1. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Arquitectura y diseño de
seguridad
2. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Agenda
RIESGOS. TIPOS DE ATAQUES. SEGURIDAD EN CAPAS. ASPECTOS DE
IMPLEMENTACIÓN DE
POLÍTICAS DE SEGURIDAD.
3. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
¿A qué se denomina arquitectura de
seguridad?
• La arquitectura refiere a un diseño de seguridad unificado, que
busca abordar las necesidades, riesgos y vulnerabilidades de un
determinado sistema.
• La misma, también específica y establece dónde y cuándo aplicar
controles de seguridad, siempre teniendo en cuenta el presente y el
futuro de la organización a la cual busca proteger.
4. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Riesgos
En Internet hay determinados individuos que suponen una
amenaza para la seguridad de las comunicaciones por
Internet. En la siguiente lista se describen algunos de los
riesgos de seguridad más típicos con los que se puede
encontrar:
Ataques pasivos.
Ataques activos
5. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
La mejor acción
para evitar un
riesgo es conocer
el riesgo
6. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
El riesgo es
polisémico
Un análisis de riesgos es una tarea
fundamental en la gestión de
empresas y proyectos.
El análisis de riesgos consiste en la
práctica de identificar y analizar
los diferentes tipos de riesgos de
un proyecto.
Es particularmente clave en
aquellos procesos que tienen un
impacto directo sobre el producto
o servicio de la empresa.
7. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
El riesgo es polisémico
8. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Cuando se trata de riesgo, la comunicación es importante
9. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Tipos de
Amenaza/
Ataques
Ataques Pasivos:
En un ataque pasivo, el autor supervisa el
tráfico de la red para intentar conocer algunos
secretos. Estos ataques se pueden basar en la
red (rastreando los enlaces de
comunicaciones) o en el sistema (sustituyendo
un componente del sistema por un programa
caballo de Troya que captura los datos
clandestinamente). Los ataques pasivos son
los más difíciles de detectar. Por ello, deberá
presuponer que alguien está a la escucha de
todo lo que envía por Internet.
10. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Ataques
activos
En un ataque activo, el autor intenta abrirse paso a través de sus
defensas para entrar en los sistemas de la red. Hay varios tipos de
ataques activos:
En los intentos de acceso al sistema, el atacante intenta aprovechar las
brechas de seguridad para acceder a un cliente o un sistema y
controlarlo.
En los ataques de usurpación , el atacante intenta abrirse paso a través
de sus defensas haciéndose pasar por un sistema de confianza o bien un
usuario intenta persuadirle de que le envíe información secreta.
En los ataques de denegación de servicio, el atacante intenta interferir
en las operaciones o detenerlas, redirigiendo el tráfico o bombardeando
el sistema con correo basura.
En los ataques criptográficos, el atacante intenta adivinar o robar las
contraseñas o bien utiliza herramientas especializadas para intentar
descifrar los datos cifrados.
11. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Concepto Fundamental de un Modelo de Seguridad
ARQUITECTURA Y DISEÑO DE SEGURIDAD
12. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Seguridad por capas
Según varios expertos en seguridad, una de las mejores formas de
combatir y prevenir un ciberataque es a través de diversas capas de
seguridad:
cada capa de seguridad se especializa en una tarea específica.
Construyendo así un muro de muy difícil penetración.
13. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Múltiples capas de defensa
Como los riesgos potenciales de Internet se pueden producir en
varios niveles, deberá configurar medidas de seguridad que ofrezcan
múltiples capas de defensa contra los riesgos.
En general, cuando se conecte a Internet, no debe preguntarse si hay
alguna posibilidad de que se produzcan intrusiones o ataques de
denegación de servicio.
Por el contrario, debe dar por sentado que sí se producirán
problemas de seguridad.
14. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Seguridad a nivel de sistema
Las medidas de seguridad del sistema representan la última línea
de defensa contra un problema de seguridad relacionado con
Internet.
