su disposición final. Esto incluye la recolección, almacenamiento,
procesamiento, transmisión y eliminación segura de los datos para garantizar su
integridad, confidencialidad y disponibilidad en todo momento.

GESTIÓN DE RECURSOS SEGUROS:

La gestión de recursos seguros implica la implementación de controles y políticas de
seguridad para proteger los activos de información, como sistemas informáticos,
redes, dispositivos de almacenamiento y comunicaciones. Esto incluye medidas
como el acceso controlado, la autenticación de usuarios, la protección contra
malware y la aplicación de parches de seguridad. Además, se establecen
procedimientos para la monitorización continua de los recursos, la detección de
intrusiones y la respuesta rápida a incidentes de seguridad para minimizar el impacto
de posibles amenazas.

CICLO DE VIDA DE LOS DATOS:

El ciclo de vida de los datos abarca todas las etapas del manejo de la información,
desde su creación hasta su eliminación final. Esto incluye la identificación de datos
críticos y su clasificación según su sensibilidad y valor para la organización. Durante
la fase de recolección, se recopilan datos de diversas fuentes, asegurando su
precisión y relevancia. Luego, en la etapa de almacenamiento, se aplican medidas de
seguridad para proteger los datos contra accesos no autorizados y garantizar su
integridad. Durante el procesamiento y la transmisión, se utilizan métodos de cifrado
y autenticación para proteger la confidencialidad y autenticidad de los datos.
Finalmente, en la fase de disposición, se implementan procedimientos seguros para
eliminar o archivar los datos de manera que no puedan ser recuperados por terceros
no autorizados.

Plan de Seguridad de Software 11

 Implementación de
Controles de
Seguridad de Datos y
Cumplimiento
GESTIÓN DE ACTIVOS DE SEGURIDAD

La implementación de controles de seguridad de datos y el cumplimiento de

regulaciones son aspectos fundamentales para proteger la información sensible y
garantizar el cumplimiento de las normativas establecidas por la organización y las
autoridades regulatorias. Este capítulo se enfoca en la aplicación de medidas
técnicas y operativas para salvaguardar la confidencialidad, integridad y
disponibilidad de los datos, así como en asegurar el cumplimiento de los requisitos
legales y normativos aplicables a la gestión de la información.

IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DE DATOS:

La implementación de controles de seguridad de datos implica la adopción de
medidas técnicas y operativas para proteger la información contra accesos no
autorizados, modificaciones no deseadas y divulgaciones indebidas. Esto incluye la
aplicación de cifrado para proteger la confidencialidad de los datos en reposo y en
tránsito, el establecimiento de políticas de gestión de contraseñas para garantizar la
autenticación adecuada de los usuarios y el uso de mecanismos de control de
acceso para limitar el acceso a la información solo a aquellos usuarios autorizados.
Además, se implementan controles de seguridad en los sistemas y redes para
detectar y prevenir intrusiones, así como para garantizar la integridad y
disponibilidad de los datos en todo momento.

CUMPLIMIENTO NORMATIVO:
El cumplimiento normativo implica adherirse a las leyes, regulaciones y estándares
relacionados con la protección de la información y la privacidad de los datos. Esto
incluye el cumplimiento de regulaciones como el Reglamento General de Protección
de Datos (GDPR), la Ley de Portabilidad y Responsabilidad del Seguro Médico
(HIPAA), y normativas sectoriales específicas. La implementación de controles de
seguridad de datos debe estar alineada con los requisitos establecidos por estas
regulaciones, lo que puede incluir la adopción de prácticas de gestión de registros, la
realización de evaluaciones de riesgos de privacidad y la notificación de violaciones
de datos según lo exijan las leyes aplicables.

Plan de Seguridad de Software 12

 Arquitectura y Diseño
de Seguridad
En este dominio se aborda el diseño e implementación de medidas de seguridad en
sistemas y redes. Se incluye la selección y aplicación de controles de seguridad, así
como la evaluación y mitigación de vulnerabilidades en diversos sistemas. Además,
ARQUITECTURA Y DISEÑO DE

se considera la implementación de soluciones criptográficas y el diseño seguro de

instalaciones para garantizar la protección de la información y los activos de la
organización.
SEGURIDAD

SUBTEMAS

Principios de Modelos de Evaluación y Implementación

diseño seguro seguridad y mitigación de de soluciones
selección de vulnerabilidad criptográficas y
controles es en diseño seguro
sistemas de instalaciones
diversos

Plan de Seguridad de Software 13

 Principios de Diseño
Seguro
El diseño seguro es un componente esencial para garantizar la integridad,
confidencialidad y disponibilidad de los sistemas de información y las redes. Este
capítulo se centra en los principios fundamentales que guían el diseño de sistemas y
aplicaciones con un enfoque en la seguridad desde su concepción hasta su
ARQUITECTURA Y DISEÑO DE

implementación. Los principios de diseño seguro son cruciales para mitigar

vulnerabilidades y reducir el riesgo de exposición a amenazas cibernéticas,
asegurando así la robustez y la resistencia de los activos de información frente a
SEGURIDAD

potenciales ataques.
DEFENSA EN PROFUNDIDAD:
El principio de defensa en profundidad implica la implementación de múltiples capas
de seguridad en un sistema o red para mitigar el impacto de posibles
vulnerabilidades y ataques. Esto incluye la aplicación de medidas de seguridad en
diferentes niveles, como la protección perimetral con firewalls y sistemas de
detección de intrusiones, el control de acceso a nivel de aplicación mediante
autenticación multifactor y la segmentación de redes para limitar la propagación de
amenazas. La defensa en profundidad garantiza que incluso si una capa de seguridad
se ve comprometida, otras capas estén en su lugar para proteger los activos críticos
de información.
PRINCIPIO DE MENOR PRIVILEGIO:
El principio de menor privilegio se basa en la premisa de otorgar a los usuarios y
procesos solo los privilegios mínimos necesarios para realizar sus funciones
autorizadas. Esto implica restringir el acceso a recursos y datos sensibles solo a
aquellos usuarios y aplicaciones que tengan una necesidad legítima de acceder a
ellos. Al implementar el principio de menor privilegio, se reduce el riesgo de
exposición a amenazas internas y se limita el impacto potencial de posibles
compromisos de cuentas o aplicaciones.
SEPARACIÓN DE RESPONSABILIDADES:
La separación de responsabilidades se refiere a la distribución de tareas y funciones
entre múltiples entidades o individuos para prevenir fraudes y abusos de privilegios.
Este principio implica la implementación de controles que requieran la colaboración
de múltiples partes para completar ciertas acciones críticas, como la aprobación de
transacciones financieras o la modificación de configuraciones de seguridad. La
separación de responsabilidades reduce el riesgo de conductas maliciosas al hacer
que sea más difícil para un único actor comprometer el sistema o los datos de
manera significativa.

