CISSP Study Guide ES
CISSP Guía de estudio del examen Brian Svidergol RHEL3, VCP, NCIE-SAN, MCT, MCSE 1 Tabla de contenido Introducción …
Views 307 Downloads 6 File size 2MB
Recommend stories
- Author / Uploaded
- Soporte Master
Citation preview
CISSP Guía de estudio del examen
Brian Svidergol RHEL3, VCP, NCIE-SAN, MCT, MCSE
1
Tabla de contenido Introducción ……………………………………………………………………………………………………………………………… ………………… .. …… .. ……… 6
Dominio 1. Seguridad y gestión de riesgos ……………………………………………………………………………………………………… .. ………. …… 8
1.1 Comprender y aplicar los conceptos de confidencialidad, integridad y disponibilidad ……………… ...…. …………………… .. ………. …… 8 1.2 Evaluar y aplicar los principios de gobernanza de la seguridad ……… .... ………………………………………………. …………………… .. ………. ……. 8
1.3 Determinar los requisitos de cumplimiento ………………………………………………… ................. ……………. ………… …………………. …… 10
1.4 Comprender las cuestiones legales y reglamentarias relacionadas con la seguridad de la información en un contexto global …………………… .. …… 10
1.5 Comprender, adherirse y promover la ética profesional ……… ..................................... ............. ………. ……………… .. …… 11 1.6 Desarrollar, documentar e implementar políticas, estándares, procedimientos y directrices de seguridad ..…. ………… ..... …… .. …… 12
1.7 Identificar, analizar y priorizar los requisitos de Continuidad del Negocio (BC)…. ……………… ..… .......................... ................. ... 12 1.8 Contribuir y hacer cumplir las políticas y procedimientos de seguridad del personal….… ................................ ……. …… ………… .. …… 13 1.9 Comprender y aplicar los conceptos de gestión de riesgos ………………………. ……………………………………………………… .. …… .. …… 14
1.10 Comprender y aplicar conceptos y metodologías de modelado de amenazas …………………… ...................... ……………… .. …… 17 1.11 Aplicar conceptos de gestión basados en riesgos a la cadena de suministro ………………………. ……… .......................... . …………… .. …… 18
1.12 Establecer y mantener un programa de formación, educación y concienciación en materia de seguridad ………… .. ……………. …………. …… .. …… 19
Revisión del dominio 1 Preguntas ………………………. ……………………………………………… .. …………………………………………. ……… ……… .. …… 20
Respuestas a las preguntas de revisión del dominio 1 ………………………………………… .. ……………………………………………………. ……………… .. …… 21
Dominio 2. Seguridad de los activos ……………………………………………………………… ..…. …………………………………………………….… …………… .. …… 22
2.1 Identificar y clasificar información y activos ……………………………. ………………… .... ……………………………. ……………… .. …… 22
2.2 Determinar y mantener información y propiedad de activos …………………… .................... …………………. ……………… .. …… 23 2.3 Proteger la privacidad ………………………. ………………………………………………………. ……………………………………… ……. ……………… .. …… 23
2.4 Asegurar la retención de activos adecuada ………………………. …………… .............................. ............. ………………………………… .. …… 24
2.5 Determinar los controles de seguridad de los datos ………………………. …………………… .. …………………………………………………. …………… … .. …… 24
2.6 Establecer requisitos de información y manejo de activos ………………………… ....................... ………………. ……… ……… .. …… 25
Revisión del dominio 2 Preguntas ………………………. ………………………………………………… .. ………………………………………. ……… ……… .. …… 27
Respuestas a las preguntas de revisión del dominio 2 ………………………. ……………………. …………………………………………………. ……………… .. …… 28
2
Dominio 3. Arquitectura e ingeniería de seguridad ………… ............ ……. ……………………………………………………. ……. ………… ..… ... 29
3.1 Implementar y gestionar procesos de ingeniería utilizando principios de diseño seguro ………………………. ………. ………… .. …… 29 3.2 Comprender los conceptos fundamentales de los modelos de seguridad ………………………. …………………………………………. ……… .. …… 30
3.3 Seleccionar controles basados en los requisitos de seguridad de los sistemas …………………… .................................. ............… .. ……… .. …… 30
3.4 Comprender las capacidades de seguridad de los sistemas de información ………………… ....... ……. ………………………………………… .. …… 31
3.5 Evaluar y mitigar las vulnerabilidades de las arquitecturas de seguridad, diseños y elementos de la solución ………………………… 32 3.6 Evaluar y mitigar las vulnerabilidades en los sistemas basados en web ………………………. …………………………… .................... …… .. …… 34
3.7 Evaluar y mitigar vulnerabilidades en sistemas móviles ………………………. ……………………………………… ................... ..... …… 34
3.8 Evaluar y mitigar vulnerabilidades en dispositivos integrados ………. ……………… ................................. ............................. …… 35 3.9 Aplicar criptografía …………… .......................................... .... …………. ……………………………………………………. ……………… .. …… 35
3.10 Aplicar los principios de seguridad al diseño del sitio y de las instalaciones ………………………. …………………………………………… .............. ........ …… 39
3.11 Implementar controles de seguridad en el sitio y las instalaciones …… ......... ……………………………………… ... ………………………. ………… …… .. …… 39
Preguntas de revisión del dominio 3 ………………………. ………………………………… ........................... ................ …………………. ……………… .. …… 42
Respuestas a las preguntas de revisión del dominio 3 …………………… ......................…. ……………………………………………… ……. ……………… .. …… 43
Dominio 4. Comunicación y seguridad de la red …………. ……………. ……… ... ……………………………………………. ……………… .. …… 44 4.1 Implementar principios de diseño seguro en la arquitectura de red ………………………. ……………………………………………. …… ..… 44 4.2 Componentes de red seguros ………………………. …………… ..............................… ……………………………………. ……………… .. …… 46
4.3 Implementar canales de comunicación seguros según diseño ………………………. ……………… .. ………………… ........ …… 48
Preguntas de revisión del dominio 4 ………………………. ……… ..................................... ...... ……………………………………………. ……………… .. …… 49
Respuestas a las preguntas de revisión del dominio 4 ………………………. ……………… ...................... ……………………………… ……. ……………… .. …… 50
Dominio 5. Gestión de identidades y accesos (IAM) ……………………… ............... …………………………………………. ……………… ..… ... 51 5.1 Controlar el acceso físico y lógico a los activos ……………… .... ………. ……………………………………………………. ………………. . …… 51
5.2 Gestionar la identificación y autenticación de personas, dispositivos y servicios …………. ……………………………………… ..... …… 52 5.3 Integrar la identidad como un servicio de terceros ...........................…. ……………………………… ………………. …………. ……………… .. …… 54
5.4 Implementar y administrar mecanismos de autorización ………………………. ……………………………………………………. ……… .. …… 56 5.5 Gestionar el ciclo de vida del aprovisionamiento de acceso e identidad ………………………. …………………………………………………… ....… .. …… 57
Preguntas de revisión del dominio 5 …………………… .......................................... .…. ……………………………………………………. ……………… .. …… 59
3
Respuestas a las preguntas de revisión del dominio 5 ………………… ..................... ……. ……………………………………………………… …. ……………… .. …… 60
Dominio 6. Evaluación y pruebas de seguridad ……………… ............... ………. ……………………………………………………. ………… …… .. …… 61
6.1 Diseñar y validar estrategias de evaluación, ensayo y auditoría ………………………………………………………………… ... ……… .. …… 61 6.2 Realizar pruebas de control de seguridad ……………… ......................... ………. ………………………… …………………………. ……………… .. …… 61
6.3 Recopilar datos del proceso de seguridad ……………… .............................. ………. …………… ………………………………………. ……………… .. …… 63
6.4 Analizar el resultado de la prueba y generar informes ... ………………………………………………………………………. …………. ……………… .. …… 64
6.5 Realizar o facilitar auditorías de seguridad ………………………. ………………………………………………………………. ……………. ……… .. …… 64
Preguntas de revisión del dominio 6 ………………… ........................................... ……. ……………………………………………………. ……………… .. …… sesenta y cinco
Respuestas a las preguntas de revisión del dominio 6 ……………………….… ..................... ……………………………………………… …. ……………… .. …… 66
Dominio 7. Operaciones de seguridad ……………………… ....................................... …… ………………………………………………. ……………… .. …… 67
7.1 Comprender y apoyar las investigaciones …………………… ............…. ……………………………………………………. …… ………… .. …… 67
7.2 Comprender los requisitos para diferentes tipos de investigaciones ………………………. …………………………… .. ……… .. …… 68 7.3 Realizar actividades de registro y seguimiento ………………… ....... ……. ……………………………………………………. ………………. .. …… 69
7.4 Proporcionar recursos de forma segura ………………………… .................. ………. …………………………………… ………………. ……………… .. …… 70
7.5 Comprender y aplicar los conceptos fundamentales de operaciones de seguridad ………………………. ……………………………………… .. …… 70
7.6 Aplicar técnicas de protección de recursos ……………… ........... ……….…. …………………………………………………….… …………… .. …… 72
7.7 Conducir la gestión de incidentes …………… .......................... …………. ………………………… …………………………. ……………… .. …… 73
7.8 Operar y mantener medidas de detección y prevención ……………………………………………………………. ……………… .. …… 74 7.9 Implementar y dar soporte a la gestión de parches y vulnerabilidades ………………………. …………………………………………… ... …… 75
7.10 Comprender y participar en los procesos de gestión del cambio ………………………. ………………………………………… .. …… 76 7.11 Implementar estrategias de recuperación …………… ........................ …………. ……………………………… ……………………. ……………… .. …… 77
7.12 Implementar procesos de recuperación ante desastres (DR) ……………………….… ......... ……………. ……………………………. ………… …… .. …… 78
7.13 Probar planes de recuperación ante desastres (DRP) ……………………….… ............................. …… …………… .. ……………………. ……………… .. …… 79
7.14 Participar en la planificación y los ejercicios de continuidad del negocio (BC) ………………………. ……………………………………………………… 80
7.15 Implementar y administrar la seguridad física ………………………. …… ...... ………………………………………………. ………………. . …… 81
7.16 Abordar las preocupaciones de seguridad y protección del personal ………………………. …………………. ………………………………… .... ……… .. …… 81
Preguntas de revisión del dominio 7 ………………………. ……… ..................................... ...... ……………………………………………. ……………… .. …… 83
4
Respuestas a las preguntas de revisión del dominio 7 ………………………. …… ..................... ………………………………………………… …. ……………… .. …… 84
Dominio 8. Seguridad en el desarrollo de software …………………… .................…. ……………………………………………………. …… ………… .. …… 85
8.1 Comprender y aplicar la seguridad en el ciclo de vida del desarrollo de software ………………………. …………………………… ..… .. …… 85 8.2 Hacer cumplir los controles de seguridad en los entornos de desarrollo ………………………. ……………………. ……………………………… ... …… 87
8.3 Evaluar la eficacia de la seguridad del software …………………… ..…. ……………………………………………………. ……………… .. …… 88 8.4 Evaluar el impacto de seguridad del software adquirido ……… .... ………………. ……………………………………………………. ……………… .. …… 88
8.5 Definir y aplicar pautas y estándares de codificación segura ……… .... ………………. ……………………………………… .. ……… .. …… 88
Preguntas de revisión del dominio 8 ………………………. …………… ................................... ........ ………………………………………. ……………… .. …… 90
Respuestas a las preguntas de revisión del dominio 8 …………………… ......................…. ……………………………………………… ……. ……………… .. …… 91
Referencias útiles ………………………. ………………………………… ........................... .................................. …………………. ……………… .. …… 92
Sobre el Autor ………………………. ………………… ................................. .............................. ………………………………….… .. ……… … .. …… 93
Sobre Netwrix ………………………. ……… ..................................... ............................... …………………………………………….… …………… .. …… 93
5
Introducción Examen Prepararse para realizar el examen de Profesional certificado en seguridad de sistemas de información (CISSP) requiere una gran cantidad de tiempo y esfuerzo. El examen cubre ocho dominios:
1. Seguridad y gestión de riesgos
2. Seguridad de los activos
3. Arquitectura e ingeniería de seguridad 4. Comunicación y seguridad de la red 5. Gestión de identidades y accesos (IAM) 6. Evaluación y pruebas de seguridad
7. Operaciones de seguridad
8. Seguridad del desarrollo de software
Para calificar para tomar el examen, generalmente debe tener al menos cinco años de experiencia laboral acumulada, remunerada y de tiempo completo en dos o más de los ocho dominios. Sin embargo, puede satisfacer el requisito de elegibilidad con cuatro años de experiencia en al menos dos de los ocho dominios si tiene un título universitario de cuatro años o una credencial o certificación aprobada. Ver
https://www.isc2.org/Certifications/CISSP/Prerequisite-Pathway para obtener una lista completa de las credenciales y certificaciones aprobadas.
El examen es largo, especialmente en comparación con otras certificaciones de la industria. Puedes cursarlo en inglés u otro idioma:
•
El examen de idioma inglés es un examen computarizado de prueba adaptativa (CAT), por lo que cambia según sus respuestas. Tienes hasta 3 horas para completar un mínimo de 100 preguntas y un máximo de 150 preguntas.
•
Los exámenes en idiomas distintos del inglés se mantienen en formato lineal. Tienes hasta 6 horas para completar una serie de 250 preguntas.
Debe obtener 700 puntos o más para aprobar el examen.
6
Cómo utilizar esta guía de estudio El uso de múltiples fuentes y métodos de estudio mejora sus posibilidades de aprobar el examen CISSP. Por ejemplo, en lugar de leer tres o cuatro libros, puede leer un libro, ver una serie de videos, tomar algunas preguntas de prueba de práctica y leer una guía de estudio. O puede tomar una clase, realizar preguntas de prueba de práctica y leer una guía de estudio. O puede unirse a un grupo de estudio y leer un libro. La combinación de leer, escuchar y hacer ayuda a su cerebro a procesar y retener información. Si su plan es leer esta guía de estudio y luego conducir al centro de exámenes, ¡debe reconsiderar su plan de inmediato!
Hay dos formas de utilizar esta guía de estudio: •
Úselo antes de realizar cualquier otro estudio: léalo detenidamente. Evalúe sus conocimientos a medida que lee. ¿Ya sabes todo lo que se dice? ¿O encuentra que no puede seguir algunos de los temas fácilmente? Según cómo vaya la lectura de la guía de estudio, sabrá en qué dominios de examen concentrarse y cuánto tiempo de estudio adicional necesita.
•
Úselo como lo último que lea antes de tomar el examen: tal vez haya tomado una clase, leído un libro y haya pasado por mil preguntas de prueba de práctica, y ahora se pregunta si está listo. Esta guía de estudio puede ayudarlo a responder esa pregunta. Como mínimo, usted debe conocer todo en esta guía de estudio, tener sentido para usted y no confundirlo.
Tenga en cuenta que una guía de estudio como esta no es lo suficientemente profunda como para enseñarle un tema completo si es nuevo en ese tema. Pero es una herramienta de preparación muy útil porque le permite revisar una gran cantidad de material en poco tiempo. En esta guía, hemos intentado proporcionar los puntos más importantes para cada uno de los temas, pero no puede incluir los antecedentes y los detalles que podría encontrar en un libro de 1000 páginas.
Cambios recientes en el examen El 15 de abril de 2018, la agencia que proporciona el examen CISSP, el Consorcio Internacional de Certificación de Seguridad del Sistema de Información, publicó un conjunto actualizado de objetivos del examen (el modelo del examen). Este plano está disponible en
https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSP-Exam-Outline-121417--Final.ashx . Si bien la mayoría de los temas del examen siguen siendo los mismos, hay algunos cambios menores para reflejar las últimas tendencias e información de la industria. La mayoría de los libros para la nueva versión del examen se lanzarán en mayo de 2018 o más tarde. Esta guía de estudio se ha actualizado para reflejar el nuevo plan. Las actualizaciones son menores: se eliminaron algunos temas pequeños, se agregaron algunos nuevos y se reformularon algunos elementos.
¿Qué significa esto para usted si se está preparando para realizar el examen? Si ya ha pasado una buena cantidad de tiempo preparándose, es posible que solo necesite complementar su estudio con algunas fuentes que expliquen el material nuevo y revisado. Pero si recién está comenzando a estudiar, considere esperar hasta que se publiquen las guías actualizadas.
7
Dominio 1. Seguridad y gestión de riesgos 1.1 Comprender y aplicar conceptos de confidencialidad, integridad y disponibilidad
La confidencialidad, la integridad y la disponibilidad conforman lo que se conoce como la tríada de la CIA. La tríada CIA es un modelo de seguridad que ayuda a las organizaciones a mantenerse enfocadas en los aspectos importantes de mantener un entorno seguro.
•
Confidencialidad. Los datos sensibles, incluida la información de identificación personal (PII), como números de identificación y números de cuentas bancarias, deben mantenerse confidenciales. Es importante comprender que la confidencialidad es diferente del secreto. Si no sabe que existe algo (como datos o un servicio web), entonces es un secreto. Pero mantener algo en secreto, por sí solo, no garantiza la confidencialidad. Probablemente haya visto historias de atacantes (o incluso navegantes web habituales) que se encuentran con sitios web o información "secretos", a veces por accidente. Para garantizar la confidencialidad, debe asegurarse de que, incluso si alguien sabe que existe algo valioso (como una tienda que procesa transacciones con tarjeta de crédito o un archivo compartido con datos confidenciales), no pueda acceder a él. En un nivel alto, usa controles de acceso
- puertas cerradas, permisos de carpeta y autenticación de dos factores - para mantener la confidencialidad. En un nivel inferior, utiliza cifrado para proteger los datos en reposo, hash para proteger los datos en movimiento y seguridad física para los datos en uso (pantallas de privacidad o separación física entre los datos en uso y las personas no autorizadas). Puede utilizar una configuración de "denegación predeterminada" para que, a menos que alguien haya sido expresamente autorizado para acceder a los datos, se le niegue el acceso.
•
Integridad. También debe asegurarse de que los datos no se modifiquen de manera incorrecta. El cifrado ayuda a garantizar la integridad de los datos en reposo, pero no es la mejor opción para el movimiento de datos. En su lugar, se suele utilizar hash. El hash de datos asigna a los datos un valor numérico, que se calcula en la fuente antes de la transferencia y luego nuevamente por el destinatario después de la transferencia; una coincidencia demuestra la integridad de los datos. Los algoritmos como SHA256 y SHA512 se usan comúnmente para hash; Los algoritmos más antiguos, como SHA-1, se han vuelto susceptibles a ataques y, por lo tanto, rara vez se utilizan.
•
Disponibilidad. Para garantizar una alta disponibilidad de servicios y datos, utilice técnicas como agrupación en clústeres de conmutación por error, resistencia del sitio, conmutación por error automática, equilibrio de carga, redundancia de componentes de hardware y software y tolerancia a fallas. Por ejemplo, pueden ayudarlo a frustrar un ataque de denegación de servicio (DoS) que tiene como objetivo negar la disponibilidad de un servicio o datos al sobrecargar un sistema con solicitudes no válidas o solicitudes que tardan mucho en procesarse.
1.2 Evaluar y aplicar los principios de gobierno de la seguridad Para establecer los principios de gobierno de la seguridad, adopte un marco como el del Instituto Nacional de Estándares y Tecnología (NIST). Asegúrese de que el marco que elija incluya lo siguiente: •
Alineación de la función de seguridad con la estrategia, metas, misión y objetivos. Una organización tiene una misión y utiliza estrategias, planes y objetivos para tratar de cumplir con esa misión. Estos componentes fluyen hacia abajo, con los de abajo apoyando a los de arriba. La estrategia comercial a menudo se enfoca en 5 años o más. A corto plazo, normalmente de 1 a 2 años, tiene planes tácticos que están alineados con el plan estratégico. Debajo están los planes operativos: los planes tácticos detallados que mantienen el negocio en funcionamiento día a día. Los objetivos son los más cercanos al suelo y representan pequeños esfuerzos para ayudarlo a lograr una misión. Por ejemplo, la misión de un fabricante de automóviles podría ser construir y vender tantos automóviles de alta calidad como sea posible. Los objetivos pueden incluir expandir la automatización para reducir la
8
tiempo total de construcción de un automóvil y expandirse de 2 fábricas a 3. Un marco de seguridad debe estar estrechamente vinculado a la misión y los objetivos de la organización, permitiendo que la empresa complete sus objetivos y avance la misión mientras protege el medio ambiente basado en la tolerancia al riesgo. Continuando con el ejemplo del fabricante de automóviles, el marco de seguridad debe permitir la expansión de la automatización. Si el marco de seguridad es tal que la automatización no se puede expandir, entonces el marco de seguridad no está lo suficientemente alineado con la misión y los objetivos.
•
Procesos organizativos (adquisiciones, desinversiones, comités de gobierno). Sea consciente de los riesgos en adquisiciones (dado que se desconoce el estado del entorno de TI que se integrará, la debida diligencia es fundamental) y desinversiones (debe determinar cómo dividir la infraestructura de TI y qué hacer con las identidades y credenciales). Comprender el valor de los comités de gobierno (gobierno de proveedores, gobierno de proyectos, gobierno de arquitectura, etc.). Los ejecutivos, gerentes y las personas designadas se reúnen para revisar la arquitectura, los proyectos y los incidentes (de seguridad o de otro tipo) y aprobar nuevas estrategias o direcciones. El objetivo es un par de ojos frescos, a menudo ojos que no se centran exclusivamente en la seguridad de la información.
•
Roles y responsabilidades organizacionales. Hay varios roles a considerar. La gerencia tiene la responsabilidad de mantener el negocio en funcionamiento y maximizar las ganancias y el valor para los accionistas. El arquitecto o ingeniero de seguridad tiene la responsabilidad de comprender las necesidades comerciales de la organización, el entorno de TI existente y el estado actual de seguridad y vulnerabilidad, así como pensar en estrategias (mejoras, configuraciones y contramedidas) que podrían maximizar la seguridad y minimizar el riesgo. Se necesitan personas que puedan traducir entre personas técnicas y no técnicas. Los costos deben estar justificados y ser razonables, en función de los requisitos y el riesgo de la organización.
•
Marcos de control de seguridad. Un marco de control ayuda a garantizar que su organización cubra todas las bases para proteger el medio ambiente. Hay muchos marcos para elegir, como los objetivos de control para tecnología de la información (COBIT) y la serie ISO 27000 (27000, 27001, 27002, etc.). Estos marcos se dividen en cuatro categorías:
•
Preventivo - Prevención de problemas y violaciones de seguridad a través de estrategias como políticas y capacitación en conciencia de seguridad.
•
Disuasorio - Desalentar las actividades maliciosas utilizando controles de acceso o tecnologías como firewalls, sistemas de detección de intrusos y cámaras activadas por movimiento.
•
•
detective —Descubrimiento de actividad no autorizada en su entorno
•
Correctivo —Recuperar su entorno donde estaba antes de un incidente de seguridad
Debida diligencia / debida diligencia. Asegúrese de comprender la diferencia entre estos dos conceptos. El debido cuidado se refiere a su responsabilidad legal dentro de la ley o dentro de las políticas organizacionales para implementar los controles de su organización, seguir las políticas de seguridad, hacer lo correcto y tomar decisiones razonables. La debida diligencia se trata de comprender sus principios de gobierno de seguridad (políticas y procedimientos) y los riesgos para su organización. La debida diligencia a menudo implica la recopilación de información a través del descubrimiento, la evaluación de riesgos y la revisión de la documentación existente; crear documentación para establecer políticas escritas; y difundir la información a la organización. A veces, la gente piensa en la debida diligencia como el método por el cual se puede ejercer el debido cuidado.
Después de establecer y documentar un marco para la gobernanza, necesita capacitación en conciencia de seguridad para reunir todo. Todas las nuevas contrataciones deben completar la capacitación de concienciación sobre seguridad a medida que se incorporan, y los empleados existentes deben recertificarse regularmente (generalmente anualmente).
9
1.3 Determinar los requisitos de cumplimiento Muchas organizaciones deben cumplir con las leyes aplicables y los estándares de la industria. El incumplimiento puede significar multas, encarcelamiento para los ejecutivos o incluso el fin de un negocio. Para lograr el cumplimiento, debe concentrarse en los controles. Aunque la mayoría de los estándares comunes son vagos sobre la implementación, algunos proporcionan documentación detallada para ayudar a las organizaciones a lograr el cumplimiento. Por ejemplo, NIST proporciona una guía para cumplir con los estándares de información federales.
•
Requisitos contractuales, legales, de la industria y regulatorios. Comprender los sistemas legales. El derecho civil es el más común; Los fallos de los jueces no suelen establecer precedentes que afecten a otros casos. Con el derecho consuetudinario, que se utiliza en los EE. UU., Canadá, el Reino Unido y las antiguas colonias británicas, los fallos de los jueces pueden sentar precedentes que tienen un impacto significativo en otros casos. Un ejemplo de ley religiosa es la Sharia (ley islámica), que utiliza el Corán y el Hadith para fundamentar las leyes. El derecho consuetudinario toma prácticas comunes, locales y aceptadas y, a veces, las convierte en leyes. Dentro del derecho consuetudinario, tiene derecho penal (leyes contra la sociedad) y derecho civil (generalmente persona contra persona y resulta en una compensación monetaria de la parte perdedora). El cumplimiento se basa en leyes, regulaciones y estándares de la industria como Sarbanes-Oxley (SOX), la Ley Gramm-Leach-Bliley (GLBA), el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la Ley de portabilidad y responsabilidad del seguro médico (HIPAA) y la Ley federal de administración de seguridad de la información (FISMA). Como parte de la preparación de su examen, familiarícese con estos estándares leyendo sus resúmenes de alto nivel.
•
Requisitos de privacidad. La privacidad se trata de la protección de la PII. Las leyes varían. La Unión Europea tiene leyes estrictas sobre privacidad. Familiarícese con el Reglamento general de protección de datos (GDPR). Familiarícese con los requisitos relacionados con los datos de atención médica, los datos de tarjetas de crédito y otros datos de PII en lo que respecta a varios países y sus leyes y regulaciones.
1.4 Comprender las cuestiones legales y regulatorias relacionadas con la seguridad de la información en un contexto global. Si bien es posible que esté familiarizado con las cuestiones legales y reglamentarias locales, también debe estar familiarizado con las cuestiones legales y reglamentarias en otros lugares, al menos a un alto nivel.
•
Ciberdelitos y violaciones de datos. Antes de que su organización se expanda a otros países, realice la debida diligencia para comprender sus sistemas legales y qué cambios podrían ser necesarios en la forma en que se manejan y protegen los datos. En particular, familiarícese con el Convenio del Consejo de Europa sobre el ciberdelito, un tratado firmado por muchos países que establece estándares para la política del ciberdelito. Familiarícese con las diversas leyes sobre violaciones de datos, incluidos los requisitos de notificación. En los Estados Unidos, la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH) requiere la notificación de una violación de datos en algunos casos, como cuando la información de salud personal expuesta no estaba protegida de acuerdo con la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA). ). La Ley Gramm-Leach-Bliley (GLBA) se aplica a las organizaciones financieras y de seguros; requiere notificación a los reguladores federales, agencias de aplicación de la ley y clientes cuando ocurre una filtración de datos. Los estados en los Estados Unidos también imponen sus propios requisitos con respecto a las violaciones de datos. La UE y otros países también tienen sus propios requisitos. El GDPR tiene requisitos de notificación de violación de datos muy estrictos: una violación de datos debe informarse a la autoridad supervisora competente dentro de las 72 horas posteriores a su descubrimiento. Algunos países no tienen requisitos de presentación de informes. Una violación de datos debe informarse a la autoridad supervisora competente dentro de las 72 horas posteriores a su descubrimiento. Algunos países no tienen requisitos de presentación de informes. Una violación de datos debe informarse a la autoridad supervisora competente dentro de las 72 horas posteriores a su descubrimiento. Algunos países no tienen requisitos de presentación de informes.
•
Requisitos de licencia y propiedad intelectual. Comprenda las reglas en torno a:
10
•
Marcas comerciales : Logotipo, símbolo o mascota que se utiliza para comercializar una marca
•
Patentes - Un monopolio temporal para producir un artículo específico, como un juguete, que debe ser novedoso y único para calificar para una patente.
•
Derechos de autor - Uso exclusivo de obras artísticas, musicales o literarias que evite la reproducción, distribución o modificación no autorizadas)
•
•
Licencia - Un contrato entre el productor de software y el consumidor que limita el uso y / o distribución del software.
Controles de importación / exportación. Todos los países tienen leyes sobre la importación y exportación de hardware y software. Por ejemplo, Estados Unidos tiene restricciones sobre la exportación de tecnología criptográfica, y Rusia requiere una licencia para importar tecnologías de cifrado fabricadas fuera del país.
•
Flujo de datos transfronterizo. Si su organización se adhiere a leyes y regulaciones de seguridad específicas, entonces debe cumplirlas sin importar dónde residan los datos, por ejemplo, incluso si almacena una segunda copia de sus datos en otro país. Tenga en cuenta las leyes aplicables en todos los países donde almacena datos y mantiene sistemas informáticos. En algunos casos, es posible que los datos deban permanecer en el país. En otros casos, debe tener cuidado con sus datos porque los equipos técnicos pueden desconocer los requisitos de seguridad y cumplimiento. El Escudo de privacidad UE-EE. UU. (Anteriormente el acuerdo de puerto seguro UE-EE. UU.) Controla el flujo de datos de la UE a los Estados Unidos. La UE tiene protecciones de privacidad más estrictas y sin la ley de puerto seguro, no se permitiría el flujo de datos personales de la UE a los Estados Unidos.
•
Intimidad. Muchas leyes incluyen protecciones de privacidad para datos personales. El nuevo GDPR tiene fuertes reglas de privacidad que se aplican a cualquier organización en cualquier lugar que almacene o procese los datos personales de los ciudadanos de la UE; en particular, las personas deben saber cómo se recopilan y utilizan sus datos, y deben poder optar por no participar. Las pautas de privacidad de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) requieren que las organizaciones eviten obstáculos injustificados al flujo de datos transfronterizos, limiten la recopilación de datos personales, protejan los datos personales con una seguridad razonable y más.
1.5 Comprender, adherirse y promover la ética profesional Como CISSP, debe comprender y seguir el código de ética (ISC) ², así como el código propio de su organización. •
(ISC) ² Código de Ética Profesional. Tómese el tiempo para leer el código de ética disponible en www.isc2.org/Ethics . Como mínimo, conozca y comprenda los cánones éticos:
•
Proteger la sociedad, el bien común, la necesaria confianza pública y la infraestructura. Esto es "haz lo correcto". Anteponga el bien común a usted mismo. Asegúrese de que el público pueda confiar en su infraestructura y seguridad.
•
Actuar de forma honorable, honesta, justa, responsable y legal. Siga siempre las leyes. Pero, ¿qué pasa si se encuentra trabajando en un proyecto en el que se aplican leyes contradictorias de diferentes países o jurisdicciones? En tal caso, debe priorizar la jurisdicción local desde la que está realizando los servicios.
•
Brindar un servicio diligente y competente a los principios. Evite hacerse pasar por un experto o calificado en áreas en las que no lo es. Mantenga y amplíe sus habilidades para brindar servicios competentes.
11
•
Avanzar y proteger la profesión. No traiga publicidad negativa a la profesión. Brindar servicios competentes, capacitarse y actuar con honor. Piénselo así: si sigue los tres primeros cánones del código de ética, automáticamente cumple con este.
•
Código ético organizativo. También debe apoyar la ética en su organización. Esto se puede interpretar como una ética evangelizadora en toda la organización, proporcionando documentación y capacitación en torno a la ética, o buscando formas de mejorar la ética organizacional existente. Algunas organizaciones pueden tener una ética ligeramente diferente a otras, así que asegúrese de familiarizarse con la ética y las pautas de su organización.
1.6 Desarrollar, documentar e implementar políticas, estándares, procedimientos y pautas de seguridad Desarrolle documentación clara sobre políticas de seguridad, que incluya lo siguiente:
•
Política. Este es el documento de alto nivel, a menudo redactado por el equipo de gestión. La política es obligatoria. Es deliberadamente vago. Por ejemplo, una política puede exigirle que garantice la confidencialidad de los datos de la empresa, pero no especificar el método para hacerlo.
•
Estándares. Estos son más descriptivos que las políticas y documentan los estándares que la empresa utilizará para cosas como hardware y software. Por ejemplo, una organización puede estandarizar en máquinas virtuales y no en servidores físicos.
•
Procedimientos. Estos son los documentos paso a paso que detallan cómo realizar tareas específicas, como cómo restaurar una base de datos. La persona que sigue el procedimiento utiliza el documento para realizar la tarea. Los procedimientos son obligatorios. Si tiene un procedimiento para restaurar una base de datos, entonces ese procedimiento debe seguirse para cada restauración de la base de datos.
•
Directrices. Se recomiendan pero son opcionales. Por ejemplo, su organización puede tener una guía que recomiende almacenar las contraseñas en una bóveda de contraseñas cifradas. Es una buena idea hacer eso. Pero alguien puede optar por almacenar contraseñas en su cerebro o utilizar otro mecanismo de almacenamiento seguro.
•
Líneas de base. Aunque las líneas de base no se mencionan explícitamente en esta sección del examen, no las olvide. Las líneas de base automatizan la implementación de sus estándares, lo que garantiza su cumplimiento. Por ejemplo, si tiene 152 elementos de configuración para las compilaciones de su servidor, puede configurarlos todos en una línea de base que se aplica a cada servidor que se compila. Los objetos de directiva de grupo (GPO) se utilizan a menudo para cumplir con los estándares en una red de Windows. Las soluciones de administración de la configuración también pueden ayudarlo a establecer líneas de base y configuraciones puntuales que se desvían de ellas.
1.7 Identificar, analizar y priorizar los requisitos de Continuidad del negocio (BC) La continuidad del negocio es el objetivo de permanecer en pleno funcionamiento durante una interrupción. ISO / IEC 27031 cubre la continuidad del negocio en detalle (proporciona un marco sobre el cual construir, junto con métodos y procesos que cubren todo el tema). La continuidad del negocio requiere mucha planificación y preparación. La implementación real de los procesos de continuidad del negocio ocurre con poca frecuencia. Las facetas principales de la continuidad del negocio son la resiliencia (dentro de un centro de datos y entre sitios o datos
12
centros), recuperación (si un servicio deja de estar disponible, debe recuperarlo lo antes posible) y contingencia (un último recurso en caso de que la resiliencia y la recuperación resulten ineficaces).
•
Desarrollar y documentar el alcance y el plan. El desarrollo del alcance y el plan del proyecto comienza con obtener el apoyo del equipo de gestión, hacer un caso comercial (análisis de costo / beneficio, razones regulatorias o de cumplimiento, etc.) y, en última instancia, obtener la aprobación para seguir adelante. A continuación, debe formar un equipo con representantes de la empresa y de TI. Entonces estará listo para comenzar a desarrollar el plan. Comience con una declaración de política de continuidad comercial, luego realice un análisis de impacto comercial (como se explica en la siguiente viñeta) y luego desarrolle los componentes restantes: controles preventivos, reubicación, el plan de continuidad real, pruebas, capacitación y mantenimiento). Familiarícese con la diferencia entre la continuidad del negocio (reanudar las funciones críticas sin tener en cuenta el sitio) y la recuperación ante desastres (recuperar las funciones críticas en el sitio principal, cuando sea posible).
•
Realice un análisis de impacto empresarial (BIA). Identifique los sistemas y servicios de los que depende la empresa y averigüe los impactos que causaría una interrupción o interrupción, incluidos los impactos en los procesos comerciales, como las cuentas por cobrar y las ventas. También necesita averiguar qué sistemas y servicios necesita para que las cosas vuelvan a funcionar (piense en los servicios de TI fundamentales, como la red y el directorio, de los que dependen muchos otros sistemas). Asegúrese de priorizar el orden en que los sistemas y servicios críticos se recuperan o se vuelven a poner en línea. Como parte del BIA, establecerá los objetivos de tiempo de recuperación (RTO) (cuánto tiempo se tarda en recuperarse), los objetivos de punto de recuperación (RPO) (la pérdida de datos máxima tolerable) y el tiempo de inactividad máximo tolerable (MTD), junto con los costos del tiempo de inactividad y la recuperación.
1.8 Contribuir y hacer cumplir las políticas y procedimientos de seguridad del personal En muchas organizaciones, el riesgo número uno para el entorno de TI son las personas. Y no es solo el personal de TI, sino cualquier persona que tenga acceso a la red. Los actores maliciosos se dirigen habitualmente a los usuarios con campañas de phishing y spear phishing, ingeniería social y otros tipos de ataques. Todo el mundo es un objetivo. Y una vez que los atacantes comprometen una cuenta, pueden usar ese punto de entrada para moverse por la red y elevar sus privilegios. Las siguientes estrategias pueden reducir su riesgo:
•
Selección y contratación de candidatos. La selección de candidatos a fondo es una parte fundamental del proceso de contratación. Asegúrese de realizar una verificación de antecedentes completa que incluya una verificación de antecedentes penales, verificación de historial laboral, verificación de educación, validación de certificación y confirmación de otros reconocimientos cuando sea posible. Además, póngase en contacto con todas las referencias.
•
Acuerdos y políticas laborales. Un contrato de trabajo especifica los deberes laborales, las expectativas, la tasa de pago, los beneficios y la información sobre el despido. A veces, estos acuerdos son por un período determinado (por ejemplo, en un contrato o trabajo a corto plazo). Los acuerdos laborales facilitan la terminación cuando sea necesario para un empleado con bajo desempeño. Cuanta más información y detalles contenga un contrato de trabajo, menor riesgo (riesgo de una demanda por despido injustificado, por ejemplo) tiene la empresa durante un procedimiento de despido. Por ejemplo, un empleado despedido puede llevarse una copia de su correo electrónico sin pensar que sea un robo, pero es menos probable que lo haga si un contrato de trabajo u otro documento de política lo prohíbe claramente.
•
Procesos de incorporación y rescisión. La incorporación comprende todos los procesos vinculados a un nuevo empleado que comienza en su organización. Tener un proceso documentado en su lugar permite que los nuevos empleados se integren de la manera más rápida y consistente posible, lo que reduce el riesgo. Por ejemplo, si tiene cinco administradores de TI que realizan los diversos procesos de incorporación, es posible que obtenga resultados diferentes cada vez si no tiene los procesos
13
estandarizado y documentado; un nuevo empleado podría terminar con más acceso del requerido para su trabajo. El despido es a veces un proceso cordial, como cuando un trabajador se jubila después de 30 años. Otras veces, puede ser una situación de alto estrés, como cuando una persona es despedida inesperadamente. Debe tener políticas y procedimientos documentados para manejar todos los procesos de terminación. El objetivo es tener un procedimiento para revocar inmediatamente todo acceso a todos los recursos de la empresa. En un mundo perfecto, presionarías un botón y todos los accesos serían revocados inmediatamente.
•
Acuerdos y controles de proveedores, consultores y contratistas. Cuando los trabajadores que no son empleados a tiempo completo tienen acceso a su red y datos, debe tomar precauciones adicionales. Los consultores a menudo trabajan con varios clientes simultáneamente, por lo que debe tener medidas de seguridad para asegurarse de que los datos de su empresa no se mezclen con los datos de otras organizaciones, ni se transmitan accidental o deliberadamente a personas no autorizadas. En organizaciones de alta seguridad, es común que la organización emita un dispositivo informático a los consultores y permita que el consultor acceda a la red y a los datos solo a través de ese dispositivo. Más allá de las salvaguardias técnicas, también debe tener una forma de identificar consultores, proveedores y contratistas. Por ejemplo, tal vez tengan una insignia de seguridad diferente a la de los empleados regulares a tiempo completo. Quizás se sientan en la misma área o sus nombres para mostrar en el directorio indican su estado.
•
Requisitos de la política de cumplimiento. Las organizaciones deben adherirse a diferentes mandatos de cumplimiento, según su industria, país y otros factores. Todos ellos necesitan mantener documentación sobre sus políticas y procedimientos para cumplir con esos requisitos. Los empleados deben recibir capacitación sobre los requisitos de cumplimiento de la empresa a un alto nivel al momento de la contratación y con regularidad a partir de entonces (como volver a certificarse una vez al año).
•
Requisitos de la política de privacidad. La información de identificación personal sobre empleados, socios, contratistas, clientes y otras personas debe almacenarse de manera segura, accesible solo para aquellos que requieren la información para realizar su trabajo. Por ejemplo, alguien del departamento de Nómina podría necesitar acceso a la información bancaria de un empleado para que su pago se deposite automáticamente, pero nadie más debería poder acceder a esa información. Las organizaciones deben mantener una política de privacidad documentada que describa los tipos de datos cubiertos por la política y a quién se aplica la política. Se debe solicitar a los empleados, contratistas y cualquier otra persona que pueda tener acceso a los datos que lean y acepten la política de privacidad al momento de la contratación y de manera regular a partir de entonces (como anualmente).
1.9 Comprender y aplicar conceptos de gestión de riesgos La gestión de riesgos implica tres pasos principales: identificar amenazas y vulnerabilidades, evaluar el riesgo (evaluación de riesgos) y elegir si responder y cómo (a menudo la elección es la mitigación de riesgos). Como parte de la gestión del riesgo general, el equipo de TI se esfuerza por proteger el entorno de TI, proporcionar información a los equipos de gestión para que puedan tomar decisiones informadas y permitir que el equipo de gestión apruebe el entorno de TI en función de los objetivos y requisitos. La gestión de riesgos también tiene un componente financiero: el equipo de gestión debe equilibrar el riesgo con el presupuesto. En un mundo perfecto, la empresa gastaría la cantidad mínima de dinero y tiempo para minimizar el riesgo a un nivel aceptable para la organización.
•
Identifica amenazas y vulnerabilidades. Las amenazas y las vulnerabilidades están vinculadas. Una amenaza (como un pirata informático que se apodera de un equipo cliente) es posible cuando existe una vulnerabilidad (como un equipo cliente sin parche). Esa es una amenaza conocida. Pero también existen amenazas desconocidas, como cuando un pirata informático se da cuenta de un error que nadie más conoce en su software antivirus y puede comprometer su computadora de forma remota.
14
•
Evaluar el riesgo. Tienes un riesgo cuando tienes una amenaza y una vulnerabilidad. En esos casos, debe determinar las posibilidades de que la amenaza aproveche la vulnerabilidad y las consecuencias si eso sucede. Familiarícese con los enfoques:
•
Cualitativo. Este método utiliza una matriz de análisis de riesgo y asigna un valor de riesgo como bajo, medio o alto. Por ejemplo, si la probabilidad es rara y las consecuencias son bajas, entonces el riesgo es bajo. Si la probabilidad es casi segura y las consecuencias son importantes, entonces el riesgo es extremo.
•
Cuantitativo. Este método es más objetivo que el método cualitativo; utiliza dólares u otras métricas para cuantificar el riesgo.
•
Híbrido. Una mezcla de cualitativo y cuantitativo. Si puede asignar fácilmente una cantidad en dólares, lo hace; si no, no lo hace. Esto a menudo puede proporcionar un buen equilibrio entre cualitativo y cuantitativo.
•
Responda al riesgo. Debe formular un plan de acción para cada riesgo que identifique. Para un riesgo dado, puede elegir la mitigación del riesgo (reducir el riesgo), la asignación del riesgo (asignar el riesgo a un equipo o proveedor para la acción), la aceptación del riesgo (aceptar el riesgo) o el rechazo del riesgo (ignorar el riesgo).
Fuera de los tres pasos principales para aplicar la gestión de riesgos, debe familiarizarse con algunos de los detalles de esos tres pasos:
•
Selección e implementación de contramedidas. Puede utilizar una solución de software o hardware para reducir un riesgo particular mediante la implementación de una contramedida, a veces denominada "control" o "salvaguardia". Suponga que tiene una política de contraseñas que una aplicación heredada no puede cumplir técnicamente (por ejemplo, la aplicación está limitada a 10 caracteres para la contraseña). Para reducir la probabilidad de que esa contraseña se vea comprometida, puede implementar cualquiera de varias contramedidas: por ejemplo, puede solicitar que la contraseña se cambie con más frecuencia que otras contraseñas (más largas), o exigir que la contraseña se almacene en una bóveda de contraseñas segura que Requiere autenticación de dos factores. Para la preparación de su examen, no solo comprenda las palabras y definiciones; comprender cómo implementa los conceptos en su entorno. No es necesario que proporcione una configuración técnica paso a paso,
•
Tipos de controles aplicables. Familiarícese con los 6 tipos de controles:
•
Preventivo. Este tipo de control tiene como objetivo evitar que ocurra un incidente de seguridad. Por ejemplo, agrega un producto antivirus a sus computadoras.
•
Detective. Este tipo de control se utiliza para identificar los detalles de un incidente de seguridad, incluido (a veces) el atacante.
•
Correctivo. Un control correctivo implementa una solución después de que ocurre un incidente de seguridad.
•
Disuasorio. Este tipo de control intenta desalentar a los atacantes. Por ejemplo, cierra la oficina con llave cada vez que sale a almorzar o se va a casa por el día.
•
Recuperación. Un control de recuperación intenta que el entorno vuelva a estar donde estaba antes de un incidente de seguridad.
•
Compensación. Un control de compensación es un control alternativo para reducir un riesgo. Suponga que necesita permitir que usuarios externos accedan a su sitio de SharePoint, que reside en su red de área local. En vez de
15
Al abrir el firewall para permitir la comunicación desde Internet a sus servidores internos de SharePoint, puede implementar un control de compensación, como implementar un proxy inverso en la red perimetral y habilitar el acceso externo de SharePoint a través del proxy inverso. Al final, la funcionalidad suele ser la misma, pero el método para llegar es diferente.
•
Evaluación de control de seguridad (SCA). Necesita evaluar periódicamente sus controles de seguridad. ¿Qué está funcionando? ¿Qué no funciona? Como parte de esta evaluación, el documento existente debe revisarse minuciosamente y algunos de los controles deben probarse al azar. Por lo general, se produce un informe para mostrar los resultados y permitir que la organización corrija las deficiencias.
•
Seguimiento y medición. El seguimiento y la medición están estrechamente alineados con la identificación de riesgos. Por ejemplo, si hay muchos intentos de consulta de base de datos no válidos provenientes de su servidor web, podría indicar un ataque. Como mínimo, vale la pena investigar. Dependerá si se requiere acción. Sin la supervisión adecuada, no sabrá acerca de este tipo de eventos. Es posible que no sepa cuándo una persona está investigando su red. Incluso si está capturando información de monitoreo, no es suficiente por sí sola. También necesitas una forma de medirlo. Por ejemplo, si su supervisión muestra 500 intentos de inicio de sesión no válidos en su servidor web hoy, ¿es motivo de preocupación? ¿O es eso típico porque tienes 75.000 usuarios? Si bien la supervisión se utiliza para más fines de seguridad, debe ajustarlo para asegurarse de recibir notificaciones sobre posibles incidentes de seguridad lo antes posible. En algunos casos, será demasiado tarde y podría ocurrir una violación de datos. Ahí es cuando los datos de monitoreo se vuelven valiosos desde una perspectiva forense. Debe poder mirar hacia atrás en los datos y averiguar por qué no vio nada durante el incidente y qué ajustes debe hacer para minimizar las posibilidades de que vuelva a suceder.
•
Valoración de activos. Cuando piense en activos, no piense solo en activos físicos como computadoras y mobiliario de oficina (activos tangibles). Los activos también incluyen los datos de la empresa y la propiedad intelectual (activos intangibles). Si bien los activos tangibles son fáciles de evaluar por su valor (por ejemplo, compró la unidad de disco por $ 250), los datos y la propiedad intelectual pueden ser más difíciles de valorar. Familiarizarse con las siguientes estrategias de valoración de activos intangibles:
•
•
Enfoque de costos. ¿Cuánto costaría reemplazar el activo?
•
Enfoque de ingresos. ¿Cuántos ingresos producirá el activo durante su vida útil?
•
Enfoque de mercado. ¿Cuánto cuesta un activo similar?
•
Enfoque cuantitativo. Asigna un valor en dólares para evaluar el riesgo.
•
Enfoque cualitativo. Asigna una puntuación para evaluar el riesgo.
Informes. Una de las bases de una solución de seguridad de nivel empresarial es la capacidad de informar sobre su entorno (qué tiene, cuáles son los principales riesgos, qué está sucediendo ahora, qué sucedió hace 3 días, etc.). Los informes proporcionan información. Y esa información a veces se utiliza para iniciar un proceso de mejora continua.
•
Mejora continua. La mejora continua es un esfuerzo continuo e interminable para tomar lo que tiene y mejorarlo. A menudo, las mejoras son pequeñas e incrementales. Sin embargo, con el tiempo, se pueden acumular pequeñas mejoras. La mejora continua se puede aplicar a productos (por ejemplo, actualizar a la última versión), servicios
dieciséis
(por ejemplo, expandiendo sus pruebas internas de phishing) o procesos (por ejemplo, automatizando procesos para ahorrar tiempo y mejorar la coherencia).
•
Marcos de riesgo. Un marco de riesgos documenta cómo su organización maneja la evaluación de riesgos, la resolución de riesgos y el monitoreo continuo. Ver http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r1.pdf para un ejemplo de un marco de riesgo. Existen otros marcos de riesgo, como el estándar británico BS 31100. Familiarícese con los marcos de riesgo y sus objetivos. El marco NIST identifica los siguientes pasos: categorizar, seleccionar, implementar, evaluar, autorizar y monitorear.
1.10 Comprender y aplicar conceptos y metodologías de modelado de amenazas Cuando realiza el modelado de amenazas para su organización, documenta las amenazas potenciales y prioriza esas amenazas (a menudo poniéndose en la mentalidad de un atacante). Hay cuatro métodos bien conocidos. STRIDE, presentado en Microsoft en 1999, se centra en la suplantación de identidad del usuario, la manipulación, el repudio, la divulgación de información, la denegación de servicio y la elevación de privilegios. PASTA (proceso de simulación de ataques y análisis de amenazas) proporciona identificación, enumeración y puntuación dinámicas de amenazas. Trike utiliza modelos de amenazas basados en un modelo de requisitos. VAST (modelado de amenazas visual, ágil y simple) se aplica en toda la infraestructura de TI y el desarrollo de software sin necesidad de expertos en seguridad.
•
Metodologías de modelado de amenazas. Parte del trabajo del equipo de seguridad es identificar amenazas. Puede identificar amenazas utilizando diferentes métodos:
•
Concéntrese en los atacantes. Este es un método útil en situaciones específicas. Por ejemplo, suponga que se termina el empleo de un desarrollador. Después de extraer datos de la computadora del desarrollador, determina que la persona estaba descontenta y enojada con el equipo de administración. Ahora sabe que esta persona es una amenaza y puede concentrarse en lo que podría querer lograr. Sin embargo, fuera de situaciones específicas como esta, las organizaciones generalmente no están familiarizadas con sus atacantes.
•
Concéntrese en los activos. Es probable que los atacantes apunten a los activos más valiosos de su organización. Por ejemplo, si tiene una gran cantidad de bases de datos, la base de datos con la información de recursos humanos y empleados puede ser la más buscada.
•
Concéntrese en el software. Muchas organizaciones desarrollan aplicaciones internamente, ya sea para su propio uso o para el uso del cliente. Puede considerar su software como parte de sus esfuerzos de identificación de amenazas. El objetivo no es identificar todos los ataques posibles, sino centrarse en el panorama general, como si las aplicaciones son susceptibles a ataques DoS o de divulgación de información.
•
Conceptos de modelado de amenazas. Si comprende las amenazas a su organización, entonces está listo para documentar los posibles vectores de ataque. Puede utilizar los diagramas para enumerar las diversas tecnologías amenazadas. Por ejemplo, suponga que tiene un servidor de SharePoint que almacena información confidencial y, por lo tanto, es un objetivo potencial. Puede diagramar el entorno que se integra con SharePoint. Puede enumerar los firewalls perimetrales, el proxy inverso en la red perimetral, los servidores de SharePoint en la granja y los servidores de bases de datos. Por separado, es posible que tenga un diagrama que muestre la integración de SharePoint con Active Directory y otras aplicaciones. Puede utilizar estos diagramas para identificar los vectores de ataque contra las diversas tecnologías.
17
1.11 Aplicar conceptos de gestión basados en riesgos a la cadena de suministro Las organizaciones deben utilizar conceptos de gestión basados en riesgos cuando subcontratan tareas (como contratar una empresa de aire acondicionado para mantener el aire acondicionado en sus centros de datos), atraer nuevos proveedores o utilizar empresas de servicios para transportar sus mercancías. Muchos de estos conceptos también se aplican a fusiones y adquisiciones.
•
Riesgos asociados con hardware, software y servicios. La empresa debe realizar la diligencia debida, que incluye examinar la infraestructura de TI del proveedor. Al pensar en las consideraciones de riesgo, debe considerar:
•
Hardware. ¿La empresa utiliza hardware anticuado que presenta posibles problemas de disponibilidad? ¿La empresa utiliza hardware heredado que no está siendo parcheado por el proveedor? ¿Habrá problemas de integración con el hardware?
•
Software. ¿La empresa utiliza software que no tiene soporte o de un proveedor que ya no está en el negocio? ¿El software está actualizado con los parches de seguridad? ¿Existen otros riesgos de seguridad asociados con el software?
•
Servicios. ¿La empresa ofrece servicios para otras empresas o para usuarios finales? ¿La empresa depende de proveedores externos para servicios (como aplicaciones SaaS)? ¿Evaluó la empresa a los proveedores de servicios de forma que le permitiera cumplir con sus requisitos? ¿La empresa brinda servicios a sus competidores? Si es así, ¿introduce eso algún conflicto de intereses?
•
Evaluación y seguimiento de terceros. Antes de aceptar hacer negocios con otra empresa, su organización necesita aprender todo lo que pueda sobre esa empresa. A menudo, las evaluaciones de terceros se utilizan para ayudar a recopilar información y realizar la evaluación. Una evaluación in situ es útil para obtener información sobre la seguridad física y las operaciones. Durante la revisión de documentos, su objetivo es revisar a fondo toda la arquitectura, los diseños, las implementaciones, las políticas, los procedimientos, etc. Debe tener una buena comprensión del estado actual del entorno, especialmente para poder comprender cualquier deficiencia o problema de cumplimiento antes a la integración de las infraestructuras de TI. Debe asegurarse de que la infraestructura de la otra empresa cumpla con todos los requisitos de seguridad y cumplimiento de su empresa. El nivel de acceso y la profundidad de la información que puede obtener suelen estar directamente relacionados con la estrecha colaboración entre sus empresas. Por ejemplo, si una empresa es su proveedor principal de un componente de hardware crítico, entonces una evaluación exhaustiva es fundamental. Si la empresa es una de las 3 empresas de reparto que se utilizan para transportar mercancías desde su almacén, entonces la evaluación es importante, pero no tiene que ser tan profunda.
•
Requisitos mínimos de seguridad. Como parte de la evaluación, se deben establecer los requisitos mínimos de seguridad. En algunos casos, los requisitos mínimos de seguridad son los requisitos de seguridad de su empresa. En otros casos, se establecen nuevos requisitos mínimos de seguridad. En tales escenarios, los requisitos mínimos de seguridad deben tener un período definido, como 12 meses.
•
Requisitos de nivel de servicio. Un área final para revisar son los acuerdos de nivel de servicio (SLA). Las empresas tienen SLA para operaciones internas (como el tiempo que tarda el servicio de asistencia técnica en responder a un nuevo ticket), para los clientes (como la disponibilidad de un servicio de cara al público) y para las organizaciones asociadas (como la cantidad de soporte proveedor proporciona un socio). Se deben revisar todos los SLA de la empresa. A veces, su empresa tiene un estándar de SLA que debe aplicarse, cuando sea posible, a los SLA como parte del trabajo con otra empresa. Esto puede
18
a veces lleva tiempo, ya que la empresa adquirente puede tener que respaldar los SLA establecidos hasta que caduquen o se produzca la renovación.
1.12 Establecer y mantener un programa de formación, educación y concienciación sobre seguridad
Esta sección del examen cubre todos los aspectos para garantizar que todos en su organización estén conscientes de la seguridad y estén familiarizados con las políticas y procedimientos de la organización. En general, es más eficaz comenzar con una campaña de concientización y luego brindar capacitación detallada. Por ejemplo, enseñar a todo el mundo sobre el malware o las campañas de phishing antes de que comprendan el panorama general del riesgo no es muy eficaz.
•
Métodos y técnicas para presentar sensibilización y formación. Si bien el equipo de seguridad de la información generalmente está bien versado en seguridad, el resto de la organización a menudo no lo es. Como parte de tener un programa de seguridad completo, la organización debe brindar educación, capacitación y concientización sobre seguridad a todo el personal. Los empleados deben comprender de qué deben estar al tanto (tipos de amenazas, como phishing o memorias USB gratuitas), comprender cómo realizar su trabajo de forma segura (cifrar datos confidenciales, proteger físicamente activos valiosos) y cómo la seguridad juega un papel importante imagen (reputación de la empresa, beneficios y pérdidas). La formación debe ser obligatoria y debe proporcionarse tanto a los nuevos empleados como anualmente (como mínimo) para la formación continua. Deben realizarse pruebas de rutina de seguridad operativa (como estar a la puerta de la empresa y pruebas de ingeniería social como campañas de phishing).
•
Revisiones periódicas de contenido. Las amenazas son complejas y la formación debe ser relevante e interesante para que sea eficaz. Esto significa actualizar los materiales de formación y la formación de sensibilización, y cambiar las formas en que se prueba y mide la seguridad. Si siempre usa la misma campaña de prueba de phishing o la envía desde la misma cuenta el mismo día del año, no es efectiva. Lo mismo se aplica a otros materiales. En lugar de depender de una documentación de seguridad larga y detallada para la capacitación y la concientización, considere usar herramientas de redes sociales internas, videos y campañas interactivas.
•
Evaluación de la efectividad del programa. Se debe asignar tiempo y dinero para evaluar la concienciación y la capacitación en seguridad de la empresa. La empresa debe realizar un seguimiento de las métricas clave, como el porcentaje de empleados que hacen clic en un enlace en un correo electrónico de prueba de phishing. ¿El conocimiento y la formación están reduciendo el número total de clics? Si es así, el programa es efectivo. Si no es así, debe volver a evaluarlo.
19
Preguntas de revisión del dominio 1 Lea y responda las siguientes preguntas. Si no acierta al menos uno de ellos, dedique más tiempo al tema. Luego continúe con el Dominio 2.
1. Eres consultor de seguridad. Un cliente de una gran empresa lo contrata para garantizar que sus operaciones de seguridad sigan los marcos de control estándar de la industria. Para este proyecto, el cliente quiere que se concentre en soluciones tecnológicas que desalienten las actividades maliciosas. ¿En qué tipo de marco de control debería centrarse?
a. Preventivo
segundo. Disuasorio
C. detective re. Correctivo mi. Evaluación 2.
Está realizando un análisis de riesgo para un proveedor de servicios de Internet (ISP) que tiene miles de clientes en su red de banda ancha. Durante los últimos 5 años, algunos clientes se vieron comprometidos o experimentaron violaciones de datos. El ISP tiene una gran cantidad de datos de seguimiento y registro para todos los clientes. Debe averiguar las posibilidades de que otros clientes experimenten un incidente de seguridad en función de esos datos. ¿Qué tipo de enfoque debería utilizar para el análisis de riesgos?
a. Cualitativo
segundo. Cuantitativo
C. PASO re. Reducción mi. Mercado
3. Estás trabajando en un proyecto de continuidad empresarial para una empresa que genera una gran cantidad de contenido cada día para su uso en redes sociales. Su equipo establece 4 horas como la pérdida de datos máxima tolerable en un evento de recuperación de desastres o continuidad del negocio. ¿En qué parte del plan de continuidad del negocio debería documentar esto? a. Objetivo de tiempo de recuperación (RTO)
segundo. Objetivo de punto de recuperación (RPO)
C. Tiempo de inactividad máximo tolerable (MTD)
re. Tolerancia máxima de datos (MDT)
20
Respuestas a las preguntas de revisión del dominio 1 1. Respuesta: B Explicación: Los marcos de disuasión están relacionados con la tecnología y se utilizan para desalentar las actividades maliciosas. Por ejemplo, un sistema de prevención de intrusiones o un firewall sería apropiado en este marco.
Hay otros tres marcos de control primarios. Un marco preventivo ayuda a establecer políticas de seguridad y capacitación en conciencia de seguridad. Un marco detectivesco se centra en encontrar actividad no autorizada en su entorno después de un incidente de seguridad. Un marco correctivo se centra en las actividades para recuperar su entorno después de un incidente de seguridad. No existe un marco de evaluación.
2. Respuesta: B
Explicación: Tiene tres métodos de análisis de riesgo para elegir: cualitativo (que usa una matriz de análisis de riesgo), cuantitativo (que usa dinero o métricas para calcular) o híbrido (una combinación de cualitativo y cuantitativo pero no una opción de respuesta en este escenario ). Debido a que el ISP tiene datos de seguimiento y registro, debe utilizar un enfoque cuantitativo; ayudará a cuantificar las posibilidades de que otros clientes experimenten un riesgo de seguridad.
STRIDE se utiliza para modelar amenazas. Se utiliza un enfoque de mercado para la valoración de activos. Un análisis de reducción intenta eliminar el análisis duplicado y está vinculado al modelado de amenazas.
3. Respuesta: B Explicación: El RTO establece la cantidad máxima de tiempo que la organización estará inactiva (o cuánto tiempo se tarda en recuperarse), el RPO establece la pérdida máxima de datos que es tolerable, el MTD cubre el tiempo de inactividad máximo tolerable y MDT es solo una frase inventada utilizado como distracción. En este escenario, con el foco en la pérdida de datos, la respuesta correcta es RPO.
21
Dominio 2. Seguridad de los activos Cuando pensamos en activos, algunas personas consideran solo activos físicos, como edificios, terrenos y computadoras. Pero la seguridad de los activos para el examen CISSP se centra en activos virtuales como la propiedad intelectual y los datos. (En el dominio 3, habrá algunos temas de seguridad física).
2.1 Identificar y clasificar información y activos Para mejorar la seguridad, debe identificar tanto sus datos como sus activos físicos y clasificarlos de acuerdo con su importancia o sensibilidad, de modo que pueda especificar los procedimientos para manejarlos adecuadamente en función de su clasificación.
•
Clasificación de datos. Las organizaciones clasifican sus datos mediante etiquetas. Es posible que esté familiarizado con dos etiquetas de clasificación gubernamentales, Secret y Top Secret. Las organizaciones no gubernamentales generalmente usan etiquetas de clasificación como Público, Solo para uso interno, Solo para socios o Confidencial de la empresa. Sin embargo, la clasificación de datos puede ser más granular; por ejemplo, puede etiquetar determinada información como HR Only.
•
Clasificación de activos. También necesita identificar y clasificar activos físicos, como computadoras, teléfonos inteligentes, escritorios y automóviles de empresa. A diferencia de los datos, los activos generalmente se identifican y clasifican por tipo de activo. A menudo, la clasificación de activos se utiliza con fines contables, pero también puede estar vinculada a la seguridad de la información. Por ejemplo, una organización puede designar un conjunto de computadoras portátiles especiales con un software específico instalado y asignarlas a los empleados cuando viajan a destinos de alto riesgo, para que sus activos diarios puedan permanecer seguros en casa.
Las etiquetas de clasificación ayudan a los usuarios a difundir datos y activos correctamente. Por ejemplo, si Sue tiene un documento clasificado como Solo para uso de socios, sabe que solo se puede distribuir a socios; cualquier distribución adicional constituye una violación de la política de seguridad. Además, algunas soluciones de prevención de pérdida de datos pueden utilizar datos de clasificación para ayudar a proteger los datos de la empresa automáticamente. Por ejemplo, un servidor de correo electrónico puede evitar que los documentos clasificados como Solo para uso interno se envíen fuera de la organización.
Las personas con la autorización adecuada pueden ver determinadas clasificaciones de datos o comprobar ciertos tipos de equipos de la empresa (como un camión de la empresa). Si bien la autorización a menudo se asocia con los gobiernos o las fuerzas armadas, también es útil para las organizaciones. Algunas organizaciones lo usan de manera rutinaria en sus entornos, mientras que otras organizaciones lo usan para escenarios especiales, como una fusión o adquisición. Cuando estudie para esta sección, concéntrese en comprender los siguientes conceptos:
•
Despeje. La autorización dicta quién tiene acceso a qué. Generalmente, una cierta autorización proporciona acceso a una determinada clasificación de datos o ciertos tipos de equipos. Por ejemplo, la autorización secreta da acceso a documentos secretos, y una organización policial puede requerir un nivel de autorización particular para el uso de armamento pesado.
•
Aprobación de acceso formal. Siempre que un usuario necesite obtener acceso a datos o activos a los que no tiene acceso actualmente, debe haber un proceso de aprobación formal. El proceso debe incluir la aprobación del propietario de los datos, a quien se le deben proporcionar detalles sobre el acceso que se solicita. Antes de que a un usuario se le conceda acceso a los datos, se le deben informar las reglas y los límites para trabajar con ellos. Por ejemplo, deben tener en cuenta que no deben enviar documentos fuera de la organización si están clasificados como internos únicamente.
22
•
Necesito saber. Suponga que su empresa está adquiriendo otra empresa pero aún no se ha anunciado. El CIO, que está al tanto de la adquisición, necesita que el personal de TI revise algunos diagramas de red redactados como parte del proceso de diligencia debida. En tal escenario, el personal de TI solo recibe la información que necesita saber (por ejemplo, que es un diseño de red y la empresa está interesada en su compatibilidad con su propia red). El personal de TI no necesita saber sobre la adquisición en ese momento. Esto es "necesito saber".
2.2 Determinar y mantener la propiedad de la información y los activos Si no sabe quién es el propietario de un dato, ¿cómo puede pasar por un proceso formal de aprobación de acceso? No puedes, al menos no con tanta eficacia. De manera similar, no puede contabilizar adecuadamente los activos si no sabe qué departamento los posee, o asignar el tipo correcto de computadora portátil para viajes de alto riesgo si no tiene los activos clasificados.
Los propietarios de los datos son responsables de clasificar los datos que poseen. En empresas más grandes, un departamento de gestión de activos se encarga de la clasificación de activos. Un custodio es un rol práctico que implementa y opera soluciones para datos (por ejemplo, copias de seguridad y restauraciones). El propietario del sistema es responsable del entorno informático (hardware, software) que alberga los datos; Este suele ser un rol de gestión con tareas operativas que se transfieren al custodio.
2.3 Proteger la privacidad Todos los trabajadores deben conocer las políticas y los procedimientos de privacidad de la empresa y saber cómo comunicarse con los propietarios de los datos en caso de un problema. Los términos clave para comprender incluyen los siguientes:
•
Propietarios de datos. Los propietarios de datos suelen ser miembros del equipo directivo o de alta dirección. Aprueban el acceso a los datos (generalmente aprobando las políticas de acceso a los datos que se utilizan en el día a día).
•
Procesadores de datos. Los procesadores de datos son los usuarios que leen y editan los datos con regularidad. Los usuarios deben comprender claramente sus responsabilidades con los datos basados en su clasificación. ¿Pueden compartirlo? ¿Qué pasa si accidentalmente lo pierden o lo destruyen?
•
Remanencia de datos. La remanencia de datos ocurre cuando los datos se eliminan pero siguen siendo recuperables. Cada vez que elimina un archivo, el sistema operativo marca el espacio que ocupó el archivo como disponible. Pero los datos siguen ahí y, con herramientas de descarga gratuita, puede extraerlos fácilmente. Las organizaciones deben tener en cuenta la remanencia de datos para asegurarse de que están protegiendo sus datos. Hay algunas opciones:
•
Eliminación o sobrescritura segura de datos. Puede usar una herramienta para sobrescribir el espacio que estaba usando un archivo con 1 y 0 aleatorios, ya sea en una pasada o en varias pasadas. Cuantos más pases utilice, menos probable será que se puedan recuperar los datos.