Por lo tanto, el primer paso de una estrategia de seguridad en
Internet completa debe ser configurar debidamente la seguridad
básica del sistema.
15. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Seguridad a
nivel de red
LAS MEDIDAS DE SEGURIDAD DE LA RED CONTROLAN EL ACCESO AL SISTEMA
OPERATIVO IO/OS Y A OTROS SISTEMAS DE LA RED.
CUANDO CONECTA LA RED A INTERNET, DEBE ASEGURARSE DE QUE TIENE
IMPLANTADAS LAS DEBIDAS MEDIDAS DE SEGURIDAD ADECUADAS A NIVEL DE LA RED
PARA PROTEGER LOS RECURSOS INTERNOS DE LA RED CONTRA LA INTRUSIÓN Y EL
ACCESO NO AUTORIZADO.
EL MEDIO MÁS COMÚN PARA GARANTIZAR LA SEGURIDAD DE LA RED ES UN
CORTAFUEGOS. EL PROVEEDOR DE SERVICIOS DE INTERNET (ISP) PUEDE PROPORCIONAR
UNA PARTE IMPORTANTE DEL PLAN DE SEGURIDAD DE LA RED. EL ESQUEMA DE
SEGURIDAD DE LA RED DEBE INDICAR QUÉ MEDIDAS DE SEGURIDAD PROPORCIONA EL
ISP, COMO LAS REGLAS DE FILTRADO DE LA CONEXIÓN DEL DIRECCIONADOR DEL ISP Y
LAS MEDIDAS DE PRECAUCIÓN DEL SISTEMA DE NOMBRES DE DOMINIO (DNS) PÚBLICO.
16. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Seguridad a nivel de aplicaciones
LAS MEDIDAS DE
SEGURIDAD DE LA RED
CONTROLAN EL ACCESO
AL SISTEMA OPERATIVO
I5/OS Y A OTROS
SISTEMAS DE LA RED.
EN GENERAL, TENDRÁ
QUE CONFIGURAR
VALORES DE SEGURIDAD
PARA CADA UNA DE LAS
APLICACIONES QUE
UTILICE. SIN EMBARGO,
CONVIENE QUE PRESTE
UNA ATENCIÓN ESPECIAL
AL CONFIGURAR LA
SEGURIDAD DE LAS
APLICACIONES Y LOS
SERVICIOS QUE UTILIZARÁ
DE INTERNET O QUE
PROPORCIONARÁ A
INTERNET.
ESTAS APLICACIONES Y
SERVICIOS SON
VULNERABLES AL MAL
USO POR PARTE DE LOS
USUARIOS NO
AUTORIZADOS QUE
BUSCAN UNA MANERA DE
ACCEDER A LOS SISTEMAS
DE LA RED. LAS MEDIDAS
DE SEGURIDAD QUE
DECIDA UTILIZAR
DEBERÁN INCLUIR LOS
RIESGOS DEL LADO DEL
SERVIDOR Y DEL LADO
DEL CLIENTE.
17. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Seguridad a nivel de transmisión
Las medidas de seguridad a nivel de transmisión protegen las comunicaciones de datos dentro de la
red y entre varias redes. Cuando se comunica en una red que no es de confianza como Internet, no
puede controlar cómo fluye el tráfico desde el origen hasta el destino.
El tráfico y los datos transportados fluyen a través de distintos sistemas que están fuera de su
control. A menos que implante medidas de seguridad como las de configurar las aplicaciones para
que utilicen la capa de sockets segura (SSL), los datos direccionados estarán a disposición de
cualquier persona que desee verlos y utilizarlos.
Las medidas de seguridad a nivel de transmisión protegen los datos mientras fluyen entre los límites
de otros niveles de seguridad.
18. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Tip
Cuando elabore una política de
seguridad global de Internet, deberá
desarrollar individualmente una
estrategia de seguridad para cada capa.
