SEMANA 01

Introducción
Presentación
Conceptos
Framework para la gestión de riesgos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 Agenda

• Presentación del Curso

• Seguridad por profundidad
• Seguridad de Aplicaciones
• Frameworks para la gestión de riesgos
• Vulnerabilidad

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Presentación del Curso

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Presentación del Curso

CONTENIDO DEL CURSO

• Sílabo

PONDERACIÓN
• Tareas: 20 puntos (5 Tareas)
• Prácticas: 40 puntos (4 Prácticas)
• Proyecto Final: 40 puntos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Presentación del Curso

CONOZCAMONOS!

• Nombre?
• ¿A qué se dedica?
• ¿Cuáles son sus fortalezas y debilidades en aplicar
aseguramiento a sistemas informáticos?
• ¿Porqué esta tomando este curso?
• ¿Cuáles son sus expectativas respecto a este curso?

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

SEGURIDAD POR PROFUNDIDAD

https://blog.gudixsecurity.com/seguridad-en-profundidad-el-secreto-de-la-ciberdefensa/

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

SEGURIDAD POR PROFUNDIDAD

https://blog.gudixsecurity.com/seguridad-en-profundidad-el-secreto-de-la-ciberdefensa/

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

VISTA GLOBAL EN SEGURIDAD DE APLICACIONES

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

APLICACIONES NO SEGURAS

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

APLICACIONES SEGURAS

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

PUNTOS DE VISTA

FABRICANTE

DESARROLLADORES

CLIENTE

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

DESARROLLO: Identificación de requisitos de seguridad

Common Criteria o CC (ISO/IEC 15408:1999): estándar

internacional para identificar y definir requisitos de seguridad.
Se suele emplear para redactar dos tipos de documentos:

•Perfil de Protección (Protection Profile o PP)

•Objetivo de Seguridad (Security Target o ST)

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 DESARROLLO: Identificación de requisitos de seguridad

Common Criteria o CC (ISO/IEC 15408:1999)

Requisitos Funcionales:
Auditoría de Seguridad

No Rechazo
 
Soporte criptográfico

Protección de datos de usuario

Identificación y autenticación

Gestión de seguridad

Privacidad

•Autodefensa

Utilización de recursos

Rutas o canales fiables

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
DESARROLLO DE APLICACIONES SEGURAS
Para desarrollar una aplicación segura deberemos tener en cuenta los
siguientes aspectos:
1 • Control de la entrada

2 • Gestión de memoria

3 • Estructura interna y diseño del programa

4 • Llamadas de recursos externos

5 • Control de la salida

• Problemas de los lenguajes de

6
programación

7 • Otros
Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
DESARROLLO DE APLICACIONES SEGURAS: Conclusiones

Se puede resolver más del 95% de las vulnerabilidades

evitando problemas conocidos:
• Hay que validar las entradas, evitar desbordamientos de
buffer y controlar contenidos y formatos de salida.
• Estructura el programa: minimizar privilegios, evitar
condiciones de hacer las cosas a como salgan.
• Cuidar las invocaciones (metacaracteres Shell/SQL) y
verificar los valores retorno de las funciones.
• Hay que ser PARANOICO: realmente buscan por dónde hacer
lo indebido.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

APLICACIONES SEGURAS: Elementos relevantes!

PROGRAMAS SEGURIDAD DE
AUTENTICACIÓN SERVIDOR DE EJECUTABLES LOS DATOS
APLICACIONES

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

APLICACIONES SEGURAS: Elementos relevantes!
Arquitectura, diseño y modelado de amenazas

Autenticación

Gestión de sesiones

Control de acceso

Manejo de entrada de datos maliciosos

Criptografía en el almacenamiento

Gestión y registro de errores

Protección de datos

Comunicaciones

Configuración de Seguridad en Protocolos

Controles Maliciosos

Lógica de negocio

Archivos y recursos

Configuración

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

CAPACIDADES DE PROTECCION DE CARGAS DE TRABAJO EN LA
NUBE

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

CAPACIDADES DE PROTECCION DE CARGAS DE TRABAJO EN LA
NUBE

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
Identificar, analizar y cuantificar las probabilidades de pérdidas y efectos
secundarios que se desprenden de los desastres, así como de las acciones
preventivas, correctivas y reductivas correspondientes que deben emprenderse.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 FRAMEWORKS PARA LA GESTIÓN DE RIESGOS

