Dominio 3: Ingenieria de Seguridad

Objetivos

• Entender el ciclo de vida de la ingeniería y aplicar principios de

diseño de seguridad.
• Entender las capacidades de seguridad de los sistemas de
información.
• Seleccionar controles y contramedidas basados en los estándares de
seguridad de sistemas de información.
El ciclo de vida de la ingeniería usando los principios de diseño de
seguridad

El modelo V es una representación gráfica del ciclo de

vida del desarrollo de sistemas.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

• Las 5 fases del ciclo de vida están definidas en los Principios y

prácticas para Seguridad de la información de Sistemas de Tecnología
(SP 800-14) y son:

• Inicio.
• Desarrollo/Adquisición.
• Implementación.
• Operación/Mantenimiento.
• Disposición.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

• Existen 33 principios de seguridad agrupados en 6 categorías:

1. Fundamentos de seguridad.
2. Basado en riesgo.
3. Facilidad de uso.
4. Incremento de Resistencia.
5. Reducir vulnerabilidades.
6. Diseño pensado en red.
 El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

1. Fundamentos de seguridad
• Principio 1: Establecer una política de seguridad de sonido como “fundación”
para el diseño.
• Principio 2: Tratar la seguridad como una parte integral del diseño total del
sistema.
• Principio 3: Delinear claramente los límites físicos y lógicos gobernados por
las políticas de seguridad asociadas.
• Principio 4: Asegurar que los desarrolladores sean entrenados en cómo
desarrollar software seguro.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

2. Basado en riesgo
• Principio 5: Reducir el riesgo a un nivel aceptable.
• Principio 6: Asumir que los sistemas externos son inseguros.
• Principio 7: Identificar posibles compensaciones entre reducir riesgos e
incrementar costos y disminuir otros aspectos de efectividad operacional.
• Principio 8: Implementar medidas de seguridad de sistemas adaptadas a las
metas de seguridad organizacionales.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad
2. Basado en riesgo
• Principio 9: Proteger información mientras está siendo procesada, en tránsito
y almacenada.
• Principio 10: Considerar productos regulados para lograr un adecuado nivel
de seguridad.
• Principio 11: Protección contra todas las posibles clases de “ataques”.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

3. Facilidad de uso
• Principio 12: Mientras sea posible, basar la seguridad en estándares abiertos
para portabilidad e interoperatividad.
• Principio 13: Usar lenguaje común para desarrollar los requisitos del sistema.
• Principio 14: Diseñar la seguridad para permitir la regular adopción de nuevas
tecnologías, incluyendo un proceso de actualización tecnológica lógico y
seguro.
• Principio 15: Esforzarse por lograr la facilidad de uso operacional.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

4. Incremento de resistencia
• Principio 16: Implementar seguridad en capas (asegurarse que no exista un
punto de vulnerabilidad).
• Principio 17: Diseñar y operar un sistema de Tecnología de Información (TI)
para limitar el daño y ser resistente en la respuesta.
• Principio 18: Dar garantía de que el sistema es, y continuará siendo, resistente
ante posibles amenazas.
• Principio 19: Limitar o contener vulnerabilidades.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

4. Incremento de resistencia
• Principio 20: Aislar sistemas de acceso público de recursos críticos (p.e.
datos, procesos, etc.)
• Principio 21: Usar mecanismos limítrofes para separar sistemas
computacionales e infraestructuras de red.
• Principio 22: Diseñar e implementar mecanismos de auditoria para
detectar usos no autorizados para soportar las investigaciones de
incidentes.
• Principio 23: Desarrollar y ejercitar procedimientos de contingencia o
recuperación de desastres para asegurar una apropiada disponibilidad.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad

5. Reducir vulnerabilidades
• Principio 24: Esforzarse por la simplicidad.
• Principio 25: Minimizar los elementos del sistema a ser empleados.
• Principio 26: Implementar el mínimo privilegio.
• Principio 27: No implementar mecanismos de seguridad innecesarios.
• Principio 28: Asegurar una seguridad apropiada en el cierre o encendido de
un sistema.
• Principio 29: Identificar y prevenir errores comunes y vulnerabilidades.
El ciclo de vida de la ingeniería usando los principios de diseño
de seguridad
6. Diseño pensado en red
• Principio 30: Implementar seguridad a través de una combinación de medidas
distribuidas física y lógicamente.
• Principio 31: Formular medidas de seguridad para direccionar múltiples
superposiciones de dominios de información.
• Principio 32: Autenticar usuarios y procesos para asegurar apropiadas
decisiones de control de acceso dentro de los dominios.
• Principio 33: Usar identidades únicas para asegurar responsabilidades.
Conceptos fundamentales de modelos de
seguridad
• Procesadores.
• Memoria y almacenamiento.
• Dispositivos periféricos y otros dispositivos de entrada y salida.
• Sistemas operativos.

