CONTINUIDAD DE NEGOCIO

Continuidad De Negocio
• Permite planificar la continuidad del negocio frente a desastres
• A la medida de cada organización
• Es una decisión estratégica de la Organización
• Es muy complicado implementarla
• No existe alternativa
• Diseñarla para el peor escenario, pero posibilitada para usarse en casos menos críticos
• Centro alterno de procesamiento remoto, punto clave
• Probar su idoneidad es indispensable
• No todas las interrupciones son desastres
• El mantenimiento es el talón de Aquiles del plan de continuidad de negocio
• Usar herramientas de SW para mantener actualizados los Planes
• Elaborar el proceso de vuelta atrás
• Copia, prueba de restauración y almacenamiento remoto
• Definir personas clave para toma de decisiones
• Cronograma de actividades y prioridades
• Procedimiento para declarar desastres

Objetivos de la Recuperación
RTO – Tiempo de Recuperación
Significa en cuanto tiempo necesita el negocio para que el sistema vuelva a funcionar
Cuanto más rápido quiero q se recupere, más difícil es implementar este plan y es mas caro
RPO – Punto de Recuperación
Cuan actualizada debe estar la data, en el momento q se cae el sistema se debe determinar
cada cuanto tiempo se debe salvar la data (sacar back ups)
Si el RTO y el RPO son cero, más caro es la solución

Tipos de Instalaciones de Respaldo (centros d computo alterno)

• Hot Site (A (ambiente), E (equipos), C (centro de comunicaciones) y D (datos)), es tener
copias en línea, es decir tener copiados en 2 centros (en un site principal y en un site
remoto).
• Warm Site (A (ambiente), E (equipos) C (centro de comunicaciones)), son back ups e
caso d desastres
• Cold Site (A). Ejemplo: PIME
• Sitios Móviles (trailers), conteiner con centro de computo
• Acuerdos de uso CC de otras organizaciones

Medidas adicionales
• HA, alta disponibilidad
• Servicios redundantes

Planes q componen la continuidad de negocio

PCN, lo hace la gente de negocio, a través de back ups diarios, pueden continuar de alguna
manera con los negocios
PRD, lo hace la gente de TI

Etapas de la Contingencia
• Etapa de Alerta, es cuando se avisa a todo el personal involucrado a participar en el
plan de contingencia
• Etapa de Transición, es tiempo en se realiza la recuperación el sistema
• Etapa de Recuperación, se recupera el sistema
• Etapa de Vuelta a la Normalidad

Persona Triger, persona q dispara el proceso, q avisa a los demás q se inicia el plan de
contingencia. Este utiliza cualquier tipo de comunicación para avisar al personal de
contingencia.
Checklist de Recuperación
• Procesos considerados (críticos) y su descripción
• Inter relación de los procesos (ingresos y salidas)
• Análisis del impacto en el negocio, de los procesos y perdidas generadas
• Activos involucrados y recursos que pueden apoyar la contingencia
• Consignación de datos de contacto de los responsables de las actividades de
recuperación de los procesos
• Downtime
• Periodos críticos
• Secuencialidad
• Cronograma detallado de actividades de contingencia
• Formatos de informes de pruebas de contingencia considerando las mejoras al Plan

GESTION DE INCIDENTES
Objetivos de Control
• Reporte de Incidencias y puntos débiles
• Reporte de incidencias de seguridad de información
Algo ya afecta a la seguridad de la información
• Reporte de puntos débiles sobre seguridad
Algo q todavía no afecta a la información
• Gestión de Incidencias y mejoras
• Responsabilidad y procedimiento
Cuando se detecta un incidente, se busca la causa
• Aprendizaje sobre las incidencias
Para cada incidencia, se puede usar una solución planteada de una incidencia
anterior
• Recolección de evidencias
Para más adelante, poder ver los detalles de los incidentes