ISO 27005 FRAMEWORK

El proceso puede ser dividido en estos pasos:

• Análisis del riesgo
• Identificación del riesgo
• Estimación del riesgo
• La evaluación del riesgo

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
NIST SP 800 30 FRAMEWORK

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

 FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
ISACA RISK IT
Con fundamento en los Objetivos de Control
para Información y Tecnología Relacionada
(Control Objectives for Information and
related Technology, COBIT®, el primer
marco de riesgos relacionados con la
tecnología de la información (TI) que brinda
una visión completa de los riesgos de los
negocios asociados a iniciativas de
tecnología de la información. Risk IT se
apoya en el marco de COBIT mundialmente
reconocido para la administración de TI de
ISACA, para brindar un vínculo que faltaba
entre la gestión de riesgos corporativos
convencionales y la gestión y el control de
riesgos de TI.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
COBIT 5 RISK MANAGEMENT FRAMEWORK
Las organizaciones deben comprender que COBIT 5 es un marco integral que considera la optimización
del riesgo como un objetivo de valor clave. COBIT 5 considera la gobernanza y la gestión del riesgo como
parte de la gestión y gestión general de las TI empresariales.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
MAGERIT
MAGERIT versión 3 es la metodología de análisis y gestión de riesgos elaborada en su día por el antiguo
Consejo Superior de Administración Electrónica y actualmente mantenida por la Secretaría General de
Administración Digital (Ministerio de Asuntos Económicos y Transformación Digital) con la colaboración
del Centro Criptológico Nacional (CCN).
.

https://administracionelectronica.gob.es/pae_Home/
pae_Documentacion/pae_Metodolog/pae_Magerit.html

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
OCTAVE
Es una técnica de evaluación de riesgos desarrollada por el SEI (Software
Engineering Institute) en Estados Unidos. Es reconocida a nivel mundial y ha
tenido excelente adaptación. [4] Las fases que la componen la catalogan un
poco más complicada que las demás metodologías. La misma está enfocada en
el riesgo y no en la tecnología como las demás, cuando se usa este tipo de
metodología personal de varios departamentos como el operativo, el de
tecnología, entre otros; trabajan en conjunto proyectados a la necesidad de
seguridad, apoyados por un especialista. .
.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

FRAMEWORKS PARA LA GESTIÓN DE RIESGOS
STRIDE+DREAD
Es una técnica de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) en
Estados Unidos. Es reconocida a nivel mundial y ha tenido excelente adaptación. [4] Las fases que la
componen la catalogan un poco más complicada que las demás metodologías. La misma está enfocada
en el riesgo y no en la tecnología como las demás, cuando se usa este tipo de metodología personal de
varios departamentos como el operativo, el de tecnología, entre otros; trabajan en conjunto proyectados
a la necesidad de seguridad, apoyados por un especialista. .
.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

VULNERABILIDAD
Las vulnerabilidades cibernéticas son las debilidades de los SACI y TIC´s que pone en
riesgo la seguridad de la información y las operaciones. Cuando los ciberdelincuentes
logran explotar las vulnerabilidades; pueden robar información, activos y desarrollar
capacidades para interrumpir, destruir o amenazar la prestación de servicios o
productos suministrados, por lo que se hace indispensable identificarlas y
controlarlas.
 

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

VULNERABILIDAD MÁS CRÍTICAS EN APLICACIONES WEB
Las vulnerabilidades cibernéticas son las debilidades de los SACI y TIC´s que pone en
riesgo la seguridad de la información y las operaciones. Cuando los ciberdelincuentes
logran explotar las vulnerabilidades; pueden robar información, activos y desarrollar
capacidades para interrumpir, destruir o amenazar la prestación de servicios o
productos suministrados, por lo que se hace indispensable identificarlas y
controlarlas.
 

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

TAREA No. 1

Detallar PROS y CONTRAS en la aplicación de los FRAMEWORKS existentes para la

gestión de riesgos.

TABULAR

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala