Gestión de seguridad 1. Gestión de identidades procedimientos que busca que la creación, modificación y eliminación de usuarios en los sistemas de información se realicen de acuerdo con los procedimientos establecidos (por ejemplo, Validar que cada alta o modificación o baja de un trabajador comercial en los sistemas de telefónica lo realice el gestor socio y sea aprobado por el gestor canal mediante un numero de ticket lo valido ingresando al sistema SIAM mediante los reportes o Script. 2. Gestión de roles Establezco una revisión periódica de roles en los sistemas de información, que compruebe que las actividades asignadas por cada rol de los sistemas de información respondan a la actualidad y los usuarios que posean a su vez dicho rol, cuenten con las atribuciones necesarias para operar, sin generar conflictos de segregación de funciones. Por ejemplo, cada trabajador debe tener un rol funcional 10 -20 cuando se le da de alta en el sistema SIAM (sistema de identidades y accesos), mediante el rol funcional se le crea sus usuarios correspondientes en las aplicaciones comerciales que usa telefónica (aplicaciones identidad , jteler, más simple, Core) , para caso de nosotros nuestro rol funcional es de 0 a 20 y no tenemos acceso a las aplicaciones comerciales a no ser que sea el usuario admin, nosotros usamos aplicación remedy para crear incidencias o citrix para los requerimientos. 5. Controles de revisión Por último, implementar controles de revisión de seguridad en las bases de datos y sistemas operativos, garantizando que la administración asegura adecuadamente su plataforma de tecnología, de acuerdo con las guías sugeridas por las áreas de Seguridad de la Información o cumplimiento TI. Por ejemplo: Uso de script o query para revisión en las BD de Telefónica de las bajas hechas en el año ya que cuando se da de baja afecta a 3 tablas (usuario, persona, aprovisionamiento), quedando casos donde la baja no se da por completo, por lo tanto, el usuario puede hacer uso aun de las cuentas de las aplicaciones. 3. Configuración de contraseñas Otra actividad es una adecuada parametrización de contraseñas de acuerdo con las buenas prácticas y procedimientos internos de seguridad, buscando entre otras que los sistemas de información restrinjan adecuadamente el acceso a través de contraseñas incorrectas (por ejemplo al 3 intento de contraseña errónea se bloquea el acceso) , tener una bodega de contraseña segura. 4. Gestión de usuarios privilegiados Otra tarea es implementar controles que aseguren la correcta administración de cuentas privilegiadas, buscando que la gerencia garantice la correcta gestión sobre los usuarios de los sistemas de administración de los sistemas de información en telefónica. por ejemplo, controlar el personal con acceso a las claves de estas cuentas, cambiando periódicamente sus contraseñas y monitoreando su actividad. Gestión de Cambios Procedimiento de cambio documentando (empezando por el documento de alcance donde se especifica el requerimiento para el cambio, pudiendo ser a solicitud del usuario accesos o mejora que vemos en el equipo de ingeniería); (documentación firmada por el responsable o gerencia). Envió del documento de alcance al equipo de desarrollo para que realice el cambio, mediante va desarrollando el cambio, se hace pruebas de seguridad por la aplicación Sast que permite detectar defectos en las primeras etapas del desarrollo), además que al final del desarrollo se hace pruebas de funcionalidad en el ambiente QA para asegurarse que todo esta correcto y se cumple los requerimientos dados. Luego se realiza el documento de evidencia y se envía mediante correo al área encargada para que realice las pruebas correspondientes y pueda firmar el documento a modo de aprobación. Se crea los documentos necesarios para el Comité de cambios (alcance, Plan de actividades, evidencias, Numero de incidencia, documento de sistema), para luego crear el ticket de cambio en el sistema remedy, y después mediante una reunión con operaciones explicar el cambio para su aprobación del ticket remedy y proceder a tener reunión con el CAB. Una vez aprobado el cambio o los cambios por el CAB se confirma a operaciones y el área encargada mediante correo la fecha y hora programada para hacer el cambio en producción (al mismo tiempo se comparte los archivos de desarrollo en una carpeta compartida que usa operaciones e ingeniería con acceso restringido). Una vez operaciones ejecutado el cambio en producción (hora inicio 8pm) procedo a realizar las pruebas funcionales para asegurarse que todo está correcto, caso encuentre error se realiza una reunión con operaciones y desarrollo para que se solucione el problema encontrado. Si todo esta correcto al hacer mis validaciones funcionales, se envía correo al responsable de accesos para que pueda realizar las pruebas funcionales del cambio y pueda dar el visto bueno por correo (EVIDENCIA PRUEBA FUNCIONAL); además a ello operaciones envía correo indicando que el pase a producción fue exitoso y dando el visto bueno en las pruebas técnicas de los servicios de TI (EVIDENCIA PRUEBA TÉCNICA). Después se recibe el correo del responsable indicando que las pruebas funcionales están correctas y cumplen el requerimiento, para finalizar respondiendo al correo del Cab (enviado previamente) indicando que fue un existo el pase a producción enviado y que todo correcto con las validaciones técnicas y funcional. (Nessus (escaneo de vulnerabilidades de sistemas operativos), Owasp Zap (escaneo de vulnerabilidades de aplicaciones web). Los controles de ciberseguridad Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos, incluidos la mitigación de DDoS y sistemas de prevención de intrusiones. Otro ejemplo mediante comandos se evalúa si los perfiles están correctos, más aún el perfil admin. , además de promover acciones de formación en Seguridad de la Información y Ciberseguridad para los colaboradores. Lo que no se lo estudio; lo