EVENTO DE SEGURIDAD DE INFORMACION

Es una ocurrencia identificada que indica:
• Una posible violación a la política de seguridad de la información
• La falta de medidas de protección o
• Una situación previamente desconocida que puede ser relevante para la seguridad
INCIDENTE DE SEGURIDAD DE INFORMACION
Uno o una serie de eventos de seguridad no deseados o inesperados que tienen una
probabilidad significativa de comprometer las operaciones de la organización y amenazar la
seguridad de la información

Respuesta a incidentes
• Establecer un equipo de personas multidisciplinarias, xq cada vez q se dé un problema,
varias pueden resolver el problema
• Establecer un flujo de reportes, debe existir manera en q se consolide estos incidentes,
xq se puede reportar el mismo incidente por diferentes lugares
• Misión: Proporcionar soporte, realizar seguimiento, y organizar la coordinación entre
áreas de la organización para la resolución de incidentes de seguridad
La Entrada es el Reporte de incidencias, establecer canales establecidos para comunicar
cualquier incidente o evento
El Desarrollo es el Plan de acción, es para:
 parar el efecto negativo que produce el incidente,
 Y luego una acción para evitar q esto vuelva a suceder
La Salida son los Formatos y registros, que se debe registrar el registro reportado, de cómo se
trató ese incidente.

Algunas incidencias
Phishing
• Enviar una comunicación suplantando la identidad de una organización a fin de obtener
información confidencial del destinatario
• Se usa un mail que contiene un link que direcciona al destinatario del mensaje, a una
página web que se ve igual al site de la organización suplantada, solicitando la
actualización de claves de acceso, tarjetas de crédito, cuentas de banco, documento de
identificación, etc.
• El Pharming, es una nueva variante. Se recibe un mail aparentemente vacío que, al
abrirlo, activa un programa que modifica el acceso al DNS para redirigir los accesos del
usuario
Scam
• Un mensaje electrónico que indica para el destinatario, la recepción de un beneficio
económico obtenido de un tercero
• En algunos casos el remitente de la comunicación, simula ser un socio y la obtención
del dinero es parte un complot fraudulento
• Cartas Nigerianas: Pedido u oferta de alguien de un país extranjero, referido a una
gran suma de dinero, que por una u otra razón no pueden salir legalmente del país, a
no ser que se transfieran a una cuenta extranjera, solicitando usar nuestra cuenta
bancaria para traspasar fondos. A cambio de la ayuda, ofrece un porcentaje del total

Llamada inocente
• Un e-mail que le confirma una compra en Internet, cargada en su cuenta corriente,
que recibirían en un breve plazo de tiempo. Indica además, un teléfono que si tenía
alguna duda llame al teléfono que aparecía al final del mensaje
• El número en cuestión permitía una llamada internacional, donde respondía una
grabación que solicitaba unos momentos de espera a la víctima de la estafa
• No había ninguna empresa al otro lado de la línea, ni compra efectuada en Internet, ni
mercancía alguna que recibir
• Objetivo: asustar al inocente para que llamara al teléfono del timador, que cobraría
por cada segundo que las víctimas pasaran con el auricular pegado a la oreja
Medidas para evitar incidentes
• Mantener actualizaciones
• Seguridad física
• Mantener personal especializado en seguridad de información
• Gestión de Incidentes
• Usar y configurar correctamente los elementos de seguridad perimétrica
• Revisiones periódicas
• Mantenerse informado sobre ataques
• Capacitación continua a los usuarios

Control de acceso de la norma NTP-ISO/IEC 17799 versión 2017

Pasos del Control de Acceso

 Identificación (nombre)
 Autenticación (algo que sabes, algo que tienes, algo que eres)
(contraseña)
 Autenticación robusta (como, por ejemplo: transacciones financieras
que posee 2 o más contraseñas)
 Autorización (el acceso a lo que está asignado)

La normativa de Control de Acceso debe contemplar:

 Requerimientos de seguridad e identificación de información sensible para cada
aplicación.
 Procedimiento formal de creación, cambio y eliminación de cuentas
 Procedimiento para cuentas de súper usuarios y cuentas con privilegios
 Codificación de ID, únicos y genéricos
 Estructura y configuración de contraseñas
 El acceso de socios y proveedores
 El acceso remoto
 Auditorias periódicas antes/después de una implementación