Asimismo, deberá describir cómo
interaccionarán entre sí los distintos
conjuntos de estrategias para ofrecer
así a su empresa una red de seguridad
exhaustiva.
19. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Hablando de seguridad informática, ninguna solución de seguridad por si sola puede garantizar
una total protección, por tanto la combinación de herramientas, o capas de seguridad, es el
medio más eficaz para proteger los activos de TI.
20. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Defensa en profundidad
21. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Ejemplos
Escaneo de
malware en
capas
22. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Capa con
cortafuegos y
IDPS
•Los cortafuegos pueden ser extremadamente
efectivos, pero no se puede confiar en ellos como
el único medio de asegurar un perímetro de red.
•De hecho, el Instituto SANS ha determinado que
este es uno de los siete errores más comunes
cometidos por la gerencia que ponen en riesgo la
seguridad de la red.
•Proteger la frontera, aunque es una alta
prioridad, no es suficiente. La seguridad debe
evolucionar de proteger el borde de la red del
acceso no autorizado y el malware en un enfoque
de seguridad en capas.
23. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Capas de Red
de terceros
•Dado que los diseñadores de seguridad están
tan preocupados por prevenir las infracciones y
los brotes de virus en sus redes internas, la
industria de la seguridad ha respondido
ofreciendo soluciones que evitan que el malware
potencial ingrese al entorno del usuario final.
Para complementar la implementación del
software de seguridad de punto final y el escaneo
de paquetes profundos a nivel de cortafuegos,
muchos diseñadores también utilizan redes de
terceros para detectar amenazas antes de que el
tráfico entre en la red del usuario final.
24. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
CISSP (Common Body of Knowledge - CBK)
establece 8 dominios de competencias:
• Seguridad y gestión de riesgos
• Seguridad de activos
• Arquitectura de seguridad e ingeniería
• Comunicación y seguridad de red
• Gestión de identidad y acceso (IAM)
• Evaluación de seguridad y pruebas
• Operaciones de seguridad
• Seguridad de desarrollo de software
25. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
El examen CISSP usa Pruebas Adaptativas Computerizadas (CAT) para
todos los exámenes en inglés. Los exámenes CISSP en todos los otros
idiomas se administran como exámenes lineales con formularios. Puede
obtener más información sobre CISSP CAT en
www.isc2.org/certificatons/CISSP-CAT
.
26. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Arquitectura de seguridad e
ingeniería
• Implementar y gestionar procesos de ingeniería utilizando principios de
diseño seguro
• Comprender los conceptos fundamentales de los modelos de seguridad
• Seleccionar controles basados en los requisitos de seguridad de los
sistemas
• Comprender las capacidades de seguridad de los sistemas de
información (por ejemplo, protección de memoria, módulo de plataforma
de confianza (TPM), cifrado / descifrado)
• Evaluar y mitigar las vulnerabilidades de arquitecturas de seguridad,
diseños y soluciones
27. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Arquitectura de seguridad e
ingeniería
• Evaluar y mitigar las vulnerabilidades en sistemas basados en web
• Evaluar y mitigar las vulnerabilidades en sistemas móviles
• Evaluar y mitigar vulnerabilidades en dispositivos integrados
• Aplicar criptografía
• Aplicar principios de seguridad al diseño de recintos y las
instalaciones
• Implementar controles de seguridad en recintos e instalaciones
28. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
• Debemos recordar que la arquitectura de ciberseguridad está diseñada para
identificar amenazas potenciales, usando planes hechos a medida e
interrelacionando elementos que protejan al sistema y a las redes.
• Tener un buen diseño, una buena arquitectura de seguridad para tu
organización, es totalmente esencial. Una estructura firme, que pueda unir
distintos elementos, factores y herramientas para asegurar la integridad del
funcionamiento de la empresa.
29. Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
Revisar el documento disponible en el
siguiente enlace:
https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSPSpanish.ashx