Uploaded by Antonio Meza

investigacion

advertisement
Gestión de seguridad
1. Gestión de identidades
procedimientos que busca que la creación, modificación y eliminación de usuarios en los
sistemas de información se realicen de acuerdo con los procedimientos establecidos (por
ejemplo, Validar que cada alta o modificación o baja de un trabajador comercial en los
sistemas de telefónica lo realice el gestor socio y sea aprobado por el gestor canal
mediante un numero de ticket lo valido ingresando al sistema SIAM mediante los
reportes o Script.
2. Gestión de roles
Establezco una revisión periódica de roles en los sistemas de información, que
compruebe que las actividades asignadas por cada rol de los sistemas de información
respondan a la actualidad y los usuarios que posean a su vez dicho rol, cuenten con las
atribuciones necesarias para operar, sin generar conflictos de segregación de funciones.
Por ejemplo, cada trabajador debe tener un rol funcional 10 -20 cuando se le da de alta
en el sistema SIAM (sistema de identidades y accesos), mediante el rol funcional se le
crea sus usuarios correspondientes en las aplicaciones comerciales que usa telefónica
(aplicaciones identidad , jteler, más simple, Core) , para caso de nosotros nuestro rol
funcional es de 0 a 20 y no tenemos acceso a las aplicaciones comerciales a no ser que
sea el usuario admin, nosotros usamos aplicación remedy para crear incidencias o citrix
para los requerimientos.
5. Controles de revisión
Por último, implementar controles de revisión de seguridad en las bases de datos y
sistemas operativos, garantizando que la administración asegura adecuadamente su
plataforma de tecnología, de acuerdo con las guías sugeridas por las áreas de Seguridad
de la Información o cumplimiento TI.
Por ejemplo: Uso de script o query para revisión en las BD de Telefónica de las bajas
hechas en el año ya que cuando se da de baja afecta a 3 tablas (usuario, persona,
aprovisionamiento), quedando casos donde la baja no se da por completo, por lo tanto,
el usuario puede hacer uso aun de las cuentas de las aplicaciones.
3. Configuración de contraseñas
Otra actividad es una adecuada parametrización de contraseñas de acuerdo con las
buenas prácticas y procedimientos internos de seguridad, buscando entre otras que los
sistemas de información restrinjan adecuadamente el acceso a través de contraseñas
incorrectas (por ejemplo al 3 intento de contraseña errónea se bloquea el acceso) , tener
una bodega de contraseña segura.
4. Gestión de usuarios privilegiados
Otra tarea es implementar controles que aseguren la correcta administración de cuentas
privilegiadas, buscando que la gerencia garantice la correcta gestión sobre los usuarios
de los sistemas de administración de los sistemas de información en telefónica. por
ejemplo, controlar el personal con acceso a las claves de estas cuentas, cambiando
periódicamente sus contraseñas y monitoreando su actividad.
Gestión de Cambios
Procedimiento de cambio documentando (empezando por el documento de alcance
donde se especifica el requerimiento para el cambio, pudiendo ser a solicitud del usuario
accesos o mejora que vemos en el equipo de ingeniería); (documentación firmada por
el responsable o gerencia).
Envió del documento de alcance al equipo de desarrollo para que realice el cambio,
mediante va desarrollando el cambio, se hace pruebas de seguridad por la aplicación
Sast que permite detectar defectos en las primeras etapas del desarrollo), además que
al final del desarrollo se hace pruebas de funcionalidad en el ambiente QA para
asegurarse que todo esta correcto y se cumple los requerimientos dados.
Luego se realiza el documento de evidencia y se envía mediante correo al área encargada
para que realice las pruebas correspondientes y pueda firmar el documento a modo de
aprobación.
Se crea los documentos necesarios para el Comité de cambios (alcance, Plan de
actividades, evidencias, Numero de incidencia, documento de sistema), para luego crear
el ticket de cambio en el sistema remedy, y después mediante una reunión con