•
Destruyendo los medios. Puede triturar unidades de disco, romperlas en pedazos pequeños o utilizar otros medios para destruirlas físicamente. Esto es efectivo, pero deja los medios inutilizables a partir de entonces.
•
Desmagnetización. La desmagnetización se basa en la eliminación o reducción de campos magnéticos en las unidades de disco. Es muy eficaz y cumple con muchos requisitos gubernamentales para la remanencia de datos.
23
•
Limitación de la colección. La seguridad a menudo se centra en proteger los datos que ya tiene. Pero parte de la protección de datos consiste en limitar la cantidad de datos que recopila su organización. Por ejemplo, si recopila las fechas de nacimiento o los números de tarjetas de identificación de los usuarios, debe proteger esos datos. Si su organización no necesita los datos, no debería recopilarlos. Muchos países están promulgando leyes y regulaciones para limitar la recopilación de datos. Pero muchas organizaciones no lo saben y continúan recopilando grandes cantidades de datos confidenciales. Debe tener una política de privacidad que especifique qué información se recopila, cómo se usa y otros detalles pertinentes.
2.4 Garantizar la retención de activos adecuada Hay dos aspectos de la retención de datos: debe asegurarse de que su organización conserve los datos durante el tiempo que sea necesario, y también de que elimine de forma segura los datos que ya no son necesarios para reducir el riesgo de exposición. Para determinar cuánto tiempo conservar ciertos datos, debe considerar si los datos siguen siendo útiles para su organización y si existen regulaciones, razones legales o políticas de la empresa que requieran su retención. En muchos casos, una empresa debe conservar los datos durante más tiempo del que aportan valor; por ejemplo, su organización puede tener una política para retener los datos del correo electrónico durante 7 años, independientemente de su valor. Como parte de sus políticas de seguridad integrales, debe garantizar la destrucción de los datos innecesarios.
Además de los datos, esta sección también cubre el hardware y el personal necesarios para utilizar los datos. Estos son muy importantes.
•
Hardware. Incluso si mantiene los datos durante el período de retención apropiado, no le servirá de nada si no tiene hardware que pueda leer los datos. Por ejemplo, si tiene datos en cintas de respaldo y los conserva durante 10 años, corre el riesgo de no poder leer las cintas hacia el final del período de retención porque el hardware de la cinta cambia cada pocos años. Por lo tanto, debe asegurarse de tener el hardware y el software relacionado (unidades de cinta, lectores de medios, etc.) necesarios para acceder a los datos que está guardando.
•
Personal. Suponga que su empresa retiene datos durante los períodos de tiempo requeridos y mantiene el hardware para leer los datos. Pero, ¿qué sucede si la única persona que sabía cómo operar sus unidades de cinta y restaurar datos de ellas ya no trabaja en la empresa y el nuevo equipo solo está familiarizado con la copia de seguridad de disco a disco? ¡Es posible que no pueda acceder a sus datos! Al documentar todos los procedimientos y la arquitectura, puede minimizar este riesgo.
2.5 Determinar los controles de seguridad de los datos Necesita controles de seguridad de datos que protejan sus datos a medida que se almacenan, utilizan y transmiten.
•
•
Comprender los estados de los datos. La industria identifica tres estados de datos:
•
Los datos en reposo son datos almacenados en un medio de almacenamiento (disco, cinta, etc.).
•
Datos en movimiento son datos que se mueven desde una fuente (como una computadora) a un destino (como otra computadora).
•
Datos en uso son datos en los que se está trabajando activamente (por ejemplo, una persona que edita una hoja de cálculo).
Alcance y adaptación. El alcance es el proceso de finalizar qué controles están dentro del alcance y cuáles están fuera del alcance (no aplicable). La adaptación es el proceso de personalizar la implementación de controles para una organización.
24
•
Selección de estándares. La selección de estándares es el proceso mediante el cual las organizaciones planifican, eligen y documentan tecnologías y / o arquitecturas para su implementación. Por ejemplo, puede evaluar tres proveedores para una solución de firewall perimetral. Puede utilizar un proceso de selección de estándares para ayudar a determinar qué solución se adapta mejor a la organización. La selección de proveedores está estrechamente relacionada con la selección de estándares, pero se centra en los proveedores, no en las tecnologías o soluciones. El objetivo general es tener un proceso de selección objetivo y medible. Si repites el proceso con un equipo totalmente diferente, entonces deberían hacer la misma selección que el primer equipo. En tal escenario, sabría que su proceso de selección está funcionando como se esperaba.
•
Métodos de protección de datos. Las opciones para proteger los datos dependen de su estado:
•
Los datos en reposo. Puede cifrar datos en reposo. Debe considerar el cifrado para los volúmenes del sistema operativo y los volúmenes de datos, y también debe cifrar las copias de seguridad. Asegúrese de considerar todas las ubicaciones para los datos en reposo, como cintas, unidades USB, unidades externas, matrices RAID, SAN, NAS y medios ópticos.
•
Datos en movimiento. Los datos están en movimiento cuando se transfieren de un lugar a otro. A veces, se está moviendo de su red de área local a Internet, pero también puede ser interno a su red, como de un servidor a una computadora cliente. Puede cifrar los datos en movimiento para protegerlos. Por ejemplo, un servidor web utiliza un certificado para cifrar los datos que ve un usuario y usted puede utilizar IPsec para cifrar las comunicaciones. Hay muchas opciones. El punto más importante es utilizar el cifrado siempre que sea posible, incluso para los sitios web solo internos disponibles solo para los trabajadores conectados a su red de área local.
•
Datos en uso. Los datos en uso suelen estar en la memoria porque los está utilizando, por ejemplo, un desarrollador que trabaja en algunas actualizaciones de código o un usuario que ejecuta informes sobre las ventas de la empresa. Los datos deben estar disponibles para las aplicaciones relevantes y las funciones del sistema operativo. Existen algunas soluciones de terceros para cifrar datos en la memoria, pero la selección es limitada. Además de mantener los últimos parches implementados en todos los dispositivos informáticos, mantener un proceso estándar de compilación de computadoras y ejecutar software antivirus y antimalware, las organizaciones a menudo usan autenticación, monitoreo y registro sólidos para proteger los datos en uso.
2.6 Establecer requisitos de manejo de información y activos Esta sección cubre cómo las personas y los sistemas trabajan con datos. Esto incluye cualquier acción que pueda realizar con los datos, como leer, copiar, editar o eliminar. Es importante conocer los subtemas clave:
•
Marcas y etiquetas. Debe marcar los datos para asegurarse de que los usuarios sigan los requisitos de manipulación adecuados. Los datos pueden ser impresiones o soportes como discos o cintas de respaldo. Por ejemplo, si el proceso de revisión de su empleado está en papel, los documentos deben etiquetarse como confidenciales, de modo que cualquier persona que se encuentre con ellos accidentalmente sepa que no debe leerlos, sino que debe entregarlos al propietario de los datos o un miembro de la gerencia o de seguridad. equipo. También puede restringir el movimiento de datos confidenciales, como cintas de respaldo, a cierto personal oa ciertas áreas de sus instalaciones. Sin etiquetas, es posible que las cintas de respaldo no se manipulen de acuerdo con los requisitos de la empresa.
•
Almacenamiento. Puede almacenar datos de muchas formas, incluso en papel, disco o cinta. Para cada escenario, debe definir las ubicaciones de almacenamiento aceptables e informar a los usuarios sobre esas ubicaciones. Es común proporcionar una bóveda o caja fuerte para cintas de respaldo almacenadas en las instalaciones, por ejemplo. El personal que se ocupa de documentos confidenciales debe tener un
25
armario o almacenamiento seguro similar para esos documentos. Los usuarios deben tener un lugar para almacenar archivos de forma segura, como un volumen cifrado o una carpeta compartida cifrada.
•
Destrucción. Su organización debe tener una política para la destrucción de datos sensibles. La política debe cubrir todos los medios que su organización utiliza para almacenar datos: papel, disco, cinta, etc. Algunas clasificaciones de datos, como las que tratan con información sensible o confidencial, deben requerir la forma más segura de destrucción de datos, como destrucción física o eliminación segura de datos con múltiples pases de sobrescritura. Otras clasificaciones pueden requerir solo una pasada de sobrescritura. Lo más importante es documentar los requisitos para las diversas formas de medios y los niveles de clasificación. En caso de duda, destruya los datos como si estuvieran clasificados como los datos más confidenciales de su organización.
26
Preguntas de revisión del dominio 2 Lea y responda las siguientes preguntas. Si no obtiene al menos una respuesta correcta, dedique más tiempo al tema. Luego pasa al dominio 3.
1. Está realizando una auditoría de seguridad para un cliente. Durante la auditoría, encontrará varios casos de usuarios que obtienen acceso a los datos sin pasar por un proceso formal de aprobación de acceso. Como parte de la corrección, recomienda establecer un proceso de aprobación de acceso formal. ¿Qué función debe enumerar para aprobar políticas que dicten qué usuarios pueden obtener acceso a los datos?
a. Creador de datos
segundo. Procesador de datos
C. Custodio de datos
re. Propietario de datos
mi. Propietario del sistema
2. Su organización tiene el objetivo de maximizar la protección de los datos de la organización. Debe recomendar 3 métodos para minimizar la remanencia de datos en la organización. ¿Cuáles de los siguientes métodos debería recomendar? a. Formateo de volúmenes
segundo. Sobrescritura de datos
C. Cifrado de datos
re. Desmagnetización
mi. Destrucción física 3. Se está preparando para crear un entorno de nube híbrida para su organización. Tres proveedores presentan su solución propuesta. ¿Qué metodología debería utilizar su equipo para seleccionar la mejor solución? a. Selección de estándares
segundo. Desviación de estándares
C. Selección de proveedores
re. Revisión del proveedor
27
Respuestas a las preguntas de revisión del dominio 2 1. Respuesta: D Explicación: Cada propietario de datos es responsable de aprobar el acceso a los datos que posee. Por lo general, esto se maneja mediante la aprobación de políticas de acceso a datos que luego implementa el equipo de operaciones. Como parte de un proceso de aprobación de acceso formal, el propietario de los datos debe ser la última persona responsable del acceso a los datos.
2. Respuesta: B, D, E
Explicación: Cuando realiza una eliminación típica del sistema operativo, los datos permanecen en el medio pero el espacio en el medio se marca como disponible. Por lo tanto, los datos a menudo se pueden recuperar. Hay 3 métodos establecidos para prevenir la recuperación de datos: sobrescribir los datos (a veces denominada "eliminación segura" o "borrar"), desmagnetizar con imanes y destrucción física.
Dar formato a un volumen no hace que los datos sean irrecuperables, ni tampoco el cifrado de datos (si alguien tiene la clave de descifrado, los datos están en riesgo).
3. Respuesta: A Explicación: En este escenario, su objetivo es evaluar las soluciones presentadas, no los proveedores, por lo que debe utilizar un proceso de selección de estándares. Esto permitirá al equipo seleccionar la solución que mejor se adapte a las necesidades de la organización. Si bien un proceso de selección de proveedores es parte de la interacción con un proveedor, este escenario requiere específicamente la evaluación de las soluciones.
28
Dominio 3. Arquitectura e ingeniería de seguridad Este dominio es más técnico que algunos de los otros. Si ya trabaja en un puesto de ingeniero de seguridad, entonces tiene una ventaja en este dominio. Si no es así, asigne tiempo adicional para asegurarse de tener una comprensión firme de los temas. Tenga en cuenta que algunos de los conceptos de este dominio son de naturaleza fundamental, por lo que encontrará aspectos de ellos en los demás dominios.
3.1 Implementar y gestionar procesos de ingeniería utilizando principios de diseño seguro
Al administrar proyectos o procesos, debe utilizar principios probados para asegurarse de obtener una solución funcional que cumpla o supere los requisitos, se mantenga dentro del presupuesto y no presente riesgos innecesarios para la organización. Las siguientes son las fases de alto nivel de un proyecto:
•
Idea o concepto. Es posible que desee crear una aplicación o un nuevo sitio web, o implementar una nueva infraestructura virtualizada local. En esta etapa, la prioridad es mantenerse en un nivel alto, sin detalles. Necesita documentar a qué llegará la idea o el concepto. Por ejemplo, desea desarrollar una aplicación que permita a los clientes programar citas, administrar sus cuentas y pagar sus facturas.
•
Requisitos. Es importante documentar todos los requisitos de las distintas unidades de negocio y partes interesadas. Establezca requisitos funcionales (por ejemplo, la aplicación permitirá a los usuarios pagar facturas tomando una foto de su tarjeta de crédito) y requisitos no funcionales (por ejemplo, la aplicación debe cumplir con PCI DSS).
•
Diseño. A continuación, establezca un diseño para cumplir con los requisitos. Un diseño no se puede completar sin todos los requisitos. Por ejemplo, para saber qué tan robusta debe diseñar una infraestructura, necesita saber cuántos usuarios necesitan usar el sistema simultáneamente. Parte de la fase de diseño debe centrarse en la seguridad. Por ejemplo, debe tener en cuenta el principio de privilegio mínimo, valores predeterminados a prueba de fallas y segregación de funciones.
•
Desarrollar e implementar en un entorno de no producción. En esta fase, crea e implementa hardware, software y código según corresponda para su proyecto en un entorno de no producción (normalmente un entorno de desarrollo).
•
Prueba inicial. Los equipos prueban la implementación que no es de producción. El objetivo es encontrar y eliminar errores importantes, funciones faltantes y otros problemas. Es habitual volver a la fase anterior para realizar los cambios necesarios. De vez en cuando, es posible que incluso tenga que volver a la fase de diseño.
•
Implementación. Una vez que se hayan cumplido todos los requisitos y el equipo esté satisfecho, puede pasar a un entorno de garantía de calidad (QA). Allí, repetirá la fase de "desarrollo e implementación" y la fase de prueba. Luego, moverá la aplicación o el servicio al entorno de producción.
•
Apoyo. Después de implementar su solución, debe ponerla en funcionamiento. Los equipos de soporte y las rutas de escalada deberían haberse identificado como parte del diseño.
Hay muchas otras fases, como la capacitación del usuario, la comunicación y las pruebas de cumplimiento. Recuerde que omitir cualquiera de estos pasos reduce las posibilidades de tener una solución segura y exitosa.
29
3.2 Comprender los conceptos fundamentales de los modelos de seguridad Los modelos de seguridad permiten a las personas acceder solo a los datos clasificados para su nivel de autorización. Hay muchos modelos. Cubriremos Bell-LaPadula y Biba, los cuales usan fórmulas matemáticas. No es necesario que conozca las fórmulas u otros detalles del examen, pero debe estar familiarizado con los modelos y sus pros y contras.
•
Bell-LaPadula. Este modelo se estableció en 1973 para la Fuerza Aérea de los Estados Unidos. Se centra en la confidencialidad. El objetivo es asegurar que la información esté expuesta solo a aquellos con el nivel correcto de clasificación. Por ejemplo, si tiene una autorización secreta, puede leer datos clasificados como secretos, pero no datos de alto secreto. Este modelo tiene una metodología de “no lectura” (los usuarios con una autorización menor no pueden leer datos clasificados en un nivel superior) y de “no anotación” (los usuarios con una autorización superior a los datos no pueden modificar esos datos). Tenga en cuenta que Bell-LaPadula no aborda la "escritura", lo que podría permitir a un usuario con una autorización menor escribir datos clasificados en un nivel superior. Para abordar esta complejidad, este modelo a menudo se mejora con otros modelos que se centran en la integridad. Otra desventaja de este modelo es que no tiene en cuenta los canales encubiertos. Un canal encubierto es una forma de enviar datos en secreto a través de una conexión existente. Por ejemplo, puede enviar una sola letra dentro del encabezado de identificación de IP. Enviar un mensaje grande es lento. Pero a menudo dicha comunicación no se controla ni se detecta.
•
Biba. Lanzado en 1977, este modelo fue creado para complementar Bell-LaPadula. Su enfoque está en la integridad. La metodología es "no leer" (por ejemplo, los usuarios con una autorización de alto secreto no pueden leer datos clasificados como secretos) y "no escribir" (por ejemplo, un usuario con una autorización secreta no puede escribir datos en archivos clasificado como Top Secret). Al combinarlo con Bell-LaPadula, obtiene confidencialidad e integridad.
Hay otros modelos; por ejemplo, el Modelo de Clark-Wilson también se centra en la integridad.
3.3 Seleccionar controles basados en los requisitos de seguridad de los sistemas Para esta sección del examen, debe estar familiarizado con los Criterios comunes para la evaluación de la seguridad de la tecnología de la información. Los Criterios Comunes (CC) unifican los estándares más antiguos (CTCPEC, ITSEC y TCSEC) para proporcionar un estándar para evaluar los sistemas. Las evaluaciones de CC se centran en sistemas y productos relacionados con la seguridad. Los conceptos importantes para esta sección son:
•
Para realizar una evaluación, debe seleccionar el objetivo de evaluación (TOE). Puede ser un firewall o una aplicación antimalware.
•
El proceso de evaluación considerará el perfil de protección (PP), que es un documento que describe las necesidades de seguridad. Un proveedor puede optar por utilizar un perfil de protección específico para una solución en particular.
•
El proceso de evaluación observará el objetivo de seguridad (ST), que identifica las propiedades de seguridad para el TOE. El ST generalmente se publica para clientes y socios y está disponible para el personal interno.
•
La evaluación intentará medir el nivel de confianza de una característica de seguridad. Los requisitos de garantía de seguridad (SAR) están documentados y se basan en el desarrollo de la solución. Las acciones clave durante el desarrollo y las pruebas deben capturarse en el camino. Un nivel de garantía de la evaluación (EAL) es una calificación numérica que se utiliza para evaluar el rigor de una evaluación. La escala es EAL 1 (barata y fácil) a EAL7 (cara y compleja).
30
3.4 Comprender las capacidades de seguridad de los sistemas de información Esta sección se centra en las capacidades de componentes informáticos específicos. Por lo tanto, no es una sección en la que la experiencia práctica pueda brindarle una ventaja. Algunos de estos componentes se analizan en otras secciones, a veces con más detalle. Asegúrese de estar familiarizado con toda la información de esta sección. Para cualquier tema de esta sección que sea nuevo para usted, planee profundizar en el tema fuera de esta guía de estudio.
•
Protección de la memoria. En cualquier momento, un dispositivo informático puede ejecutar múltiples aplicaciones y servicios. Cada uno ocupa un segmento de memoria. El objetivo de la protección de la memoria es evitar que una aplicación o servicio afecte a otra aplicación o servicio. Hay dos métodos populares de protección de memoria:
•
Aislamiento de procesos. Prácticamente todos los sistemas operativos modernos proporcionan aislamiento de procesos, lo que evita que un proceso afecte a otro proceso.
•
Segmentación de hardware. El aislamiento de hardware es más estricto que el aislamiento de procesos; el sistema operativo asigna los procesos a ubicaciones de memoria dedicadas.
•
Virtualización. En entornos virtualizados, existen consideraciones especiales para maximizar la seguridad. El objetivo es evitar ataques a los hipervisores y garantizar que el compromiso de una VM no dé lugar a un compromiso de todas las VM del host. Muchas organizaciones optan por implementar sus máquinas virtuales de alta seguridad en hosts dedicados de alta seguridad. En algunos casos, las organizaciones tienen equipos (como el equipo responsable de la administración de identidades y accesos) que administran su propio entorno de virtualización para minimizar las posibilidades de un ataque interno.
•
Modulo de plataforma confiable. Un Trusted Platform Module (TPM) es un chip criptográfico que a veces se incluye con un servidor o computadora cliente. Un TPM amplía las capacidades de la computadora al ofrecer operaciones criptográficas basadas en hardware. Muchos productos de seguridad y soluciones de cifrado requieren un TPM. Por ejemplo, BitLocker Drive Encryption (una solución de cifrado de volumen incorporada) requiere un TPM para maximizar la seguridad del cifrado.
•
Interfaces. En este contexto, una interfaz es el método por el cual dos o más sistemas se comunican. Por ejemplo, cuando un cliente LDAP se comunica con un servidor de directorio LDAP, utiliza una interfaz. Cuando un cliente VPN se conecta a un servidor VPN, utiliza una interfaz. Para esta sección, debe conocer las capacidades de seguridad de las interfaces. Hay un par de capacidades comunes en la mayoría de las interfaces:
•
Cifrado. Cuando encripta las comunicaciones, un cliente y un servidor pueden comunicarse de forma privada sin exponer información a través de la red. Por ejemplo, si usa cifrado entre dos servidores de correo electrónico, las transacciones SMTP están cifradas y no están disponibles para los atacantes (en comparación con una transacción SMTP predeterminada que se realiza en texto sin formato). En algunos casos, una interfaz (como LDAP) proporciona un método (como LDAPS) para cifrar la comunicación. Cuando una interfaz no proporciona dicha capacidad, se puede utilizar IPsec u otro mecanismo de transporte cifrado.
•
Firma. También puede firmar la comunicación, ya sea que cifre o no los datos. La firma de comunicaciones le dice al receptor, sin duda, quién es el remitente (cliente). Esto proporciona no repudio. En un entorno de alta seguridad, debe esforzarse por cifrar y firmar todas las comunicaciones, aunque esto no siempre es posible.
31
•
Tolerancia a fallos. La tolerancia a fallas es una capacidad que se utiliza para mantener un sistema disponible. En caso de un ataque (como un ataque DoS), la tolerancia a fallas ayuda a mantener un sistema en funcionamiento. Los ataques complejos pueden apuntar a un sistema, sabiendo que el método de reserva es un sistema más antiguo o un método de comunicación susceptible de ser atacado.
3.5 Evaluar y mitigar las vulnerabilidades de arquitecturas, diseños y elementos de solución de seguridad Esta sección representa las vulnerabilidades presentes en una gran cantidad de tecnologías en un entorno. Debe sentirse cómodo revisando un entorno de TI, detectando las vulnerabilidades y proponiendo soluciones para mitigarlas. Para hacer esto, debe comprender los tipos de vulnerabilidades que suelen presentarse en un entorno y estar familiarizado con las opciones de mitigación.
•
Sistemas basados en clientes. Los equipos cliente son el punto de entrada más atacado. Un atacante intenta obtener acceso a un equipo cliente, a menudo mediante un ataque de phishing. Una vez que una computadora cliente se ve comprometida, el atacante puede lanzar ataques desde la computadora cliente, donde la detección es más difícil en comparación con los ataques que se originan en Internet. El software de productividad (procesadores de texto, aplicaciones de hojas de cálculo) y los navegadores son fuentes constantes de vulnerabilidades. Incluso los equipos cliente totalmente parcheados están en riesgo debido a ataques de phishing e ingeniería social. Para mitigar los problemas basados en el cliente, debe ejecutar un conjunto completo de software de seguridad en cada computadora cliente, incluidos antivirus, antimalware, antispyware y un firewall basado en host.
•
Sistemas basados en servidor. Si bien los atacantes a menudo tienen como objetivo la computadora cliente inicialmente, su objetivo a menudo es obtener acceso a un servidor, desde el cual pueden obtener acceso a grandes cantidades de datos y potencialmente a cualquier otro dispositivo en la red. Para mitigar el riesgo de ataques basados en servidor (ya sea atacando un servidor o desde un servidor), debe aplicar parches a los servidores con regularidad, a los pocos días de que se publiquen los nuevos parches, e incluso antes para los parches para las vulnerabilidades de ejecución remota de código. Además, debe utilizar una imagen de sistema operativo reforzado para todas las compilaciones de servidores. Por último, debe utilizar un cortafuegos basado en host para vigilar el tráfico sospechoso que se dirige hacia o desde los servidores.
•
Sistemas de bases de datos. Las bases de datos suelen almacenar los datos más importantes y confidenciales de una empresa, como transacciones con tarjetas de crédito, información de identificación personal de los empleados, listas de clientes e información confidencial de precios y proveedores. Los atacantes, incluso aquellos con acceso de bajo nivel a una base de datos, pueden intentar utilizar la inferencia y la agregación para obtener información confidencial. Los atacantes también pueden usar transacciones de bases de datos válidas para trabajar a través de datos mediante la minería de datos y el análisis de datos.
•
Sistemas criptográficos. El objetivo de un sistema criptográfico bien implementado es hacer un compromiso demasiado lento (como 5.000 años) o demasiado caro (como millones de dólares). Cada componente tiene vulnerabilidades: •
Software. El software se utiliza para cifrar y descifrar datos. Puede ser una aplicación independiente con una interfaz gráfica o un software integrado en el sistema operativo u otro software. Al igual que con cualquier software, a veces hay errores u otros problemas, por lo que es importante aplicar parches regulares.
•
Llaves. Una clave dicta cómo se aplica el cifrado a través de un algoritmo. Una clave debe permanecer secreta; de lo contrario, la seguridad de los datos cifrados está en riesgo. La longitud de la clave es una consideración importante. Para defenderse de los ataques rápidos de fuerza bruta, necesita una clave larga. En la actualidad, una clave de 256 bits suele ser el mínimo recomendado para el cifrado simétrico, y una clave de 2048 bits suele ser el mínimo recomendado para el cifrado asimétrico. Sin embargo, la longitud debe basarse en sus requisitos y la confidencialidad de los datos que se manejan.
32
•
Algoritmos. Hay muchos algoritmos (o cifrados) para elegir. Es una buena práctica utilizar un algoritmo con un gran espacio de claves (un espacio de claves representa todas las posibles permutaciones de una clave) y un valor de clave aleatorio grande (un valor de clave es un valor aleatorio utilizado por un algoritmo para el proceso de cifrado). Los algoritmos no son secretos, sino bien conocidos.
•
Protocolos. Existen diferentes protocolos para realizar funciones criptográficas. Transport Layer Security (TLS) es un protocolo muy popular que se utiliza en Internet, como para sitios bancarios o sitios que requieren cifrado. Hoy en día, la mayoría de los sitios (incluso Google) utilizan cifrado. Otros protocolos incluyen Kerberos e IPsec.
•
Sistemas de control industrial (ICS). Los sistemas de control de supervisión y adquisición de datos (SCADA) se utilizan para controlar dispositivos físicos como los que se encuentran en una planta o fábrica de energía eléctrica. Los sistemas SCADA son adecuados para entornos distribuidos, como los que se encuentran repartidos por continentes. Algunos sistemas SCADA todavía se basan en comunicaciones heredadas o patentadas. Estas comunicaciones están en riesgo, especialmente a medida que los atacantes están adquiriendo conocimiento de dichos sistemas y sus vulnerabilidades.
•
Sistemas basados en la nube. A diferencia de los sistemas locales, los sistemas basados en la nube están controlados principalmente por proveedores de la nube. A menudo, no tendrá acceso ni control del hardware, software o sistemas de soporte. Cuando trabaje con sistemas basados en la nube, debe concentrar sus esfuerzos en áreas que puede controlar, como los puntos de entrada y salida de la red (use firewalls y soluciones de seguridad similares), encriptación (use para todas las comunicaciones de red y datos en reposo) y control de acceso (utilice un sistema de gestión y acceso de identidad centralizado con autenticación multifactor). También debe recopilar datos de diagnóstico y seguridad de los sistemas basados en la nube y almacenar esa información en su sistema de gestión de eventos e información de seguridad. Con algunos proveedores de la nube, es posible que pueda configurar aspectos del servicio, como redes o acceso. En tales escenarios, asegúrese de que la configuración de su nube coincida o supere sus requisitos de seguridad locales. En entornos de alta seguridad, su organización debe tener un enfoque de nube dedicado. Por último, no olvide mirar a los proveedores de la nube y comprender su estrategia y tácticas de seguridad. Debe sentirse cómodo con el enfoque del proveedor antes de utilizar sus servicios en la nube.
•
Sistemas distribuidos. Los sistemas distribuidos son sistemas que trabajan juntos para realizar una tarea común, como almacenar y compartir datos, computar o proporcionar un servicio web. A menudo, no existe una gestión centralizada (especialmente con implementaciones de igual a igual). En los sistemas distribuidos, la integridad es a veces una preocupación porque los datos y el software se distribuyen en varios sistemas, a menudo en diferentes ubicaciones. Para aumentar el problema, a menudo hay una replicación que duplica datos en muchos sistemas.
•
Internet de las cosas (IoT). Al igual que los sistemas basados en la nube, tendrá un control limitado sobre los dispositivos de IoT. Principalmente, tendrá el control de la configuración y actualización. Y debería dedicar más tiempo a comprender ambos. Mantener los dispositivos de IoT actualizados con los parches de software es de vital importancia. Sin las últimas actualizaciones, los dispositivos suelen ser vulnerables a ataques remotos desde Internet. Esto es más riesgoso que los dispositivos solo internos. En el lado de la configuración, debe deshabilitar la administración remota y habilitar solo la comunicación segura (como a través de HTTPS), como mínimo. Al igual que con los sistemas basados en la nube, revise el proveedor de IoT para comprender su historial con las vulnerabilidades informadas, el tiempo de respuesta a las vulnerabilidades y el enfoque general de la seguridad. ¡No todos los dispositivos de IoT son adecuados para redes empresariales!
33
3.6 Evaluar y mitigar vulnerabilidades en sistemas basados en web Los sistemas basados en web son sistemas a los que se accede a través de Internet, a menudo (pero no siempre) a través de un navegador web. Los sistemas basados en la web a menudo están destinados a ser públicos, por lo que están expuestos a todo Internet. Esto los hace vulnerables a los atacantes que buscan objetivos fáciles, como versiones antiguas y sin parches de software de servidor web. Hay varias áreas para revisar cuando evalúa y mitiga vulnerabilidades en sistemas basados en web:
•
Software de servidor web. El software del servidor web debe ejecutar los últimos parches de seguridad. La ejecución de la última versión del software puede proporcionar funciones de seguridad mejoradas (y opcionales). Necesita tener registro, auditoría y monitoreo para sus servidores web. El objetivo de estos no es prevenir ataques, sino reconocer las señales de advertencia temprano, antes de un ataque o lo antes posible en el ataque. Después de un ataque, los registros pueden proporcionar información crítica sobre la vulnerabilidad, la fecha del compromiso y, a veces, incluso la identidad del atacante.
•
Puesto final de Seguridad. También necesita administrar el lado del cliente. Los clientes que visiten un servidor web comprometido podrían verse comprometidos. Para minimizar el riesgo de compromiso, necesita un enfoque de múltiples capas que incluya un navegador estandarizado configurado para alta seguridad, servidores proxy web para incluir en la lista negra servidores web defectuosos conocidos y rastrear el tráfico web, firewalls basados en host para bloquear el tráfico sospechoso y anti software de malware / anti-spyware / antivirus para detectar actividades sospechosas.
•
OWASP Top 10. El Open Web Application Security Project (OWASP) publica una lista de los 10 principales riesgos críticos de seguridad de las aplicaciones web. Debe leerlo y familiarizarse con estos riesgos. Ver https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf para más información. Éstos son dos de los más importantes:
•
Defectos de inyección (OWASP Top 10, # 1). Los defectos de inyección existen desde hace mucho tiempo. Dos de los más comunes son los ataques de inyección de SQL y los ataques de secuencias de comandos entre sitios (XSS). En un ataque de inyección, un atacante proporciona una entrada no válida a una aplicación web, que luego es procesada por un intérprete. Por ejemplo, un atacante podría utilizar caracteres especiales en un formulario basado en web para alterar la forma en que se procesa el formulario (por ejemplo, comentar la verificación de contraseña). La validación de entrada puede ayudar a minimizar las posibilidades de un ataque de inyección. Pero necesitas más que eso. Debe probar adecuadamente este tipo de escenarios antes de su lanzamiento. Una estrategia de mitigación común para los ataques de inyección de SQL es utilizar declaraciones preparadas y consultas parametrizadas; esto permite a la base de datos diferenciar entre código y datos.
•
Entidades externas XML / XXE (OWASP Top 10, # 4). En este tipo de ataque, el objetivo es pasar una entrada no válida (que contiene una referencia a una entidad externa) a una aplicación de análisis XML. Para minimizar el potencial de este ataque, puede desactivar las definiciones de tipo de documento (DTD).
3.7 Evaluar y mitigar vulnerabilidades en sistemas móviles Hoy en día, los sistemas móviles como los teléfonos inteligentes y las tabletas son computadoras en toda regla. Puede utilizarlos para conectarse a redes corporativas y para producir, consumir y compartir contenido. Por lo tanto, estos dispositivos deben tratarse como computadoras. Necesita implementar y mantener software de seguridad, como software anti-malware y antivirus. Debe utilizar el cifrado para almacenar datos en los dispositivos y para enviar y recibir datos, especialmente con la red corporativa. Debe aplicar los estándares y las políticas de seguridad de su organización, cuando corresponda. Por ejemplo, debe asegurarse de que los dispositivos ejecuten la última versión del software y tengan los últimos parches. Para implementar y mantener el
34
dispositivos con una configuración segura, necesita un software de administración centralizado para poder informar sobre vulnerabilidades y riesgos, y administrar dispositivos de forma masiva o con automatización. A nivel de dispositivo, debe requerir bloqueos de pantalla, autenticación y cifrado sólidos. Debe poder bloquear y borrar dispositivos de forma remota en caso de pérdida o robo de un dispositivo. Incluso con estas cosas en su lugar, debe restringir los sistemas móviles a datos no confidenciales, para que no puedan leer o almacenar PII u otra información confidencial.
3.8 Evaluar y mitigar vulnerabilidades en dispositivos integrados Además de administrar la seguridad de su infraestructura informática y computadoras, también debe pensar en otros sistemas que interactúan con su infraestructura informática. Hoy en día, eso incluye todo, desde cafeteras hasta pizarras blancas inteligentes y fotocopiadoras. Estos dispositivos están cada vez más conectados, y algunos de ellos son incluso dispositivos de IoT. Si bien estos dispositivos han tenido computadoras integradas en ellos durante algún tiempo, solían ser dispositivos independientes, no conectados a su red, por lo que el compromiso era extremadamente limitado y bastante raro. Hoy, debe tener en cuenta la siguiente información al administrar sus dispositivos integrados:
•
Algunos dispositivos están configurados de forma predeterminada para comunicarse con el fabricante y reportar información de salud o datos de diagnóstico. Debe estar al tanto de dicha comunicación. Desactívelo cuando sea posible. Como mínimo, asegúrese de que la configuración sea tal que no se pueda enviar información adicional junto con la información esperada.