Temas a tomar en cuenta:

 Cláusulas contractuales, que sancionen los intentos de acceso no autorizado.
 Que los usuarios reciban el detalle de sus derechos de acceso
 Todo usuario debe ingresar con su propia “cuenta” y no debe compartirla, pues es
responsable por todas las acciones que se realicen con su cuenta
 Proceso de restricción de acceso para usuarios que cambiaron sus tareas o se
desvinculan de la empresa
 Roles predeterminados
 Entrega de claves a los usuarios. Al recibir una cuenta nueva deberá cambiar la
clave de acceso en su primera sesión
 Desbloqueo y reseteo de claves de usuario
 Enseñarle al usuario como cambiar de clave y como bloquear su estación
 La longitud mínima de la clave de acceso debe ser de “x” caracteres.
 Cambio de clave como mínimo cada “x” días. Si existe sospecha de que ha sido
expuesta, el cambio debe hacerse inmediatamente
Principales métodos de robo de claves:

 Shoulder surfing: acercarse a alguien y superficialmente ver que es lo que

escriben.
 Keystroke logger: es un software que en segundo plano guardan todo lo
que escribe en él teclado, y las nuevas versiones toman pantallazos
cuando uno va haciendo click. Una forma de averiguar detectar si hay un
Keystroke logger, es presionar 10 teclas con sus 10 dedos, la maquina se
colgará, eso quiere decir q hay un Keystroke logger.
 Sniffing y crack de claves: es colocar un paquete sniffer debajo del inicio
de sesión de Windows, y este extrae las contraseñas de inicio de sesión de
Windows.
 Snooping: buscar una serie de archivos en un pc, y encontrar documentos
q contengan contraseñas.
 Ingeniería social: se basa en interactuar con una persona para obtener
contraseñas.
 Anotaciones en el puesto de trabajo: si se encuentran anotaciones en el
puesto de trabajo q contengan contraseñas.

Crackeador de claves:
 Software Específico para lo que se quiere crackear
 Adivina
 Métodos:
1. Pruebas triviales: usar contraseñas obvias (simples y tontos) como: el
mismo nombre de usuario, 12345, etc.
2. Diccionario: cuando la clave no es una palabra trivial, se empieza a usar
una serie de palabras (posibles contraseñas) del diccionario de las lenguas
q se desee usar. Lo hacen en minutos.
3. Fuerza bruta: cuando falla el diccionario, se meter cadenas de texto hasta
que calce si o si con la contraseña. Se demora mucho xq combina todos los
caracteres: letras en mayúsculas y en minúsculas, números y caracteres
especiales.

¿Cómo tener una buena contraseña?

(Fácil de recordar y difícil de adivinar)

Une 2 ó más palabras y colócales 1 dígito o carácter especial antes, en medio o

después. Al menos una letra de las palabras debe estar en mayúsculas.

Control de acceso Biométrico

 Reconocimiento de las cualidades únicas de una persona.

 Hay varios métodos con pros y contras. (facilidad de uso, fiabilidad,
estabilidad, prevención de ataques, aceptación, costo y dificultad de
implantación)
1. Lectura de huellas digitales (fingerprints)
2. Lectura de geometría de mano (forma-tamaño)
3. Voz
4. Cara (térmico, frente a labios)
5. Iris o retina del ojo
 6. Otros: DNA, Reflejo de ondas por parte del cráneo

One time password (OTP)

 Se basa en usar una clave para cada vez que se haga loggin y no volver a
repetirla.
 Requiere un equipo de sincronización y autenticación.
 Token de HW o SW
 Usa un PIN adicional para autenticación robusta
 En algunos textos se asocia OTP con listas de claves

Certificados Digitales
 Requieren de una infraestructura PKI
 Pueden guardarse en cualquier dispositivo de almacenamiento
 Sirve para firmar, cifrar, autenticar y el no repudio
 Términos relacionados: CA, RA, hash, llave pública y privada, smart card,
estandar X.509, vigencia del certificado