investigo ´, lo analizo; una vez aprendido lo automatizo; lo mejoro. Los controles de seguridad son parámetros implementados para proteger diversos formatos de datos e infraestructuras importantes para una organización. Los controles de seguridad física Incluyen medidas como establecer barreras en los perímetros del centro de datos, cerraduras, guardias, tarjetas de control de acceso, sistemas de control de acceso biométrico, cámaras de vigilancia y sensores de detección de intrusiones. Los controles de seguridad digital Incluyen elementos como nombres de usuario y contraseñas, autenticación de dos factores, software antivirus y firewalls. Los controles de ciberseguridad Incluyen cualquier elemento diseñado específicamente para evitar ataques a los datos, incluidos la mitigación de DDoS y sistemas de prevención de intrusiones. (Nessus (escaneo de vulnerabilidades de sistemas operativos), Owasp Zap (escaneo de vulnerabilidades de aplicaciones web). Los controles de seguridad en la nube Incluyen las medidas que se toman en colaboración con un proveedor de servicios en la nube para garantizar la protección necesaria para los datos y las cargas de trabajo. Si su organización ejecuta cargas de trabajo en la nube, debe cumplir con los requisitos de seguridad de sus políticas corporativas o comerciales además de las regulaciones de la industria. Sobre el papel, los controles de seguridad en ISO 27001 son 114. Estos controles se distribuyen dentro del Anexo en 14 secciones, así: 1. Políticas de seguridad de la información: A. 5. 2. Organización de la seguridad de la información: A.6. 3. Seguridad de los recursos humanos: A. 7. 4. Gestión de Activos: A.8. 5. Controles de acceso: A.9. 6. Criptografía – Cifrado y gestión de claves: A.10. 7. Seguridad física y ambiental: A.11. 8. Seguridad operacional: A.12. 9. Seguridad de las comunicaciones: A.13. 10. Adquisición, desarrollo y mantenimiento del sistema: A.14. 11. Gestión de incidentes de seguridad de la información A.16. 12. Cumplimiento: A.18. Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados (áreas de trabajo) y según las políticas y procedimientos de la organización). Evitar el riesgo, cuando es posible y financieramente viable eliminar la causa raíz del problema. Mitigar el riesgo, cuando es posible reducir la probabilidad de ocurrencia, el daño potencial o ambos. Transferir el riesgo, subcontratando un proceso o tomando una póliza de seguros. Aceptar el riesgo, cuando el coste de mitigarlo es muy alto y, por el contrario, es posible aprovechar alguna oportunidad aceptándolo. SOX es una ley federal americana del 2002 la cual busca establecer la confianza de los inversionistas después de varios escándalos corporativos y contables. Tiene como objetivo proteger a los inversionistas mediante la creación de controles internos sobre la información financiera, destinados a facilitar la precisión y confiabilidad de la información y las revelaciones financieras. DevSecOps > gestión de cambios. Azure Es una nube pública de pago por uso que te permite compilar, implementar y administrar rápidamente aplicaciones en una red global de datacenters (centros de datos) de Microsoft.Desarrollo de aplicaciones. Cree, administre y entregue aplicaciones en la nube de forma continuada con cualquier plataforma o lenguaje. Controles de seguridad incorporados La nube de Microsoft tiene controles de seguridad incorporados para que las empresas puedan protegerse a través de la identidad, la red, herramientas integradas, etc. Azure Active Directory es el sistema central para administrar el acceso a los servicios en la nube. Se trata del directorio más utilizado, por lo que es imprescindible. Del mismo modo, Microsoft también recomienda Azure Multi-Factor Authentication, así como un acceso basado en roles. Estamos en un mundo de constante evolución tecnológica donde las amenazas también cambian continuamente. Es importante aprovechar la inteligencia colectiva para estar al tanto de las amenazas. Ahí es donde entra Microsoft Intelligence Security Graph que proporciona la inteligencia que se necesita para estar protegido de las amenazas. Azure Security Center ayuda a detectar y mitigar las amenazas al combinar Microsoft Intelligence Security Graph con el aprendizaje automático. A través de las visualizaciones pueden comprender los problemas más críticos y ver toda la cadena de ataques completa. CRIPTOGRAFÍA Criptografía es un método de protección de la información y las comunicaciones mediante el uso de códigos, de modo que solo aquellos a quienes está destinada la información puedan leerla y procesarla. DevSecOps es la práctica de integrar las pruebas de seguridad en cada etapa del proceso de desarrollo de software. Incluye herramientas y procesos que fomentan la colaboración entre los desarrolladores, los especialistas en seguridad y los equipos de operaciones para crear un software que sea eficiente y seguro. COMPONENTES Aplicación/Inventario API. Automatice el descubrimiento, el perfilado y la monitorización continua del código en toda la cartera. ... Seguridad de código personalizada. ... Seguridad de código abierto. ... Prevención del tiempo de ejecución. ... Supervisión de la conformidad. ... Factores culturales. OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. uuntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera. Top 10 1. Inyección 2. Autenticación rota 3. Exposición de datos confidenciales 4. Entidades XML externas (XXE) 5. Pérdida de control de acceso 6. Mala configuración de la seguridad 7. Scripting entre sitios 8. Deserialización no segura 9. Uso de componentes con vulnerabilidades conocidas 10. Registro y supervisión insuficientes KPIS DE SEGURIDAD DE LA INFORMACIÓN Nivel de riesgo critico Tiempo de atención a las incidencias Nivel de eficacia Nivel de eficiencia Nivel de riesgo alto Número total de incidentes de seguridad Interacciones de los empleados Costo por incidente Cumplimiento (AUDITORIA EXTERNA)