Plan de Seguridad de Software 14

 Modelos de Seguridad y
Selección de Controles
Los modelos de seguridad y la selección de controles son aspectos fundamentales
en la arquitectura y diseño de sistemas seguros. Este capítulo se enfoca en la
comprensión y aplicación de modelos de seguridad que proporcionan un marco
conceptual para diseñar e implementar controles de seguridad efectivos. Además,
ARQUITECTURA Y DISEÑO DE

aborda la selección de controles específicos basados en las necesidades y

requerimientos de seguridad de una organización, garantizando así la protección
adecuada de los activos de información y la mitigación de riesgos.
SEGURIDAD

MODELOS DE SEGURIDAD:
Modelo de Perímetro Defensivo: Este modelo se basa en establecer una barrera
de protección alrededor de los recursos de información críticos de una
organización. Se implementan controles de seguridad en el perímetro de la red,
como firewalls y sistemas de detección de intrusiones, para evitar el acceso no
autorizado desde el exterior.
Modelo de Confianza Cero (Zero Trust): Contrario al modelo de perímetro
defensivo, el modelo de confianza cero asume que ninguna entidad, interna o
externa, puede ser confiable por defecto. Se requiere una autenticación y
autorización continua para acceder a recursos, independientemente de la
ubicación o el contexto del usuario, lo que reduce la superficie de ataque y mitiga
el riesgo de compromisos internos.

SELECCIÓN DE CONTROLES:
Controles de Acceso Basados en Roles (RBAC): RBAC es un enfoque para
restringir el acceso a recursos basado en los roles asignados a los usuarios dentro
de una organización. Los controles de acceso se definen según las
responsabilidades laborales de los usuarios, lo que garantiza que solo tengan
acceso a los recursos necesarios para realizar sus funciones autorizadas.
Controles de Integridad de Datos: Estos controles se utilizan para garantizar la
integridad y la exactitud de los datos almacenados y transmitidos. Incluyen la
implementación de funciones hash para verificar la integridad de los datos, así
como la aplicación de mecanismos de firma digital para garantizar la autenticidad
y no repudio de los datos.
Controles de Seguridad de Red: Los controles de seguridad de red abarcan una
amplia gama de medidas destinadas a proteger la infraestructura de red contra
amenazas y ataques. Esto puede incluir la segmentación de redes para limitar la
propagación de amenazas, el cifrado de datos en tránsito para proteger la
confidencialidad y el filtrado de paquetes para bloquear el tráfico malicioso.

Plan de Seguridad de Software 15

 Evaluación y Mitigación
de Vulnerabilidades en
Sistemas Diversos
La evaluación y mitigación de vulnerabilidades en sistemas diversos son aspectos
críticos en el diseño de una arquitectura de seguridad robusta. Este capítulo se
ARQUITECTURA Y DISEÑO DE

centra en identificar y abordar las vulnerabilidades potenciales en sistemas de

información, aplicaciones y redes para garantizar la protección efectiva de los activos
de la organización contra amenazas cibernéticas.
SEGURIDAD

EVALUACIÓN DE VULNERABILIDADES:
Escaneo de Vulnerabilidades Automatizado: La evaluación de vulnerabilidades
se realiza mediante herramientas de escaneo automatizado que identifican
debilidades conocidas en sistemas, aplicaciones y dispositivos de red. Estas
herramientas realizan pruebas exhaustivas en busca de vulnerabilidades como
puertos abiertos, servicios no parcheados y configuraciones inseguras.
Análisis de Código Estático y Dinámico: Para evaluar la seguridad de las
aplicaciones, se realizan análisis de código estático y dinámico. El análisis estático
examina el código fuente en busca de vulnerabilidades potenciales, como errores
de programación y vulnerabilidades conocidas, mientras que el análisis dinámico
evalúa el comportamiento de la aplicación en tiempo de ejecución para
identificar posibles brechas de seguridad.

MITIGACIÓN DE VULNERABILIDADES:
Parcheo de Vulnerabilidades: Una vez identificadas las vulnerabilidades, se
implementan parches y actualizaciones de seguridad para corregir las
debilidades en sistemas y aplicaciones. Es crucial mantener al día las políticas de
parcheo para mitigar el riesgo de explotación de vulnerabilidades conocidas.
Configuración Segura de Sistemas y Aplicaciones: Se aplican configuraciones
seguras en sistemas operativos, servidores y aplicaciones para reducir la
superficie de ataque y minimizar el riesgo de exposición a amenazas. Esto puede
incluir la desactivación de servicios innecesarios, la implementación de firewalls y
la aplicación de políticas de seguridad estrictas.
Implementación de Controles de Seguridad Adicionales: Además de corregir
vulnerabilidades conocidas, se implementan controles de seguridad adicionales
para mitigar posibles riesgos. Esto puede incluir el cifrado de datos sensibles, la
segmentación de redes para limitar el movimiento lateral de amenazas y la
aplicación de políticas de acceso restrictivas.

Plan de Seguridad de Software 16

 Implementación de
Soluciones Criptográficas
y Diseño Seguro de
Instalaciones
ARQUITECTURA Y DISEÑO DE

La implementación de soluciones criptográficas y el diseño seguro de instalaciones

son componentes esenciales en la protección de la información sensible y la
infraestructura física de una organización. Este capítulo se centra en la aplicación de
SEGURIDAD

técnicas criptográficas para garantizar la confidencialidad e integridad de los datos,

así como en el diseño seguro de las instalaciones físicas para prevenir el acceso no
autorizado y proteger los activos críticos.

IMPLEMENTACIÓN DE SOLUCIONES CRIPTOGRÁFICAS:

Cifrado de Datos: Se utiliza el cifrado de datos para proteger la confidencialidad
de la información mediante la conversión de datos en un formato ilegible que solo
puede ser descifrado por aquellos con la clave correspondiente. Se aplican
algoritmos criptográficos robustos para garantizar la seguridad de los datos en
reposo, en tránsito y en uso.
Firma Digital y Autenticación: La firma digital se utiliza para garantizar la
autenticidad y no repudio de los datos mediante la asociación de una firma digital
única a un documento o mensaje. Esto permite verificar la identidad del
remitente y garantizar la integridad de la información transmitida.

DISEÑO SEGURO DE INSTALACIONES:

Control de Acceso Físico: Se implementan medidas de control de acceso físico,
como cerraduras electrónicas, sistemas de tarjetas de acceso y cámaras de
vigilancia, para proteger las instalaciones contra el acceso no autorizado. Se
establecen zonas de seguridad con niveles de acceso restringidos según las
funciones y responsabilidades del personal.
Protección Perimetral: Se diseñan instalaciones con medidas de protección
perimetral, como cercas, muros y barreras físicas, para limitar el acceso a áreas
sensibles y proteger contra intrusiones externas. Se emplean sistemas de
detección de intrusos y alarmas para alertar sobre intentos de acceso no
autorizado.
Resiliencia y Continuidad Operativa: Se implementan medidas de resiliencia y
continuidad operativa para garantizar la disponibilidad de las instalaciones
incluso en situaciones de emergencia o desastres. Esto puede incluir la
implementación de sistemas de respaldo de energía, redundancia de equipos
críticos y planes de contingencia para mantener las operaciones en curso.