operaciones explicar el cambio para su aprobación del ticket remedy y proceder a tener
reunión con el CAB.
Una vez aprobado el cambio o los cambios por el CAB se confirma a operaciones y el
área encargada mediante correo la fecha y hora programada para hacer el cambio en
producción (al mismo tiempo se comparte los archivos de desarrollo en una carpeta
compartida que usa operaciones e ingeniería con acceso restringido).
Una vez operaciones ejecutado el cambio en producción (hora inicio 8pm) procedo a
realizar las pruebas funcionales para asegurarse que todo está correcto, caso encuentre
error se realiza una reunión con operaciones y desarrollo para que se solucione el
problema encontrado.
Si todo esta correcto al hacer mis validaciones funcionales, se envía correo al
responsable de accesos para que pueda realizar las pruebas funcionales del cambio y
pueda dar el visto bueno por correo (EVIDENCIA PRUEBA FUNCIONAL); además a ello
operaciones envía correo indicando que el pase a producción fue exitoso y dando el visto
bueno en las pruebas técnicas de los servicios de TI (EVIDENCIA PRUEBA TÉCNICA).
Después se recibe el correo del responsable indicando que las pruebas funcionales están
correctas y cumplen el requerimiento, para finalizar respondiendo al correo del Cab
(enviado previamente) indicando que fue un existo el pase a producción enviado y que
todo correcto con las validaciones técnicas y funcional.
(Nessus (escaneo de vulnerabilidades de sistemas operativos), Owasp Zap (escaneo de
vulnerabilidades de aplicaciones web).
Los controles de ciberseguridad
Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos,
incluidos la mitigación de DDoS y sistemas de prevención de intrusiones.
Otro ejemplo mediante comandos se evalúa si los perfiles están correctos, más aún el
perfil admin.
, además de promover acciones de formación en Seguridad de la Información y
Ciberseguridad para los colaboradores.
Lo que no se lo estudio; lo investigo ´, lo analizo; una vez aprendido lo automatizo; lo
mejoro.
Los controles de seguridad son parámetros implementados para proteger diversos
formatos de datos e infraestructuras importantes para una organización.
Los controles de seguridad física
Incluyen medidas como establecer barreras en los perímetros del centro de datos,
cerraduras, guardias, tarjetas de control de acceso, sistemas de control de acceso
biométrico, cámaras de vigilancia y sensores de detección de intrusiones.
Los controles de seguridad digital
Incluyen elementos como nombres de usuario y contraseñas, autenticación de dos
factores, software antivirus y firewalls.
Los controles de ciberseguridad
Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos,
incluidos la mitigación de DDoS y sistemas de prevención de intrusiones. (Nessus
(escaneo de vulnerabilidades de sistemas operativos), Owasp Zap (escaneo de
vulnerabilidades de aplicaciones web).
Los controles de seguridad en la nube
Incluyen las medidas que se toman en colaboración con un proveedor de servicios en
la nube para garantizar la protección necesaria para los datos y las cargas de trabajo. Si
su organización ejecuta cargas de trabajo en la nube, debe cumplir con los requisitos
de seguridad de sus políticas corporativas o comerciales además de las regulaciones de
la industria.
Sobre el papel, los controles de seguridad en ISO 27001 son 114. Estos controles se distribuyen
dentro del Anexo en 14 secciones, así:
1. Políticas de seguridad de la información: A. 5.
2. Organización de la seguridad de la información: A.6.
3. Seguridad de los recursos humanos: A. 7.
4. Gestión de Activos: A.8.
5. Controles de acceso: A.9.
6. Criptografía – Cifrado y gestión de claves: A.10.
7. Seguridad física y ambiental: A.11.
8. Seguridad operacional: A.12.
9. Seguridad de las comunicaciones: A.13.
10. Adquisición, desarrollo y mantenimiento del sistema: A.14.
11. Gestión de incidentes de seguridad de la información A.16.
12. Cumplimiento: A.18. Determinan si un sistema de control interno funciona
adecuadamente (según la documentación, según declaran los auditados (áreas de
trabajo) y según las políticas y procedimientos de la organización).