Single Sing On (SSO)

 Usar una sola clave para la autenticación en todos los sistemas a los que tiene
acceso un usuario.
 Es tan seguro como lo sea la clave que se utilice.
 El compromiso de una clave compromete todos los accesos del usuario.
 Requiere de HW y SW adicional.
 Simplifica la labor para los usuarios

Dominio de GESTION DE OPERACIONES Y COMUNICACIONES de la norma NTP-ISO/IEC 17799

versión 2017

Objetivos de Control
• Procedimientos y responsabilidades de operación
• Gestión de servicios externos
• Planificación y aceptación del sistema
• Protección contra SW malicioso
• Gestión de respaldo y recuperación
• Gestión de seguridad de redes
• Utilización de los medios de información
• Intercambio de información
• Servicios de comercio electrónico
• Monitoreo

Seguridad para Gestión de Datos

• Cifrar solo los campos sensibles
• Calcular los campos sensibles y no almacenarlos.
• Usar sanitization: reordenar la data confidencial a fin de removerla de elementos que
en su mayoría tienen data sin relevancia. Hacer referencia
• Usar algún tipo de RAID para discos.
• Granularización de los accesos a los datos
• Control del uso de los medios de respaldo
Data Loss Prevention
• Sistemas para detectar y prevenir el uso y la transmisión de información confidencial
no autorizados
• De manera centralizada, identifican, supervisan y protegen los datos en uso, los datos
en movimiento y los datos en reposo a través de inspección de contenido profundo, el
análisis contextual de seguridad de la transacción (atributos del emisor, datos del
objeto, medio, tiempo, beneficiarios / destino, etc)

Seguridad para Estaciones de Trabajo

• Horario de conexión
• Respaldo periódico automático o manual
• Controlar y restringir los cambios de HW y SW
• Procedimiento de autorización para los medios de respaldo masivo
• Activar la auditoria del SO
• Guardar con contraseña o cifrar los archivos que contengan información confidencial.
• Usar cifrado para el envío de mensajes de correo electrónico con información sensible
• Definir área de datos de usuario para facilitar el respaldo
• Compartir directorios específicamente
• Eliminación de los datos de discos duros al realizar permutas o desecharlos
• Desconectar las sesiones abiertas por límite de tiempo sin uso
• Bloquear su PC o activar el protector de pantalla, si la deja desatendida
• Antivirus y habilitación de FW de Windows

Hardenning para equipos expuestos

• Instalar solo los servicios necesarios
• Actualizar todos los service pack, fixes, parches de seguridad y otros
• Hacer tunning para mejorar el rendimiento
• Realice todas las acciones descritas en los manuales de hardenning del sistema
operativo que va a usar

End Point Security

• Cada dispositivo final es responsable de protegerse así mismo
• Un elemento puede ser un smatphone, una laptop o un servidor
• Es especifico para el dispositivo

Backup y Restore
• Procedimiento de back establecido
• Debe ser congruente con el Plan de Contingencia
• El backup es preferible hacerlo de manera local. Si es remoto, usar puertos específicos
y de ser posible con algún tipo de cifrado
• Se debe probar la recuperación y debe estar dentro del tiempo máximo requerido

Revisión de Vulnerabilidades
• Scanning de puertos y búsqueda de vulnerabilidades.
• Hacking ético
• Por especialistas, de confianza.
• Interno - externo
• Configuración de los elementos de seguridad
• Auditorias a procedimientos
• Plan para superar vulnerabilidades encontradas
Seguridad Wi-Fi
• Estándar IEEE 802.11x
• Mayor flexibilidad, menor costo
• Buenas practicas
• Service Set Identifier (SSID) sin datos que identifiquen a la organización y sin broadcast
• Control de acceso por MAC address
• WPA (1 y 2). WEP con key largo
• Fuerte autenticación con PKI, RADIUS, Kerberos
• Regular la potencia de transmisión
• Establecer una configuración estándar segura para AP