Plan de Seguridad de Software 17

 Comunicación y
Seguridad en Redes
Este dominio se enfoca en la seguridad de las comunicaciones y redes de la
organización. Se trata del diseño seguro de arquitecturas de red, la implementación y
COMUNICACIÓN Y SEGURIDAD EN

gestión de dispositivos de red seguros, y el establecimiento de canales de

comunicación seguros y protegidos. El objetivo es asegurar la confidencialidad,
integridad y disponibilidad de la información que se transmite a través de redes y
sistemas de comunicación.
REDES

SUBTEMAS

Diseño seguro Implementaci Establecimien

de ón y gestión to de canales
arquitecturas de de
de red dispositivos comunicación
de red seguros y
seguros protegidos

Plan de Seguridad de Software 18

 Diseño Seguro de
Arquitecturas de Red
El diseño seguro de arquitecturas de red es esencial para garantizar la confiabilidad,
integridad y disponibilidad de la comunicación en una organización. Este capítulo se
enfoca en desarrollar arquitecturas de red que sean resistentes a las amenazas
cibernéticas y proporcionen una base sólida para la transmisión segura de datos y la
COMUNICACIÓN Y SEGURIDAD EN

protección contra ataques maliciosos.

SEGMENTACIÓN DE REDES:
Redes de Área Local (LAN): Se implementa la segmentación de redes LAN para
REDES

dividir la infraestructura en segmentos lógicos, lo que ayuda a limitar la

propagación de ataques y reduce la superficie de exposición. Se utilizan VLANs
(Virtual LANs) y ACLs (Access Control Lists) para controlar el tráfico entre
segmentos y reforzar la seguridad de la red.
Redes de Área Amplia (WAN): Se establecen conexiones seguras entre sitios
remotos utilizando tecnologías como VPNs (Virtual Private Networks) para cifrar el
tráfico y proteger la comunicación sobre redes públicas. Se implementan
medidas de autenticación y autorización para garantizar que solo usuarios
autorizados puedan acceder a los recursos de red.

IMPLEMENTACIÓN DE FIREWALLS Y DISPOSITIVOS DE SEGURIDAD:

Firewalls de Red: Se despliegan firewalls de red para controlar el tráfico entrante
y saliente y aplicar políticas de seguridad a nivel de red. Se configuran reglas de
filtrado para permitir o denegar el acceso a servicios y puertos específicos, así
como para detectar y prevenir intrusiones.
Dispositivos de Detección y Prevención de Intrusiones (IDS/IPS): Se utilizan IDS
y IPS para monitorear la actividad de la red en busca de comportamientos
maliciosos y tomar medidas correctivas en tiempo real para bloquear ataques. Se
configuran firmas de seguridad y patrones de tráfico para identificar y mitigar
amenazas conocidas y desconocidas.
PROTECCIÓN DE CANALES DE COMUNICACIÓN:
Cifrado de Datos: Se emplea el cifrado de extremo a extremo para proteger la
confidencialidad de la información transmitida a través de la red. Se utilizan
protocolos seguros como TLS (Transport Layer Security) para establecer canales
de comunicación seguros y garantizar la integridad y autenticidad de los datos.
Protocolos de Seguridad de Red: Se implementan protocolos de seguridad de
red como IPsec (Internet Protocol Security) para autenticar y cifrar el tráfico IP
entre dispositivos de red. Se establecen túneles VPN para crear conexiones
seguras entre redes remotas y proteger la comunicación sobre Internet.

Plan de Seguridad de Software 19

 Implementación y
Gestión de Dispositivos
de Red Seguros
La implementación y gestión de dispositivos de red seguros son aspectos críticos
para garantizar la integridad, confidencialidad y disponibilidad de la información que
COMUNICACIÓN Y SEGURIDAD EN

se transmite a través de las redes. Este capítulo se enfoca en las prácticas y

tecnologías utilizadas para configurar, administrar y proteger dispositivos de red,
como routers, switches, firewalls y puntos de acceso inalámbrico, con el objetivo de
prevenir y mitigar posibles amenazas y vulnerabilidades.
REDES

CONFIGURACIÓN SEGURA DE DISPOSITIVOS:

Firewalls: Se implementan firewalls de próxima generación para filtrar el tráfico
de red y proteger los sistemas internos de ataques externos. Se configuran reglas
de firewall para permitir o bloquear el tráfico según políticas de seguridad
predefinidas.
Switches y VLANs: Se configuran switches para segmentar el tráfico de red en
VLANs (Virtual Local Area Networks) y controlar el acceso de los usuarios a
recursos específicos. Se establecen políticas de seguridad para prevenir el
acceso no autorizado y la propagación de amenazas en la red.

ADMINISTRACIÓN DE DISPOSITIVOS:
Gestión de Configuración: Se implementan herramientas de gestión de
configuración para administrar de manera centralizada la configuración de
dispositivos de red. Se automatizan tareas de aprovisionamiento y actualización
para garantizar la coherencia y la seguridad de la configuración.
Monitoreo de Dispositivos: Se utilizan herramientas de monitoreo de red para
supervisar el rendimiento y la seguridad de los dispositivos en tiempo real. Se
establecen alertas y notificaciones para detectar y responder rápidamente a
eventos anómalos o problemas de seguridad.

PROTECCIÓN DE DISPOSITIVOS:
Actualización de Firmware: Se aplican regularmente parches y actualizaciones
de firmware en dispositivos de red para corregir vulnerabilidades conocidas y
mejorar la seguridad. Se establece un proceso de gestión de vulnerabilidades
para evaluar y mitigar riesgos de seguridad de manera proactiva.
Gestión de Contraseñas: Se implementan políticas de gestión de contraseñas
para garantizar contraseñas seguras y únicas en dispositivos de red. Se utilizan
mecanismos de autenticación fuerte para proteger el acceso a la configuración y
la administración de dispositivos.

Plan de Seguridad de Software 20

 Establecimiento de Canales
de Comunicación Seguros y
Protegidos
El establecimiento de canales de comunicación seguros y protegidos es esencial
para garantizar la confidencialidad, integridad y autenticidad de la información
transmitida a través de redes. Este capítulo se enfoca en las prácticas y tecnologías
COMUNICACIÓN Y SEGURIDAD EN

utilizadas para crear conexiones seguras entre dispositivos, asegurando que los datos
se transfieran de manera segura y sin riesgos de manipulación o interceptación por
parte de terceros no autorizados.
REDES

PROTOCOLOS DE COMUNICACIÓN SEGURA:

SSL/TLS (Secure Sockets Layer/Transport Layer Security): Se implementan
protocolos de cifrado SSL/TLS para establecer conexiones seguras entre clientes
y servidores en aplicaciones web. Se utilizan certificados digitales para autenticar
las identidades de los extremos de la comunicación y se negocian algoritmos de
cifrado robustos para proteger la privacidad de los datos.
SSH (Secure Shell): Se utiliza SSH para establecer sesiones de comunicación
seguras entre dispositivos remotos, como servidores y clientes. Se autentica a los
usuarios mediante claves criptográficas y se cifran los datos transmitidos para
protegerlos contra ataques de intermediarios.
REDES PRIVADAS VIRTUALES (VPN):
Túneles VPN: Se implementan túneles VPN para crear conexiones seguras a
través de redes públicas, como Internet. Se utiliza cifrado para encapsular el
tráfico de datos y protegerlo de la visualización o modificación por parte de
intrusos. Se establecen políticas de seguridad para controlar el acceso a la red
privada y garantizar la confidencialidad de la información transmitida.