•
Algunos dispositivos, de forma predeterminada, aceptan conexiones remotas desde cualquier lugar. A veces, las conexiones son para administración remota. Debe eliminar las opciones de conectividad remota para los dispositivos que no necesitan administrarse de forma remota.
•
Muchos sistemas integrados y sistemas de IoT están diseñados para su conveniencia, funcionalidad y compatibilidad; la seguridad suele ser lo último en la lista, por lo que la autenticación y la autorización a veces no existen. Además, muchos sistemas son pequeños y tienen una duración de batería limitada, por lo que a menudo no se utiliza el cifrado porque agota las baterías demasiado rápido y requiere una gran cantidad de energía de la CPU. Y sus sistemas existentes para administrar la seguridad de los dispositivos y administrar los parches probablemente no sean compatibles con los dispositivos de IoT, lo que dificulta la administración de las versiones de software y los parches. Los atacantes ya se han aprovechado de las fallas en los dispositivos de IoT; por ejemplo, una empresa se infectó con malware que se originó en una cafetera. A medida que aumente el número y la sofisticación de los dispositivos, es probable que los piratas informáticos exploren aún más este vector de ataque.
3.9 Aplicar criptografía La criptografía está presente en varias tecnologías. La aplicación de la criptografía es un gran tema que cubre varias tecnologías independientes. Para el examen, familiarícese con los conceptos de alto nivel sobre la aplicación de la criptografía y sus tecnologías relacionadas más que con la comprensión de los detalles de su implementación o soporte. Los subtemas a continuación son los temas clave descritos para esta sección. Si es nuevo en la criptografía o tiene una exposición limitada a ella, considere fuentes adicionales para profundizar.
•
Ciclo de vida criptográfico (por ejemplo, limitaciones criptográficas, gobernanza de algoritmos / protocolos). Cuando pensamos en el ciclo de vida de las tecnologías, a menudo pensamos en el soporte, el rendimiento y la confiabilidad del hardware y software. Cuando se trata de criptografía, las cosas son un poco diferentes: el ciclo de vida se centra directamente en la seguridad. A medida que aumenta la potencia informática, disminuye la fuerza de los algoritmos criptográficos. Es solo una cuestión de
35
tiempo antes de que haya suficiente potencia informática para aplicar la fuerza bruta a través de algoritmos existentes con tamaños de clave comunes. Debe pensar detenidamente en la vida útil de un certificado o plantilla de certificado y de los sistemas criptográficos. Más allá de la fuerza bruta, tiene otros problemas en los que pensar, como el descubrimiento de un error o un problema con un algoritmo o sistema. NIST define los siguientes términos que se utilizan comúnmente para describir algoritmos y longitudes de clave: aprobado (se especifica un algoritmo específico como recomendación de NIST o recomendación de FIPS), aceptable (algoritmo + longitud de clave es seguro hoy), obsoleto (algoritmo y longitud de clave es Está bien usar, pero conlleva algún riesgo), restringido (el uso del algoritmo y / o la longitud de la clave está desaprobado y debe evitarse), heredado (el algoritmo y / o la longitud de la clave están desactualizados y deben evitarse cuando sea posible),
•
Métodos criptográficos. Este subtema cubre los siguientes tres tipos de cifrado. Asegúrese de conocer las diferencias.
•
Simétrico. El cifrado simétrico utiliza la misma clave para el cifrado y el descifrado. El cifrado simétrico es más rápido que el cifrado asimétrico porque puede utilizar claves más pequeñas para el mismo nivel de protección. La desventaja es que los usuarios o sistemas deben encontrar una manera de compartir la clave de forma segura y luego esperar que la clave se use solo para la comunicación especificada.
•
Asimétrico. El cifrado asimétrico utiliza diferentes claves para el cifrado y el descifrado. Dado que una es una clave pública que está disponible para cualquier persona, este método a veces se denomina "cifrado de clave pública". Además de la clave pública, existe una clave privada que debe permanecer privada y protegida. El cifrado asimétrico no tiene problemas con la distribución de claves públicas. Si bien el cifrado asimétrico es más lento, es más adecuado para compartir entre dos o más partes. RSA es un estándar de cifrado asimétrico común.
•
Curvas elípticas. La criptografía de curva elíptica (ECC) es una implementación más reciente de cifrado asimétrico. El beneficio principal es que puede utilizar claves más pequeñas, lo que mejora el rendimiento.
•
Infraestructura de clave pública (PKI). Una PKI es una tecnología fundamental para aplicar la criptografía. Una PKI emite certificados a los usuarios y dispositivos informáticos, lo que les permite aplicar criptografía (por ejemplo, enviar mensajes de correo electrónico cifrados, cifrar sitios web o utilizar IPsec para cifrar las comunicaciones de datos). Hay varios proveedores que brindan servicios PKI. Puede ejecutar una PKI de forma privada y únicamente para su propia organización, puede adquirir certificados de un proveedor externo de confianza o puede hacer ambas cosas, lo cual es muy común. Una PKI se compone de autoridades de certificación (CA) (servidores que proporcionan una o más funciones de PKI, como proporcionar políticas o emitir certificados), certificados (emitidos a otras autoridades de certificación o para dispositivos y usuarios), políticas y procedimientos (como cómo se protege la PKI) y plantillas (una configuración predefinida para usos específicos, como una plantilla de servidor web). Hay otros componentes y conceptos que debe conocer para el examen:
•
Una PKI puede tener varios niveles. Tener un solo nivel significa que tiene uno o más servidores que realizan todas las funciones de una PKI. Cuando tiene dos niveles, a menudo tiene una CA raíz fuera de línea (un servidor que emite certificados a las CA emisoras pero permanece fuera de línea la mayor parte del tiempo) en un nivel y CA emisoras (los servidores que emiten certificados a dispositivos informáticos y usuarios) en el otro nivel. Los servidores del segundo nivel a menudo se denominan CA intermedias o CA subordinadas. Agregar un tercer nivel significa que puede tener CA que solo son responsables de emitir políticas (y representan el segundo nivel en una jerarquía de tres niveles). En tal escenario, las autoridades de certificación de políticas también deben permanecer fuera de línea y conectarse solo cuando sea necesario. En general,
36
Cuantos más niveles, más seguridad (pero la configuración adecuada es fundamental). Cuantos más niveles tenga, más compleja y costosa será la creación y el mantenimiento de la PKI.
•
Una PKI debe tener una política de certificados y una declaración de prácticas de certificación (CSP). Una política de certificados documenta cómo su empresa maneja elementos como las identidades de los solicitantes, el uso de certificados y el almacenamiento de claves privadas. Un CSP documenta la configuración de seguridad de su PKI y generalmente está disponible para el público.
•
Además de emitir certificados, una PKI tiene otras funciones. Por ejemplo, su PKI debe poder proporcionar información de revocación de certificados a los clientes. Si un administrador revoca un certificado que se ha emitido, los clientes deben poder obtener esa información de su PKI. Otro ejemplo es el almacenamiento de claves privadas e información sobre certificados emitidos. Puede almacenarlos en una base de datos o un directorio.
•
Prácticas de gestión de claves. Recuerde, la administración de claves puede resultar difícil con el cifrado simétrico, pero es mucho más simple con el cifrado asimétrico. Hay varias tareas relacionadas con la gestión de claves:
•
Creación y distribución de claves. La creación de claves se explica por sí misma. La distribución de claves es el proceso de enviar una clave a un usuario o sistema. Debe ser seguro y debe almacenarse de forma segura en el dispositivo informático; a menudo, se almacena en un almacén seguro, como el almacén de certificados de Windows.
•
Protección y custodia de llaves. Las llaves deben estar protegidas. Puede utilizar un método llamado custodia dividida que permite que dos o más personas compartan el acceso a una clave; por ejemplo, con dos personas, cada persona puede tener la mitad de la contraseña de la clave.
•
Rotación de claves. Si usa las mismas claves para siempre, corre el riesgo de que las claves se pierdan o sean robadas o de que se descifre su información. Para mitigar estos riesgos, debe retirar las claves antiguas e implementar las nuevas.
•
Destrucción de claves. Una clave se puede poner en estado de suspensión (retención temporal), revocación (revocada sin posibilidad de restablecimiento), vencimiento (vencido hasta que se renueve) o destrucción (como al final de un ciclo de vida o después de un compromiso).
•
Custodia de claves y recuperación de copias de seguridad de claves. ¿Qué sucede si encripta datos en su computadora portátil pero luego pierde su clave privada (por ejemplo, debido a la corrupción del perfil)? Normalmente, pierde los datos. Pero la custodia de claves permite el almacenamiento de una clave para su posterior recuperación. Esto es útil si se pierde una clave privada o si un caso judicial requiere un depósito en garantía en espera del resultado del juicio. También necesita tener un método para realizar copias de seguridad y recuperar claves. Muchas PKI ofrecen un método de copia de seguridad o recuperación, y debe aprovecharlo si los requisitos lo requieren.
•
Firmas digitales. Las firmas digitales son el método principal para proporcionar no repudio. Al firmar digitalmente un documento o correo electrónico, está proporcionando una prueba de que es el remitente. Las firmas digitales a menudo se combinan con el cifrado de datos para brindar confidencialidad.
•
No repudio. Para esta sección, el no repudio se refiere a los métodos para garantizar que el origen de los datos se pueda deducir con certeza. El método más común para afirmar la fuente de datos es utilizar firmas digitales, que se basan en certificados. Si Usuario1 envía un correo electrónico firmado a Usuario2, Usuario2 puede estar seguro de que el correo electrónico proviene de Usuario1. Aunque no es infalible. Por ejemplo, si User1 comparte sus credenciales en su computadora con User3, entonces User3 puede enviar un correo electrónico a User2 pretendiendo ser User1, y User2 no tendría forma de deducirlo. Es habitual combinar el no repudio con la confidencialidad (cifrado de datos).
37
•
Integridad. Una función hash implementa el cifrado con un algoritmo específico pero sin una clave. Es una función unidireccional. Cifrado poco probable, en el que puede descifrar lo que se ha cifrado, el hash no está destinado a descifrarse de la misma manera. Por ejemplo, si escribe la palabra "hola", podría terminar con "4cd21dba5fb0a60e26e83f2ac1b9e29f1b161e4c1fa7425e73048362938b4814". Cuando las aplicaciones están disponibles para descargar, los archivos de instalación suelen tener un hash. El hash se proporciona como parte de la descarga. Si el archivo cambia, el hash cambia. De esa manera, puede averiguar si tiene el archivo de instalación original o un archivo incorrecto o modificado. Los hash también se utilizan para almacenar contraseñas, con correo electrónico y para otros fines. Los hashes son susceptibles a la fuerza bruta. Si intentas codificar todas las palabras y frases posibles, eventualmente obtendrá el valor hash que coincida con cualquier hash que esté tratando de romper. La salazón proporciona protección adicional para el hash al agregar un valor adicional, generalmente aleatorio, a la fuente. Luego, el proceso de hash calcula el valor original de la fuente más el valor de sal. Por ejemplo, si su valor de fuente original es "Hola" y su valor de sal es "12-25-17-07: 02: 32", entonces "hola12-25-17-07: 02: 32" se convierte en hash. La salazón aumentó en gran medida la fuerza del hashing.
•
Métodos de ataques criptoanalíticos. Existen varios métodos para atacar la criptografía. Cada uno tiene fortalezas y debilidades. Los métodos principales son:
•
Fuerza bruta. En un ataque de fuerza bruta, se intentan todas las combinaciones posibles. Eventualmente, con suficiente tiempo, el ataque tendrá éxito. Por ejemplo, imagina un juego en el que tienes que adivinar el número entre 1 y 1,000 que elegí. Un ataque de fuerza bruta probaría todos los números entre 1 y 1,000 hasta que encontrara mi número. Esta es una versión muy simplificada de un ataque de fuerza bruta, pero el punto clave es que un ataque de fuerza bruta eventualmente tendrá éxito, siempre que esté usando el espacio de clave correcto. Por ejemplo, si se intenta forzar una contraseña a fuerza bruta, el espacio de la clave debe incluir todos los caracteres de la contraseña; si el espacio de la clave incluye solo letras pero la contraseña incluye un número, el ataque fallará.
•
Solo texto cifrado. En un ataque de solo texto cifrado, obtiene muestras de texto cifrado (pero no texto sin formato). Si tiene suficientes muestras de texto cifrado, la idea es que pueda descifrar el texto cifrado de destino basándose en las muestras de texto cifrado. Hoy, estos ataques son muy difíciles.
•
Texto sin formato conocido. En un ataque de texto sin formato conocido, tiene un archivo de texto sin formato existente y el texto cifrado correspondiente. El objetivo es obtener la clave. Si obtiene la clave, puede usarla para descifrar otro texto cifrado creado por la misma clave.
•
Gestión de derechos digitales. Cuando la gente piensa en la gestión de derechos digitales (DRM), piensa en las protecciones que se colocan en las películas y los juegos. Pero para el examen CISSP, realmente se trata de la protección de datos, como hojas de cálculo y mensajes de correo electrónico. Las organizaciones a menudo se refieren a la protección de datos como gestión de derechos digitales empresariales (E-DRM) o gestión de derechos de información (IRM). Varios proveedores ofrecen soluciones para proteger datos en archivos individuales. Todas las soluciones proporcionan un conjunto común de características fundamentales:
•
Restringir la visualización de un documento a un conjunto definido de personas
•
Restringir la edición de un documento a un grupo definido de personas
•
Caducar un documento (hacerlo ilegible después de una fecha específica)
•
Restringir la impresión de un documento a un grupo definido de personas
•
Proporcionar protección de documentos portátil de manera que la protección permanezca con el documento sin importar dónde esté almacenado, cómo esté almacenado o qué dispositivo informático o usuario lo abra.
38
Puede utilizar DRM, E-DRM o IRM para proteger los datos de su organización. Muchas de las soluciones también le permiten compartir datos de forma segura con organizaciones externas. A veces, este uso compartido se habilita a través de la federación. Otras veces, el uso de un proveedor de nube pública permite compartir entre organizaciones. DRM, E-DRM e IRM brindan a las empresas una forma de brindar confidencialidad a los documentos confidenciales. Además, algunas de las soluciones le permiten realizar un seguimiento de cuándo y dónde se visualizaron los documentos. Por último, algunas soluciones le permiten actualizar la protección de un documento (como eliminar un visor previamente autorizado) incluso después de que un documento se haya enviado y compartido con terceros.
3.10 Aplicar principios de seguridad al diseño de instalaciones y sitios Esta sección se aplica a la aplicación de principios de seguridad en centros de datos, salas de servidores, centros de operaciones de red y oficinas en las ubicaciones de una organización. Si bien algunas áreas deben ser más seguras que otras, debe aplicar principios de seguridad en todo su sitio para maximizar la seguridad y reducir el riesgo. La Prevención del Crimen a través del Diseño Ambiental (CPTED) es un conocido conjunto de pautas para el diseño seguro de edificios y espacios de oficinas. CPTED enfatiza tres principios:
•
Vigilancia natural. La vigilancia natural permite a las personas observar lo que sucede alrededor del edificio o campus mientras realizan su trabajo diario. También elimina áreas ocultas, áreas de oscuridad y obstáculos como vallas sólidas. En cambio, enfatiza las cercas bajas o transparentes, la iluminación adicional y el lugar apropiado de puertas, ventanas y pasillos para maximizar la visibilidad y disuadir el crimen.
•
Territorialidad. La territorialidad es el seccionamiento de áreas en función del uso del área. Por ejemplo, puede tener un área privada en el sótano de su edificio para almacenamiento de la empresa a largo plazo. Debe estar claramente designado como privado, con letreros, pisos diferentes y otros artefactos visibles. El estacionamiento de la empresa debe tener carteles que indiquen que es solo un estacionamiento privado. Las personas deben reconocer los cambios en el diseño del espacio y ser conscientes de que podrían mudarse a un área privada.
•
Control de acceso. El control de acceso es la implementación de impedimentos para garantizar que solo las personas autorizadas puedan acceder a un área restringida. Por ejemplo, puede colocar una puerta en el camino de entrada al estacionamiento. Para una sala de servidores sin personal, debe tener una puerta segura con cerraduras electrónicas, una cámara de seguridad y letreros que indiquen que la sala está prohibida para personas no autorizadas.
El objetivo general es disuadir a personas no autorizadas de acceder a una ubicación (o una parte segura de una ubicación), evitar que personas no autorizadas se escondan dentro o fuera de una ubicación y evitar que personas no autorizadas cometan ataques contra la instalación o el personal. Hay varias actividades más pequeñas relacionadas con el diseño del sitio y las instalaciones, como el mantenimiento y la conservación. Si su propiedad está deteriorada, descuidada o parece estar en mal estado, los atacantes tienen la impresión de que pueden hacer lo que quieran en su propiedad.
3.11 Implementar controles de seguridad en el sitio y las instalaciones La seguridad física es un tema que abarca todo el interior y exterior de las instalaciones de la empresa. Si bien los subtemas se centran en el interior, muchas de las mismas técnicas comunes también se aplican al exterior.
•
Armarios de cableado. Un armario de cableado suele ser una habitación pequeña que contiene hardware de TI. Es común encontrar dispositivos de telefonía y redes en un armario de cableado. Ocasionalmente, también tiene una pequeña cantidad de servidores en un armario de cableado. Acceso
39
al cableado más cercano debe restringirse a las personas responsables de administrar el hardware de TI. Debe utilizar algún tipo de control de acceso para la puerta, como un sistema de identificación electrónica o una cerradura de combinación electrónica. Desde una perspectiva de distribución, los armarios de cableado deben ser accesibles solo en áreas privadas del interior del edificio; las personas deben pasar por un centro de visitantes y una entrada controlada antes de poder ingresar a un armario de cableado.
•
Salas de servidores y centros de datos. Una sala de servidores es una versión más grande de un armario de cableado, pero no tan grande como un centro de datos. Una sala de servidores normalmente alberga equipos de telefonía, equipos de red, infraestructura de respaldo y servidores. Una sala de servidores debe tener los mismos requisitos mínimos que un armario de cableado. Si bien la habitación es más grande, debe tener solo una puerta de entrada; si hay una segunda puerta, debe ser solo una puerta de salida de emergencia. Es común utilizar alarmas de puerta para salas de servidores: si la puerta se mantiene abierta durante más de 30 segundos, la alarma se dispara. Todos los intentos de ingresar a la sala de servidores sin autorización deben registrarse. Después de varios intentos fallidos, se debe generar una alerta.
Los centros de datos están protegidos como salas de servidores, pero a menudo con un poco más de protección. Por ejemplo, en algunos centros de datos, es posible que deba usar su credencial tanto para ingresar como para salir, mientras que con una sala de servidores, es común poder salir con solo abrir la puerta. En un centro de datos, es común que un guardia de seguridad registre a los visitantes y otro guardia recorra el interior o el exterior. Algunas organizaciones establecen límites de tiempo para que las personas autorizadas permanezcan dentro del centro de datos. Dentro de un centro de datos, debe bloquear todo lo posible, como los gabinetes de almacenamiento y los racks de equipos de TI.
•
Instalaciones de almacenamiento de medios. Las instalaciones de almacenamiento de medios a menudo almacenan cintas de respaldo y otros medios, por lo que deben protegerse como una sala de servidores. También es común tener videovigilancia.
•
Almacenamiento de pruebas. Una sala de almacenamiento de pruebas debe protegerse como una sala de servidores o una instalación de almacenamiento de medios.
•
Área de trabajo restringida. Las áreas de trabajo restringidas se utilizan para operaciones sensibles, como operaciones de red u operaciones de seguridad. El área de trabajo también puede no estar relacionada con TI, como la bóveda de un banco. La protección debe ser como una sala de servidores, aunque la vigilancia por video generalmente se limita a los puntos de entrada y salida.
•
Servicios públicos y HVAC. Cuando se trata de servicios públicos como HVAC, debe pensar en los controles físicos. Por ejemplo, una persona no debería poder arrastrarse por las rejillas de ventilación o los conductos para llegar a un área restringida. Para la salud de su equipo de TI, debe usar sistemas HVAC separados. Todas las utilidades deben ser redundantes. Si bien es posible que un edificio lleno de cubículos no requiera un sistema de HVAC de respaldo, un centro de datos sí lo hace para evitar que el equipo de TI se sobrecaliente y falle. En un entorno de alta seguridad, el centro de datos debe estar en un sistema eléctrico diferente al de otras partes del edificio. Es común usar un generador de respaldo solo para el centro de datos, mientras que el cubículo principal y las áreas de oficina solo tienen iluminación de emergencia.
•
Cuestiones ambientales. Algunos edificios utilizan rociadores a base de agua para la extinción de incendios. En caso de incendio, apague la electricidad antes de encender los rociadores de agua (esto se puede automatizar). Es posible que se produzcan daños por agua; al encender los rociadores individuales, puede minimizar el daño por agua a solo lo que se requiere para apagar un incendio. Otros problemas relacionados con el agua incluyen inundaciones, una tubería reventada o desagües atascados. Además de los problemas del agua, existen otros problemas ambientales que pueden crear problemas, como terremotos, cortes de energía, tornados y viento. Estos problemas deben considerarse antes de decidirse por un sitio de centro de datos o un sitio de respaldo. Es una buena práctica tener su centro de datos secundario lo suficientemente lejos del centro de datos principal para que no esté en riesgo de problemas ambientales que afecten al centro de datos principal. Por ejemplo,
40
•
Prevención, detección y extinción de incendios. Los siguientes puntos clave destacan lo que debe saber para esta sección:
•
Prevención de fuego. Para prevenir incendios, debe implementar el equipo adecuado, probarlo y administrarlo. Esto incluye detectores de incendios y extintores de incendios. También debe asegurarse de que los trabajadores estén capacitados sobre qué hacer si ven un incendio y cómo almacenar adecuadamente el material combustible. Desde una perspectiva física, puede utilizar cortafuegos y puertas cortafuegos para ralentizar el avance de un incendio y dividirlo en compartimentos.
•
Detección de fuego. El objetivo es detectar un incendio lo antes posible. Por ejemplo, use detectores de humo, detectores de incendios y otros sensores (como sensores de calor).
•
Supresión de incendios. Necesita una forma de sofocar un incendio una vez que estalla. Tener palancas de emergencia para que los empleados tiren hacia abajo si ven un incendio puede ayudar a acelerar la respuesta de supresión (por ejemplo, llamando automáticamente al departamento de bomberos cuando se tira de la palanca). Puede utilizar un sistema de supresión de incendios a base de agua o minimizar las posibilidades de destruir equipos de TI eligiendo supresores de incendios que no sean de agua, como espumas, soluciones en polvo a base de CO2 o un sistema FM-200. Los sistemas FM-200 reemplazan al halón, que fue prohibido por agotar la capa de ozono. FM-200 es más caro que los rociadores de agua.
41
Preguntas de revisión del dominio 3 Lea y responda las siguientes preguntas. Si no obtiene al menos una respuesta correcta, dedique más tiempo al tema. Luego continúe con el Dominio 4.
1. Usted es un consultor de seguridad encargado de revisar el modelo de seguridad de una empresa. El modelo actual tiene las siguientes características:
•
Establece la confidencialidad de tal manera que las personas no pueden leer el acceso clasificado en un nivel superior a su autorización.
•
Prohíbe a los usuarios con una autorización específica escribir datos en un documento con un nivel de autorización más bajo.
Observa que el modelo actual no tiene en cuenta a alguien con un nivel de autorización bajo para escribir datos en un documento clasificado en un nivel superior a su autorización. Necesita implementar un modelo para mitigar esto. ¿En cuál de los siguientes principios de seguridad debería centrarse el nuevo modelo? a. Disponibilidad segundo. Gobernancia
C. Integridad re. Debida diligencia mi. Cuidado necesario
2. Está documentando los intentos de ataque a los sistemas de TI de su organización. El principal tipo de ataque fueron los ataques por inyección. ¿Qué definición debería utilizar para describir un ataque por inyección?
mi. Sobrecarga de un sistema o red F.
Conectar discos duros portátiles infectados
gramo. Capturar paquetes en una red h. Proporcionar una entrada no válida yo.
Interceptar y alterar las comunicaciones de la red
3. Está diseñando una infraestructura de clave pública para su organización. La organización ha emitido los siguientes requisitos para la PKI:
•
Maximice la seguridad de la arquitectura PKI
•
Maximice la flexibilidad de la arquitectura PKI
Debe elegir un diseño de PKI para cumplir con los requisitos. ¿Qué diseño deberías elegir? a. Una jerarquía de dos niveles con una CA raíz fuera de línea en el primer nivel y las CA emisoras en el segundo nivel segundo. Una jerarquía de dos niveles con una CA raíz en línea en el primer nivel y las CA emisoras en el segundo nivel
C. Una jerarquía de tres niveles con una CA raíz fuera de línea en el primer nivel, las CA de política fuera de línea en el segundo nivel y las CA emisoras en el tercer nivel
re. Una jerarquía de tres niveles con una CA raíz fuera de línea en el primer nivel, las CA de políticas en línea en el segundo nivel y las CA emisoras en el tercer nivel
42
Respuestas a las preguntas de revisión del dominio 3 1. Respuesta: C
Explicación: En este escenario, el modelo existente se centró en la confidencialidad. Para redondear el modelo y cumplir con el objetivo de evitar la "redacción", debe complementar el modelo existente con un modelo que se centre en la integridad (como Biba). Centrarse en la integridad asegurará que no tenga "escribir" (o "leer" tampoco, aunque ese no era un requisito en este escenario).
2. Respuesta: D
Explicación: Un ataque de inyección proporciona una entrada no válida a una aplicación o página web. El objetivo es crear esa entrada para que un intérprete de backend realice una acción no prevista por la organización (como ejecutar comandos administrativos) o se bloquee. Los ataques por inyección son maduros y se usan de forma rutinaria, por lo que es importante conocerlos y saber cómo protegerse contra ellos.
3. Respuesta: C
Explicación: Al diseñar una PKI, tenga en cuenta los principios básicos de seguridad: cuantos más niveles, más seguridad y más flexibilidad. Por supuesto, tener más niveles también significa más costos y complejidad. En este escenario, para maximizar la seguridad y la flexibilidad, debe utilizar una jerarquía de tres niveles con las CA raíz y las CA de políticas sin conexión. Las CA sin conexión mejoran la seguridad. Múltiples niveles, especialmente con el uso de políticas CA, mejoran la flexibilidad porque puede revocar una sección de la jerarquía sin afectar a la otra (por ejemplo, si una de las CA emisoras tenía una clave comprometida).
43
Dominio 4. Comunicación y seguridad de la red
La creación de redes puede ser uno de los temas más complejos del examen CISSP. Si tiene la suerte de tener experiencia en la red, este dominio no le resultará difícil. Sin embargo, si no tiene mucha experiencia en redes, dedique más tiempo a esta sección y considere profundizar en los temas que aún no tienen sentido después de leer esta sección.
4.1 Implementar principios de diseño seguro en la arquitectura de red Esta sección aborda los aspectos de diseño de las redes, centrándose en la seguridad. Si bien la función principal de la red es permitir la comunicación, la seguridad garantizará que la comunicación se realice solo entre dispositivos autorizados y que la comunicación sea privada cuando sea necesario.
•
Modelos de Interconexión de sistemas abiertos (OSI) y Protocolo de control de transmisión / Protocolo de Internet (TCP / IP).
El modelo de interconexión de sistemas abiertos (OSI) es el más común de los dos modelos de red predominantes. Sin embargo, en el contexto de CISSP, también debe conocer el modelo TCP / IP y cómo se compara con el modelo OSI. El modelo TCP / IP usa solo cuatro capas, mientras que el modelo OSI usa siete. La siguiente tabla resume las capas de cada modelo.
Número de capa
Modelo OSI
7
Solicitud
6
Presentación
5
Sesión
4
Transporte
3
Red
2
Enlace de datos
1
Físico
Modelo TCP / IP
Aplicaciones
TCP (host a host) IP
Acceso a la red
Mucha gente usa mnemónicos para memorizar las capas OSI. Un mnemónico popular para las capas OSI es "Todas las personas parecen necesitar procesamiento de datos".
•
Redes de Protocolo de Internet (IP). La red IP es lo que permite que los dispositivos se comuniquen. IP proporciona la base para que otros protocolos puedan comunicarse. La propia IP es un protocolo sin conexión. IPv4 es para direcciones de 32 bits e IPv6 es para direcciones de 128 bits. Independientemente de la versión que utilice para conectar dispositivos, normalmente utiliza TCP o UDP para comunicarse a través de IP. TCP es un protocolo orientado a la conexión que proporciona una comunicación confiable, mientras que UDP es un protocolo sin conexión que proporciona la mejor comunicación posible. Ambos protocolos utilizan números de puerto estandarizados para permitir que las aplicaciones se comuniquen a través de la red IP.
•
Implicaciones de los protocolos multicapa. Algunos protocolos utilizan simultáneamente varias capas del modelo OSI o TCP / IP para comunicarse y atravesar las capas en diferentes momentos. El proceso de atravesar estas capas se llama encapsulación. Por ejemplo, cuando una trama de Capa 2 se envía a través de una capa IP, los datos de Capa 2 se encapsulan en
44
un paquete de Capa 3, que agrega la información específica de IP. Además, esa capa puede tener otros datos TCP o UDP agregados para la comunicación de la Capa 4.
•
Protocolos convergentes. Al igual que la encapsulación, los protocolos convergentes permiten la comunicación a través de diferentes medios. Por ejemplo, FCoE envía comandos de control de canal de fibra típicos a través de Ethernet. Voice over IP (VoIP) envía SIP u otros protocolos de voz a través de redes IP típicas. En la mayoría de los casos, esto proporciona simplicidad, ya que la misma infraestructura se puede utilizar para múltiples escenarios. Sin embargo, también puede agregar complejidad al introducir más protocolos y dispositivos para administrar y mantener en esa misma infraestructura.
•
Redes definidas por software. A medida que crecen las redes, los servicios en la nube y la tenencia múltiple, la necesidad de administrar estas redes ha cambiado. Muchas redes siguen una topología de dos niveles (columna / hoja o núcleo / acceso) o de tres niveles (núcleo, distribución, borde / acceso). Si bien es posible que la red central no cambie con tanta frecuencia, los dispositivos periféricos o de acceso pueden comunicarse con una variedad de tipos de dispositivos e inquilinos. Cada vez más, el conmutador de acceso o de borde es un conmutador virtual que se ejecuta en un hipervisor o administrador de máquinas virtuales. Debe poder agregar una nueva subred o VLAN o realizar otros cambios de red a pedido. Debe poder realizar cambios de configuración de forma programática en varios dispositivos físicos, así como en los dispositivos de conmutación virtuales de la topología. Una red definida por software le permite realizar estos cambios para todos los tipos de dispositivos con facilidad.
•
Redes inalámbricas. Las redes inalámbricas se pueden dividir en los diferentes estándares 802.11. Los protocolos más comunes dentro de 802.11 se muestran en la siguiente tabla. Se han propuesto protocolos adicionales al IEEE, incluidos ad, ah, aj, ax, ay y az. Debe tener en cuenta la frecuencia que utiliza cada protocolo. Protocolo 802.11
Frecuencia
Tasa de flujo de datos
un
5 GHz
Hasta 54 Mbps
segundo
2,4 GHz
Hasta 11 Mbps
gramo
2,4 GHz
Hasta 54 Mbps
norte
2,4-5 GHz
Hasta 600 Mbps
C.A
5 GHz
Hasta 3466 Mbps
También debe estar familiarizado con los estándares de seguridad inalámbrica:
•
Privacidad equivalente por cable (WEP). WEP es un algoritmo de seguridad heredado para redes inalámbricas. Originalmente, era el único protocolo de cifrado para redes 802.11ay 802.11b. WEP usó claves de 64 bits a 256 bits, pero con un cifrado de flujo débil. WEP quedó obsoleto en 2004 a favor de WPA y WPA2. Hoy en día, se debe evitar la WEP.
•
Acceso protegido Wi-Fi (WPA). WPA utiliza el Protocolo de integridad de clave temporal (TKIP) con una clave de 128 bits por paquete. Sin embargo, WPA sigue siendo vulnerable al descifrado de contraseñas debido a la suplantación de paquetes en una red. WPA suele utilizar una clave precompartida (PSK) y un Protocolo de integridad de clave temporal (TKIP) para el cifrado. Esto se conoce como WPA Personal (que generalmente se usa en un entorno doméstico). También hay una empresa WPA que puede usar autenticación de certificado o un servidor de autenticación (como un servidor RADIUS).
•
Acceso protegido Wi-Fi II (WPA 2). WPA2 es el estándar actual para el cifrado inalámbrico. WPA2 se basa en el cifrado del Estándar de cifrado avanzado (AES) con verificación de autenticidad e integridad de mensajes. AES es más fuerte que TKIP. Al igual que WPA, WPA2 ofrece un modo PSK (para el hogar o pequeñas empresas) y un modo empresarial (conocido como WPA2-ENT). WPA2-ENT utiliza una nueva clave de cifrado cada vez que un usuario se conecta. los
45
la contraseña no se almacena en los dispositivos del cliente (a diferencia del modo PSK, que almacena las contraseñas localmente en los clientes).
Independientemente del método de seguridad que utilice, también debe utilizar TLS o IPsec para la comunicación de red. Por último, recuerde que las redes inalámbricas utilizan la prevención de colisiones, en lugar de la detección de colisiones que se utiliza en las redes cableadas.
4.2 Componentes de red seguros Los componentes de una red constituyen la columna vertebral de la infraestructura lógica de una organización. Estos componentes suelen ser fundamentales para las operaciones diarias, y una interrupción o un problema de seguridad pueden causar pérdidas comerciales por millones de dólares. Aquí hay cuestiones a las que debe prestar atención:
•
Operación de hardware. Los módems son un tipo de unidad de servicio de canal / unidad de servicio de datos (CSU / DSU) que se utiliza normalmente para convertir señales analógicas en digitales. En este escenario, la CSU maneja la comunicación con la red del proveedor, mientras que la DSU maneja la comunicación con el equipo digital interno (en la mayoría de los casos, un enrutador). Los módems normalmente operan en la Capa 2 del modelo OSI. Los enrutadores operan en la Capa 3 del modelo OSI y hacen que la conexión desde un módem esté disponible para múltiples dispositivos en una topología de red, incluidos conmutadores, puntos de acceso y dispositivos de punto final. Los conmutadores suelen estar conectados a un enrutador para permitir que varios dispositivos utilicen la conexión. Los conmutadores ayudan a proporcionar conectividad interna, así como a crear dominios de transmisión separados cuando se configuran con VLAN. Los conmutadores normalmente operan en la Capa 2 del modelo OSI,
•
Medios de transmisión. Los medios de transmisión cableados se pueden describir normalmente en tres categorías: coaxial, Ethernet y fibra. El coaxial se usa típicamente con instalaciones de cable módem para proporcionar conectividad a un ISP, y requiere un módem para convertir las señales analógicas a digitales. Si bien Ethernet se puede utilizar para describir muchos medios, normalmente se asocia con par trenzado sin blindaje (UTP) o par trenzado blindado (STP) de Categoría 5 y Categoría 6, y puede tener clasificación plenum para ciertas instalaciones. La fibra generalmente viene en dos opciones, monomodo o multimodo. El modo monomodo se usa típicamente para comunicaciones de larga distancia, a varios kilómetros o millas. La fibra multimodo se utiliza normalmente para una transmisión más rápida, pero con un límite de distancia que depende de la velocidad deseada. La fibra se usa con mayor frecuencia en el centro de datos para componentes de backend.
•
Dispositivos de control de acceso a la red (NAC). Por mucho que necesite controlar el acceso físico a los equipos y el cableado, debe utilizar controles lógicos para proteger una red. Existe una variedad de dispositivos que brindan este tipo de protección, incluidos los siguientes:
•
Cortafuegos con y sin estado puede realizar la inspección de los paquetes de red que lo atraviesan y utilizar reglas, firmas y patrones para determinar si el paquete debe entregarse. Las razones para descartar un paquete pueden incluir direcciones que no existen en la red, puertos o direcciones que están bloqueados o el contenido del paquete (como paquetes maliciosos que han sido bloqueados por una política administrativa).
•
Dispositivos de detección y prevención de intrusiones. Estos dispositivos monitorean la red en busca de tráfico de red inusual y suplantación de direcciones MAC o IP, y luego alertan o detienen activamente este tipo de tráfico.
46
•
Servidores proxy o proxy inverso. Los servidores proxy se pueden utilizar para enviar el tráfico vinculado a Internet a Internet, en lugar de que los clientes vayan directamente a Internet. Los proxies inversos a menudo se implementan en una red perimetral. Realizan comunicaciones proxy de Internet a un servidor interno, como un servidor web. Como un firewall, un proxy inverso puede tener reglas y políticas para bloquear ciertos tipos de comunicación.
•
Puesto final de Seguridad. El dicho "una cadena es tan fuerte como su eslabón más débil" también puede aplicarse a su red. La seguridad de los terminales puede ser la parte más difícil de administrar y mantener, pero también la parte más importante de la protección de una red. Puede incluir autenticación en dispositivos de punto final, autenticación multifactor, cifrado de volumen, túneles VPN y cifrado de red, acceso remoto, software antivirus y antimalware, y más. El acceso no autorizado a un dispositivo de punto final es uno de los métodos de puerta trasera más fáciles en una red porque la superficie de ataque es muy grande. Los atacantes a menudo se dirigen a dispositivos de punto final con la esperanza de usar el dispositivo comprometido como un punto de lanzamiento para el movimiento lateral y la escalada de privilegios. Más allá de los métodos tradicionales de protección de endpoints, existen otros que brindan seguridad adicional:
•
Lista blanca de aplicaciones. Solo las aplicaciones de la lista blanca pueden ejecutarse en el punto final. Esto puede minimizar las posibilidades de que se instalen o ejecuten aplicaciones maliciosas.
•
Restringir el uso de medios extraíbles. En una organización de alta seguridad, debe minimizar o eliminar el uso de medios extraíbles, incluidos los dispositivos de almacenamiento extraíbles que dependen de USB u otros métodos de conexión. Esto puede minimizar los archivos maliciosos que ingresan a la red desde el exterior, así como los datos que dejan a la empresa en pequeños mecanismos de almacenamiento.
•
Gestión de parches automatizada. La administración de parches es la tarea más crítica para mantener los endpoints. Debe parchear el sistema operativo, así como todas las aplicaciones de terceros. Más allá de los parches, mantenerse actualizado con las últimas versiones puede brindar una mayor seguridad.
•
Redes de distribución de contenido (CDN). Las CDN se utilizan para distribuir contenido a nivel mundial. Por lo general, se utilizan para descargar archivos grandes de un repositorio. Los repositorios se sincronizan globalmente y, luego, cada solicitud entrante de un archivo o servicio se dirige a la ubicación de servicio más cercana. Por ejemplo, si una solicitud proviene de Asia, un repositorio local en Asia, en lugar de uno en los Estados Unidos. proporcionaría el acceso al archivo. Esto reduce la latencia de la solicitud y normalmente utiliza menos ancho de banda. Las CDN suelen ser más resistentes a los ataques de denegación de servicio (DoS) que las redes corporativas típicas y, a menudo, son más resistentes.
•
Dispositivos físicos. La seguridad física es uno de los aspectos más importantes para proteger una red. La mayoría de los dispositivos de red requieren acceso físico para realizar un restablecimiento, lo que puede hacer que se eliminen las configuraciones y otorgar a la persona acceso completo al dispositivo y una ruta fácil a cualquier dispositivo conectado a él. Los métodos más comunes para el control de acceso físico son el acceso basado en código o en tarjeta. Se asignan códigos o tarjetas únicos a las personas para identificar quién accedió a qué puertas físicas o cerraduras en el entorno seguro. El acceso seguro al edificio también puede involucrar cámaras de video, personal de seguridad, mostradores de recepción y más. En algunas organizaciones de alta seguridad, no es raro bloquear físicamente los dispositivos informáticos en un escritorio. En el caso de los dispositivos móviles,
47
4.3 Implementar canales de comunicación seguros según diseño Esta sección se centra en proteger los datos en movimiento. Debe comprender los aspectos de diseño e implementación.
•
Voz. A medida que más organizaciones cambian a VoIP, los protocolos de voz como SIP se han vuelto comunes en las redes Ethernet. Esto ha introducido una administración adicional, ya sea mediante el uso de VLAN de voz dedicadas en las redes o el establecimiento de niveles de calidad de servicio (QoS) para garantizar que el tráfico de voz tenga prioridad sobre el tráfico que no es de voz. Otras aplicaciones de voz basadas en la web hacen que sea más difícil administrar la voz como una entidad separada. La aplicación para consumidores de Skype, por ejemplo, permite realizar llamadas de voz y video a través de Internet. Esto puede provocar un consumo adicional de ancho de banda que no se suele planificar en el diseño de la topología de la red ni se compra a un ISP.
•
Colaboración multimedia. Existe una variedad de nuevas tecnologías que permiten la colaboración instantánea con colegas. Los pizarrones inteligentes y las pantallas interactivas hacen que las reuniones en la misma sala sean más productivas. Agregue tecnología de video y alguien a miles de kilómetros de distancia podrá colaborar en la misma reunión de forma virtual. La mensajería instantánea a través de Microsoft Teams, Slack y otras aplicaciones permite la comunicación en tiempo real. La comunicación móvil se ha convertido en un mercado enorme, con aplicaciones móviles como WhatsApp, WeChat y LINE que hacen posible la comunicación en tiempo real en cualquier parte del mundo.
•
Acceso remoto. Debido a la abundancia de conectividad, ser productivo en la mayoría de los puestos de trabajo puede suceder desde cualquier lugar. Incluso en un entorno más tradicional, alguien que trabaje fuera de la oficina puede utilizar una VPN para conectarse y acceder a todos los recursos internos de una organización. Yendo un paso más allá, los Servicios de escritorio remoto (RDS) y la infraestructura de escritorio virtual (VDI) pueden brindarle la misma experiencia ya sea que esté en la oficina o en un aeropuerto: si tiene una conexión a Internet, puede acceder a los archivos y aplicaciones que necesita para ser productivo. Un raspador de pantalla es una aplicación de seguridad que captura una pantalla (como una sesión o consola de servidor) y registra la sesión completa o toma una captura de pantalla cada dos segundos. El raspado de pantalla puede ayudar a establecer exactamente lo que hizo una persona cuando inició sesión en una computadora.
•
Transmisión de datos. Ya sea que se encuentre físicamente en una oficina o trabaje de forma remota, la comunicación entre los dispositivos que se utilizan debe estar cifrada. Esto evita que cualquier dispositivo o persona no autorizados lea abiertamente el contenido de los paquetes a medida que se envían a través de una red. Las redes corporativas se pueden segmentar en múltiples VLAN para separar diferentes recursos. Por ejemplo, la administración fuera de banda para ciertos dispositivos puede estar en una VLAN separada para que ningún otro dispositivo pueda comunicarse a menos que sea necesario. El tráfico de producción y desarrollo se puede segmentar en diferentes VLAN. Un edificio de oficinas con varios departamentos o pisos del edificio puede tener VLAN independientes para cada departamento o cada piso del edificio. Los diseños de redes lógicas pueden vincularse con los aspectos físicos del edificio según sea necesario. Incluso con segmentos de VLAN, la comunicación debe estar cifrada mediante TLS,
•
Redes virtualizadas. Muchas organizaciones utilizan hipervisores para virtualizar servidores y escritorios para aumentar la densidad y la confiabilidad. Sin embargo, para alojar varios servidores en un solo hipervisor, las redes Ethernet y de almacenamiento también deben virtualizarse. VMware vSphere y Microsoft Hyper-V utilizan conmutadores de almacenamiento y redes virtuales para permitir la comunicación entre las máquinas virtuales y la red física. Los sistemas operativos invitados que se ejecutan en las máquinas virtuales utilizan una red sintética o un adaptador de almacenamiento, que se transmite al adaptador físico en el host. La red definida por software en el hipervisor puede controlar las VLAN, el aislamiento de puertos, el ancho de banda y otros aspectos como si fuera un puerto físico.
48
Preguntas de revisión del dominio 4 Lea y responda las siguientes preguntas. Si no obtiene al menos una respuesta correcta, dedique más tiempo al tema. Luego continúe con el Dominio 5.
1. Está solucionando algunas anomalías con la comunicación de red en su red. Observa que algunas comunicaciones no toman la ruta esperada o más eficiente hacia el destino. ¿Qué capa del modelo OSI debería solucionar?
a. Capa 2
segundo. Capa 3
C. Capa 4 re. Capa 5 mi. Capa 7 2. Una red inalámbrica tiene un solo punto de acceso y dos clientes. Un cliente está en el lado sur del edificio hacia el borde de la red. El otro cliente está en el lado norte del edificio, también hacia el borde de la red. Los clientes están demasiado lejos el uno del otro para verse. En este escenario, ¿qué tecnología se puede utilizar para evitar colisiones?
a. Detección de colisiones
segundo. Evitación de colisiones
C. Unidad de servicio de canal
re. Unidad de servicio de datos
3. Su empresa utiliza VoIP para llamadas telefónicas internas. Está implementando un nuevo sistema de detección de intrusos y necesita capturar el tráfico relacionado únicamente con las llamadas telefónicas internas. ¿Qué protocolo debería capturar?
a. H.264
segundo. DNS
C. H.263 re. HTTPS
mi. sorbo
49
Respuestas a las preguntas de revisión del dominio 4 1. Respuesta: B
Explicación: En este escenario, la información indica que el problema está en el enrutamiento de la comunicación de red. El enrutamiento ocurre en la Capa 3 del modelo OSI. La capa 3 generalmente la maneja un enrutador o el componente de enrutamiento de un dispositivo de red.
2. Respuesta: B Explicación: En este escenario, se utiliza la prevención de colisiones. Las redes inalámbricas utilizan la prevención de colisiones específicamente para abordar el problema descrito en el escenario (que se conoce como el "problema del nodo oculto").
3. Respuesta: E Explicación: SIP es un protocolo de comunicaciones que se utiliza para comunicaciones multimedia, como llamadas de voz internas. En este escenario, debe capturar el tráfico SIP para asegurarse de que solo está capturando el tráfico relacionado con las llamadas telefónicas.
50
Dominio 5. Gestión de identidades y accesos (IAM)
Esta sección cubre tecnologías y conceptos relacionados con la autenticación y autorización, por ejemplo, nombres de usuario, contraseñas y directorios. Si bien no es un dominio enorme, es técnico y hay muchos detalles importantes relacionados con el diseño y la implementación de las tecnologías.
5.1 Controlar el acceso físico y lógico a los activos Existen algunos métodos comunes para controlar el acceso sin tener en cuenta el tipo de activo. Por ejemplo, necesitamos una forma de autenticar a los usuarios: validar que son quienes dicen ser. Luego, necesitamos una forma de autorizar a los usuarios: averiguar si están autorizados para realizar la acción solicitada para el activo específico (como leer o escribir un archivo determinado o ingresar a una sala de servidores en particular). Echemos un vistazo más de cerca a cómo funcionan normalmente la autenticación y la autorización.
•
Autenticación. Los sistemas de autenticación tradicionales se basan en un nombre de usuario y una contraseña, especialmente para autenticarse en dispositivos informáticos. Los directorios LDAP se utilizan comúnmente para almacenar información de usuario, autenticar usuarios y autorizar usuarios. Pero hay sistemas más nuevos que mejoran la experiencia de autenticación. Algunos reemplazan los sistemas tradicionales de nombre de usuario y contraseña, mientras que otros (como el inicio de sesión único o SSO) los amplían. La biometría es un método de autenticación emergente que incluye (pero no se limita a) huellas dactilares, escaneos de retina, reconocimiento facial y escaneos de iris.
•
Autorización. Los sistemas de autorización tradicionales se basan en grupos de seguridad en un directorio, como un directorio LDAP. Según las membresías de su grupo, tiene un tipo específico de acceso (o ningún acceso). Por ejemplo, los administradores pueden otorgar acceso de lectura a un grupo de seguridad a un activo, mientras que un grupo de seguridad diferente puede obtener acceso de lectura / escritura / ejecución al activo. Este tipo de sistema existe desde hace mucho tiempo y sigue siendo el mecanismo de autorización principal para las tecnologías locales. Los sistemas de autorización más nuevos incorporan autorización dinámica o autorización automatizada. Por ejemplo, el proceso de autorización puede verificar si está en el departamento de ventas y en un puesto de gestión antes de poder acceder a determinados datos de ventas. Se puede incorporar otra información a la autorización. Por ejemplo,
A continuación, veamos algunos detalles clave sobre el control del acceso a activos específicos.
•
Información. "Información" y "datos" son intercambiables aquí. La información a menudo se almacena en carpetas compartidas o en un almacenamiento disponible a través de un portal web. En todos los casos, alguien debe configurar quién puede acceder y qué acciones puede realizar. El tipo de autenticación no es relevante aquí. La autorización es lo que usa para controlar el acceso.
•
Sistemas. En este contexto, "sistemas" pueden referirse a servidores o aplicaciones, ya sea en las instalaciones o en la nube. Debe estar familiarizado con las distintas opciones para controlar el acceso. En un escenario híbrido, puede utilizar la autenticación y la autorización federadas en las que el proveedor de la nube confía en su autenticación local y
51
soluciones de autorización. Este control de acceso centralizado es bastante común porque brinda a las organizaciones un control completo sin importar dónde se encuentren los sistemas.
•
Dispositivos. Los dispositivos incluyen computadoras, teléfonos inteligentes y tabletas. Hoy en día, los nombres de usuario y las contraseñas (normalmente de un directorio LDAP) se utilizan para controlar el acceso a la mayoría de los dispositivos. Las huellas dactilares y otros sistemas biométricos también son comunes. En entornos de alta seguridad, es posible que los usuarios deban ingresar un nombre de usuario y contraseña y luego usar un segundo factor de autenticación (como un código de una tarjeta inteligente) para obtener acceso a un dispositivo. Más allá de obtener acceso a los dispositivos, también debe tener en cuenta el nivel de acceso. En entornos de alta seguridad, los usuarios no deben tener acceso administrativo a los dispositivos, y solo los usuarios específicos deben poder obtener acceso a dispositivos particulares.
•
Instalaciones. El control del acceso a las instalaciones (edificios, estacionamientos, salas de servidores, etc.) se gestiona normalmente mediante sistemas de acceso mediante credenciales. Los empleados llevan una placa que los identifica y que contiene un chip. Según su departamento y función laboral, se les otorgará acceso a ciertas instalaciones (como las puertas principales que ingresan a un edificio) pero se les negará el acceso a otras instalaciones (como la planta de energía o la sala de servidores). Para instalaciones de alta seguridad, como un centro de datos, es común tener autenticación de múltiples factores. Por ejemplo, debe presentar una tarjeta de identificación válida a un guardia de seguridad y también pasar por un escaneo facial o de la mano para obtener acceso al centro de datos. Una vez dentro, aún necesita usar una llave o tarjeta inteligente para abrir estantes o jaulas.
5.2 Gestionar la identificación y autenticación de personas, dispositivos y servicios Esta sección se basa en la sección anterior. Los subtemas son de naturaleza más operativa y entran en más detalles. •
Implementación de gestión de identidad. Analizamos brevemente SSO y LDAP. Ahora, los veremos con más detalle.
•
SSO. El inicio de sesión único proporciona una experiencia de autenticación de usuario mejorada, ya que el usuario accede a múltiples sistemas y datos en una variedad de sistemas. Está estrechamente relacionado con la gestión de identidad federada (que se analiza más adelante en esta sección). En lugar de autenticarse en cada sistema de forma individual, el inicio de sesión reciente se utiliza para crear un token de seguridad que se puede reutilizar en aplicaciones y sistemas. Por lo tanto, un usuario se autentica una vez y luego puede obtener acceso a una variedad de sistemas y datos sin tener que autenticarse nuevamente. Normalmente, la experiencia de SSO durará un período específico, como 4 horas u 8 horas. El SSO a menudo se aprovecha de la autenticación del usuario en su dispositivo informático. Por ejemplo, un usuario inicia sesión en su dispositivo por la mañana y, más tarde, cuando inicia un navegador web para ir a un portal de seguimiento del tiempo, el portal acepta su autenticación existente. SSO puede ser más sofisticado. Por ejemplo, un usuario puede usar SSO para obtener acceso sin problemas a un portal basado en web, pero si el usuario intenta realizar un cambio de configuración, el portal puede solicitar la autenticación antes de permitir el cambio. Tenga en cuenta que usar el mismo nombre de usuario y contraseña para acceder a sistemas independientes no es SSO. En cambio, a menudo se lo denomina "mismo inicio de sesión" porque utiliza las mismas credenciales. El principal beneficio de SSO es también su principal desventaja: simplifica el proceso de obtener acceso a múltiples sistemas para todos. Por ejemplo, si los atacantes comprometen las credenciales de un usuario, pueden iniciar sesión en la computadora y luego obtener acceso sin problemas a todas las aplicaciones mediante SSO. La autenticación multifactor puede ayudar a mitigar este riesgo. SSO puede ser más sofisticado. Por ejemplo, un usuario puede usar SSO para obtener acceso sin problemas a un portal basado en web, pero si el usuario intenta realizar un cambio de configuración, el portal puede solicitar la autenticación antes de permitir el cambio. Tenga en cuenta que usar el mismo nombre de usuario y contraseña para acceder a sistemas independientes no es SSO. En cambio, a menudo se lo denomina "mismo inicio de sesión" porque utiliza las mismas credenciales. El principal beneficio de SSO es también su principal desventaja: simplifica el proceso de obtener acceso a múltiples sistemas para todos. Por ejemplo, si los atacantes comprometen las credenciales de un usuario, pueden iniciar sesión en la computadora y luego obtener acceso sin problemas a todas las aplicaciones mediante
SSO. La autenticación multifactor puede ayudar a mitigar este riesgo. SSO puede ser más sofisticado. Por ejemplo, un usuario puede usar SSO para obtener acceso sin problemas a un portal basado en web
•
LDAP. El Protocolo ligero de acceso a directorios (LDAP) es un protocolo basado en estándares (RFC 4511) que tiene sus raíces en el estándar X.500 que apareció a principios de la década de 1990. Muchos proveedores han implementado sistemas compatibles con LDAP y directorios compatibles con LDAP, a menudo con mejoras específicas del proveedor. LDAP
52
es especialmente popular para redes corporativas locales. Un directorio LDAP almacena información sobre usuarios, grupos, equipos y, a veces, otros objetos como impresoras y carpetas compartidas. Es común usar un directorio LDAP para almacenar metadatos del usuario, como su nombre, dirección, números de teléfono, departamentos, número de empleado, etc. Los metadatos en un directorio LDAP pueden usarse para sistemas de autenticación dinámica u otra automatización. El sistema LDAP más común en la actualidad es Microsoft Active Directory (Servicios de dominio de Active Directory o AD DS). Utiliza Kerberos (un protocolo de autenticación que ofrece seguridad mejorada) para la autenticación, de forma predeterminada.
•
Autenticación de uno o varios factores. Hay tres factores de autenticación diferentes: algo que sabes, algo que tienes y algo que eres. Cada factor tiene muchos métodos diferentes. Algo que sabe podría ser un nombre de usuario y una contraseña o la respuesta a una pregunta personal; algo que tenga podría ser una tarjeta inteligente o un teléfono, y algo que usted podría ser una huella digital o un escaneo de retina. La autenticación de un solo factor requiere solo un método de cualquiera de los tres factores, generalmente un nombre de usuario y una contraseña. La autenticación multifactor (MFA) requiere un método de cada uno de dos o tres factores diferentes, lo que generalmente aumenta la seguridad. Por ejemplo, exigirle que proporcione un código enviado a un token físico además de un nombre de usuario y contraseña aumenta la seguridad porque es poco probable que un atacante que robe sus credenciales también tenga acceso al token físico. Sin embargo, diferentes métodos proporcionan diferentes niveles de seguridad. Por ejemplo, la respuesta a una pregunta personal no es tan segura como un token de una aplicación de seguridad en su teléfono, porque es mucho más probable que un usuario malintencionado pueda descubrir la información para responder a la pregunta en Internet que obtener acceso a su teléfono. Una desventaja de la autenticación multifactor es la complejidad que presenta; por ejemplo, si un usuario no tiene su teléfono móvil o dispositivo token con él, no puede iniciar sesión. Para minimizar los problemas, debe proporcionar opciones para el segundo método (por ejemplo, el usuario puede optar por una llamada telefónica a su teléfono fijo). porque es mucho más probable que un usuario malintencionado pueda descubrir la información para responder la pregunta en Internet que acceder a su teléfono. Una desventaja de la autenticación multifactor es la complejidad que presenta; por ejemplo, si un usuario no tiene su teléfono móvil o dispositivo token con él, no puede iniciar sesión. Para minimizar los problemas, debe proporcionar opciones para el segundo método (por ejemplo, el usuario puede optar por una llamada telefónica a su teléfono fijo). porque es mucho más probable que un usuario malintencionado pueda descubrir la información para responder la pregunta en Internet que acceder a su teléfono. Una desventaja de la autenticación multifactor es la complejidad que presenta; por ejemplo, si un usuario no tiene su teléfono móvil o dispositivo token con él, no puede iniciar sesión. Para minimizar los problemas, debe proporcionar opciones para el segundo método (por ejemplo, el usuario puede optar por una llamada telefónica a su teléfono fijo).
•
Responsabilidad. En este contexto, la responsabilidad es la capacidad de rastrear las acciones de los usuarios cuando acceden a los sistemas y datos. Debe poder identificar a los usuarios de un sistema, saber cuándo acceden a él y registrar lo que hacen mientras están en el sistema. Estos datos de auditoría deben capturarse y registrarse para su posterior análisis y resolución de problemas. Se puede encontrar información importante en estos datos. Por ejemplo, si un usuario se autentica con éxito en una computadora en Nueva York y luego se autentica con éxito en una computadora en Londres unos minutos más tarde, eso es sospechoso y debe ser investigado. Si una cuenta tiene repetidos intentos de contraseña incorrecta, necesita datos para rastrear el origen de los intentos. Hoy, muchas empresas están centralizando la rendición de cuentas. Por ejemplo, todos los servidores y aplicaciones envían sus datos de auditoría al sistema centralizado, para que los administradores puedan obtener información sobre varios sistemas con una sola consulta. Debido a la enorme cantidad de datos en estos sistemas centralizados, por lo general son sistemas de “big data”, y puede utilizar la analítica y el aprendizaje automático para obtener información sobre su entorno.
•
Gestión de sesiones. Una vez que los usuarios se autentican, debe administrar sus sesiones. Si un usuario se aleja de la computadora, cualquiera puede acercarse y asumir su identidad. Para reducir las posibilidades de que eso suceda, puede solicitar a los usuarios que bloqueen sus computadoras cuando se retiren. También puede utilizar los tiempos de espera de la sesión para bloquear automáticamente las computadoras. También puede utilizar protectores de pantalla protegidos con contraseña que requieren que el usuario se vuelva a autenticar. También debe implementar la administración de sesiones para sesiones remotas. Por ejemplo, si los usuarios se conectan desde sus computadoras a un servidor remoto a través de Secure Shell (SSH) o Protocolo de escritorio remoto (RDP), puede limitar el tiempo de inactividad de esas sesiones.
•
Registro y prueba de identidad. Con algunos sistemas de gestión de identidad, los usuarios deben registrarse y proporcionar prueba de su identidad. Por ejemplo, con las aplicaciones de autoservicio para restablecer la contraseña, es común que los usuarios se registren y prueben su identidad. Si luego olvidan su contraseña y necesitan restablecerla, deben autenticarse usando un
53
método alternativo, como proporcionar las mismas respuestas a las preguntas que se proporcionaron durante el registro. Tenga en cuenta que las preguntas a menudo son inseguras y deben usarse solo cuando las preguntas se pueden personalizar o cuando un entorno no requiere un alto nivel de seguridad. Una técnica que los usuarios pueden utilizar para mejorar los sistemas de preguntas y respuestas es utilizar respuestas falsas. Por ejemplo, si la pregunta quiere saber el apellido de soltera de su madre, ingresa otro nombre que es incorrecto pero que sirve como respuesta para la autenticación. Alternativamente, puede tratar las respuestas como contraseñas complejas. En lugar de responder directamente a las preguntas, puede utilizar una cadena larga de caracteres alfanuméricos como "Vdsfh2873423 # @ $ wer78wreuy23143ya".
•
Gestión de identidad federada (FIM). Tenga en cuenta que este tema no se refiere a Microsoft Forefront Identity Manager, que tiene el mismo acrónimo. Tradicionalmente, se autentica en la red de su empresa y obtiene acceso a determinados recursos. Cuando usa la federación de identidad, dos organizaciones independientes comparten información de autenticación y / o autorización entre sí. En tal relación, una empresa proporciona los recursos (como un portal web) y la otra empresa proporciona la identidad y la información del usuario. La empresa que proporciona los recursos confía en la autenticación que proviene del proveedor de identidad. Los sistemas de identidad federada brindan una experiencia de usuario mejorada porque los usuarios no necesitan mantener múltiples cuentas de usuario en múltiples aplicaciones. Los sistemas de identidad federada utilizan Security Assertion Markup Language (SAML), OAuth, u otros métodos para intercambiar información de autenticación y autorización. SAML es el método de autenticación más común que se utiliza en la actualidad. En su mayoría, se limita a su uso con navegadores web, mientras que OAuth no se limita a navegadores web. La administración de identidad federada y el SSO están estrechamente relacionados. No puede proporcionar SSO de manera razonable sin un sistema de administración de identidad federado. Por el contrario, utiliza identidades federadas sin SSO, pero la experiencia del usuario se verá degradada porque todos deben volver a autenticarse manualmente cuando acceden a varios sistemas. No puede proporcionar SSO de manera razonable sin un sistema de administración de identidad federado. Por el contrario, utiliza identidades federadas sin SSO, pero la experiencia del usuario se verá degradada porque todos deben volver a autenticarse manualmente cuando acceden a varios sistemas. No puede proporcionar SSO de manera razonable sin un sistema de administración de identidad federado. Por el contrario, utiliza identidades federadas sin SSO, pero la experiencia del usuario se verá degradada porque todos deben volver a autenticarse manualmente cuando acceden a varios sistemas.
•
Sistemas de gestión de credenciales. Un sistema de gestión de credenciales centraliza la gestión de credenciales. Estos sistemas suelen ampliar la funcionalidad de las funciones predeterminadas disponibles en un servicio de directorio típico. Por ejemplo, un sistema de administración de credenciales puede administrar automáticamente las contraseñas de las cuentas, incluso si esas cuentas están en una nube pública de terceros o en un servicio de directorio local. Los sistemas de gestión de credenciales a menudo permiten a los usuarios retirar temporalmente las cuentas para utilizarlas con fines administrativos. Por ejemplo, un administrador de base de datos puede usar un sistema de gestión de credenciales para verificar una cuenta de administrador de base de datos con el fin de realizar algún trabajo administrativo con esa cuenta. Cuando terminan, vuelven a registrar la cuenta y el sistema restablece inmediatamente la contraseña. Toda la actividad se registra y el acceso a las credenciales es limitado. Sin un sistema de administración de credenciales, corre el riesgo de tener múltiples enfoques de administración de credenciales en su organización. Por ejemplo, un equipo puede usar una hoja de cálculo de Excel para enumerar cuentas y contraseñas, mientras que otro equipo puede usar una aplicación segura de contraseñas de terceros. Tener múltiples métodos y aplicaciones no administradas aumenta los riesgos para su organización. La implementación de un único sistema de administración de credenciales generalmente aumenta la eficiencia y la seguridad. Tener múltiples métodos y aplicaciones no administradas aumenta los riesgos para su organización. La implementación de un único sistema de administración de credenciales generalmente aumenta la eficiencia y la seguridad. Tener múltiples métodos y aplicaciones no administradas aumenta los riesgos para su organización. La implementación de un único sistema de administración de credenciales generalmente aumenta la eficiencia y la seguridad.
5.3 Integrar la identidad como un servicio de terceros Hay muchos proveedores externos que ofrecen servicios de identidad que complementan su tienda de identidad existente. Por ejemplo, Ping Identity proporciona una plataforma de identidad que puede integrar con su directorio local (como Active Directory) y sus servicios de nube pública (como Microsoft Azure o Amazon AWS). Los servicios de identidad de terceros pueden ayudar a administrar las identidades tanto en las instalaciones como en la nube:
54
•
En las instalaciones. Para trabajar con sus soluciones existentes y ayudar a administrar las identidades en las instalaciones, los servicios de identidad a menudo colocan servidores, dispositivos o servicios en su red interna. Esto asegura una integración perfecta y proporciona funciones adicionales, como el inicio de sesión único. Por ejemplo, puede integrar su dominio de Active Directory con un proveedor de identidad de terceros y, por lo tanto, permitir que ciertos usuarios se autentiquen a través del proveedor de identidad de terceros para SSO.
•
Nube. Las organizaciones que quieran aprovechar el software como servicio (SaaS) y otras aplicaciones basadas en la nube también deben administrar las identidades en la nube. Algunos de ellos eligen la federación de identidad: federan su sistema de autenticación local directamente con los proveedores de la nube. Pero hay otra opción: utilizar un servicio de identidad basado en la nube, como Microsoft Azure Active Directory o Amazon AWS Identity and Access Management. Existen algunas ventajas en el uso de un servicio de identidad basado en la nube:
•
Puede tener administración de identidad sin administrar la infraestructura asociada.
•
Puede comenzar a utilizar rápidamente un servicio de identidad basado en la nube, generalmente en solo unos minutos.
•
Los servicios de identidad basados en la nube son relativamente económicos.
•
Los servicios de identidad basados en la nube ofrecen servicios en todo el mundo, a menudo en más lugares y a mayor escala que la mayoría de las organizaciones.
•
El proveedor de la nube a menudo ofrece características que no se encuentran comúnmente en entornos locales. Por ejemplo, un proveedor de la nube puede detectar automáticamente intentos de inicio de sesión sospechosos, como los de un tipo de sistema operativo diferente al normal o desde una ubicación diferente a la habitual, porque tienen una gran cantidad de datos y pueden usar inteligencia artificial para detectar sospechosos. inicios de sesión.
•
Para los servicios en la nube, la autenticación es local, lo que a menudo da como resultado un mejor rendimiento que enviar todas las solicitudes de autenticación a un servicio de identidad local.
También debe ser consciente de las posibles desventajas:
•
Pierde el control de la infraestructura de identidad. Dado que la identidad es un servicio fundamental fundamental, algunas organizaciones de alta seguridad tienen políticas que requieren un control total sobre todo el servicio de identidad. Existe un riesgo al utilizar un servicio de identidad en una nube pública, aunque la nube pública a veces puede ser tan segura o más segura que muchos entornos corporativos.
•
Es posible que no pueda usar solo el servicio de identidad basado en la nube. Muchas empresas tienen aplicaciones y servicios heredados que requieren una identidad local. Tener que administrar una infraestructura de identidad local y un sistema de identidad basado en la nube requiere más tiempo y esfuerzo que solo administrar un entorno local.
•
Si desea utilizar todas las funciones de un servicio de identidad en la nube, los costos aumentan. Las infraestructuras de identidad locales no son caras en comparación con muchos otros servicios fundamentales, como el almacenamiento o las redes.
•
Es posible que se requiera un gran esfuerzo para utilizar un servicio de identidad basado en la nube. Por ejemplo, necesita descubrir nuevos procesos operativos. Debe capturar los datos de registro y auditoría y, a menudo, traerlos de vuelta a su entorno local para su análisis. Es posible que deba actualizar, actualizar o implementar nuevos
55
software y servicios. Por ejemplo, si tiene una solución de autenticación multifactor existente, es posible que no funcione a la perfección con su servicio de identidad basado en la nube.
•
Federado. La federación permite que su organización utilice sus identidades existentes (como las que se utilizan para acceder a sus sistemas corporativos internos) para acceder a sistemas y recursos fuera de la red de la empresa. Por ejemplo, si usa una aplicación de recursos humanos basada en la nube en Internet, puede configurar la federación para permitir que los empleados inicien sesión en la aplicación con sus credenciales corporativas. Puede federar con proveedores o socios. La federación entre dos organizaciones implica un acuerdo y un software para permitir que sus identidades se vuelvan portátiles (y, por lo tanto, utilizables en función de con quién se federe). La federación generalmente proporciona la mejor experiencia de usuario porque los usuarios no tienen que recordar contraseñas adicionales ni administrar identidades adicionales.
Otros datos clave sobre los servicios de identidad de terceros incluyen:
•
A menudo, aún necesita un servicio de directorio local.
•
Muchos servicios de identidad de terceros comenzaron como soluciones para aplicaciones basadas en web. Desde entonces, tienen para cubrir otros casos de uso, pero aún no se pueden usar para muchos escenarios de autenticación del día a día. Por ejemplo, la mayoría de ellos no pueden autenticar a los usuarios en sus portátiles corporativos.
•
Los servicios de identidad de terceros a menudo ofrecen inicio de sesión único, autenticación de múltiples factores y servicios de metadirectorio (extrayendo datos de varios directorios a un único directorio de terceros).
•
Muchas de las ofertas están basadas en la nube, con una huella local mínima.
•
Los servicios de identidad de terceros suelen admitir SAML, OpenID Connect, WS-Federation, OAuth y WS-Trust.
5.4 Implementar y administrar mecanismos de autorización Esta sección se centra en los métodos de control de acceso. Para prepararse para el examen, debe comprender los métodos básicos y las diferencias entre ellos.
•
Control de acceso basado en roles (RBAC). RBAC es un método de control de acceso común. Por ejemplo, una función podría ser la de técnico de escritorio. El rol tiene derechos sobre las estaciones de trabajo, el software antivirus y una carpeta compartida de instalación de software. Por ejemplo, si un nuevo técnico de escritorio comienza en su empresa, simplemente agréguelo al grupo de roles e inmediatamente tendrá el mismo acceso que otros técnicos de escritorio. RBAC es un método de control de acceso no discrecional porque no hay discreción: cada función tiene lo que tiene. RBAC se considera una buena práctica estándar de la industria y se usa ampliamente en todas las organizaciones.
•
Control de acceso basado en reglas. El control de acceso basado en reglas implementa el control de acceso basado en reglas predefinidas. Por ejemplo, puede tener una regla que permita el acceso de lectura a los datos de marketing para cualquier persona que esté en el departamento de marketing, o una regla que permita que solo los gerentes impriman en una impresora de alta seguridad. Los sistemas de control de acceso basados en reglas a menudo se implementan para automatizar la administración de acceso. Se pueden utilizar muchos sistemas basados en reglas para implementar el acceso de forma dinámica. Por ejemplo, puede tener una regla que permita a cualquier persona en la oficina de Nueva York acceder a un servidor de archivos en Nueva York. Si un usuario intenta acceder al servidor de archivos desde otra ciudad, se le negará el acceso, pero si viaja a la oficina de Nueva York, se le permitirá el acceso. Los métodos de control de acceso basados en reglas simplifican el control de acceso en algunos escenarios. Por ejemplo, imagine un conjunto de reglas basadas en el departamento, el cargo y la ubicación.
56
a un nuevo rol o una nueva ubicación de oficina, su acceso se actualiza automáticamente. En particular, su antiguo acceso desaparece automáticamente, abordando un problema importante que afecta a muchas organizaciones.
•
Control de acceso obligatorio (MAC). MAC es un método para restringir el acceso según la autorización de una persona y la clasificación o etiqueta de los datos. Por ejemplo, una persona con una autorización de alto secreto puede leer un documento clasificado como alto secreto. El método MAC garantiza la confidencialidad. MAC no se usa ampliamente, pero se considera que proporciona mayor seguridad que DAC porque los usuarios individuales no pueden cambiar el acceso.
•
Control de acceso discrecional (DAC). Cuando configura una carpeta compartida en un servidor Windows o Linux, usa DAC. Le asigna a alguien derechos específicos sobre un volumen, una carpeta o un archivo. Los derechos pueden incluir solo lectura, escritura, ejecución, lista y más. Tiene control granular sobre los derechos, incluido si los derechos son heredados por objetos secundarios (como una carpeta dentro de otra carpeta). DAC es flexible y sencillo. Es de uso generalizado. Sin embargo, cualquier persona con derecho a cambiar los permisos puede modificarlos. Es difícil conciliar todos los permisos en una organización. También puede ser difícil determinar todos los activos a los que alguien tiene acceso, porque DAC está muy descentralizado.
•
Control de acceso basado en atributos (ABAC). Muchas organizaciones usan atributos para almacenar datos sobre los usuarios, como su departamento, centro de costos, gerente, ubicación, número de empleado y fecha de contratación. Estos atributos se pueden utilizar para automatizar la autorización y hacerla más segura. Por ejemplo, puede configurar la autorización para permitir que solo los usuarios que tienen “París” como su ubicación de oficina usen la red inalámbrica en su oficina de París. O puede reforzar la seguridad de su carpeta de RR.HH. comprobando no solo que los usuarios sean miembros de un grupo específico, sino también que el atributo de su departamento esté establecido en “RRHH”.
5.5 Gestionar el ciclo de vida del aprovisionamiento de identidad y acceso El ciclo de vida de la identidad se extiende desde la creación de usuarios hasta la provisión de acceso, la gestión de usuarios y la desaprovisionamiento de acceso o usuarios. Si bien existen varios métodos para administrar este ciclo de vida, los siguientes pasos ordenados brindan una descripción general del proceso de implementación típico:
1. Se contrata a un nuevo usuario en una empresa.
2. El departamento de recursos humanos crea un nuevo registro de empleado en el sistema de gestión del capital humano (HCM), que es la fuente autorizada para la información de identidad, como el nombre legal, la dirección, el cargo y el gerente.
3. El HCM se sincroniza con el servicio de directorio. Como parte de la sincronización, los nuevos usuarios de HCM se aprovisionan en el servicio de directorio.
4. El departamento de TI completa atributos adicionales para el usuario en el servicio de directorio. Por ejemplo, se pueden agregar la dirección de correo electrónico y el rol de los usuarios.
5. El departamento de TI realiza tareas de mantenimiento como restablecer la contraseña del usuario y cambiar los roles del usuario cuando se muda a un nuevo departamento.
57
6. El empleado abandona la empresa. El departamento de recursos humanos marca al usuario como terminado en el HCM, y el HCM realiza una sincronización inmediata con el servicio de directorio. El servicio de directorio deshabilita la cuenta de usuario para eliminar temporalmente el acceso.
7. El departamento de TI, después de un período específico (como 7 días), elimina permanentemente la cuenta de usuario y todos los accesos asociados.
Más allá de estos pasos, existen procesos adicionales involucrados en la gestión de la identidad y el acceso:
•
Revisión de acceso de usuario. Debe realizar revisiones de acceso periódicas en las que el personal apropiado certifique que cada usuario tiene los derechos y permisos adecuados. ¿El usuario tiene solo el acceso que necesita para realizar su trabajo? ¿Se otorgaron todos los permisos a través del proceso de solicitud de acceso de la empresa? ¿La concesión de acceso está documentada y disponible para revisión? También debe revisar la configuración de su servicio de identidad para asegurarse de que cumple con las buenas prácticas conocidas. Debe revisar el servicio de directorio en busca de objetos obsoletos (por ejemplo, cuentas de usuario para empleados que han dejado la empresa). El objetivo principal es garantizar que los usuarios tengan los permisos de acceso que necesitan y nada más. Si un usuario cancelado todavía tiene una cuenta de usuario válida, entonces está violando su objetivo principal.
•
Revisión de acceso a la cuenta del sistema. Las cuentas del sistema son cuentas que no están vinculadas uno a uno con los humanos. A menudo se utilizan para ejecutar procesos, trabajos y tareas automatizados. Las cuentas del sistema a veces tienen acceso elevado. De hecho, no es raro encontrar cuentas del sistema con el nivel más alto de acceso (acceso de administrador o raíz). Las cuentas del sistema requieren una revisión similar a las cuentas de usuario. Debe averiguar si las cuentas del sistema tienen el nivel mínimo de permisos requeridos para lo que se utilizan. Y debe poder mostrar los detalles: quién proporcionó el acceso, la fecha en que se otorgó y a qué otorgan los permisos.
•
Aprovisionamiento y desaprovisionamiento. La creación y eliminación de cuentas (aprovisionamiento y desaprovisionamiento) son tareas clave en el ciclo de vida de la cuenta. Cree cuentas demasiado pronto y tendrá cuentas inactivas que pueden ser segmentadas. Espere demasiado para deshabilitar y eliminar cuentas y también tiene cuentas inactivas que pueden ser atacadas. Cuando sea posible, es una buena práctica automatizar el aprovisionamiento y el desaprovisionamiento. La automatización ayuda a reducir el tiempo necesario para crear y eliminar cuentas. También reduce el error humano (aunque el código de automatización podría tener un error humano). Su empresa debe establecer pautas para el aprovisionamiento y desaprovisionamiento de cuentas. Por ejemplo, su empresa podría tener una política de que una cuenta debe estar deshabilitada mientras el empleado está en la reunión y se le notifica su terminación.
58
Preguntas de revisión del dominio 5 Lea y responda las siguientes preguntas. Si no acierta al menos uno de ellos, dedique más tiempo al tema. Luego pase al Dominio 6.
1. Está implementando una solución de autenticación multifactor. Como parte del diseño, está capturando los tres factores de autenticación. ¿Qué son?
a. Algo que haces segundo. Algo que tu sabes
C. Algo que tienes re. Algo que necesitas mi. Algo que eres F.
Algo que haces
2. Su empresa está expandiendo rápidamente su presencia en la nube pública, especialmente con Infraestructura como servicio (IaaS), y desea actualizar su solución de autenticación para permitir que los usuarios se autentiquen en los servicios en la nube que aún no se han especificado. La empresa emite los siguientes requisitos:
•
Minimice la infraestructura requerida para la autenticación.
•
Implemente rápidamente la solución.
•
Minimice la sobrecarga de administrar la solución.
Debe elegir la solución de autenticación para la empresa. ¿Qué solución elegir? a. Una solución de identidad federada segundo. Un servicio de identidad basado en la nube
C. Una solución de autenticación multifactor re. Un servicio de identidad de terceros
3. Un usuario informa que no puede acceder a una carpeta compartida. Investiga y encuentra la siguiente información: •
Ni el usuario ni los grupos de los que el usuario es miembro han recibido permisos para la carpeta.
•
A otros usuarios y grupos se les han otorgado permisos para la carpeta.
•
Otra persona de TI de su equipo informa que ha actualizado los permisos de la carpeta recientemente.
Según la información de este escenario, ¿qué tipo de control de acceso se utiliza? a. RBAC segundo. Control de acceso basado en reglas
C. MAC re. DAC
59
Respuestas a las preguntas de revisión del dominio 5 1. Respuesta: B, C, E
Explicación: Los tres factores son algo que conoces (como una contraseña), algo que tienes (como una tarjeta inteligente o una aplicación de autenticación) y algo que eres (como una huella dactilar o retina). El uso de métodos de múltiples factores para la autenticación mejora la seguridad y mitiga el riesgo de una contraseña robada o descifrada. 2. Respuesta: B Explicación: Con la rápida expansión a la nube y el tipo de servicios en la nube desconocido, un servicio de identidad basado en la nube, especialmente uno de su proveedor de nube pública, es la mejor opción. Estos servicios son compatibles con las soluciones IaaS, SaaS y PaaS. Si bien un servicio de identidad de terceros puede manejar SaaS, no será tan capaz en escenarios que no sean SaaS. Una solución de identidad federada también está limitada a ciertos escenarios de autenticación y requiere más tiempo para implementar y más trabajo para administrar.
3. Respuesta: D Explicación: Debido a que encontró que se otorgaron permisos a usuarios individuales y un administrador de TI había cambiado manualmente los permisos en la carpeta, DAC está en uso. RBAC usa roles y el control de acceso basado en reglas se basa en reglas y atributos de usuario, por lo que no encontrará usuarios individuales configurados con permisos en la carpeta con ninguno de estos. MAC se basa en niveles de autorización, por lo que, nuevamente, los usuarios no tienen permisos individuales en una carpeta; en su lugar, se utiliza un grupo para cada autorización.
60
Dominio 6. Evaluación y pruebas de seguridad Esta sección cubre evaluaciones y auditorías, junto con todas las tecnologías y técnicas que se espera que sepa para realizarlas.
6.1 Diseñar y validar estrategias de evaluación, prueba y auditoría Las estrategias de evaluación, prueba y auditoría de una organización dependerán de su tamaño, industria, estado financiero y otros factores. Por ejemplo, una pequeña organización sin fines de lucro, una pequeña empresa privada y una pequeña empresa pública tendrán requisitos y objetivos diferentes. Como cualquier procedimiento o política, la estrategia de auditoría debe evaluarse y probarse periódicamente para garantizar que la organización no se esté perjudicando a sí misma con la estrategia actual. Hay tres tipos de estrategias de auditoría:
•
Interno. Una estrategia de auditoría interna debe estar alineada con las operaciones comerciales y diarias de la organización. Por ejemplo, una empresa que cotiza en bolsa tendrá una estrategia de auditoría más rigurosa que una empresa privada. Sin embargo, las partes interesadas de ambas empresas tienen interés en proteger la propiedad intelectual, los datos de los clientes y la información de los empleados. El diseño de la estrategia de auditoría debe incluir establecer los requisitos reglamentarios aplicables y los objetivos de cumplimiento.
•
Externo. Una estrategia de auditoría externa debe complementar la estrategia interna, proporcionando verificaciones periódicas para garantizar que se sigan los procedimientos y que la organización esté cumpliendo sus objetivos de cumplimiento.
•
Tercero. La auditoría de terceros proporciona un enfoque neutral y objetivo para revisar el diseño existente, los métodos de prueba y la estrategia general para auditar el medio ambiente. Una auditoría de terceros también puede garantizar que tanto los auditores internos como los externos estén siguiendo los procesos y procedimientos que se definen como parte de la estrategia general.
6.2 Realizar pruebas de control de seguridad Las pruebas de control de seguridad pueden incluir pruebas de la instalación física, los sistemas lógicos y las aplicaciones. Estos son los métodos de prueba comunes:
•
Evaluación de vulnerabilidad. El objetivo de una evaluación de vulnerabilidad es identificar elementos en un entorno que no están adecuadamente protegidos. Esto no siempre tiene que ser desde una perspectiva técnica; también puede evaluar la vulnerabilidad de la seguridad física o la dependencia externa de la energía, por ejemplo. Estas evaluaciones pueden incluir pruebas de personal, pruebas físicas, pruebas de sistemas y redes y otras pruebas de instalaciones.
•
Pruebas de penetración. Una prueba de penetración es un ataque intencionado a los sistemas para intentar eludir los controles automatizados. El objetivo de una prueba de penetración es descubrir debilidades en la seguridad para que puedan abordarse para mitigar el riesgo. Las técnicas de ataque pueden incluir la suplantación de identidad, eludir la autenticación, la escalada de privilegios y más. Al igual que las evaluaciones de vulnerabilidad, las pruebas de penetración no tienen por qué ser puramente lógicas. Por ejemplo, puede utilizar la ingeniería social para intentar obtener acceso físico a un edificio o sistema. .
61
•
Revisiones de registros. Los sistemas de TI pueden registrar cualquier cosa que ocurra en el sistema, incluidos los intentos de acceso y las autorizaciones. Las entradas de registro más obvias para revisar son cualquier serie de eventos de "denegación", ya que alguien está intentando acceder a algo para lo que no tiene permisos. Es más difícil revisar los eventos exitosos, ya que generalmente hay miles de ellos y casi todos siguen las políticas existentes. Sin embargo, puede ser importante mostrar que alguien o algo sí accedió a un recurso que se suponía que no debía hacerlo, ya sea por error o mediante una escalada de privilegios. Es fundamental contar con un procedimiento y un software para facilitar la revisión frecuente de los registros.
•
Transacciones sintéticas. Mientras que la supervisión de usuarios captura las acciones reales de los usuarios en tiempo real, las transacciones sintéticas (con secuencias de comandos o artificiales) se pueden utilizar para probar el rendimiento o la seguridad del sistema.
•
Revisión y prueba de código. Los controles de seguridad no se limitan a los sistemas de TI. El ciclo de vida del desarrollo de la aplicación también debe incluir la revisión del código y las pruebas de los controles de seguridad. Estas revisiones y controles deben integrarse en el proceso al igual que las pruebas unitarias y las pruebas funcionales; de lo contrario, la aplicación corre el riesgo de no ser segura.
•
Prueba de casos de mal uso. Tanto el software como los sistemas pueden probarse para su uso con un fin distinto al previsto. Desde la perspectiva del software, esto podría consistir en aplicar ingeniería inversa a los binarios o acceder a otros procesos a través del software. Desde una perspectiva de TI, esto podría ser una escalada de privilegios, compartir contraseñas y acceder a recursos que deberían denegarse.
•
Análisis de cobertura de prueba. Debe conocer los siguientes tipos de pruebas de cobertura:
•
Prueba de caja negra. El probador no tiene conocimiento previo del entorno que se está probando.
•
Prueba de caja blanca. El probador tiene pleno conocimiento antes de la prueba.
•
Pruebas dinámicas. El sistema que se está probando se monitorea durante la prueba.
•
Pruebas estáticas. El sistema que se está probando no se monitorea durante la prueba.
•
Prueba manual. Las pruebas se realizan manualmente por humanos.
•
Pruebas automatizadas. Un guión realiza una serie de acciones.
•
Ensayos estructurales. Esto puede incluir cobertura de declaración, decisión, condición, ciclo y flujo de datos.
•
Pruebas funcionales. Esto incluye pruebas normales y anti-normales de la reacción de un sistema o software. Las pruebas anti-normales pasan por entradas y métodos inesperados para validar la funcionalidad, estabilidad y solidez.
•
Prueba negativa. Esta prueba utiliza intencionalmente el sistema o software con datos no válidos o dañinos y verifica que el sistema responde de manera adecuada.
•
Prueba de interfaz. Esto puede incluir las interfaces del servidor, así como las interfaces internas y externas. Las interfaces del servidor incluyen el hardware, el software y la infraestructura de red para dar soporte al servidor. Para las aplicaciones, las interfaces externas pueden ser un navegador web o un sistema operativo, y los componentes internos pueden incluir complementos, manejo de errores y más. Debe conocer los diferentes tipos de pruebas para cada sistema.
62
6.3 Recopilar datos de procesos de seguridad Las organizaciones deben recopilar datos sobre políticas y procedimientos y revisarlos periódicamente para asegurarse de que se cumplan los objetivos establecidos. Además, deben considerar si han aparecido nuevos riesgos desde la creación del proceso que ahora deben abordarse.
•
Administración de cuentas. Toda organización debe tener un procedimiento definido para mantener cuentas que tengan acceso a sistemas e instalaciones. Esto no solo significa documentar la creación de una cuenta de usuario, sino que puede incluir cuándo caduca esa cuenta y las horas de inicio de sesión de la cuenta. Esto también debería estar vinculado al acceso a las instalaciones. Por ejemplo, ¿recibió un empleado un código o una tarjeta de acceso para acceder al edificio? ¿Hay horas en las que también se impide el método de acceso? También debe haber procesos separados para administrar las cuentas de los proveedores y otras personas que puedan necesitar acceso temporal.
•
Revisión y aprobación de la gerencia. La gerencia juega un papel clave para garantizar que estos procesos se distribuyan a los empleados y que se sigan. La probabilidad de que un proceso o procedimiento tenga éxito sin la participación de la administración es mínima. Los equipos que recopilan los datos del proceso deben contar con el apoyo total del equipo de gestión, incluidas las revisiones periódicas y la aprobación de todas las técnicas de recopilación de datos.
•
Indicadores clave de desempeño y riesgo. Puede asociar indicadores clave de rendimiento y riesgo con los datos que se recopilan. Los indicadores de riesgo se pueden usar para medir qué tan riesgoso es el proceso, la cuenta, el acceso a las instalaciones u otra acción para la organización. Los indicadores de desempeño se pueden usar para asegurar que un proceso o procedimiento sea exitoso y medir el impacto que tiene en las operaciones diarias de la organización.
•
Copia de seguridad de los datos de verificación. Un procedimiento de copia de seguridad estricto y riguroso es casi inútil sin la verificación de los datos. Las copias de seguridad deben restaurarse con regularidad para garantizar que los datos se puedan recuperar correctamente. Al utilizar la replicación, también debe implementar verificaciones de integridad para asegurarse de que los datos no se corrompan durante el proceso de transferencia.
•
Formación y sensibilización. La capacitación y el conocimiento de las políticas y procedimientos de seguridad son la mitad de la batalla al implementar o mantener estas políticas. Esto se extiende más allá del equipo de seguridad que recopila los datos y puede afectar a todos los empleados o usuarios de una organización. La siguiente tabla describe los diferentes niveles de capacitación que se pueden utilizar para una organización.
Nivel de conocimiento
Objetivo
Conciencia
Formación
Educación
El "qué" de una política o
El "cómo" de una política o
El "por qué" de una política o
procedimiento
procedimiento
procedimiento
Retención de conocimientos
Capacidad para completar una tarea
Entendiendo lo grande imagen
Entrenamiento típico
E-learning a su propio ritmo,
Capacitación dirigida por un instructor (ILT),
métodos
formación basada en la web (WBT),
demostraciones, actividades prácticas
Seminarios e investigaciones
videos Método de prueba
Prueba corta después del entrenamiento
Problema a nivel de aplicación
Problema a nivel de diseño
resolviendo
resolución y arquitectura ejercicios
63
•
Recuperación ante desastres (DR) y continuidad empresarial (BC). Dos áreas que deben estar muy documentadas son la recuperación ante desastres y la continuidad del negocio. Debido a que estos procesos se utilizan con poca frecuencia, la documentación juega un papel clave para ayudar a los equipos a comprender qué hacer y cuándo hacerlo. Como parte de su evaluación y prueba de seguridad, debe revisar la documentación de DR y BC para asegurarse de que esté completa y represente un desastre de principio a fin. Los procedimientos deben cumplir con las políticas de seguridad establecidas por la compañía y responder preguntas como, ¿cómo obtienen los administradores las contraseñas de las cuentas del sistema durante un escenario de recuperación ante desastres? Si se requiere información confidencial durante una tarea de DR o BC, debe asegurarse de que esta información sea segura y accesible para quienes la necesiten.
6.4 Analizar la salida de la prueba y generar informes Los equipos que analizan los procedimientos de seguridad deben conocer las capacidades de salida y generación de informes de los datos. Cualquier información que sea de interés debe ser comunicada a los equipos de gestión de inmediato para que estén al tanto de posibles riesgos o alertas. El nivel de detalle proporcionado a los equipos de gestión puede variar según sus funciones y participación.
El tipo de auditoría que se realiza también puede determinar el tipo de informes que se deben utilizar. Por ejemplo, para una auditoría SSAE 16, se requiere un informe de Control de organización de servicios (SOC). Hay cuatro tipos de informes SOC:
•
SOC 1 Tipo 1. Este informe describe los hallazgos de una auditoría, así como la integridad y precisión de los controles, sistemas e instalaciones documentados.
•
SOC 1 Tipo 2. Este informe incluye el informe Tipo 1, junto con información sobre la eficacia de los procedimientos y controles establecidos para el futuro inmediato.
•
SOC 2. Este informe incluye los resultados de las pruebas de una auditoría.
•
SOC 3. Este informe proporciona resultados generales de auditoría con un nivel de certificación de centro de datos.
6.5 Realizar o facilitar auditorías de seguridad Las auditorías de seguridad deben realizarse de forma rutinaria de acuerdo con la política establecida por la organización. La auditoría interna suele ocurrir con más frecuencia que la auditoría externa o de terceros.
•
Interno. La auditoría de seguridad debe ser una tarea continua del equipo de seguridad. Hay docenas de proveedores de software que simplifican el proceso de agregar datos de registro. El desafío es saber qué buscar una vez que haya recopilado los datos.
•
Externo. La auditoría de seguridad externa debe realizarse en un horario establecido. Esto podría alinearse con los informes financieros de cada trimestre o con alguna otra razón impulsada por el negocio.
•
Tercero. La auditoría de terceros se puede realizar de forma regular, además de la auditoría externa. El objetivo de la auditoría de terceros puede ser proporcionar controles y equilibrios para las auditorías internas y externas, o realizar un procedimiento de auditoría más detallado.
64
Preguntas de revisión del dominio 6 Lea y responda las siguientes preguntas. Si no obtiene al menos una de ellas correcta, dedique más tiempo al tema. Luego continúe con el Dominio 7.
1. Su empresa implementó recientemente una versión preliminar de una nueva aplicación de correo electrónico. La empresa desea realizar pruebas con la aplicación y ha emitido los siguientes requisitos: •
Los evaluadores deben probar todos los aspectos de la aplicación de correo electrónico.
•
Los evaluadores no deben tener ningún conocimiento del nuevo entorno de correo electrónico.
¿Qué tipo de prueba debería utilizar para cumplir con los requisitos de la empresa? a. Prueba de caja blanca segundo. Prueba de caja negra
C. Prueba negativa re. Prueba estática
mi. Prueba dinámica 2. Está trabajando con su empresa para validar las estrategias de evaluación y auditoría. El objetivo inmediato es garantizar que todos los auditores sigan los procesos y procedimientos definidos por las políticas de auditoría de la empresa. ¿Qué tipo de auditoría debería utilizar para este escenario?
a. Interno segundo. Externo
C. Tercero re. Híbrido 3. Su empresa tiene previsto realizar algunas pruebas de control de seguridad. Se han establecido los siguientes requisitos:
•
El equipo debe intentar eludir los controles de los sistemas.
•
El equipo puede utilizar métodos técnicos o métodos no técnicos para intentar evitar los controles.
¿Qué tipo de prueba debería realizar para cumplir con los requisitos? a. Prueba de evaluación de vulnerabilidades
segundo. Pruebas de penetración
C. Prueba de transacciones sintéticas re. Prueba de casos de uso indebido
sesenta y cinco
Respuestas a las preguntas de revisión del dominio 6 1. Respuesta: B Explicación: En las pruebas de caja negra, los evaluadores no tienen conocimiento del sistema que están probando.
2. Respuesta: C
Explicación: Las pruebas de terceros están diseñadas específicamente para garantizar que los otros auditores (internos y externos) sigan correctamente sus políticas y procedimientos.
3. Respuesta: B
Explicación: En una prueba de penetración, los equipos intentan eludir los controles, ya sea técnica o no técnicamente.
66
Dominio 7. Operaciones de seguridad Este dominio se centra en las tareas diarias de proteger su entorno. Si tiene un rol fuera de las operaciones (como en ingeniería o arquitectura), debe dedicar más tiempo a esta sección para asegurarse de estar familiarizado con la información. Notará más secciones prácticas en este dominio, específicamente enfocadas en cómo hacer las cosas en lugar de las consideraciones de diseño o planificación que se encuentran en dominios anteriores.
7.1 Comprender y respaldar las investigaciones En esta sección se analizan conceptos relacionados con el apoyo a las investigaciones de seguridad. Debe estar familiarizado con los procesos de una investigación. Debe conocer todos los fundamentos para recopilar y manejar evidencia, documentar su investigación, reportar la información, realizar análisis de causa raíz y realizar tareas forenses digitales. •
Recolección y manejo de evidencias. Al igual que una investigación de la escena del crimen, una investigación digital que involucra posibles delitos informáticos tiene reglas y procesos para garantizar que las pruebas se puedan utilizar en los tribunales. En un nivel alto, debe asegurarse de que su manejo de la evidencia no altere la integridad de los datos o el entorno. Para garantizar la coherencia e integridad de los datos, su empresa debe tener una política de respuesta a incidentes que describa los pasos a seguir en caso de un incidente de seguridad, con detalles clave como cómo los empleados informan un incidente. Además, la empresa debe tener un equipo de respuesta a incidentes que esté familiarizado con la política de respuesta a incidentes y que represente las áreas clave de la organización (administración, recursos humanos, legal, TI, etc.). El equipo no tiene que estar dedicado, sino que podría tener miembros que tengan un trabajo regular y solo sean llamados cuando sea necesario. Con la recopilación de pruebas, la documentación es clave. En el momento en que llega un informe, comienza el proceso de documentación. Como parte del proceso de documentación, debe documentar cada vez que alguien maneja pruebas y cómo se recopilaron y movieron esas pruebas; esto se conoce como cadena de custodia. Las entrevistas suelen formar parte de la recopilación de pruebas. Si necesita entrevistar a un empleado interno como sospechoso, debe estar presente un representante de recursos humanos. Considere grabar todas las entrevistas, si eso es legal. Si necesita entrevistar a un empleado interno como sospechoso, debe estar presente un representante de recursos humanos. Considere grabar todas las entrevistas, si eso es legal. Si necesita entrevistar a un empleado interno como sospechoso, debe estar presente un representante de recursos humanos. Considere grabar todas las entrevistas, si eso es legal.
•
Informar y documentar. Hay dos tipos de informes: uno para TI con detalles técnicos y otro para administración sin detalles técnicos. Ambos son críticos. La empresa debe ser plenamente consciente del incidente y mantenerse actualizada a medida que avanza la investigación. Capture todo lo posible, incluidas fechas, horas y detalles pertinentes.
•
Técnicas de investigación. Cuando ocurre un incidente, debe averiguar cómo sucedió. Una parte de este proceso es el análisis de la causa raíz, en el que se identifica la causa (por ejemplo, un usuario hizo clic en un enlace malicioso en un correo electrónico, o un servidor web no tenía una actualización de seguridad y un atacante usó una vulnerabilidad no parcheada para comprometer el servidor). A menudo, los equipos se forman para ayudar a determinar la causa raíz. El manejo de incidentes es la gestión general de la investigación; considérelo como gestión de proyectos, pero en un nivel más pequeño. NIST y otros han publicado pautas para el manejo de incidentes. En un nivel alto, incluye los siguientes pasos: detectar, analizar, contener, erradicar y recuperar. Por supuesto, hay otras partes más pequeñas para el manejo de incidentes, como la preparación y el análisis posterior al incidente, como una reunión de revisión de "lecciones aprendidas".
•
Herramientas, tácticas y procedimientos forenses digitales. El forense debe preservar la escena del crimen, aunque en el forense digital, esto significa las computadoras, el almacenamiento y otros dispositivos, en lugar de una habitación y un arma, por ejemplo. Otros investigadores deberían poder realizar sus propios análisis y llegar a las mismas conclusiones porque
67
tienen los mismos datos. Este requisito afecta a muchos de los procedimientos operativos. En particular, en lugar de realizar escaneos, búsquedas y otras acciones contra la memoria y el almacenamiento de las computadoras, debes tomar imágenes de la memoria y el almacenamiento, para que puedas examinar a fondo el contenido sin modificar los originales. Para el análisis forense de la red, debe trabajar a partir de copias de las capturas de red adquiridas durante el incidente. Para los dispositivos integrados, debe tomar imágenes de la memoria y el almacenamiento y anotar la configuración. En todos los casos, deje todo como está, aunque su organización puede tener una política para eliminar todo de la red o cerrarlo por completo. Las nuevas tecnologías pueden presentar nuevos desafíos en esta área porque a veces las herramientas existentes no funcionan (o no funcionan de manera tan eficiente) con las nuevas tecnologías. Por ejemplo,
7.2 Comprender los requisitos para diferentes tipos de investigaciones Su investigación variará según el tipo de incidente que esté investigando. Por ejemplo, si trabaja para una empresa financiera y hubo un compromiso de un sistema financiero, es posible que tenga una investigación regulatoria. Si un pirata informático desfigura el sitio web de su empresa, es posible que tenga una investigación criminal. Cada tipo de investigación tiene consideraciones especiales:
•
Administrativo. El propósito principal de una investigación administrativa es proporcionar a las autoridades apropiadas toda la información relevante para que puedan determinar qué acción tomar, si es que hay alguna. Las investigaciones administrativas a menudo están vinculadas a escenarios de recursos humanos, como cuando un gerente ha sido acusado de irregularidades.
•
Delincuente. Una investigación criminal ocurre cuando se ha cometido un delito y usted está trabajando con una agencia de aplicación de la ley para condenar al presunto perpetrador. En tal caso, es común reunir pruebas para un tribunal de justicia y tener que compartir las pruebas con la defensa. Por lo tanto, debe recopilar y manejar la información utilizando métodos que garanticen que las pruebas se puedan utilizar en los tribunales. Cubrimos algunos puntos clave anteriormente, como la cadena de custodia. Asegúrese de recordar que en un caso penal, se debe probar que un sospechoso es culpable más allá de toda duda razonable. Esto es más difícil que mostrar una preponderancia de pruebas, que a menudo es el estándar en un caso civil.
•
Civil. En un caso civil, una persona o entidad demanda a otra persona o entidad; por ejemplo, una empresa podría demandar a otra por una infracción de marca registrada. Un caso civil generalmente busca daños monetarios, no encarcelamiento o antecedentes penales. Como acabamos de ver, la carga de la prueba es menor en un caso civil.
•
Regulador. Una investigación regulatoria es realizada por un organismo regulador, como la Comisión de Bolsa y Valores (SEC) o la Autoridad Reguladora de la Industria Financiera (FINRA), contra una organización sospechosa de una infracción. En tales casos, la organización está obligada a cumplir con la investigación, por ejemplo, no ocultando ni destruyendo pruebas.
•
Estándares de la industria. Una investigación de estándares de la industria tiene como objetivo determinar si una organización se está adhiriendo a un estándar de la industria específico o un conjunto de estándares, como el registro y la auditoría de intentos fallidos de inicio de sesión. Debido a que los estándares de la industria representan las mejores prácticas bien entendidas y ampliamente implementadas, muchas organizaciones intentan adherirse a ellos incluso cuando no están obligados a hacerlo para reducir los riesgos de seguridad, operativos y otros.
68
7.3 Realizar actividades de registro y seguimiento Esta sección cubre el registro y el monitoreo. •
Detección y prevención de intrusiones. Hay dos tecnologías que puede utilizar para detectar y prevenir intrusiones. Deberías usar ambos. Algunas soluciones los combinan en un solo paquete de software o dispositivo. •
Un sistema de detección de intrusos (IDS) es una tecnología (generalmente software o un dispositivo) que intenta identificar la actividad maliciosa en su entorno. Las soluciones a menudo se basan en patrones, firmas o anomalías. Hay varios tipos de soluciones IDS. Por ejemplo, existen soluciones específicas para la red (IDS de red o NIDS) y otras específicas para ordenadores (IDS o HIDS basados en host).
•
Un sistema de prevención de intrusiones (IPS) puede ayudar a bloquear un ataque antes de que ingrese a su red. En el peor de los casos, puede identificar un ataque en curso. Al igual que un IDS, un IPS suele ser un software o un dispositivo. Sin embargo, un IPS generalmente se coloca en línea en la red para que pueda analizar el tráfico que ingresa o sale de la red, mientras que un IDS generalmente ve intrusiones después de que ocurrieron.
•
Información de seguridad y gestión de eventos (SIEM). Las empresas tienen información de seguridad almacenada en registros en múltiples computadoras y dispositivos. A menudo, la información capturada en los registros es tan extensa que rápidamente puede volverse difícil de administrar y usar. Muchas empresas implementan una solución de administración de eventos e información de seguridad (SIEM) para centralizar los datos de registro y simplificar el trabajo. Por ejemplo, si necesita encontrar todos los intentos fallidos de inicio de sesión en sus servidores web, puede consultar los registros de cada servidor web individualmente. Pero si tiene una solución SIEM, puede ir a un portal y buscar en todos los servidores web con una sola consulta. Un SIEM es una tecnología crítica en organizaciones grandes y conscientes de la seguridad.
•
Monitoreo continuo. El monitoreo continuo es el proceso de transmisión de información relacionada con la seguridad del entorno informático en tiempo real (o casi en tiempo real). Algunas soluciones SIEM ofrecen monitoreo continuo o al menos algunas características de monitoreo continuo.
•
Monitoreo de salida. El monitoreo de salida es el monitoreo de datos cuando salen de su red. Una razón es asegurarse de que el tráfico malicioso no salga de la red (por ejemplo, en una situación en la que una computadora está infectada e intenta propagar malware a los hosts en Internet). Otra razón es garantizar que los datos confidenciales (como la información del cliente o la información de recursos humanos) no salgan de la red a menos que estén autorizados. Las siguientes estrategias pueden ayudar con el monitoreo de la salida:
•
Prevención de pérdida de datos (DLP) Las soluciones se centran en reducir o eliminar los datos confidenciales que salen de la red.
•
Esteganografía es el arte de ocultar datos dentro de otro archivo o mensaje. Por ejemplo, la esteganografía permite ocultar un mensaje de texto dentro de un archivo de imagen (como un .jpg). Debido a que el archivo parece inofensivo, puede ser difícil de detectar.
•
Marca de agua es el acto de incrustar un marcador de identificación en un archivo. Por ejemplo, puede incrustar el nombre de una empresa en un archivo de base de datos de clientes o agregar una marca de agua a un archivo de imagen con información de derechos de autor.
69
7.4 Aprovisionar recursos de forma segura Esta sección cubre el aprovisionamiento de recursos. Por lo tanto, cubrimos los temas desde un punto de vista de aprovisionamiento, en lugar de un punto de vista general de gestión o diseño.
•
Inventario de activos. Necesita tener un método para mantener un inventario preciso de los activos de su empresa. Por ejemplo, necesita saber cuántas computadoras tiene y cuántas instalaciones de cada aplicación de software con licencia tiene. El inventario de activos ayuda a las organizaciones a proteger los activos físicos del robo, mantener el cumplimiento de las licencias de software y contabilizar el inventario (por ejemplo, depreciar los activos). Hay otros beneficios tambien. Por ejemplo, si se identifica una vulnerabilidad en una versión específica de una aplicación, puede usar su inventario de activos para averiguar si tiene instalaciones de la versión vulnerable.
•
Gestión de activos. Los activos, como computadoras, escritorios y aplicaciones de software, tienen un ciclo de vida; en pocas palabras, lo compra, lo usa y luego lo retira. La gestión de activos es el proceso de gestionar ese ciclo de vida. Realiza un seguimiento de todos sus activos, incluido cuándo lo obtuvo, cuánto pagó por él, su modelo de soporte y cuándo necesita reemplazarlo. Por ejemplo, la gestión de activos puede ayudar a su equipo de TI a determinar qué portátiles reemplazar durante el próximo ciclo de actualización. También puede ayudarlo a controlar los costos al encontrar superposiciones en hardware, software u otros activos.
•
Gestión de la configuración. La gestión de la configuración le ayuda a estandarizar una configuración en todos sus dispositivos. Por ejemplo, puede usar un software de administración de configuración para asegurarse de que todas las computadoras de escritorio tengan software antivirus y los últimos parches, y que la pantalla se bloquee automáticamente después de 5 minutos de inactividad. El sistema de gestión de la configuración debería remediar automáticamente la mayoría de los cambios que los usuarios realizan en un sistema. Los beneficios de la administración de la configuración incluyen tener una única configuración (por ejemplo, todos los servidores tienen los mismos servicios básicos en ejecución y el mismo nivel de parche), poder administrar muchos sistemas como una sola unidad (por ejemplo, puede implementar una aplicación anti-malware actualizada). a todos los servidores la misma cantidad de tiempo que se tarda en implementarlo en un solo servidor), y poder informar sobre la configuración en toda su red (lo que puede ayudar a identificar anomalías). Muchas soluciones de administración de configuración son independientes del sistema operativo, lo que significa que se pueden usar en computadoras Windows, Linux y Mac. Sin una solución de administración de la configuración, las posibilidades de tener una implementación uniforme y estandarizada se desploman y se pierde la eficiencia de configurar muchos equipos como una sola unidad.
7.5 Comprender y aplicar conceptos de operaciones de seguridad fundamentales Esta sección cubre algunos de los elementos fundamentales para las operaciones de seguridad. Muchos de estos conceptos se aplican a otras secciones del examen. Debe tener una comprensión muy firme de estos temas para que pueda navegar de manera efectiva por las otras secciones.
•
Necesidad de saber y privilegio mínimo. El acceso debe darse en función de la necesidad de saber. Por ejemplo, un administrador de sistemas al que se le pide que deshabilite una cuenta de usuario no necesita saber que el usuario fue cancelado, y un arquitecto de sistemas al que se le pide que evalúe una lista de inventario de TI no necesita saber que su empresa está considerando adquirir otra empresa. El principio de privilegio mínimo significa otorgar a los usuarios el menor número de privilegios que necesitan para realizar sus tareas laborales; los derechos se otorgan solo después de que se considere necesario un privilegio específico. Es una buena práctica y casi siempre una práctica recomendada. Otros dos conceptos son importantes aquí:
•
Agregación. La combinación de varias cosas en una sola unidad se usa a menudo en el control de acceso basado en roles.
70
•
Confianza transitiva. Desde la perspectiva de Microsoft Active Directory, un dominio principal o raíz confía automáticamente en todos los dominios secundarios. Debido a la transitividad, todos los dominios secundarios también confían entre sí. La transitividad simplifica la creación de fideicomisos. Pero es importante tener cuidado. Considere fuera de Active Directory: si Chris confía en Terry y Pat confía en Terry, ¿debería Chris confiar en Pat? Probablemente no. En entornos de alta seguridad, no es raro ver que se utilizan fideicomisos no transitivos, según la configuración y los requisitos.
•
Separación de deberes y responsabilidades. La separación de funciones se refiere al proceso de separar ciertas tareas y operaciones para que una sola persona no las controle todas. Por ejemplo, puede indicar que una persona sea el administrador de seguridad y otra el administrador de correo electrónico. Cada uno tiene acceso administrativo solo a su área. Es posible que tenga un administrador responsable de la autenticación y otro responsable de la autorización. El objetivo de la separación de funciones es hacer que sea más difícil causar daños a la organización (a través de acciones destructivas o pérdida de datos, por ejemplo). Con la separación de funciones, a menudo es necesario que dos o más personas trabajen juntas (en connivencia) para causar daño a la organización. Sin embargo, la separación de funciones no siempre es práctica. Por ejemplo, en una empresa pequeña, es posible que solo una persona haga todo el trabajo de TI, o una persona haciendo todo el trabajo contable. En tales casos, puede confiar en controles de compensación o auditorías externas para minimizar el riesgo.
•
Gestión de cuentas privilegiada. Un privilegio especial es un derecho que no se suele otorgar a las personas. Por ejemplo, cierto personal de TI puede cambiar las contraseñas de otros usuarios o restaurar una copia de seguridad del sistema, y solo cierto personal de contabilidad puede firmar cheques de la empresa. Las acciones tomadas usando privilegios especiales deben ser monitoreadas de cerca. Por ejemplo, cada restablecimiento de contraseña de usuario debe registrarse en un registro de seguridad junto con la información pertinente sobre la tarea: fecha y hora, computadora de origen, la cuenta a la que se le cambió la contraseña, la cuenta de usuario que realizó el cambio y el estado del cambio (éxito o fracaso). Para entornos de alta seguridad, debe considerar una solución de monitoreo que ofrezca capturas de pantalla o grabación de pantalla además del registro de texto.
•
Rotación de trabajo. La rotación laboral es el acto de mover personas entre trabajos o tareas. Por ejemplo, un contador puede pasar de la nómina a las cuentas por pagar y luego a las cuentas por cobrar. El objetivo de la rotación de trabajos es reducir la duración de una persona en un determinado trabajo (o manejar un determinado conjunto de responsabilidades) durante demasiado tiempo, lo que minimiza las posibilidades de que se produzcan errores o acciones maliciosas sin ser detectadas. La rotación de trabajos también se puede utilizar para capacitar a los miembros de los equipos para minimizar el impacto de una licencia inesperada.
•
Ciclo de vida de la información. El ciclo de vida de la información se compone de las siguientes fases:
•
Recolectar datos. Los datos se recopilan de fuentes como archivos de registro y correo electrónico entrante, y cuando los usuarios producen datos como una nueva hoja de cálculo.
•
Usa datos. Los usuarios leen, editan y comparten datos.
•
Conservar datos (opcional). Los datos se archivan durante el tiempo requerido por las políticas de retención de datos de la empresa. Por ejemplo, algunas empresas retienen todos los datos del correo electrónico durante 7 años archivando los datos en un almacenamiento a largo plazo hasta que haya transcurrido el período de retención.
•
Retención legal (ocasional). Una retención legal requiere que usted mantenga una o más copias de los datos especificados en una forma inalterable durante un escenario legal (como una demanda) o una auditoría o investigación gubernamental. Un control legal es a menudo limitado; por ejemplo, es posible que deba poner una retención legal en todos los correos electrónicos enviados o recibidos del departamento de cuentas por pagar. En la mayoría de los casos, una retención legal es invisible para los usuarios y administradores que no participan en la realización de la retención.
71
•
Borrar datos. La acción de eliminación predeterminada en la mayoría de los sistemas operativos no es segura: los datos se marcan como eliminados, pero aún residen en los discos y se pueden recuperar fácilmente con software estándar. Para tener un ciclo de vida eficaz de la información, debe utilizar técnicas de eliminación segura como la limpieza del disco (por ejemplo, sobrescribiendo los datos varias veces), la desmagnetización y la destrucción física (trituración de un disco).
•
Acuerdos de nivel de servicio (SLA). Un SLA es un acuerdo entre un proveedor (que podría ser un departamento interno) y la empresa que define cuándo un servicio proporcionado por el departamento es aceptable. Por ejemplo, el equipo de correo electrónico podría tener un SLA que dicta que proporcionará un tiempo de actividad del 99,9% cada mes o que el correo no deseado representará el 5% o menos del correo electrónico en los buzones de correo de los usuarios. Los SLA pueden ayudar a los equipos a diseñar soluciones adecuadas. Por ejemplo, si un SLA requiere un tiempo de actividad del 99,9%, un equipo puede centrarse en la alta disponibilidad y la resistencia del sitio. A veces, especialmente con los proveedores de servicios, no cumplir con los SLA puede resultar en sanciones económicas. Por ejemplo, un proveedor de servicios de Internet (ISP) podría tener que reducir sus cargos mensuales de conexión si no cumple con su SLA.
7.6 Aplicar técnicas de protección de recursos Esta sección cubre la gestión de medios, hardware y software. Veremos algunos consejos clave para administrar los medios y usar la administración de activos para software y hardware.
•
Administración de medios. La gestión de medios es el acto de mantener medios para su software y datos. Esto incluye imágenes del sistema operativo, archivos de instalación y medios de respaldo. Cualquier medio que utilice en su organización potencialmente cae bajo este paraguas. Hay algunos conceptos importantes de gestión de medios que debe conocer:
•
Archivos fuente. Si confía en el software para funciones críticas, necesita poder reinstalar ese software en cualquier momento. A pesar de la llegada del software descargable, muchas organizaciones confían en software heredado que compraron en disco hace años y que ya no está disponible para su compra. Para proteger su organización, debe mantener copias de los medios junto con copias de las claves de licencia.
•
Imágenes del sistema operativo. Necesita un método para administrar las imágenes de su sistema operativo para poder mantener imágenes limpias, actualizar las imágenes con regularidad (por ejemplo, con actualizaciones de seguridad) y usar las imágenes para implementaciones. No solo debe mantener varias copias en varios sitios, sino que también debe probar las imágenes de vez en cuando. Si bien siempre puede reconstruir una imagen a partir de su documentación paso a paso, ese tiempo perdido podría costarle dinero a su empresa durante una interrupción u otro problema importante.
•
Medios de respaldo. Los medios de copia de seguridad se consideran medios sensibles. Si bien muchas organizaciones cifran las copias de seguridad en los medios, aún debe tratar los medios de copia de seguridad de una manera especial para reducir el riesgo de que sean robados y comprometidos. Muchas empresas bloquean los medios de copia de seguridad en contenedores seguros y almacenan los contenedores en un lugar seguro. También es común utilizar empresas de terceros para almacenar medios de copia de seguridad de forma segura en instalaciones externas.
•
Gestión de activos de hardware y software. A primera vista, la gestión de activos puede no parecer relacionada con las operaciones de seguridad, pero en realidad lo está. Por ejemplo, si un proveedor anuncia una vulnerabilidad crítica en una versión específica de un producto que permite la ejecución remota de código, debe actuar rápidamente para parchear sus dispositivos, lo que significa que debe poder determinar rápidamente si tiene algún dispositivo que son vulnerables. No puede hacer eso sin una gestión de activos eficaz (y, en algunos casos, gestión de la configuración). A continuación, se muestran algunas tareas clave para una solución de gestión de activos:
72
•
Capture tantos datos como sea razonablemente posible. Necesita saber dónde está instalado un producto determinado. Pero también necesita saber cuándo se instaló (por ejemplo, si se instaló una versión vulnerable después de que la compañía anunció la vulnerabilidad), el número de versión preciso (porque sin eso, es posible que no pueda determinar efectivamente si es susceptible) y otros detalles.
•
Tener un sistema de informes sólido. Debe poder utilizar todos los datos de gestión de activos que recopila, por lo que necesita un sistema de informes sólido que pueda consultar a pedido. Por ejemplo, debería poder obtener rápidamente un informe que enumere todas las computadoras que ejecutan una versión específica de un producto de software específico. Y luego debería poder filtrar esos datos solo a dispositivos corporativos o computadoras portátiles.
•
Integre la gestión de activos con otro software de automatización. Si su solución de administración de activos descubre 750 computadoras que ejecutan una versión vulnerable de un software, necesita una forma automatizada de actualizar el software a la última versión. Puede hacerlo integrando su sistema de gestión de activos con su sistema de gestión de la configuración. Algunos proveedores ofrecen una solución todo en uno que realiza tanto la gestión de activos como la gestión de la configuración.
7.7 Conducir la gestión de incidentes La gestión de incidentes es la gestión de incidentes que son potencialmente dañinos para una organización, como un ataque distribuido de denegación de servicio. No todos los incidentes están relacionados con la computadora; por ejemplo, un robo en la oficina de su director ejecutivo también es un incidente.
•
Detección. Es fundamental poder detectar incidentes rápidamente porque a menudo se vuelven más dañinos con el paso del tiempo. Es importante contar con una solución sólida de monitoreo y detección de intrusos. Otras partes de un sistema de detección incluyen cámaras de seguridad, detectores de movimiento, alarmas de humo y otros sensores. Si hay un incidente de seguridad, desea recibir una alerta (por ejemplo, si se activa una alarma en la sede corporativa durante un fin de semana festivo).
•
Respuesta. Cuando reciba una notificación sobre un incidente, debe comenzar verificando el incidente. Por ejemplo, si se activó una alarma en las instalaciones de una empresa, un guardia de seguridad puede verificar físicamente los alrededores en busca de una intrusión y verificar las cámaras de seguridad para detectar anomalías. En el caso de incidentes relacionados con la computadora, se recomienda mantener encendidos los sistemas comprometidos para recopilar datos forenses. Junto con el proceso de verificación, durante la fase de respuesta también debe iniciar la comunicación inicial con equipos o personas que puedan ayudar con la mitigación. Por ejemplo, debe comunicarse con el equipo de seguridad de la información inicialmente durante un ataque de denegación de servicio.
•
Mitigación. El siguiente paso es contener el incidente. Por ejemplo, si una computadora se ha visto comprometida y está intentando activamente comprometer otras computadoras, la computadora comprometida debe eliminarse de la red para mitigar el daño.
•
Informes. A continuación, debe difundir datos sobre el incidente. Debe informar periódicamente a los equipos técnicos y a los equipos de gestión sobre los últimos hallazgos relacionados con el incidente.
•
Recuperación. En la fase de recuperación, la empresa vuelve a sus operaciones normales. Por ejemplo, para una computadora comprometida, puede volver a crear una imagen o restaurarla desde una copia de seguridad. Si tiene una ventana rota, la reemplaza.
73
•
Remediación. En esta fase, se toman medidas adicionales para minimizar las posibilidades de que el mismo ataque o uno similar tenga éxito. Por ejemplo, si sospecha que un atacante lanzó ataques desde la red inalámbrica de la empresa, debe actualizar la contraseña inalámbrica o el mecanismo de autenticación. Si un atacante obtuvo acceso a datos confidenciales de texto sin formato durante un incidente, debe cifrar los datos en el futuro.
•
Lecciones aprendidas. Durante esta fase, todos los miembros del equipo que trabajaron en el incidente de seguridad se reúnen para revisar el incidente. Quiere saber qué partes de la gestión de incidentes fueron eficaces y cuáles no. Por ejemplo, es posible que descubra que su software de seguridad detectó un ataque inmediatamente (efectivo) pero no pudo contener el incidente sin apagar todas las computadoras de la empresa (menos efectivo). El objetivo es revisar los detalles para garantizar que el equipo esté mejor preparado para el próximo incidente.
7.8 Operar y mantener medidas de detección y prevención Esta sección trata sobre el trabajo práctico de operar y mantener sistemas de seguridad para bloquear ataques al entorno de su empresa o minimizar su impacto. •
Cortafuegos. Si bien la operación de firewalls a menudo implica agregar y editar reglas y revisar registros, hay otras tareas que también son importantes. Por ejemplo, revise el registro de cambios de configuración del firewall para ver qué ajustes de configuración se han cambiado recientemente.
•
Sistemas de detección y prevención de intrusiones. Necesita evaluar de forma rutinaria la eficacia de sus sistemas IDS e IPS. También debe revisar y ajustar la funcionalidad de alerta. Si se envían demasiadas alertas (especialmente falsos positivos o falsos negativos), los administradores a menudo ignorarán o tardarán en responder a las alertas, lo que hará que la respuesta a una alerta de incidente real se retrase.
•
Incluir en listas blancas y negras. La lista blanca es el proceso de marcar las aplicaciones como permitidas, mientras que la lista negra es el proceso de marcar las aplicaciones como no permitidas. Las listas blancas y negras se pueden automatizar. Es común incluir en la lista blanca todas las aplicaciones incluidas en una imagen de computadora corporativa y no permitir todas las demás.
•
Servicios de seguridad prestados por terceros. Algunos proveedores ofrecen servicios de seguridad que ingieren los registros relacionados con la seguridad de todo su entorno y manejan la detección y respuesta mediante inteligencia artificial o un gran centro de operaciones de red. Otros servicios realizan evaluaciones, auditorías o análisis forense. Finalmente, existen servicios de seguridad de terceros que ofrecen revisión de código, corrección o informes.
•
Sandboxing. El sandboxing es el acto de segmentar totalmente un entorno o una computadora de sus redes de producción y computadoras; por ejemplo, una empresa puede tener un entorno de no producción en una red y una conexión a Internet físicamente separadas. Las cajas de arena ayudan a minimizar el daño a una red de producción. Debido a que las computadoras y los dispositivos en una caja de arena no se administran de la misma manera que las computadoras de producción, a menudo son más vulnerables a los ataques y al malware. Al segmentarlos, reduce el riesgo de que esos equipos infecten sus equipos de producción. Las cajas de arena también se utilizan a menudo para honeypots y honeynets, como se explica en el siguiente punto.
•
Honeypots y honeynets. Un honeypot o una honeynet es una computadora o red que se implementa a propósito para atraer a los posibles atacantes y registrar sus acciones. El objetivo es comprender sus métodos y utilizar ese conocimiento para diseñar computadoras y redes más seguras. Hay usos importantes y aceptados; por ejemplo, una empresa de software antivirus puede utilizar honeypots para validar y fortalecer su software antivirus y antimalware.
74
Sin embargo, los honeypots y las redes de miel se han calificado de poco éticos debido a sus similitudes con la trampa. Si bien muchas organizaciones conscientes de la seguridad se mantienen alejadas de ejecutar sus propios honeypots y honeynets, aún pueden aprovechar la información obtenida de otras compañías que los utilizan.
•
Anti-malware. Antimalware es un término amplio que a menudo incluye antivirus, antispam y antimalware (siendo malware cualquier otro código, aplicación o servicio creado para causar daño). Debe implementar anti-malware en todos los dispositivos posibles, incluidos servidores, computadoras cliente, tabletas y teléfonos inteligentes, y estar atento a las actualizaciones de productos y definiciones.
7.9 Implementar y respaldar la gestión de parches y vulnerabilidades Si bien la administración de parches y la administración de vulnerabilidades parecen sinónimos, existen algunas diferencias clave:
•
Gestión de parches. Las actualizaciones que proporcionan los proveedores de software para solucionar problemas de seguridad u otros errores se denominan parches. La administración de parches es el proceso de administrar todos los parches en su entorno, de todos los proveedores. Un buen sistema de administración de parches prueba e implementa nuevos parches inmediatamente después de su lanzamiento para minimizar la exposición. Muchas organizaciones de seguridad han publicado estudios que afirman que la parte más importante para proteger un entorno es tener un proceso de administración de parches sólido que se mueva con rapidez. Un sistema de administración de parches debe incluir los siguientes procesos:
•
Detección y descarga automática de nuevos parches. La detección y descarga deben ocurrir al menos una vez al día. Debe controlar la detección de parches para que se le notifique si la detección o descarga no funciona.
•
Distribución automática de parches. Inicialmente, implemente parches en algunas computadoras en un entorno de laboratorio y ejecútelos a través de pruebas del sistema. Luego expanda la distribución a una mayor cantidad de computadoras que no sean de producción. Si todo funciona correctamente y no se encuentran problemas, distribuya los parches al resto del entorno que no sea de producción y luego pase a producción. Es una buena práctica parchear sus sistemas de producción dentro de los 7 días posteriores al lanzamiento del parche. En escenarios críticos donde existe un código de explotación conocido para una vulnerabilidad de ejecución remota de código, debe implementar parches en sus sistemas de producción el día del lanzamiento del parche para maximizar la seguridad.
•
Informar sobre el cumplimiento del parche. Incluso si tiene un método automático de distribución de parches, necesita una forma de evaluar su cumplimiento general. ¿El 100% de sus computadoras tienen el parche? ¿O el 90%? ¿A qué equipos específicos les falta un parche específico? El equipo de gestión puede utilizar los informes para evaluar la eficacia de un sistema de gestión de parches.
•
Capacidades de reversión automática. A veces, los proveedores lanzan parches que crean problemas o tienen incompatibilidades. Es posible que esos problemas no sean evidentes de inmediato, sino que aparezcan días después. Asegúrese de tener una forma automatizada de revertir o eliminar el parche en todas las computadoras. No querrás darte cuenta de eso unos minutos antes de tener que hacerlo.
•
Gestión de vulnerabilidades. Una vulnerabilidad es una forma en que su entorno corre el riesgo de verse comprometido o degradado. La vulnerabilidad puede deberse a la falta de un parche. Pero también puede deberse a una configuración incorrecta u otros factores. Por ejemplo, cuando recientemente se descubrió que los certificados SHA-1 eran vulnerables a los ataques, muchas empresas
75
repentinamente se encontraron vulnerables y tuvieron que actuar (reemplazando los certificados). Muchas soluciones de gestión de vulnerabilidades pueden escanear el entorno en busca de vulnerabilidades. Dichas soluciones complementan, pero no reemplazan, los sistemas de administración de parches y otros sistemas de seguridad (como los sistemas antivirus o antimalware). Tenga en cuenta las siguientes definiciones:
•
Vulnerabilidad de día cero. A veces se conoce una vulnerabilidad antes de que un parche esté disponible. En ocasiones, estas vulnerabilidades de día cero se pueden mitigar con una configuración actualizada u otra solución temporal hasta que haya un parche disponible. Otras veces, no hay mitigaciones disponibles y debe estar especialmente atento al registro y al monitoreo hasta que el parche esté disponible.
•
Explotación de día cero. Los atacantes pueden publicar código para aprovechar una vulnerabilidad para la que no hay ningún parche disponible. Estos exploits de día cero representan uno de los desafíos más difíciles para las organizaciones que intentan proteger sus entornos.
7.10 Comprender y participar en los procesos de gestión del cambio. La gestión del cambio representa una forma estructurada de gestionar los cambios en un entorno. Los objetivos incluyen proporcionar un proceso para minimizar el riesgo, mejorar la experiencia del usuario y proporcionar coherencia con los cambios. Si bien muchas empresas tienen sus propios procesos de gestión de cambios, existen pasos que son comunes en la mayoría de las organizaciones:
•
Identifica la necesidad de un cambio. Por ejemplo, puede descubrir que sus enrutadores son vulnerables a un ataque de denegación de servicio y necesita actualizar la configuración para solucionarlo.
•
Pruebe el cambio en un laboratorio. Pruebe el cambio en un entorno que no sea de producción para asegurarse de que el cambio propuesto haga lo que cree que hará. También use la prueba para documentar el proceso de implementación y otros detalles clave.
•
Realice una solicitud de cambio. Una solicitud de cambio es una solicitud formal para implementar un cambio. Usted especifica la fecha propuesta del cambio (a menudo dentro de una ventana de cambio predefinida), los detalles del trabajo, los sistemas afectados, los detalles de la notificación, la información de las pruebas, los planes de reversión y otra información pertinente. El objetivo es tener suficiente información en la solicitud para que otros puedan determinar si habrá algún impacto en otros cambios o conflictos con otros cambios y se sientan cómodos avanzando. Muchas empresas requieren una justificación de cambio para todos los cambios.
•
Obtener aprobación. A menudo, una junta de control de cambios (un comité que dirige la gestión de cambios) se reunirá semanalmente o mensualmente para revisar las solicitudes de cambio. La junta y las personas que han presentado los cambios se reúnen para discutir las solicitudes de cambio, hacer preguntas y votar sobre la aprobación. Si se otorga la aprobación, pasa al siguiente paso. Si no es así, reinicia el proceso.
•
Envía notificaciones. Una placa de control de cambios puede enviar comunicaciones sobre los próximos cambios. En algunos casos, el equipo de implementación maneja las comunicaciones. El objetivo es comunicar a las partes afectadas, la administración y el departamento de TI sobre los próximos cambios. Si ven algo inusual después de realizar un cambio, las notificaciones los ayudarán a comenzar a investigar al observar los cambios más recientes.
•
Realice el cambio. Si bien la mayoría de las empresas han definido períodos de cambio, a menudo durante el fin de semana, a veces un cambio no puede esperar a ese período (como un cambio de emergencia). Durante el proceso de cambio, capture el
76
configuración, capturar los cambios y pasos, y documentar toda la información pertinente. Si un cambio no se realiza correctamente, realice los pasos del plan de reversión.
•
Envíe notificaciones de "todo claro". Estas notificaciones indican éxito o fracaso.
7.11 Implementar estrategias de recuperación Una operación de recuperación se lleva a cabo después de una interrupción, un incidente de seguridad u otro desastre que derriba un entorno o lo compromete de una manera que requiere restauración. Las estrategias de recuperación son importantes porque tienen un gran impacto en el tiempo que su organización estará inactiva o tendrá un entorno degradado, lo que tiene un impacto en los resultados de la empresa. Tenga en cuenta que esta sección se centra en estrategias en lugar de tácticas, por lo que debe pensar desde una perspectiva de diseño, no desde una perspectiva operativa del día a día.
•
Estrategias de almacenamiento de respaldo. Si bien la mayoría de las organizaciones respaldan sus datos de alguna manera, muchas no tienen una estrategia o política oficial con respecto a dónde se almacenan los datos de respaldo o cuánto tiempo se retienen los datos. En la mayoría de los casos, los datos de respaldo deben almacenarse fuera del sitio. El almacenamiento de respaldo fuera del sitio ofrece los siguientes beneficios:
•
Si su centro de datos se destruye (terremoto, inundación, incendio), sus datos de respaldo no se destruyen con él. En algunos casos, los proveedores externos de servicios de almacenamiento externo también proporcionan instalaciones de recuperación para permitir a las organizaciones recuperar sus sistemas en el entorno del proveedor.
•
Los proveedores de almacenamiento externo brindan instalaciones de almacenamiento ambientalmente sensibles con características ambientales de alta calidad en cuanto a humedad, temperatura y luz. Estas instalaciones son óptimas para el almacenamiento de copias de seguridad a largo plazo.
•
Los proveedores de almacenamiento externo brindan servicios adicionales que su empresa tendría que administrar de otro modo, como la rotación de cintas (entrega de cintas nuevas y recolección de cintas antiguas), bóveda electrónica (almacenamiento de datos de respaldo electrónicamente) y organización (catalogación de todos los medios, fechas y veces).
•
Estrategias de sitios de recuperación. Cuando las empresas tienen varios centros de datos, a menudo pueden utilizar uno como centro de datos principal y el otro como un sitio de recuperación (ya sea un sitio de espera frío o un sitio de espera caliente). Una organización con 3 o más centros de datos puede tener un centro de datos principal, un centro de datos secundario (sitio de recuperación) y centros de datos regionales. Con la rápida expansión de las capacidades de la nube pública, tener un proveedor de nube pública como su sitio de recuperación es factible y razonable. Una cosa clave en la que pensar es el costo. Si bien el almacenamiento en la nube es económico y, por lo tanto, su empresa probablemente pueda permitirse almacenar datos de respaldo allí, tratar de recuperar todo su centro de datos desde la nube pública puede no ser asequible o lo suficientemente rápido.
•
Múltiples sitios de procesamiento. Históricamente, las aplicaciones y los servicios estaban altamente disponibles dentro de un sitio como un centro de datos, pero la resistencia del sitio era increíblemente costosa y compleja. Hoy en día, es común que las empresas tengan múltiples centros de datos y la conectividad entre los centros de datos es mucho más rápida y menos costosa. Debido a estos avances, muchas aplicaciones brindan resistencia al sitio con la capacidad de tener múltiples instancias de una aplicación distribuidas en 3 o más centros de datos. En algunos casos, los proveedores de aplicaciones recomiendan diseños sin respaldo en los que una aplicación y sus datos se almacenan en 3 o más ubicaciones, con la aplicación manejando la sincronización de múltiples sitios. La nube pública puede ser el tercer sitio, lo que es beneficioso para las empresas que carecen de un tercer sitio o que ya tienen aplicaciones y servicios en la nube pública.
77
•
Resistencia del sistema, alta disponibilidad, calidad de servicio (QoS) y tolerancia a fallas. Para prepararse para el examen, es importante conocer las diferencias entre estos términos relacionados:
•
Resistencia del sistema. La resiliencia es la capacidad de recuperarse rápidamente. Por ejemplo, la resistencia del sitio significa que si el sitio 1 deja de funcionar, el sitio 2 se conecta rápidamente y sin problemas. De manera similar, con la resistencia del sistema, si falla una unidad de disco, se agrega otra unidad de disco (de repuesto) rápida y sin problemas al grupo de almacenamiento. La resiliencia a menudo proviene de tener múltiples componentes funcionales (por ejemplo, componentes de hardware).
•
Alta disponibilidad. Si bien la resiliencia se trata de recuperarse con una pequeña cantidad de tiempo de inactividad o degradación, la alta disponibilidad se trata de tener múltiples sistemas redundantes que permiten cero tiempo de inactividad o degradación por una sola falla. Por ejemplo, si tiene un clúster de base de datos de alta disponibilidad, uno de los nodos puede fallar y el clúster de la base de datos permanece disponible sin una interrupción o impacto. Si bien los clústeres suelen ser la respuesta para la alta disponibilidad, también hay muchos otros métodos disponibles. Por ejemplo, puede proporcionar una aplicación web de alta disponibilidad mediante el uso de varios servidores web sin un clúster. Muchas organizaciones quieren tanto alta disponibilidad como resistencia.
•
Calidad de servicio ( QoS). QoS es una técnica que ayuda a permitir que los servicios especificados reciban una calidad de servicio más alta que otros servicios especificados. Por ejemplo, en una red, QoS puede proporcionar la más alta calidad de servicio a los teléfonos y la más baja calidad de servicio a las redes sociales. QoS ha estado en las noticias debido a la discusión sobre la neutralidad de la red que tiene lugar en Estados Unidos. La nueva ley de neutralidad de la red otorga a los ISP el derecho a brindar servicios de mayor calidad a un grupo específico de clientes o para un servicio específico en Internet. Por ejemplo, un ISP puede optar por utilizar QoS para hacer que sus propias propiedades web funcionen maravillosamente mientras se asegura que el rendimiento de los sitios de sus competidores sea insatisfactorio.