1. Adquisición, desarrollo y mantenimiento de los sistemas

 Requisitos de seguridad de sistemas
 Requisitos, análisis y especificaciones
 Procesamientos correctos de las aplicaciones
 Validación para ingreso de datos
 Control de procesamiento interno
 Integridad del mensaje
 Integridad de datos de salida
 Controles criptográficos
 Políticas de uso de cifrado
 Administración de claves
 Seguridad de archivos
 Control de SW operacional
 Datos para prueba
 Acceso al código fuente
 Procesos de Desarrollo y Soporte
 Control de Cambios
 Pruebas luego de cambios operativos
 Restricción de cambios a paquetes de SW
 Fuga de información
 Outsourcing de desarrollo
 Gestión de vulnerabilidades técnicas
 Control de vulnerabilidades técnicas

Buenas practicas
 Establecer un Comité de Seguridad de Proyectos a fin de evaluar todo
desarrollo nuevo y definir requerimientos y especificaciones de seguridad en la
etapa de inicial.
 Plan de Implementación de sistemas con responsabilidades, puntos de marcha
atrás y contingencia.
 Gestión del Cambio

Control de acceso a las aplicaciones

 Permitir la aplicación de perfiles, roles, transacciones y ámbitos de acción
 Opciones de menú que granularicen acceso (lrwade)
 Opciones criticas - identificación y log
 Análisis de asignación de opciones contraproducentes
  La aplicación debe garantizar el acceso controlado a la información que
maneja
 Controlar el uso de herramientas que tengan la capacidad de pasar por alto los
controles de las aplicaciones
 Aislamiento de los sistemas sensibles
 Clave de acceso de súper usuario dividida entre 2 personas para aplicaciones
críticas
 Divulgar al usuario la mínima información posible acerca de detalles técnicos.
 Banner legal: solo los usuarios autorizados pueden acceder

Clave ó Contraseña
 No mostrar las claves en pantalla, cuando son ingresadas
 Almacenar en forma separada las claves y los datos del sistema
 Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado
 Modificar las contraseñas predeterminadas por el vendedor, una vez instalado
el software
 Registrar intentos de logging
 Opción de cambio de clave
 Limitar el número de intentos de loggin no exitosos e implementar una
demora obligatoria antes de permitir otros intentos de identificación

Calidad de contraseña
 Imponer reglas de calidad de contraseña
 No permitir claves en blanco
 Clave diferente a nombre de cuenta
 Extensión mínima y máxima
 Evitar la reutilización de una clave, guardando historial
 Obligatoriedad de dígitos o caracteres especiales
 No permitir caracteres consecutivos del teclado
 Etc.
 Protecciones:
 Pruebas funcionales y de QA, exitosas
 Metodología de desarrollo con definición de controles de seguridad
 Control y versionamiento de fuentes
 Uso de SW licenciado
 Usar antivirus para ubicar SW malicioso

Tipos de prueba
 Unitaria
 Funcional
 Regresión
 Integración
 Stress
 Calidad de código
 Aceptación
 Control de Pases a Producción
 Seguir un calendario y restringir al mínimo las excepciones
 Elaborar normativa y procedimientos
 No instalar compiladores en ambientes productivos
 Trabajar con archivos fuente y generar ejecutables
 Un solo pase a la vez
 Nada pasa a producción sin pruebas exitosas y aprobadas
 Mantener registro detallado

Desarrollo del dominio Cumplimiento

CUMPLIMIENTO DE REQUISITOS LEGALES (busca el cumplimiento de las leyes y disposiciones

de un estado)
• Identificación de legislación aplicable
• Derechos de propiedad intelectual (dpi)
• Protección de registros de la organización
• Protección de datos y privacidad de la información personal
• Prevención de uso inadecuado de los recursos
• Regulación de controles para el uso de criptografía
• Recolección de evidencia
REVISIONES DE LA POLÍTICA Y LA COMPATIBILIDAD TÉCNICA (cumplimiento de política
interna de seguridad de información)
• Cumplimiento de la política de seguridad
• Verificación de la compatibilidad técnica
AUDITORIA DE SISTEMAS (cumplir las leyes internas y externas)
• Controles de auditoria de sistemas
• Protección de las herramientas de auditoría de sistemas
Requisitos Legales
• Impedir infracciones y violaciones de las leyes del derecho civil y penal. Diferentes
leyes por países
• Cumplir con las obligaciones establecidas por las leyes
• Derecho de propiedad intelectual y de uso de SW
• Buscar asesoramiento de especialistas jurídicos
• Tiempo de almacenamiento de registros de la organización por ley
• Protección de la privacidad personal
• Mal uso de los recursos informáticos, en perjuicio de terceros.
• Uso de cifrado de llaves amplias. Uso de evidencias informáticas en querellas
• Recolección de evidencias
Leyes vigentes
• Ley 27309 (jul/00), incorporó al Código Penal Peruano los “Delitos Informáticos”
dentro de la figura genérica de los Delitos Contra el Patrimonio.
• Considera delito a:
• El ingreso o uso indebido de una base de datos, sistema o red de
computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar
un esquema u otro similar, o para interferir, interceptar, acceder o copiar
información en tránsito o contenida en una base de datos
• El uso, ingreso o interferencia indebida de una base de datos, sistema, red o
programa de computadoras o cualquier parte de la misma con el fin de
alterarlos, dañarlos o destruirlos
 • Agravantes: cuando se accede a una base de datos, sistema o red de
computadoras, haciendo uso de información privilegiada, obtenida en función
del cargo; o sí el autor pone en peligro la seguridad nacional
Avisos de confidencialidad
• El ingreso a este sistema, está permitido solo a las personas autorizadas de XXXX. Si
Ud. no es una de ellas, tiene terminantemente prohibido el ingreso
• El acceso a este sistema está regulado por las normas de seguridad de información de
XXXX, las cuales Ud. debe cumplir
• XXXX se reserva el derecho de monitorear toda acción que Ud. realice durante el uso
de este sistema y en caso de que con ellas Ud. le cause perjuicio, estará en su derecho
de tomar las acciones legales que ameriten
Disclaimer de Mensajes de Correo
• Este mensaje y los archivos anexos, en caso de que existan, contienen información de
XXXXX que es confidencial y para uso exclusivo de la persona o entidad de destino.
Debido a que puede contener información privilegiada, confidencial o que de alguna
manera está protegida contra su distribución no autorizada, agradecemos que si ha
recibido este correo electrónico por error, notificarlo de manera inmediata al
remitente.
• This message and any accompanying attachments contain information from XXXX
which is confidential or privileged and for the exclusive use of the individual or entity
named above. If you received this message in error be aware that any disclosure,
copying, distribution or use of the contents of this information is prohibited. Please
inform us immediately of the erroneous delivery by returning this e-mail to the sender.
• XXXX no acepta responsabilidad por cualquier obligación, error u omisión, que pueda
surgir como resultado de la transmisión de este mensaje electrónico.
Derechos de autor
Derechos de autor (copyright)
Todo material existente en este sitio web está protegido por la ley sobre derechos de autor. ©
2005 XXXX. Todos los derechos reservados.
Revisiones de auditoría
• Permiten identificar riesgos que no se han tomado en cuenta
• Deben realizarse de manera independiente
• No solo las puede realizar al área de “Auditoría”
• Competencia para realizar una auditoría
• Deben ser planificadas y comunicadas a los involucrados para su apoyo y evitar
impactos
• Se debe acordar el alcance
• No deben implicar ningún acceso mayor a lectura
• Restringir al mínimo las copias de información. Llevar un control de las mismas y
eliminarlas luego de culminada la revisión
• Identificar claramente y poner a disposición los recursos de TI para llevar a cabo las
revisiones.
• Identificar y acordar y registrar todos los requerimientos de procesamiento especial o
adicional.
• Todos los accesos deben ser monitoreados y registrados
• Se debe usar herramientas adecuadas.
• Proteger el acceso a las herramientas de auditoría de sistemas.
• Proteger los rastros de auditoria que se obtuvieron durante la revisión.