PROTECCIÓN CONTRA ATAQUES DE INTERMEDIARIOS:

Man-in-the-Middle (MitM): Se implementan medidas para prevenir y detectar
ataques de intermediarios, como MitM, que pueden comprometer la integridad y
la autenticidad de las comunicaciones. Se utilizan certificados digitales y firmas
de mensajes para verificar la identidad de los extremos de la comunicación y se
establecen canales seguros de comunicación para evitar la manipulación de
datos.

SEGURIDAD EN COMUNICACIONES INALÁMBRICAS:

WPA2/WPA3 (Wi-Fi Protected Access): Se utilizan estándares de seguridad
WPA2/WPA3 para proteger las redes Wi-Fi contra accesos no autorizados y
ataques de intrusión. Se implementan mecanismos de autenticación fuertes,
como contraseñas robustas y protocolos de cifrado, para proteger la privacidad
de las comunicaciones inalámbricas.

Plan de Seguridad de Software 21

 Gestión de Identidad
y Acceso (IAM)
En este dominio se aborda el control de acceso y gestión de identidad en la
GESTIÓN DE IDENTIDAD Y ACCESO (IAM)

organización. Se incluye la implementación de sistemas de autenticación y

autorización, así como la gestión de credenciales y privilegios de los usuarios. El
objetivo es garantizar que solo las personas autorizadas tengan acceso a los recursos
y datos adecuados en la organización.

SUBTEMAS

Control de Gestión de Federación de

acceso físico identificación, identidades y
y lógico autenticación gestión de
y autorización credenciales

Plan de Seguridad de Software 22

 Control de Acceso
Físico y Lógico
El control de acceso físico y lógico es esencial para garantizar la seguridad de los
activos y recursos de una organización. Este capítulo se enfoca en las políticas,
GESTIÓN DE IDENTIDAD Y ACCESO (IAM)

tecnologías y prácticas utilizadas para gestionar y controlar el acceso de los usuarios

a los sistemas, redes y áreas físicas de la empresa. Se abordan tanto los aspectos
relacionados con el control de acceso físico, como el uso de tarjetas de
identificación y sistemas de cerraduras, como los aspectos relacionados con el
control de acceso lógico, como la autenticación multifactor y la autorización de
usuarios en sistemas informáticos.

CONTROL DE ACCESO FÍSICO:

Sistemas de Control de Acceso: Se implementan sistemas de control de acceso
físico, como lectores de tarjetas y sistemas de cerraduras electrónicas, para
regular el acceso a áreas sensibles de la organización. Se establecen políticas de
acceso basadas en roles y privilegios para restringir el ingreso a lugares
específicos.

CONTROL DE ACCESO LÓGICO:

Autenticación Multifactor (MFA): Se implementa la autenticación multifactor
para verificar la identidad de los usuarios mediante múltiples factores, como
contraseñas, tokens de seguridad y biometría. Se establecen políticas de MFA
para garantizar una autenticación sólida y mitigar el riesgo de acceso no
autorizado.
Gestión de Identidades: Se utiliza software de gestión de identidades para
administrar el ciclo de vida de las identidades de usuario, desde la creación hasta
la revocación. Se asignan y revocan privilegios de acceso de acuerdo con las
funciones laborales y los principios de separación de deberes.

POLÍTICAS DE ACCESO:
Políticas de Acceso: Se establecen políticas de acceso basadas en roles y
atributos para determinar qué recursos y datos pueden acceder los usuarios
autorizados. Se implementan controles de acceso granular para restringir el
acceso a información confidencial y crítica.

CUMPLIMIENTO NORMATIVO:
Se garantiza el cumplimiento de regulaciones y estándares de seguridad, como GDPR,
HIPAA o PCI DSS, mediante la implementación de controles de acceso y la realización
de auditorías de cumplimiento. Se documenta y evidencia el cumplimiento normativo
para demostrar la seguridad de los datos y la protección de la privacidad.

Plan de Seguridad de Software 23

 Gestión de Identificación,
Autenticación y
Autorización
GESTIÓN DE IDENTIDAD Y ACCESO (IAM)

La gestión de identificación, autenticación y autorización es un componente

fundamental de la seguridad de la información en cualquier organización. Este
capítulo se centra en los procesos y controles utilizados para administrar las
identidades de los usuarios, verificar su identidad de manera confiable y otorgarles
los privilegios de acceso adecuados a los recursos y datos de la organización. La
gestión eficaz de la identidad y el acceso garantiza la protección de los activos de
información y reduce el riesgo de accesos no autorizados.

GESTIÓN DE IDENTIDADES:
Provisioning y Desprovisioning de Usuarios: Se establecen procesos para crear,
modificar y eliminar cuentas de usuario de manera eficiente y segura. Se
automatizan las tareas de provisionamiento y desprovisionamiento para
garantizar la consistencia y la precisión en la gestión de identidades.
Directivas de Gestión de Identidades: Se definen políticas y directivas de
gestión de identidades que establecen los requisitos y procedimientos para la
creación y administración de cuentas de usuario. Se asignan roles y privilegios
basados en las funciones laborales y los niveles de autorización necesarios.

AUTENTICACIÓN:
Métodos de Autenticación: Se implementan diversos métodos de autenticación,
como contraseñas, tokens de seguridad, biometría y autenticación multifactor
(MFA), para verificar la identidad de los usuarios de manera confiable. Se evalúan
y seleccionan los métodos de autenticación más adecuados según el nivel de
seguridad requerido y la experiencia del usuario.
Políticas de Contraseñas: Se establecen políticas de contraseñas que definen
los requisitos de complejidad, longitud y caducidad para garantizar contraseñas
seguras. Se promueve el uso de contraseñas únicas y robustas para mitigar el
riesgo de compromiso de cuentas debido a contraseñas débiles o reutilizadas.

AUTORIZACIÓN:
Control de Acceso Basado en Roles (RBAC): Se implementa el control de acceso
basado en roles para asignar permisos y privilegios de manera granular según las
responsabilidades y funciones de los usuarios. Se establecen reglas de
autorización que determinan qué acciones pueden realizar los usuarios en función
de su rol dentro de la organización.

Plan de Seguridad de Software 24

 Federación de
Identidades y Gestión
de Credenciales
GESTIÓN DE IDENTIDAD Y ACCESO (IAM)

La federación de identidades y la gestión de credenciales son aspectos críticos en el

contexto de la seguridad de la información y el acceso a recursos digitales en
entornos empresariales. Este capítulo se centra en la facilitación de la
interoperabilidad y la gestión eficiente de las credenciales de los usuarios en
múltiples sistemas y aplicaciones. La federación de identidades permite a los
usuarios acceder de forma segura a recursos distribuidos en diferentes dominios de
confianza, mientras que la gestión de credenciales garantiza la seguridad y la
integridad de las credenciales de autenticación.
FEDERACIÓN DE IDENTIDADES:
Protocolos de Federación: Se implementan estándares y protocolos de
federación de identidades, como SAML (Security Assertion Markup Language),
OAuth (Open Authorization) y OpenID Connect, para establecer la confianza entre
proveedores de identidades y proveedores de servicios. Estos protocolos
permiten a los usuarios acceder de manera segura a recursos externos utilizando
sus credenciales de inicio de sesión habituales.
Configuración de Confianza: Se establecen relaciones de confianza entre los
proveedores de identidades y los proveedores de servicios mediante la
configuración de puntos de conexión seguros y la definición de políticas de
federación. Se establecen acuerdos de confianza para garantizar la autenticación
segura y la autorización adecuada de los usuarios en entornos federados.

GESTIÓN DE CREDENCIALES:
Almacenamiento Seguro de Credenciales: Se implementan medidas de
seguridad robustas para proteger las credenciales de autenticación de los
usuarios, como contraseñas, tokens y certificados digitales. Se utilizan técnicas
de cifrado y hashing para almacenar las credenciales de forma segura y mitigar el
riesgo de acceso no autorizado.
Políticas de Gestión de Credenciales: Se establecen políticas y procedimientos
para la gestión de credenciales, que incluyen requisitos de complejidad de
contraseñas, caducidad de credenciales, y procedimientos de recuperación de
contraseñas. Se promueve el uso de autenticación multifactor (MFA) para agregar
una capa adicional de seguridad a las credenciales de los usuarios.
Monitoreo de Credenciales: Se implementan mecanismos de monitoreo
continuo para detectar y responder a actividades anómalas relacionadas con las
credenciales de los usuarios.

Plan de Seguridad de Software 25

 Evaluación y Pruebas
de Seguridad
Este dominio se enfoca en la evaluación y pruebas de seguridad de sistemas y
EVALUACIÓN Y PRUEBAS DE SEGURIDAD

procesos. Se abordan estrategias y técnicas de evaluación, así como pruebas de

seguridad de sistemas, aplicaciones y procesos. Además, se incluye el análisis de
datos de procesos de seguridad y la generación de informes para identificar y mitigar
vulnerabilidades en la infraestructura y aplicaciones de la organización.

SUBTEMAS

Estrategias y Pruebas de
técnicas de seguridad de
evaluación, sistemas,
pruebas y aplicaciones y
auditorías procesos

Plan de Seguridad de Software 26

 Estrategias y Técnicas
de Evaluación, Pruebas
y Auditorías
EVALUACIÓN Y PRUEBAS DE SEGURIDAD

La evaluación y las pruebas de seguridad son componentes fundamentales para

garantizar la eficacia de las medidas de seguridad implementadas en una
organización. Este capítulo se enfoca en las estrategias, metodologías y técnicas
utilizadas para evaluar, probar y auditar la seguridad de los sistemas, aplicaciones y
procesos. Desde la identificación de vulnerabilidades hasta la verificación del
cumplimiento normativo, estas actividades son cruciales para mantener un nivel
adecuado de seguridad cibernética.

ESTRATEGIAS DE EVALUACIÓN Y PRUEBAS:

Análisis de Riesgos: Se realizan evaluaciones de riesgos para identificar y
priorizar las amenazas potenciales que podrían afectar la seguridad de la
información. Se utilizan metodologías como FAIR (Factor Analysis of Information
Risk) y OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
para cuantificar los riesgos y orientar las actividades de prueba.
Penetration Testing: Se llevan a cabo pruebas de penetración para simular
ataques cibernéticos reales y evaluar la resistencia de los sistemas y redes a
intrusiones maliciosas. Se utilizan herramientas y técnicas de hacking ético para
identificar vulnerabilidades y puntos débiles que podrían ser explotados por
atacantes externos.

TÉCNICAS DE PRUEBAS DE SEGURIDAD:

Pruebas de Vulnerabilidad: Se realizan escaneos de vulnerabilidad utilizando

herramientas automatizadas y manuales para identificar fallos de seguridad en
sistemas, aplicaciones y redes. Se analizan los resultados de las pruebas para
evaluar el riesgo asociado a las vulnerabilidades identificadas y tomar medidas
correctivas.
Auditorías de Seguridad: Se llevan a cabo auditorías de seguridad para verificar
el cumplimiento de políticas, estándares y regulaciones de seguridad
establecidos. Se revisan los controles de seguridad implementados y se evalúa la
efectividad de los procedimientos de seguridad en toda la organización.

Plan de Seguridad de Software 27

 Pruebas de Seguridad de
Sistemas, Aplicaciones y
Procesos
Las pruebas de seguridad de sistemas, aplicaciones y procesos son cruciales para
EVALUACIÓN Y PRUEBAS DE SEGURIDAD

garantizar la robustez y resistencia de los activos de información de una organización

frente a posibles amenazas cibernéticas. Este capítulo se centra en las metodologías
y técnicas empleadas para evaluar la seguridad de los sistemas informáticos, las
aplicaciones y los procesos empresariales. Desde la identificación de
vulnerabilidades hasta la validación del cumplimiento normativo, estas pruebas son
esenciales para fortalecer la postura de seguridad de una organización.

PRUEBAS DE SEGURIDAD DE SISTEMAS:

Análisis de Configuración: Se realizan pruebas para evaluar la configuración de
los sistemas informáticos y garantizar que estén alineados con las mejores
prácticas de seguridad. Se verifica la implementación adecuada de políticas de
seguridad, actualizaciones de parches y configuraciones de cortafuegos.
Pruebas de Redes: Se llevan a cabo pruebas de penetración y escaneos de
vulnerabilidad en la infraestructura de red para identificar posibles puntos de
entrada para ataques externos. Se evalúa la seguridad de los dispositivos de red,
como routers, switches y firewalls, para garantizar su integridad y
confidencialidad.

PRUEBAS DE SEGURIDAD DE APLICACIONES:

Evaluación de Código: Se realizan análisis estáticos y dinámicos del código
fuente de las aplicaciones para identificar vulnerabilidades de seguridad, como
inyecciones SQL, cross-site scripting (XSS) y vulnerabilidades de
desbordamiento de búfer. Se utilizan herramientas automatizadas y técnicas de
revisión manual para detectar posibles fallos de seguridad.
Pruebas de Penetración de Aplicaciones: Se llevan a cabo pruebas de
penetración para evaluar la resistencia de las aplicaciones web y móviles a
ataques cibernéticos. Se identifican posibles vectores de ataque, como
vulnerabilidades de autenticación, gestión de sesiones y manipulación de datos, y
se proporcionan recomendaciones para su mitigación.

PRUEBAS DE SEGURIDAD DE PROCESOS:

Simulacros de Incidentes: Se llevan a cabo simulacros de incidentes para probar
la capacidad de respuesta de la organización ante posibles brechas de seguridad.
Se simulan escenarios de ataque y se evalúa la efectividad de los procedimientos
de gestión de incidentes y la coordinación entre los equipos de seguridad y
respuesta ante incidentes.

Plan de Seguridad de Software 28

 Operaciones de
Seguridad
En este dominio se tratan las operaciones diarias de seguridad de la organización. Se
incluye la gestión de incidentes de seguridad y forense digital, el monitoreo y análisis
de eventos de seguridad, la implementación de controles preventivos y detectivos, y
OPERACIONES DE SEGURIDAD

el mantenimiento de la seguridad operativa y gestión de cambios. El objetivo es

garantizar la continuidad operativa y protección de los activos de la organización
frente a posibles amenazas.