Evitar el riesgo, cuando es posible y financieramente viable eliminar la causa raíz del
problema.

Mitigar el riesgo, cuando es posible reducir la probabilidad de ocurrencia, el daño
potencial o ambos.

Transferir el riesgo, subcontratando un proceso o tomando una póliza de seguros.

Aceptar el riesgo, cuando el coste de mitigarlo es muy alto y, por el contrario, es
posible aprovechar alguna oportunidad aceptándolo.
SOX es una ley federal americana del 2002 la cual busca establecer la confianza de los
inversionistas después de varios escándalos corporativos y contables. Tiene como
objetivo proteger a los inversionistas mediante la creación de controles internos
sobre la información financiera, destinados a facilitar la precisión y confiabilidad de
la información y las revelaciones financieras.
DevSecOps > gestión de cambios.
Azure
Es una nube pública de pago por uso que te permite compilar, implementar y administrar
rápidamente aplicaciones en una red global de datacenters (centros de datos) de
Microsoft.Desarrollo de aplicaciones. Cree, administre y entregue aplicaciones en la
nube de forma continuada con cualquier plataforma o lenguaje.
Controles de seguridad incorporados
La nube de Microsoft tiene controles de seguridad incorporados para que las empresas
puedan protegerse a través de la identidad, la red, herramientas integradas, etc.
Azure Active Directory es el sistema central para administrar el acceso a los servicios en
la nube. Se trata del directorio más utilizado, por lo que es imprescindible. Del mismo
modo, Microsoft también recomienda Azure Multi-Factor Authentication, así como un
acceso basado en roles.
Estamos en un mundo de constante evolución tecnológica donde las amenazas también
cambian continuamente. Es importante aprovechar la inteligencia colectiva para estar al
tanto de las amenazas. Ahí es donde entra Microsoft Intelligence Security Graph que
proporciona la inteligencia que se necesita para estar protegido de las amenazas.
Azure Security Center ayuda a detectar y mitigar las amenazas al combinar Microsoft
Intelligence Security Graph con el aprendizaje automático. A través de las visualizaciones
pueden comprender los problemas más críticos y ver toda la cadena de ataques
completa.
CRIPTOGRAFÍA
Criptografía es un método de protección de la información y las comunicaciones
mediante el uso de códigos, de modo que solo aquellos a quienes está destinada la
información puedan leerla y procesarla.
DevSecOps
es la práctica de integrar las pruebas de seguridad en cada etapa del proceso de
desarrollo de software. Incluye herramientas y procesos que fomentan la colaboración
entre los desarrolladores, los especialistas en seguridad y los equipos de operaciones
para crear un software que sea eficiente y seguro.
COMPONENTES

Aplicación/Inventario API. Automatice el descubrimiento, el perfilado y la
monitorización continua del código en toda la cartera. ...

Seguridad de código personalizada. ...

Seguridad de código abierto. ...

Prevención del tiempo de ejecución. ...

Supervisión de la conformidad. ...

Factores culturales.
OWASP
es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen
que el software sea inseguro. La comunidad OWASP está formada por empresas,
organizaciones educativas y particulares de todo mundo. uuntos constituyen una
comunidad de seguridad informática que trabaja para crear artículos, metodologías,
documentación, herramientas y tecnologías que se liberan y pueden ser usadas
gratuitamente por cualquiera.
Top 10
1. Inyección
2. Autenticación rota
3. Exposición de datos confidenciales
4. Entidades XML externas (XXE)
5. Pérdida de control de acceso
6. Mala configuración de la seguridad
7. Scripting entre sitios
8. Deserialización no segura
9. Uso de componentes con vulnerabilidades conocidas
10. Registro y supervisión insuficientes
KPIS DE SEGURIDAD DE LA INFORMACIÓN





Nivel de riesgo critico
Tiempo de atención a las incidencias
Nivel de eficacia
Nivel de eficiencia
Nivel de riesgo alto




Número total de incidentes de seguridad
Interacciones de los empleados
Costo por incidente
Cumplimiento (AUDITORIA EXTERNA)
Download