SIY6131

Seguridad de la Información
Temario

Arquitectura de
Solución
Herramientas
Complementarias
Herramientas de
Ciberseguridad
Resumen
Seguridad de la
Información
 Evento
Un evento es cualquier
registro de una acción o
situación registrada que
ocurrió en un determinado
instante de tiempo
Eventos
 Eventos
Todo Sistema informático
deja algún registro.

Nos permiten tener

visibilidad de lo que esta
ocurriendo
 Correlación de
eventos
La correlación de eventos
permite tener una imagen
más clara de las situaciones
que están sucediendo,
estas se pueden ver como
una línea de tiempo de
sucesos.
 SIEM
Un SIEM es un software
que permite centralizar,
normalizar, parsear y
analizar eventos de
seguridad. Adicionalmente
permite agregar reglas de
correlación a eventos
conocidos.
Arquitectura
 SIEM
Un SIEM es un software
que permite centralizar,
normalizar, parsear y
analizar eventos de
seguridad. Adicionalmente
permite agregar reglas de
correlación a eventos
conocidos.
Consideraciones
de fuente de datos
Las fuentes de datos
entregan eventos sobre
todo lo que sucede en la
empresa, sin embargo, es
necesario considerar que no
todo dato es útil en un
contexto de ciberseguridad.
Se debe representar la
realidad en el momento en
que ocurrió el evento. Cada
fuente de datos puede
representar el evento por
como esté configurado

La información debe estar

A veces es neceario
contextualizada, y a veces,
contextualizar la data para
el evento no viene con toda
lograr obtener información.
la información suficiente
Es ahí donde los servicios
para determinar si estamos
básicos de Threat
frente a un incidente de
Intelligence pueden
ciberseguridad o no..
colaborar
Arquitectura
Almacenamiento
de Logs
Uno de los componentes
mas importantes en un
CSOS es la retención de
logs. Ya sea por motivos
legales o por motivos de
previsión, el
almacenamiento permite
guardar un historial de los
eventos ocurridos.
Filtrar y Guardar
Logs
Los Logs pueden tener
relevancia o no para la
operación, ¿Que hacer con
los logs que no sirven?
La decisión depende de la
experiencia del SOC y el
arquitecto de solución que
lo diseñó.
Arquitectura
Herramientas
Complementarias
Herramientas
Complementarias

La información puede venir

de fuentes propias, externas
e incluso de los mismos
dispositivos, sin embargo,
es necesario ir a buscar
información precisa algunas
veces en las máquinas o
tener información
contextual.
Scanner de
Vulnerabilidades

Las herramientas de
escaneos de
vulnerabilidades permiten
detectar las vulnerabilidades
en las configuraciones,
parches, obsolescencia,
entre otros.

Aplican en trabajos de
pentesting sobre la red de
las empresas.
Endpoint Detect and
Response

Son agentes instalados en

los equipos de usuarios o
servidores con la finalidad
de detectar anomalías y
poder responder en caso de
que alguna de estas
aparezca.
Las posibles respuestas
pueden ser variadas, sin
embargo, las siguientes son
las más comunes:
- Aislar a un equipo
- Buscar un archivo
específico
- Obtener un historial de
comportamiento del
equipo
- Obtener evidencia
forense
Arquitectura
 • Man-Trap
Acceso seguro a SEGURIDAD • Factores de Autenticación
FISICA • Cámaras
los Sistemas • Generadores Electricos
​
• Site de Contingencia
Los sistemas utilizados ​
contienen información
sensible y confidencial de la
empresa, es por ello que es
fundamental en un SOC
asegurar el acceso seguro y
controlado de los sistemas
​

• Control de Acceso a
SEGURIDAD Equipos Virtuales
DIGITAL • Cuentas de Acceso
​ individuales
​
Arquitectura
Herramientas de
Ciberseguridad
Herramientas de
Ciberseguridad

Nos permiten tener

visibilidad de lo que esta
ocurriendo en la red, tomar
aciób y realizar medidas de
prevención.
Herramientas de
Ciberseguridad

Los ciberataques son

constantes y es necesario
proteger
infraestructuras.
las
Las
herramientas de protección
01 DETECCION

son la forma en la que

agilizamos el tiempo
humano-máquina.
02 PREVENCION

03 REACCION
Detección

Las herramientas de
detección permiten alertar a
operadores o encargados
de ciberseguridad sobre
anormalidades, amenazas o
comportamientos maliciosos
que ocurren en la empresa.

Son fáciles de implementar

y tienen baja intervención
con el negocio.
Prevencion

Estas herramientas tienen la

capacidad de bloquear
automáticamente algún
evento no deseado que sea
detectado.

El problema ocurre cuando

no están bien configuradas
o están limitadas a evadir
falsos positivos.
Reacción

Estas herramientas de
reacción permiten tomar
acciones directas sobre
dispositivos afectados por
algún tipo de amenaza,
como por ejemplo bloquear
alguna conexión, aislar el
equipo de la red, obtener
información directamente
desde un activo, entre otros.

Son herramientas utilizadas

durante la respuesta de
incidentes
Herramientas de
Ciberseguridad
IPS/IDS

Instrusión prevention
system, es una herramienta
que permite detectar y
bloquear ataques a nivel de
red endpoint.
ANTISPAM

Herramienta que analiza el

correo electrónico en
búsqueda de anomalías, en
base a su análisis le da un
scoring para saber si deja
pasar o no un mensaje..
ANTISPAM

Herramienta que analiza el

correo electrónico en
búsqueda de anomalías, en
base a su análisis le da un
scoring para saber si deja
pasar o no un mensaje..
WEB APPLICATION
FIREWALL
WAF, es una defenza para
los sitios Web. Permite
detectar comportamientos
no deseados utilizando
estadísticas.

Los servicios online lo

requieren ya que son
capaces de analizar
contenido de lo que el
usuario esta solicitando al
servidor y detenerlo si es
maliciosotaques
ANTIMALWARE

Tienen la capacidad de
bloquar procesos y archivos
maliciosos que se ejecutan
en un Endpoint.
Se complementan con la
presencia de un Host
intrusión prevention system
o en su defecto con un EDR
DATA LOSS
PREVENTION (DLP)
Es una herramienta que
previene la perdida de
información.
Su funcionamiento se basa
en la inspección de los
contenidos de los archivos y
revisa ciertos ”tags”
implementados.
FILTRO DE
CONTENIDO
Es una gran Base de Datos con
sitios Web maliciosos
previamente cargados, así como
también analizadores de
contenido en caso de que existe
alguna anomalía.
La configuración del dispositivo
depende de las políticas del
negocio y sus definiciones.
El objetivo se basa en evitar que
el contenido sea descargado, a
pesar de que el usuario haya
caido en algún phishing o sitio
dañino.
NETWORK ACCESS
CONTROL
Los NAC permiten determinar
que usuarios tienen acceso a la
red. Usualmente presentan
implementaciones de usuarios y
contraseñas para otorgar
acceso.

Esta herramienta permite tener

un control detallado de quién
tiene acceso a la red y evitar
que intrusos se conecten.
Resumen