SUBTEMAS

Gestión de Implementaci Mantenimient

incidentes de ón de o de la
seguridad y controles seguridad
forense digital preventivos y operativa y
detectivos gestión de
cambios

Plan de Seguridad de Software 29

 Gestión de Incidentes de
Seguridad y Forense Digital
La gestión de incidentes de seguridad y el forense digital son aspectos críticos en la
protección de los activos de información de una organización. Este capítulo se
enfoca en las prácticas y procedimientos necesarios para detectar, responder y
mitigar incidentes de seguridad de manera eficiente. Además, aborda la importancia
OPERACIONES DE SEGURIDAD

de la recolección y análisis de evidencia digital para entender la naturaleza y el

alcance de los incidentes, así como para apoyar procesos legales y de cumplimiento.

GESTIÓN DE INCIDENTES DE SEGURIDAD:

Detección y Alerta de Incidentes: Se establecen sistemas y procesos para
monitorear proactivamente la red y los sistemas en busca de actividades
sospechosas o indicadores de compromiso (IOCs). Se utilizan herramientas de
seguridad, como sistemas de detección de intrusiones (IDS) y sistemas de
prevención de intrusiones (IPS), para identificar posibles amenazas y alertar al
equipo de seguridad.
Análisis de Incidentes: Se realiza un análisis exhaustivo de los incidentes
detectados para comprender su naturaleza, alcance y posibles impactos en la
organización. Se lleva a cabo una investigación forense para recopilar evidencia
digital y determinar el origen y la causa raíz del incidente.

FORENSE DIGITAL:
Recopilación y Preservación de Evidencia: Se emplean técnicas y herramientas
forenses para recopilar, preservar y analizar evidencia digital relacionada con
incidentes de seguridad. Se siguen procedimientos rigurosos para garantizar la
integridad y autenticidad de la evidencia, lo que facilita su presentación en
procesos legales y de cumplimiento.
Análisis de Evidencia: Se lleva a cabo un análisis detallado de la evidencia digital
recopilada para reconstruir la secuencia de eventos relacionados con el
incidente. Se identifican artefactos de actividad maliciosa, como archivos de
registro, registros de eventos y archivos de sistema comprometidos, y se utilizan
para entender el modus operandi del atacante.

RESPUESTA Y RECUPERACIÓN:
Mitigación de Incidentes: Se implementan medidas de respuesta inmediatas
para contener y mitigar los incidentes de seguridad en curso. Se bloquean
accesos no autorizados, se eliminan puntos de compromiso y se restauran los
sistemas afectados a un estado seguro y funcional.
Recuperación de Incidentes: Se desarrollan planes de recuperación de
incidentes para restaurar los sistemas y datos afectados a un estado operativo
normal. Se realizan pruebas periódicas de los planes de recuperación para
garantizar su eficacia y prepararse para futuros incidentes de seguridad.

Plan de Seguridad de Software 30

 Implementación de
Controles Preventivos y
Detectivos
La implementación de controles preventivos y detectivos es esencial para proteger
proactivamente los activos de información y detectar posibles amenazas en una
OPERACIONES DE SEGURIDAD

organización. Este capítulo se centra en la configuración, despliegue y gestión de

controles de seguridad que previenen la ocurrencia de incidentes y detectan
actividades maliciosas de manera temprana. La combinación de controles
preventivos y detectivos proporciona una defensa en profundidad contra una amplia
gama de amenazas cibernéticas.

CONTROLES PREVENTIVOS:
Seguridad de la Red: Se implementan firewalls, sistemas de prevención de
intrusiones (IPS), y filtros de contenido para proteger la red contra accesos no
autorizados y tráfico malicioso. Se configuran políticas de seguridad de red para
restringir el acceso a recursos sensibles y mitigar ataques de red conocidos.
Seguridad del Endpoints: Se aplican medidas de seguridad en los dispositivos
finales, como antivirus, antimalware y controles de aplicación, para prevenir la
ejecución de código malicioso y la explotación de vulnerabilidades. Se establecen
políticas de seguridad de endpoint para controlar el acceso a recursos y proteger
la integridad de los datos almacenados localmente.

CONTROLES DETECTIVOS:
Monitoreo de Eventos: Se despliegan herramientas de monitoreo de eventos y
sistemas de gestión de información de seguridad (SIEM) para recopilar,
correlacionar y analizar registros de eventos de toda la infraestructura de TI. Se
configuran alertas y notificaciones para identificar actividades anómalas y
posibles incidentes de seguridad en tiempo real.
Análisis de Comportamiento: Se utilizan técnicas de análisis de comportamiento
de usuarios y sistemas para identificar patrones de actividad sospechosa y
comportamiento anómalo. Se implementan herramientas de análisis de seguridad
basadas en inteligencia artificial y aprendizaje automático para mejorar la
detección de amenazas.

GESTIÓN DE INCIDENTES:
Respuesta Automatizada: Se automatizan respuestas a incidentes conocidos y
predefinidos para minimizar el tiempo de detección y respuesta. Se establecen
flujos de trabajo y procedimientos para la gestión eficiente de incidentes,
incluyendo la escalada, priorización y resolución de problemas.

Plan de Seguridad de Software 31

 Mantenimiento de la
Seguridad Operativa y
Gestión de Cambios
OPERACIONES DE SEGURIDAD

El mantenimiento de la seguridad operativa y la gestión de cambios son aspectos

críticos para garantizar la continuidad del negocio y la protección de los activos de
información. Este capítulo se enfoca en establecer y mantener un entorno operativo
seguro mediante la aplicación de políticas, procedimientos y controles para gestionar
cambios en la infraestructura de TI y garantizar su integridad y disponibilidad.

MANTENIMIENTO DE LA SEGURIDAD OPERATIVA:

Parches y Actualizaciones: Se implementa un programa de gestión de parches y
actualizaciones para mantener al día el software y los sistemas operativos,
mitigando así las vulnerabilidades conocidas y mejorando la resistencia a los
ataques.
Configuración Segura: Se aplican configuraciones de seguridad adecuadas en los
sistemas y dispositivos de red para reducir la superficie de ataque y minimizar los
riesgos de seguridad. Se establecen políticas de seguridad de sistemas para
garantizar la coherencia y la conformidad con los estándares de seguridad.

GESTIÓN DE CAMBIOS:

Procesos y Procedimientos: Se definen procesos y procedimientos formales

para la gestión de cambios, que incluyen la evaluación de impacto, la aprobación,
la implementación y la verificación de cambios en la infraestructura de TI. Se
establecen controles de autorización y documentación para garantizar la
trazabilidad y la transparencia en todo el ciclo de vida del cambio.

Plan de Seguridad de Software 32

 Seguridad en el
Desarrollo de
Software
SEGURIDAD EN EL DESARROLLO DE

Este dominio se centra en la integración de seguridad en el ciclo de vida del

desarrollo de software. Se trata de seleccionar y aplicar controles de seguridad en
entornos de desarrollo, evaluar la eficacia de la seguridad del software y establecer
directrices de codificación segura. El objetivo es garantizar que los productos de
SOFTWARE

software sean desarrollados de manera segura y que cumplan con los estándares de
seguridad de la organización.

SUBTEMAS

Integración de Selección y Seguridad en

seguridad en aplicación de el desarrollo
el ciclo de controles de de software
vida del seguridad en adquirido y
desarrollo de entornos de directrices de
software desarrollo codificación
segura

Plan de Seguridad de Software 33

 Integración de
Seguridad en el Ciclo
de Vida del Desarrollo
de Software
SEGURIDAD EN EL DESARROLLO DE

La integración de la seguridad en el ciclo de vida del desarrollo de software es

fundamental para garantizar que los productos de software sean robustos y seguros
SOFTWARE

desde su concepción hasta su implementación. Este capítulo se centra en la

incorporación de prácticas y controles de seguridad en cada fase del proceso de
desarrollo de software, desde el diseño inicial hasta la entrega final del producto.

ANÁLISIS DE REQUISITOS DE SEGURIDAD:

Identificación de Requisitos de Seguridad: Se realizan análisis exhaustivos de
riesgos y amenazas para identificar los requisitos de seguridad específicos del
proyecto. Se definen los objetivos de seguridad, como la confidencialidad, la
integridad y la disponibilidad de los datos, que deben cumplirse durante el
desarrollo del software.
Especificación de Requisitos de Seguridad: Se documentan los requisitos de
seguridad en la especificación de requisitos del software, asegurando que se
integren de manera transparente con los requisitos funcionales y no funcionales
del sistema. Se establecen criterios de aceptación para verificar el cumplimiento
de los requisitos de seguridad durante las pruebas.

DISEÑO SEGURO:
Arquitectura Segura: Se diseña una arquitectura de software robusta y
resistente a las amenazas, utilizando patrones de diseño seguros y principios de
separación de responsabilidades. Se implementan controles de seguridad en
cada capa de la aplicación para proteger contra ataques comunes, como la
inyección de SQL y la falsificación de solicitudes entre sitios (CSRF).
Modelado de Amenazas: Se realiza un modelado de amenazas para identificar y
mitigar posibles vulnerabilidades en el diseño del software. Se utilizan técnicas
como STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of
Service, Elevation of Privilege) para analizar los posibles vectores de ataque y
diseñar controles adecuados.

Plan de Seguridad de Software 34

 Integración de
Seguridad en el Ciclo
de Vida del Desarrollo
de Software
SEGURIDAD EN EL DESARROLLO DE

La integración de la seguridad en el ciclo de vida del desarrollo de software es

fundamental para garantizar que los productos de software sean robustos y seguros
SOFTWARE

desde su concepción hasta su implementación. Este capítulo se centra en la

incorporación de prácticas y controles de seguridad en cada fase del proceso de
desarrollo de software, desde el diseño inicial hasta la entrega final del producto.

DESARROLLO SEGURO:
Pruebas de Código Seguro: Se aplican prácticas de codificación segura durante
el desarrollo del software, como la validación de entrada, la codificación de
defensa y la prevención de condiciones de carrera. Se utilizan herramientas
automatizadas de análisis estático y dinámico de código para identificar y
corregir vulnerabilidades de seguridad en el código fuente.
Gestión de Dependencias: Se gestiona y actualiza de forma segura las
dependencias de software utilizadas en el proyecto, minimizando el riesgo de
vulnerabilidades conocidas y explotables. Se establecen políticas para revisar
regularmente las bibliotecas y componentes de terceros en busca de
vulnerabilidades y aplicar parches de seguridad según sea necesario.

PRUEBAS DE SEGURIDAD:
Pruebas de Penetración: Se realizan pruebas de penetración regulares para
evaluar la resistencia del software a los ataques y detectar posibles
vulnerabilidades. Se utilizan técnicas de prueba, como la inyección de SQL, la
explotación de vulnerabilidades de autenticación y autorización, y el análisis de la
gestión de sesiones para identificar y corregir vulnerabilidades críticas.
Pruebas de Vulnerabilidad: Se realizan pruebas de vulnerabilidad automatizadas
y manuales para identificar posibles puntos débiles en el software. Se utilizan
herramientas de escaneo de vulnerabilidades y técnicas de análisis de seguridad
para detectar vulnerabilidades conocidas y desconocidas en el software y aplicar
medidas correctivas adecuadas.

Plan de Seguridad de Software 35

 Selección y Aplicación
de Controles de
Seguridad en Entornos
de Desarrollo
SEGURIDAD EN EL DESARROLLO DE

La selección y aplicación de controles de seguridad en entornos de desarrollo es

esencial para mitigar riesgos y proteger los sistemas de software contra posibles
SOFTWARE

vulnerabilidades y ataques cibernéticos. Este capítulo se centra en la identificación,

evaluación y aplicación de controles de seguridad adecuados en todo el proceso de
desarrollo de software, desde la fase de planificación hasta la implementación y el
mantenimiento.

EVALUACIÓN DE RIESGOS:
Análisis de Amenazas y Vulnerabilidades: Se realiza un análisis exhaustivo de las
amenazas y vulnerabilidades potenciales en el entorno de desarrollo de software,
identificando posibles puntos de entrada para los atacantes y las consecuencias
asociadas. Se utilizan metodologías como el Análisis de Modo y Efecto de Falla
(FMEA) y la Evaluación de Riesgos y Vulnerabilidades (RAV) para priorizar los
riesgos y establecer estrategias de mitigación.
Perfil de Riesgo del Proyecto: Se desarrolla un perfil de riesgo específico para
cada proyecto de desarrollo de software, considerando factores como la
complejidad del sistema, el impacto potencial de un ataque y las regulaciones de
cumplimiento aplicables. Se definen criterios de aceptación de riesgos para guiar
la selección y aplicación de controles de seguridad.

SELECCIÓN DE CONTROLES DE SEGURIDAD:

Marco de Control de Seguridad: Se establece un marco de control de seguridad
que define los controles de seguridad necesarios para proteger los sistemas de
software contra las amenazas identificadas. Se seleccionan controles adecuados
de acuerdo con las mejores prácticas de la industria y los estándares de
seguridad, como ISO 27001 y NIST SP 800-53.
Controles Técnicos y Organizacionales: Se identifican y priorizan controles
técnicos y organizacionales basados en la naturaleza del sistema de software, los
requisitos de seguridad y las limitaciones de recursos. Se consideran controles
como el control de acceso, la gestión de identidades, la encriptación de datos, la
gestión de parches y la monitorización de eventos.

Plan de Seguridad de Software 36

 Selección y Aplicación
de Controles de
Seguridad en Entornos
de Desarrollo
SEGURIDAD EN EL DESARROLLO DE

La selección y aplicación de controles de seguridad en entornos de desarrollo es

esencial para mitigar riesgos y proteger los sistemas de software contra posibles
SOFTWARE

vulnerabilidades y ataques cibernéticos. Este capítulo se centra en la identificación,

evaluación y aplicación de controles de seguridad adecuados en todo el proceso de
desarrollo de software, desde la fase de planificación hasta la implementación y el
mantenimiento.

IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD:

Integración en el Ciclo de Vida del Desarrollo: Se integran los controles de
seguridad en todas las fases del ciclo de vida del desarrollo de software, desde la
planificación y el diseño hasta la implementación y el mantenimiento. Se
establecen procesos y procedimientos para garantizar la aplicación coherente y
efectiva de los controles en todas las etapas del proyecto.
Validación y Verificación: Se realizan pruebas y validaciones para verificar la
efectividad de los controles de seguridad implementados. Se llevan a cabo
pruebas de penetración, análisis estático y dinámico de código, y revisiones de
seguridad para identificar posibles fallos en la implementación y corregirlos antes
de la producción.

MANTENIMIENTO Y MEJORA CONTINUA:

Gestión de Cambios: Se establecen procesos de gestión de cambios para
gestionar actualizaciones y modificaciones en los controles de seguridad a lo
largo del ciclo de vida del software. Se realizan evaluaciones periódicas de riesgos
y controles para garantizar la alineación continua con las necesidades de
seguridad del sistema y los requisitos del negocio.
Lecciones Aprendidas: Se documentan y analizan las lecciones aprendidas de
proyectos anteriores para mejorar los procesos y prácticas de selección y
aplicación de controles de seguridad. Se promueve una cultura de mejora
continua para adaptarse a las nuevas amenazas y desafíos en el entorno de
desarrollo de software.

Plan de Seguridad de Software 37

 Seguridad en el
Desarrollo de Software
Adquirido y Directrices
de Codificación Segura
SEGURIDAD EN EL DESARROLLO DE

La seguridad en el desarrollo de software adquirido y las directrices de codificación

segura son aspectos críticos para garantizar la integridad y la fiabilidad de los
SOFTWARE

sistemas de software. Este capítulo se enfoca en abordar los desafíos específicos

asociados con la adquisición de software de terceros y proporciona directrices para
desarrollar código seguro que resista los ataques cibernéticos. Se exploran
estrategias para evaluar la seguridad del software adquirido y se presentan mejores
prácticas de codificación segura para minimizar vulnerabilidades.

EVALUACIÓN DE SEGURIDAD DEL SOFTWARE ADQUIRIDO:

Análisis de Riesgos del Software: Se realiza una evaluación exhaustiva de los
riesgos asociados con el software adquirido, considerando vulnerabilidades
conocidas, dependencias de componentes y la reputación del proveedor. Se
utilizan herramientas de análisis estático y dinámico para identificar posibles
debilidades de seguridad y evaluar la idoneidad del software para su
implementación.
Evaluación del Proveedor: Se examinan las prácticas de seguridad del proveedor
y su historial de seguridad para determinar su capacidad para ofrecer software
seguro. Se consideran factores como las certificaciones de seguridad, la adhesión
a estándares de seguridad y la transparencia en la divulgación de
vulnerabilidades y parches.

DIRECTRICES DE CODIFICACIÓN SEGURA:

Buenas Prácticas de Codificación: Se presentan directrices y recomendaciones
para desarrollar código seguro que prevenga vulnerabilidades comunes, como
inyecciones de código, manipulación de entradas y salidas, y vulnerabilidades de
control de acceso. Se promueve el uso de técnicas de codificación segura, como
la validación de entrada, la sanitización de datos y la implementación de
controles de seguridad a nivel de código.
Uso de Bibliotecas y Frameworks Seguros: Se fomenta la utilización de
bibliotecas y frameworks de código abierto con un historial comprobado de
seguridad. Se proporcionan recomendaciones para evaluar la seguridad de las
bibliotecas de terceros y para integrarlas de manera segura en el proceso de
desarrollo de software, minimizando el riesgo de vulnerabilidades inherentes.

Plan de Seguridad de Software 38

 Seguridad en el
Desarrollo de Software
Adquirido y Directrices
de Codificación Segura
SEGURIDAD EN EL DESARROLLO DE

La seguridad en el desarrollo de software adquirido y las directrices de codificación

segura son aspectos críticos para garantizar la integridad y la fiabilidad de los
SOFTWARE

sistemas de software. Este capítulo se enfoca en abordar los desafíos específicos

asociados con la adquisición de software de terceros y proporciona directrices para
desarrollar código seguro que resista los ataques cibernéticos. Se exploran
estrategias para evaluar la seguridad del software adquirido y se presentan mejores
prácticas de codificación segura para minimizar vulnerabilidades.

PRUEBAS DE SEGURIDAD Y VALIDACIÓN:

Pruebas de Penetración y Evaluación de Seguridad: Se realizan pruebas de
penetración y evaluaciones de seguridad para validar la resistencia del software
adquirido y del código desarrollado a posibles ataques cibernéticos. Se emplean
herramientas automatizadas y técnicas de prueba manual para identificar y
remediar vulnerabilidades antes de la implementación en entornos de
producción.
Revisión de Código y Análisis Estático: Se lleva a cabo una revisión exhaustiva
del código fuente para identificar posibles vulnerabilidades de seguridad y áreas
de mejora. Se utilizan herramientas de análisis estático de código para detectar
patrones de vulnerabilidad y para asegurar el cumplimiento de las directrices de
codificación segura establecidas.

GESTIÓN DE PARCHES Y ACTUALIZACIONES:

Planificación de Parches: Se establece un proceso formal para la gestión de
parches y actualizaciones de seguridad, garantizando la pronta aplicación de
correcciones para vulnerabilidades conocidas. Se implementan mecanismos de
seguimiento y notificación de vulnerabilidades para mantenerse al tanto de los
riesgos de seguridad emergentes y mitigarlos de manera proactiva.
Implementación de Parches Seguros: Se siguen prácticas recomendadas para la
implementación segura de parches y actualizaciones, minimizando el riesgo de
interrupciones del sistema y asegurando la integridad del software. Se realizan
pruebas exhaustivas de compatibilidad y funcionalidad antes de aplicar parches
en entornos de producción, garantizando una transición sin problemas.

Plan de Seguridad de Software 39

 Conclusiones:
CONCLJUSIONES Y RECOMENDACIONES

El Plan de Seguridad Integral ha sido fundamental para

comprender y abordar los desafíos actuales en seguridad de
la información. Hemos identificado áreas críticas de riesgo y
establecido un marco sólido para proteger nuestros activos y
mitigar amenazas. La integración de prácticas éticas y
principios de seguridad nos proporciona una base sólida para
fortalecer nuestra postura de seguridad. Este plan representa
un compromiso continuo con la seguridad y un paso
significativo hacia la protección de nuestra organización
contra las crecientes amenazas cibernéticas.

Recomendaciones:
Para garantizar el éxito y la efectividad continua de este Plan
de Seguridad Integral, se recomienda lo siguiente:

Realizar programas de concientización en seguridad de

manera regular para todo el personal, promoviendo así una
cultura de seguridad en toda la organización.
Realizar evaluaciones periódicas de riesgos y ajustar las
medidas de seguridad según sea necesario para
adaptarse a las amenazas emergentes y los cambios en el
entorno operativo.
Establecer un sistema de seguimiento y métricas para
evaluar la eficacia de las medidas de seguridad
implementadas y realizar mejoras continuas.
Mantenerse actualizado sobre las regulaciones y
estándares de la industria para garantizar el cumplimiento
normativo en todo momento.
Fomentar la colaboración y la comunicación entre los
equipos de seguridad, TI y las partes interesadas clave
para garantizar una respuesta coordinada y efectiva ante
incidentes de seguridad.

Plan de Seguridad de Software 40