¿Cómo trabajan juntos?

Conceptos fundamentales de modelos de
seguridad
• Arquitectura de seguridad empresarial

• Principales metas y objetivos.

• Beneficios esperados.
• Definición y mantenimiento empresarial.
• Arquitectura de seguridad.
• Servicios comunes de seguridad.
• Zonas de control de seguridad.
 Conceptos fundamentales de modelos de
seguridad
• Cuadros comunes de Arquitecturas
• Cuadro SABSA (Cuadro de seguridad de negocios aplicada de Sherwood)
Conceptos fundamentales de modelos de
seguridad
TOGAF (Cuadro de
arquitectura del Grupo
Abierto)
Conceptos fundamentales de modelos de
seguridad
• ITIL (Librería de infraestructura de TI)
Conceptos fundamentales de modelos de
seguridad
• Tipos de modelos de seguridad

• Modelo de estados de máquina.

• Modelos de enrejado multinivel.
• Modelos de no interferencia.
• Modelos basados en matriz.
• Modelos de flujos de información.
Conceptos fundamentales de modelos de seguridad

Ejemplos de modelos de seguridad

• Modelo de confidencialidad Bell-LaPadula.
• Modelo de integridad Biba.
• Modelo de integridad Clark-Wilson.
• Modelo Lipner.
• Modelo Brewer-Nash (La muralla china).
• Modelo Graham-Denning.
• Modelo Harrison-Ruzzo-Ullman.
 Conceptos fundamentales de modelos de seguridad

Capturando y analizando requerimientos

Conceptos fundamentales de modelos de seguridad

Creando y documentando arquitectura de seguridad.

Las diferentes capas de arquitectura de seguridad

usando el modelo SABSA.
Modelos de evaluación de seguridad de sistemas de
información

• Modelos de seguridad comunes formales.

• Criterios de evaluación.
• Certificación y acreditación.

• Modelos de evaluación de producto.

• Criterio de evaluación de sistemas basado en computadora (TCSEC)- D, C1, C2,
B1, B2, B3, A1
• Criterio de evaluación de Seguridad de TI (ITSEC).
• Common Criteria(EAL1 a EAL7)
Modelos de evaluación de seguridad de sistemas de
información
• Directrices de implementación de seguridad industrial e internacional
• Estándares de seguridad ISO/IEC 27001 y 27002.
Modelos de evaluación de seguridad de sistemas de
información
Control de objetos para información y tecnología relacionada (COBIT).
 Capacidades de seguridad de Sistemas de información

• Mecanismos de control de acceso.

• Administración segura de memoria.
• Estados del procesador.
• Capas.
• Proceso de aislamiento.
• Abstracción.
• Protecciones criptográficas.
• Firewall de Host y protección de intrusión(IPS)
• Controles de auditoría y monitoreo.
• Virtualización.
Vulnerabilidades de arquitecturas de
seguridad
Sistemas
• Emanaciones.
• Ataques de estado.
• Canales encubiertos.
• Canales de almacenamiento.
• Canales de horario.
Vulnerabilidades de arquitecturas de
seguridad
Tecnología e integración de procesos.
• Mainframes y otros sistemas delgados de clientes.
• Software intermedio (Middleware).
• Sistemas integrados.
• Computación generalizada y dispositivos móviles.
• Mejores prácticas generales para dispositivos móviles.
• Mejores prácticas específicas para IPAD/IPOD/IPHONE.
Vulnerabilidades de arquitecturas de
seguridad
Único punto de fallo (SPOF)
• Conectividad de datos.
• Conectividad de redes.
• Comunicación de clusters.
• Disponibilidad de aplicaciones.
• Disponibilidad de SO.
• Infraestructura.
Vulnerabilidades de arquitecturas de
seguridad
• Vulnerabilidades basadas en cliente
• Desktop, laptops y clientes lights.
• Dispositivos móviles.
 Vulnerabilidades
de arquitecturas de
seguridad
• Vulnerabilidades basadas en
servidor
• Control de flujo de datos.
Seguridad de base de datos

• Warehousing.
• Inferencia.
• Agregación.
• Mineria de datos.
Seguridad de base de datos

• Sistemas de datos paralelos de gran escala.

• Sistemas distribuidos.
• Grid computing.
• Cloud computing.
• Sistemas criptográficos.
• Conceptos de encriptación.
• Conceptos claves y definiciones.
Vulnerabilidades y amenazas del software y
sistemas

• Basado en web
• XML
• SAML
• Neutralidad de la plataforma.
• Enganche suelto de directorios.
• Experiencia mejorada para usuarios finales.
• Costos administrativos reducidos para proveedores de servicios.
• OWASP
• Top 10 proyectos OWASP.
• Guía de proyecto OWASP.
• Software de aseguramiento de maduración de modelo (SAMM).
• Proyecto móvil OWASP.
Vulnerabilidades en sistemas móviles

• Riesgos de la computación remota.

• Clientes confiables.
• Arquitecturas de redes.
• Riesgo de los trabajadores móviles.
• Implementación de políticas.
• Robo o pérdida de dispositivos.
• Riesgos de los trabajadores móviles.
• Proliferación de plataformas.
• PC basada en el hogar y soluciones de sincronización para multi-dispositivos.
Vulnerabilidades en sistemas móviles

• Potenciales fuentes de ataques a dispositivos móviles:

• SMS.
• Wi-Fi.
• Bluetooth.
• Infrared.
• USB.
• Web browser.
• Cliente de correo electrónico.
Vulnerabilidades en sistemas móviles

• Ejemplos de objetivos para los atacantes:

• SMS.
• Correo electrónico.
• Teléfono.
• Video/foto.
• Redes sociales.
• Localización de información.
• Grabación de voz.
• Documentos.
• Credenciales.
Vulnerabilidades en sistemas incrustrados y sistemas ciber-físicos

N° Amenaza
1 Uso no autorizado de puntos de acceso de mantenimiento remotos.

2 Ataques online vía redes de oficinas o empresariales.

3 Ataques a componentes estándar usados en la red ICS.

4 Ataques a Sistemas operativos.

5 Errores humanos y sabotajes.

6 Introducción de malware vía medios extraíbles y hardware externo.

7 Leyendo y escribiendo noticias en la red ICS.

8 Accesos no autorizados a recursos.

9 Ataques a componentes de redes.

10 Disfunciones técnicas o fuerzas mayores.

La aplicación y el uso de la criptografía

• La historia de la criptografía
• La era temprana (manual).
• La era mecánica.
• La era moderna.
• Tecnología emergente
• Criptografía cuántica.
La aplicación y el uso de la criptografía

• Principios básicos de la seguridad de la información.

• Disponibilidad.
• Confidencialidad.
• Integridad.
• Características adicionales de los sistemas criptográficos.
• No repudio.
• Autenticación.
• Control de acceso.
• Data en reposo.
La aplicación y el uso de la criptografía

• Data en tránsito.
• Encriptación de enlaces.
• El ciclo de vida criptográfico
• Algoritmo/protocolo de gobierno.
• Consideraciones relacionadas a la criptografía.
• Controles internacionales de exportación.
• Aplicación de leyes.
La aplicación y el uso de la criptografía

• Infraestructura de llave pública (PKI)

• Procesos de administración de claves.
• Avances en administración de claves.
• Estándares para instituciones financieras.
• Segregación de obligaciones.
• Control dual.
• Conocimientos de la división.
La aplicación y el uso de la criptografía

• Creación y distribución de claves

• Creación de claves.
• Generación de claves automáticas.
• Verdaderamente aleatorio.
• Aleatorio.
• Longitud de clave.
• Longitud de clave asimétrica.
• Envase de claves y claves de encriptación de claves.
• Distribución de claves.
• Destrucción y almacenamiento de claves.
La aplicación y el uso de la criptografía

• Creación y distribución de claves

• Costo de reemplazo y revocación del certificado.
• Recuperación de claves.
• Depósito de claves.

• Firmas digitales.
• Estándar de firmas digitales (DSS).
• Usos de firmas digitales.
La aplicación y el uso de la criptografía

• Administración de derechos digitales. (DRM)

• DRM siempre encendido.
• Clave USB.
• Marca de agua digital.
• Huellas dactilares.

• No repudio.

• Hashing.
La aplicación y el uso de la criptografía

• Funciones simples de búsqueda

• Algoritmo de digestión de mensaje MD5.
• Algoritmo seguro de búsqueda (SHA) y SHA-1.
• SHA-3
• HAVAL
• RIPEMD-160
• Ataques en algoritmos de búsqueda y mensajes de autenticación de códigos.
• La paradoja del cumpleaños.
La aplicación y el uso de la criptografía

• Métodos de ataques criptoanalíticos

• Ataque de solo texto cifrado.
• Texto plano conocido.
• Texto plano preferido.
• Texto cifrado preferido.
• Criptoanálisis diferencial.
• Criptoanálisis lineal.
• Ataques de implementación.
• Ataque de repetición.
• Algebraico.
La aplicación y el uso de la criptografía

• Métodos de ataques criptoanalíticos

• Tabla arcoiris.
• Análisis de frecuencia.
• Ataque de cumpleaños.
• Ataques de factorización.
• Ingeniería social para descubrimientos de clave.
• Ataque de diccionario.
• Fuerza bruta.
• Ingeniería reversa.
• Ataque de generadores aleatorios de números.
• Archivos temporales.
Sitios y consideraciones de diseño

• Encuesta de Seguridad.
• Identificación de objetivo.
• Características.
• Facilitar el control de seguridad durante y después de las horas de operación.
• Políticas y procedimientos de personal y seguridad de contratos.
• Proyección de personal.
• Control de acceso de Websites y edificaciones.
• Video vigilancia, evaluación y archivo.
• Oportunidades de vigilancia natural.
Sitios y consideraciones de diseño

• Características.
• Protocolos para responder a incidentes de seguridad internos y externos.
• Grado de integración de seguridad y otros sistemas de edificios.
• Enviando y recibiendo seguridad.
• Apropiada identificación y seguimiento.
• Apropiada seguridad de información.
• Seguridad de redes de computadoras.
• Prevención de violencia en el centro de trabajo.
• Operaciones de detección de correo elctrónico, procedimientos y recomendaciones.
• Seguridad de sitios y estacionamiento.
Sitios y consideraciones de diseño
• Características.
• Seguridad de centro de datos.
• Seguridad de comunicaciones.
• Protección ejecutiva.
• Planeamiento y procedimientos de evacuación de continuidad de negocios.
• Evaluación de vulnerabilidad.
• Muy alta.
• Alta.
• Medio alta.
• Media.
• Medio baja.
• Baja.
• Muy baja.
Planeamiento del sitio

• Diseño de calzada.
• Prevención del crimen a través del diseño del entorno (CPTED).
• Ventanas.
• Tipos de vidrios:
• Vidrio templado.
• Vidrio alambrado.
• Vidrio laminado.
• Vidrio antibalas.
• Sensores de rotura de vidrios.
• Garajes.
Planeamiento del sitio

• Amenazas de la ubicación
• Amenazas naturales.
• Tipos de amenazas naturales.
• Amenazas humanas.
• Incendios: Clases A, B, C, D
• Preocupaciones de Servicios.
• Eléctricos.
• Comunicaciones.
• Utilidades.
Diseño e implementación de seguridad

• Guías FEMA (Agencia de administración de emergencias federales).

• FEMA 426.
• FEMA 427.
• FEMA 428.
• FEMA 429.
• FEMA 430.
• FEMA 452.
• FEMA 453.
• FEMA 455.
• FEMA 459.
Implementación y operación de seguridad

• Comunicaciones y cuarto de servidores.

• Asegurando el área.
• ¿Qué es un administración de cable de planta?
• Facilidades de entrada.
• Cuarto de equipos.
• Sistema base de distribución.
• Cuarto de telecomunicaciones.
• Sistema de distribución horizontal.
• Protección de la luz.
• Cuartos de servidores.
• Seguridad de rack.
Implementación y operación de seguridad

• Seguridad de área de trabajo y restringida.

• Áreas de trabajo restringidas.
• Seguridad de centro de datos.

Portal seguro que permite solo una persona a la

vez y se abre únicamente desde adentro cuando
se cierra la puerta.
Lector de tarjetas con características de
seguridad adicionales biométricas y de PIN.
Implementación y operación de seguridad

• Utilidades y consideraciones HVAC.

• Energía y utilidades.
• Unidades de energía no interrumpida (UPS).
• Generador.
• HVAC.
• Contaminación de aire.
• Cuestiones de agua.
• Prevención, detección y supresión de fuego.
• Detección de fuego.
• Supresión de fuego.
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión
Preguntas de revisión