•
Tolerancia a fallos. Como parte de la provisión de una solución de alta disponibilidad, debe asegurarse de que sus dispositivos informáticos tengan varios componentes (tarjetas de red, procesadores, unidades de disco, etc.) del mismo tipo y tipo para brindar tolerancia a fallas. La tolerancia a fallas, por sí sola, no es valiosa. Por ejemplo, imagine un servidor con CPU tolerantes a fallas. La fuente de alimentación del servidor falla. Ahora el servidor está listo aunque tenga tolerancia a fallas. Como puede ver, debe tener en cuenta la tolerancia a fallas en todo su sistema y en toda su red.
7.12 Implementar procesos de recuperación de recuperación ante desastres (DR) Tratar de recuperarse de un desastre sin un proceso de recuperación de desastres documentado es difícil, si no imposible. Por lo tanto, debe establecer procesos claros de recuperación de desastres para minimizar el esfuerzo y el tiempo necesarios para recuperarse de un desastre. Probar los planes también es importante y se analiza por separado en la siguiente sección (7.13).
•
Respuesta. Cuando se entera de un incidente, el primer paso es determinar si requiere un procedimiento de recuperación ante desastres. La puntualidad es importante porque si se requiere una recuperación, debe comenzar los procedimientos de recuperación lo antes posible. El monitoreo y las alertas juegan un papel importante para permitir que las organizaciones respondan a los desastres con mayor rapidez.
•
Personal. En muchas organizaciones, hay un equipo dedicado a la planificación, prueba e implementación de la recuperación ante desastres. Mantienen los procesos y la documentación. En un escenario de recuperación de desastres, primero se debe contactar al equipo de recuperación de desastres para que puedan comenzar a comunicarse con los equipos requeridos. En un desastre real, comunicarse con todos será difícil y, en algunos casos, no será posible. A veces, las empresas utilizan
78
servicios de comunicación o software para facilitar las comunicaciones de emergencia en toda la empresa o las comunicaciones masivas con el personal involucrado en la operación de recuperación de desastres.
•
Comunicaciones. Hay dos formas principales de comunicación que ocurren durante una operación de recuperación de desastres, así como una tercera forma de comunicación que a veces se requiere:
•
Comunicaciones con el personal de recuperación. En muchos escenarios de desastre, el correo electrónico no funciona, los teléfonos no funcionan y los servicios de mensajería instantánea no funcionan. Si el desastre no ha quitado el servicio celular, puede confiar en las comunicaciones con teléfonos inteligentes (mensajes SMS, llamadas telefónicas).
•
Comunicaciones con el equipo directivo y el negocio. A medida que comienza la operación de recuperación, el equipo de recuperación ante desastres debe mantenerse en contacto regular con la empresa y el equipo de gestión. El equipo empresarial y de gestión debe comprender la gravedad del desastre y el tiempo aproximado de recuperación. A medida que avanzan las cosas, deben actualizarse periódicamente.
•
Comunicaciones con el público. En algunos casos, una empresa que experimenta un desastre a gran escala debe comunicarse con el público, por ejemplo, un proveedor de servicios, una empresa que cotiza en bolsa o un proveedor de servicios a los consumidores. Como mínimo, la comunicación debe indicar la gravedad del incidente, cuándo se espera que se reanude el servicio y cualquier acción que los consumidores deban tomar.
•
Evaluación. Durante la fase de respuesta, los equipos verificaron que debían iniciarse los procedimientos de recuperación. En la fase de evaluación, los equipos profundizan en las tecnologías y los servicios específicos para conocer los detalles del desastre. Por ejemplo, si durante la fase de respuesta, el equipo encontró que el correo electrónico está completamente inactivo, entonces podrían verificar si otras tecnologías se ven afectadas junto con el correo electrónico.
•
Restauracion. Durante la fase de restauración, el equipo realiza las operaciones de recuperación para devolver todos los servicios a su estado normal. En muchas situaciones, esto significa conmutar por error a un centro de datos secundario. En otros, puede significar recuperarse de las copias de seguridad. Después de una conmutación por error exitosa a un centro de datos secundario, es común comenzar a planificar la conmutación por error al centro de datos primario una vez que esté listo. Por ejemplo, si el centro de datos principal se inundó, se recuperaría en el segundo centro de datos, se recuperaría de la inundación y luego volvería a conmutar al centro de datos principal.
•
Formación y sensibilización. Para maximizar la efectividad de sus procedimientos de recuperación ante desastres, necesita tener una campaña de capacitación y concientización. A veces, los equipos técnicos obtendrán conocimientos sobre recuperación ante desastres mientras asisten a clases de formación o conferencias sobre su tecnología. Pero también necesitan capacitación sobre los procedimientos y políticas de recuperación de desastres de su organización. La realización de pruebas de rutina de sus planes de recuperación ante desastres puede ser parte de dicha capacitación. Ese tema se trata a continuación, en la sección 7.13.
7.13 Probar planes de recuperación ante desastres (DRP) Probar sus planes de recuperación ante desastres es una forma eficaz de garantizar que su empresa esté preparada para un desastre real. También ayuda a minimizar la cantidad de tiempo que lleva recuperarse de un desastre real, lo que puede beneficiar financieramente a una empresa. Hay varias formas de probar su plan:
•
Lectura completa / sobremesa. Los equipos de recuperación ante desastres (por ejemplo, servidor, red, seguridad, base de datos, correo electrónico, etc.) se reúnen y se lee el plan de recuperación ante desastres. Cada equipo valida que sus tecnologías están presentes y que el momento es adecuado para garantizar que todo se pueda recuperar. Si no, se realizan cambios. Una lata de lectura
79
a menudo ayudan a identificar problemas de pedidos (por ejemplo, intentar recuperar el correo electrónico antes de recuperar el DNS) u otros problemas de alto nivel. En un ejercicio de lectura completa, los equipos no realizan ninguna operación de recuperación.
•
Tutorial. Un recorrido es una lectura más detallada: los mismos equipos analizan los detalles de las operaciones de recuperación para buscar errores, omisiones u otros problemas.
•
Simulación. Una simulación es un desastre simulado en el que los equipos deben realizar sus operaciones de recuperación documentadas. Las simulaciones son muy útiles para validar los planes de recuperación detallados y ayudar a los equipos a adquirir experiencia en la realización de operaciones de recuperación.
•
Paralelo. En un esfuerzo de recuperación paralelo, los equipos realizan operaciones de recuperación en una red separada, a veces en una instalación separada. Algunas organizaciones utilizan proveedores externos que proporcionan centros de datos de recuperación para realizar pruebas de recuperación en paralelo. En ocasiones, las empresas utilizan un método de recuperación paralelo para minimizar las interrupciones en sus redes internas y minimizar la necesidad de mantener la infraestructura de TI necesaria para respaldar los esfuerzos de recuperación.
•
Interrupción total. En una recuperación de interrupción completa, las organizaciones detienen las operaciones regulares en una red separada, a veces en una instalación separada. Muchas veces, una operación de interrupción completa implica la conmutación por error del centro de datos principal al centro de datos secundario. Este tipo de prueba de recuperación es el más caro, lleva más tiempo y expone a la empresa al mayor riesgo de que algo salga mal. Si bien esos inconvenientes son graves, las pruebas de interrupción total son una buena práctica para la mayoría de las organizaciones.
7.14 Participar en la planificación y los ejercicios de continuidad del negocio (BC) La continuidad del negocio incluye la recuperación ante desastres, pero también cubre otras cosas. La recuperación ante desastres es una serie muy específica de procesos para recuperarse de un desastre. La continuidad del negocio se centra en garantizar que el negocio experimente un tiempo de inactividad mínimo o nulo (con la esperanza de que no sea necesario un proceso de recuperación ante desastres). Piense en la continuidad empresarial como una estrategia y la recuperación ante desastres como una táctica. Los siguientes puntos detallan los pasos necesarios para planificar la continuidad del negocio. Tenga en cuenta que estos pasos también se pueden utilizar para crear un plan de recuperación ante desastres.
•
Planifique para un escenario inesperado. Forma un equipo, realiza un análisis de impacto empresarial para tus tecnologías, identifica un presupuesto y averigua qué procesos de negocio son críticos para la misión.
•
Revise sus tecnologías. Establezca el objetivo del tiempo de recuperación y el objetivo del punto de recuperación, desarrolle un plan de tecnología, revise los contratos de soporte de los proveedores y cree o revise planes de recuperación ante desastres.
•
Elabora un plan de comunicación. Determine con quién se debe contactar, descubra los métodos de contacto principales y alternativos y asegúrese de que todos puedan trabajar, posiblemente desde una ubicación de respaldo.
•
Coordinar con entidades externas. Trabajar con entidades externas relevantes, como el departamento de policía, agencias gubernamentales, empresas asociadas y la comunidad.
80
7.15 Implementar y administrar la seguridad física La seguridad física representa la protección de sus activos físicos, como terrenos, edificios, computadoras y otras propiedades de la empresa.
•
Controles de seguridad perimetral. El perímetro es la instalación externa que rodea sus edificios u otras áreas, como el espacio en las afueras de un centro de datos. Dos consideraciones clave son el control de acceso y la supervisión:
•
Control de acceso. Para maximizar la seguridad, sus instalaciones deben restringir quién puede ingresar. Esto a menudo se maneja mediante tarjetas de acceso y lectores de tarjetas en las puertas. Otros métodos comunes son un centro de visitantes o un área de recepción con guardias de seguridad y escáneres biométricos para ingresar (a menudo requerido para los centros de datos).
•
Supervisión. Como parte de la seguridad de su perímetro, debe tener una solución para monitorear anomalías. Por ejemplo, si una puerta con un lector de tarjetas está abierta durante más de 60 segundos, podría indicar que se ha dejado abierta. Si una persona escanea la puerta de un centro de datos con una credencial, pero esa credencial no se usó para ingresar a ninguna otra puerta exterior ese día, podría ser un escenario para investigar; por ejemplo, tal vez la tarjeta fue robada por alguien que obtuvo acceso a el edificio a través de las salidas de aire. Un sistema de monitoreo puede alertarlo sobre escenarios inusuales y brindar una visión histórica de las actividades de su perímetro.
•
Controles de seguridad internos. La seguridad interna se centra en limitar el acceso a las salas de almacenamiento o suministros, archivadores, armarios telefónicos, centros de datos y otras áreas sensibles. Hay un par de métodos clave para usar:
•
Requisitos de escolta. Cuando un visitante se registra en su centro de visitantes, puede requerir que un empleado lo acompañe. Por ejemplo, tal vez se requiera que el visitante esté siempre con un empleado y la credencial de invitado no abre puertas a través de los lectores de tarjetas de puerta. Los requisitos de acompañamiento son especialmente importantes para los visitantes que operarán en áreas sensibles (por ejemplo, una empresa de aire acondicionado que trabaja en un problema en su centro de datos).
•
Llave y cerraduras. Cada empleado debe tener la capacidad de asegurar sus pertenencias personales y de la empresa en su espacio de trabajo para ayudar a prevenir robos. Si tienen una oficina, deben cerrarla con llave cuando no estén en la oficina. Si el empleado tiene un escritorio o cubículo, debe tener gabinetes o cajones con cerradura para almacenar información sensible y otros objetos de valor.
7.16 Abordar las preocupaciones de seguridad y protección del personal Esta sección cubre la seguridad del personal, asegurándose de que los empleados puedan trabajar y viajar de manera segura. Si bien algunas de las técnicas son de sentido común, otras son menos obvias.
•
Viaje. Las leyes y políticas de otros países a veces pueden ser drásticamente diferentes a las de su propio país. Los empleados deben estar familiarizados con las diferencias antes de viajar. Por ejemplo, algo que considera benigno puede ser ilegal y castigado con la cárcel en otro país. Otras leyes podrían dificultar la realización de negocios en otro país o poner en riesgo a su empresa. Cuando viaje a otros países, debe familiarizarse con las leyes locales para minimizar el peligro para usted y su empresa. Otra preocupación clave a la hora de viajar es la protección de los datos de la empresa. Para proteger los datos de la empresa durante el viaje, se debe utilizar el cifrado tanto para los datos en tránsito como para los datos en reposo. También es una buena práctica (aunque poco práctica) limitar la conectividad a través de redes inalámbricas mientras viaja. Lleve sus dispositivos informáticos con usted, cuando sea posible,
81
manipulación. En algunos casos, como cuando viaja a países de alto riesgo, considere que el personal deje sus dispositivos informáticos en casa. Si bien esto no siempre es factible, puede reducir drásticamente el riesgo para el personal y los dispositivos o datos de la empresa. En algunas organizaciones, los empleados reciben una computadora portátil de viaje especial que ha sido eliminada de datos confidenciales para usar durante un viaje; la computadora portátil se vuelve a crear una imagen al regresar a casa.
•
Formación y sensibilización en seguridad. Los empleados deben estar capacitados sobre cómo mitigar los peligros potenciales en la oficina en casa, mientras viajan o en casa. Por ejemplo, la seguridad del campus incluye cerrar las puertas detrás de usted, no caminar solo hacia su automóvil después de horas y reportar personas sospechosas. La seguridad en los viajes incluye no mostrar la insignia de su empresa en lugares públicos y tomar solo servicios de transporte autorizados. La seguridad fuera del trabajo incluye el uso de una red doméstica segura y no insertar medios extraños en los dispositivos. Si bien las campañas de capacitación y concientización serán diferentes, un elemento clave es tener una campaña que aborde los peligros particulares de su organización.
•
Gestión de emergencias. Imagine que un gran terremoto golpea su edificio de oficinas principal. No hay electricidad y los trabajadores han evacuado los edificios; muchos vuelven a casa para ver cómo están sus familias. Es posible que otros empleados viajen a la oficina para las reuniones del día siguiente. Debe poder averiguar si todos los empleados están seguros y contabilizados; notificar a los empleados, socios, clientes y visitantes; e iniciar procedimientos de recuperación de desastres y / o continuidad del negocio. Un sistema de gestión de emergencias eficaz le permite enviar alertas de emergencia a los empleados (muchas soluciones se basan en mensajes TXT o SMS a teléfonos celulares), rastrear sus respuestas y ubicaciones e iniciar medidas de respuesta de emergencia, como activar un centro de datos secundario o un contingente. fuerza laboral en un sitio alternativo.
•
Coacción. La coacción se refiere a obligar a alguien a realizar un acto que normalmente no haría, debido a una amenaza de daño, como un cajero de banco que le da dinero a un ladrón de bancos que blande un arma. La capacitación del personal sobre la coacción y la implementación de contramedidas puede ayudar. Por ejemplo, en una tienda minorista, el último billete de veinte dólares de la caja registradora se puede conectar a un mecanismo de alarma silencioso; cuando un empleado se lo quita por un ladrón, la alarma silenciosa alerta a las autoridades. Otro ejemplo es el sistema de alarma de un edificio que debe desactivarse rápidamente una vez que ingresa al edificio. Si el dueño de un negocio se encuentra en el horario de apertura por un delincuente que le exige que desactive la alarma, en lugar de ingresar su código de desarmado regular, el dueño puede usar un código especial que desactiva la alarma y notifica a las autoridades que fue desarmado bajo coacción. En muchos casos,
82
Preguntas de revisión del dominio 7 Lea y responda las siguientes preguntas. Si no obtiene al menos uno de ellos correcto, dedique más tiempo al tema. Luego continúe con el Dominio 8.
1. Está realizando un análisis de una computadora comprometida. Se da cuenta de que a la computadora se le han aplicado todos los parches de seguridad conocidos antes de que la computadora se vea comprometida. ¿Cuáles de las siguientes afirmaciones son probablemente ciertas sobre este incidente?
mi. La empresa tiene una vulnerabilidad de día cero.
F.
La empresa se vio comprometida por un exploit de día cero.
gramo. La computadora no tiene un agente de administración de configuración.
h. La computadora no tiene anti-malware. 2. Está investigando el mal funcionamiento del sistema telefónico de una empresa. La compañía utiliza teléfonos basados en IP e informa que en algunos escenarios, como cuando hay un uso intensivo, la calidad de la llamada disminuye y, a veces, hay retrasos o amortiguamiento. Necesita maximizar el rendimiento del sistema telefónico. ¿Qué tecnología debería utilizar?
a. Resistencia del sistema
segundo. Calidad de servicio
C. Tolerancia a fallos
re. Lista blanca mi. Lista negra F.
Gestión de configuración
3. Está preparando a su empresa para la recuperación ante desastres. La empresa emite los siguientes requisitos para las pruebas de recuperación ante desastres:
•
La empresa debe tener la capacidad de restaurar y recuperar en un centro de datos alternativo.
•
Las operaciones de restauración y recuperación no deben afectar su centro de datos.
•
Los equipos de TI deben realizar pasos de recuperación durante las pruebas.
¿Qué tipo de recuperación debería utilizar para cumplir con los requisitos de la empresa?
a. Interrupción parcial segundo. Mesa
C. Interrupción total re. Paralelo
83
Respuestas a las preguntas de revisión del dominio 7 1. Respuesta: A, B Explicación: Cuando existe una vulnerabilidad pero no hay un parche para solucionarla, es una vulnerabilidad de día cero. Cuando existe un código de explotación para aprovechar una vulnerabilidad de día cero, se denomina explotación de día cero. En este escenario, debido a que la computadora estaba actualizada con los parches, podemos concluir que hubo una vulnerabilidad de día cero y un exploit de día cero.
2. Respuesta: B
Explicación: La calidad de servicio proporciona un servicio prioritario a una aplicación o tipo de comunicación específico. En este escenario, la calidad de la llamada se ve afectada por otros servicios de la red. Al priorizar la comunicación de red para los teléfonos IP, puede maximizar su rendimiento (aunque eso podría afectar algo más). 3. Respuesta: D
Explicación: El primer requisito clave en este escenario es que el centro de datos no debe verse afectado por las pruebas. Esto elimina las pruebas de interrupción parcial e interrupción total porque impactan en el centro de datos. El otro requisito clave es que los equipos de TI deben realizar pasos de recuperación. Este requisito elimina las pruebas de mesa porque las pruebas de mesa implican recorrer los planes, pero no realizar operaciones de recuperación.
84
Dominio 8. Seguridad del desarrollo de software Este dominio se centra en la gestión del riesgo y la seguridad del desarrollo de software. La seguridad debe ser un enfoque del ciclo de vida del desarrollo y no un complemento o una ocurrencia tardía del proceso. La metodología de desarrollo y el ciclo de vida pueden tener un gran efecto sobre cómo se piensa e implementa la seguridad en su organización. La metodología también se relaciona con el entorno para el que se está desarrollando el software. Las organizaciones deben asegurarse de que el acceso a los repositorios de códigos sea limitado para proteger su inversión en el desarrollo de software. El acceso y la protección deben auditarse periódicamente. También debe tener en cuenta el proceso de adquirir un ciclo de vida de desarrollo, ya sea de otra empresa, o tomar un proyecto de desarrollo que ya está en progreso.
8.1 Comprender e integrar la seguridad a lo largo del ciclo de vida del desarrollo de software (SDLC) En esta sección se describen los diversos métodos y consideraciones al desarrollar una aplicación. El ciclo de vida del desarrollo no suele tener un objetivo o destino final. En cambio, es un ciclo continuo de esfuerzos que debe incluir pasos en diferentes fases de un proyecto.
•
Metodologías de desarrollo. Hay muchas metodologías de desarrollo diferentes que las organizaciones pueden utilizar como parte del ciclo de vida del desarrollo. La siguiente tabla enumera las metodologías más comunes y los conceptos clave relacionados.
Metodología Construir y arreglar
Conceptos clave
•
Carece de un diseño de arquitectura clave
•
Los problemas se solucionan a medida que ocurren
•
Carece de un ciclo de retroalimentación formal
• Reactivo en lugar de proactivo Cascada
• Ciclo de vida secuencial lineal • Cada fase se completa antes de continuar • Carece de una forma formal de realizar cambios durante un ciclo. • El proyecto se completa antes de recopilar comentarios y comenzar de nuevo
En forma de V
• Basado en el modelo de cascada • Cada fase está completa antes de continuar • Permite la verificación y validación después de cada fase. • No contiene una fase de análisis de riesgos
Creación de prototipos
• Tres modelos principales: •
Rápido la creación de prototipos utiliza una muestra rápida para probar el proyecto actual.
•
Evolutivo la creación de prototipos utiliza mejoras incrementales en un diseño.
•
Operacional Los prototipos proporcionan mejoras incrementales, pero están destinados a ser utilizados en producción.
Incremental
• Utiliza múltiples ciclos para el desarrollo (piense en múltiples cascadas) •
Todo el proceso puede reiniciarse en cualquier momento como una fase diferente
• Fácil de introducir nuevos requisitos
85
• Ofrece actualizaciones incrementales al software • Enfoque iterativo del desarrollo
Espiral
• Realiza análisis de riesgos durante el desarrollo • La información y los requisitos futuros se canalizan al análisis de riesgos. • Permite realizar pruebas al inicio del desarrollo Aplicación rápida
• Utiliza prototipos rápidos
desarrollo
• Diseñado para un desarrollo rápido • El análisis y el diseño se demuestran rápidamente • Las pruebas y los requisitos a menudo se revisan
Ágil
• Término general para múltiples métodos • Destaca la eficiencia y el desarrollo iterativo •
Las historias de usuario describen lo que hace un usuario y por qué
• Los prototipos se filtran a características individuales
•
Modelos de madurez. Hay cinco niveles de madurez de la Integración del modelo de madurez de capacidad (CMMI):
1. Inicial. El proceso de desarrollo es ad hoc, ineficiente, inconsistente e impredecible. 2. Repetible. Una estructura formal proporciona control de cambios, garantía de calidad y pruebas.
3. Definido. Los procesos y procedimientos se diseñan y siguen durante el proyecto. 4. Administrado. Los procesos y procedimientos se utilizan para recopilar datos del ciclo de desarrollo para hacer mejoras. 5. Optimización. Existe un modelo de mejora continua para el ciclo de desarrollo. •
Operación y mantenimiento. Una vez que se ha desarrollado, probado y lanzado un producto, la siguiente fase del proceso es proporcionar soporte operativo y mantenimiento del producto lanzado. Esto puede incluir la resolución de problemas imprevistos o el desarrollo de nuevas funciones para abordar nuevos requisitos.
•
Gestión del cambio. Los cambios pueden interrumpir el desarrollo, las pruebas y el lanzamiento. Una organización debe tener un proceso de control de cambios que incluya documentar y comprender un cambio antes de intentar implementarlo. Esto es especialmente cierto cuanto más tarde en el proyecto se solicita el cambio. Cada solicitud de cambio debe evaluarse en cuanto a capacidad, riesgos y preocupaciones de seguridad, impactos en el cronograma y más.
•
Equipo de producto integrado. El desarrollo de software y la TI suelen ser dos departamentos o grupos separados dentro de una organización. Cada grupo generalmente tiene diferentes objetivos: los desarrolladores quieren distribuir código terminado y TI quiere administrar de manera eficiente los sistemas de trabajo. Con DevOps, estos equipos trabajan juntos para alinear sus objetivos de modo que las versiones de software sean consistentes y confiables.
86
8.2 Identificar y aplicar controles de seguridad en entornos de desarrollo El código fuente y los repositorios que componen una aplicación pueden representar cientos o miles de horas de trabajo y constituyen una propiedad intelectual importante para una organización. Las organizaciones deben estar preparadas para asumir múltiples niveles de mitigación de riesgos para proteger el código, así como las aplicaciones.
•
Seguridad de los entornos software. Históricamente, la seguridad ha sido una idea de último momento o un complemento después de que se ha desarrollado e implementado una aplicación, en lugar de una parte del ciclo de vida. Al desarrollar una aplicación, se deben tener en cuenta las bases de datos, las conexiones externas y los datos sensibles que maneja la aplicación.
•
Debilidades y vulnerabilidades de seguridad a nivel de código fuente. La organización MITRE publica una lista de los 25 errores de software más peligrosos que pueden causar debilidades y vulnerabilidades en una aplicación ( http://cwe.mitre.org/top25/#Listing ). Por ejemplo, si no se verifica el contenido y la longitud de un campo de entrada, pueden ocurrir errores inesperados. Además, si falta acceso a archivos o cifrado en una aplicación, los usuarios podrían acceder a información para la que no tienen permisos. Las revisiones de código, el análisis estático, las pruebas y la validación pueden ayudar a mitigar los riesgos en el desarrollo de software.
•
La gestión de la configuración como un aspecto de la codificación segura. El proceso de control de cambios debe estar estrechamente integrado con el desarrollo para garantizar que se tomen las consideraciones de seguridad para cualquier nuevo requisito, característica o solicitud. Un repositorio de código centralizado ayuda a administrar los cambios y rastrear cuándo y dónde se realizan las revisiones del código. El repositorio puede rastrear las versiones de una aplicación para que pueda volver fácilmente a una versión anterior si es necesario.
•
Seguridad de los repositorios de código. El sistema de control de versiones que alberga el código fuente y la propiedad intelectual es el repositorio de código. Puede haber diferentes repositorios para el desarrollo activo, las pruebas y la garantía de calidad. Una buena práctica para proteger los repositorios de código es asegurarse de que estén lo más lejos posible de Internet, incluso si eso significa que están en una red interna separada que no tiene acceso a Internet. Cualquier acceso remoto a un repositorio debe utilizar una VPN u otro método de conexión segura.
•
Seguridad de las interfaces de programación de aplicaciones. Hay cinco generaciones de lenguajes de programación. Cuanto mayor es la generación, más abstracto es el lenguaje y menos necesita saber un desarrollador sobre los detalles del sistema operativo o hardware detrás del código. Las cinco generaciones son: 1: Lenguaje de máquina. Esta es la representación binaria que es comprendida y utilizada por el procesador de la computadora.
2: lenguaje ensamblador. El ensamblaje es una representación simbólica de las instrucciones a nivel de máquina. Los mnemónicos representan el código binario y se utilizan comandos como ADD, PUSH y POP. Los ensambladores traducen el código al lenguaje de máquina. 3: Lenguaje de alto nivel. Los lenguajes de alto nivel introducen la capacidad de usar declaraciones IF, THEN y ELSE como parte de la lógica del código. La arquitectura del sistema de bajo nivel es manejada por el lenguaje de programación. FORTRAN y COLBOL son ejemplos de lenguajes de programación de tercera generación.
87
4: Lenguaje de muy alto nivel. Los lenguajes de cuarta generación reducen aún más la cantidad de código que se requiere, por lo que los programadores pueden centrarse en los algoritmos. Python, C ++, C # y Java son ejemplos de lenguajes de programación de cuarta generación.
5: Lenguaje natural. Los lenguajes de la quinta generación permiten que un sistema aprenda y cambie por sí solo, como ocurre con la inteligencia artificial. En lugar de desarrollar código con un propósito u objetivo específico, los programadores solo definen las limitaciones y el objetivo; la aplicación entonces resuelve el problema por sí sola basándose en esta información. Prolog y Mercury son ejemplos de lenguajes de programación de quinta generación.
8.3 Evaluar la efectividad de la seguridad del software Poner protecciones en su lugar no es suficiente seguridad para darle tranquilidad. Para saber que esas protecciones funcionan según lo diseñado, las organizaciones deben auditar de forma rutinaria sus protecciones de acceso. También debe revisar sus implementaciones para identificar nuevos riesgos que podrían necesitar mitigarse y asegurarse de que el proyecto cumpla con los requisitos acordados.
•
Auditoría y registro de cambios. Los procesos y procedimientos para el control de cambios deben evaluarse durante una auditoría. Los cambios que se introducen en la mitad de la fase de desarrollo pueden causar problemas que aún no se han descubierto o causado en las pruebas. La eficacia de los métodos de control de cambios debe ser un aspecto de la auditoría de la fase de desarrollo.
•
Análisis y mitigación de riesgos. La mayoría de las metodologías de desarrollo discutidas en la sección 8.1 incluyen un proceso para realizar un análisis de riesgo del ciclo de desarrollo actual. Cuando se ha identificado un riesgo, se debe crear una estrategia de mitigación para evitar ese riesgo. Además, puede documentar por qué se puede ignorar o no abordar un riesgo durante una determinada fase del proceso de desarrollo.
8.4 Evaluar el impacto en la seguridad del software adquirido Cuando una organización se fusiona con otra organización o la compra, se debe analizar y revisar el código fuente adquirido, el acceso y diseño del repositorio y la propiedad intelectual. También deben revisarse las fases del ciclo de desarrollo. Debe intentar identificar cualquier riesgo nuevo que haya aparecido adquiriendo el nuevo proceso de desarrollo de software.
8.5 Definir y aplicar pautas y estándares de codificación segura Muchas organizaciones tienen una estrategia de seguridad que se centra en el nivel de infraestructura; se ocupa de cuestiones como la seguridad de la red, la gestión de identidades y accesos y la seguridad de los terminales. Las organizaciones que desarrollan código internamente también deben incluir la codificación en su estrategia de seguridad. Deben especificar prácticas para garantizar la seguridad del código, así como los estándares de codificación, como el lenguaje de programación preferido para casos de uso particulares.
•
Debilidades y vulnerabilidades de seguridad a nivel de código fuente. Casi todas las aplicaciones (o fragmentos de código fuente) tienen errores. Si bien no todos los errores están relacionados específicamente con la seguridad, a veces pueden provocar una vulnerabilidad de seguridad. Una forma eficaz de encontrar y corregir errores es utilizar herramientas de análisis de código fuente, que también se denominan herramientas de prueba de seguridad de aplicaciones estáticas (SAST). Estas herramientas son más efectivas durante el desarrollo de software.
88
proceso, ya que es más difícil volver a trabajar el código una vez que está en producción. Sin embargo, tenga en cuenta que estas herramientas no pueden encontrar muchas debilidades e introducen trabajo adicional para los equipos, especialmente si generan muchos falsos positivos. Hoy en día, con la seguridad como una preocupación primordial, la expectativa es que todo el código fuente se escanee durante el desarrollo y después de su lanzamiento a producción.
•
Seguridad de las interfaces de programación de aplicaciones. Las interfaces de programación de aplicaciones (API) permiten que las aplicaciones realicen llamadas a otras aplicaciones. Sin la seguridad adecuada, las API son una forma perfecta para que personas malintencionadas pongan en peligro su entorno o aplicación. La seguridad de las API comienza con la necesidad de autenticación mediante un método como OAuth o claves de API. También se debe utilizar y hacer cumplir la autorización. Por ejemplo, una clave API puede permitirle leer información, pero necesita una clave API separada para modificar o escribir información. Muchas empresas utilizan una puerta de enlace de seguridad API para centralizar las llamadas API y realizar comprobaciones en las llamadas (comprobación de tokens, parámetros, mensajes, etc.) para asegurarse de que cumplen con los requisitos de la organización. Otros métodos comunes para proteger sus API es utilizar la limitación (que protege contra DoS o un uso indebido similar), escanear sus API en busca de debilidades,
•
Prácticas de codificación seguras. Existen prácticas establecidas que debe seguir para maximizar la seguridad de su código. Algunas de las más comunes son:
•
Validación de entrada. Valide la entrada, especialmente de fuentes no confiables, y rechace la entrada no válida.
•
No ignore las advertencias del compilador. Al compilar código, utilice el nivel de advertencia más alto disponible y aborde todas las advertencias que se generen.
•
Denegar por defecto. De forma predeterminada, se debe negar el acceso a todos. Otorgue acceso según sea necesario.
•
Gestión de autenticación y contraseña. Requiere autenticación para todo lo que no esté destinado a estar disponible para el público. Hash contraseñas y sal los hashes.
•
Control de acceso. Restrinja el acceso utilizando el principio de privilegio mínimo y deniegue el acceso si hay problemas al verificar los sistemas de control de acceso.
•
Prácticas criptográficas. Proteja los secretos y las claves maestras mediante el establecimiento y el cumplimiento de estándares criptográficos para su organización.
•
Manejo y registro de errores. Evite exponer información confidencial en archivos de registro o mensajes de error. Restrinja el acceso a los registros.
•
Protección de Datos. Cifre la información confidencial, en todas partes.
•
Seguridad de las comunicaciones. Utilice Transport Layer Security (TLS) en todos los lugares posibles.
•
Configuración del sistema. Bloquea servidores y dispositivos. Mantenga las versiones de software actualizadas con un tiempo de respuesta rápido para las correcciones de seguridad. Puede encontrar buena información para proteger sus servidores y dispositivos de NIST. Visitar https://www.nist.gov para buscar estándares y guías relacionados con su entorno.
•
Gestión de la memoria. Utilice el control de entrada y salida, especialmente para datos que no sean de confianza, y observe los problemas de tamaño del búfer (use búferes estáticos). Memoria libre cuando ya no la necesite.
89
Preguntas de revisión del dominio 8 Lea y responda las siguientes preguntas. Si no obtiene al menos uno de ellos correcto, dedique más tiempo al tema.
1. Es un gerente de desarrollo de software que está iniciando un nuevo proyecto de desarrollo. Desea centrar el proceso de desarrollo en las historias de usuario. El proceso de desarrollo debe ser eficiente y tener múltiples iteraciones a medida que se descubren cambios y requisitos. ¿Qué metodología de desarrollo debería utilizar?
a. Ágil
segundo. Cascada
C. Espiral re. Desarrollo rápido de aplicaciones 2. Se encuentra en las primeras etapas del ciclo de vida del desarrollo y está creando requisitos de diseño. La aplicación contendrá varios formularios que permitirán a los usuarios ingresar información para ser guardada en una base de datos. Los formularios deben requerir que los usuarios envíen hasta 200 caracteres alfanuméricos, pero deben evitar ciertas cadenas. ¿Qué debe realizar en los campos de texto?
a. Validación de entrada
segundo. Examen de la unidad
C. Creación de prototipos
re. Regresión de búfer 3. Planea crear una aplicación de inteligencia artificial que se base en limitaciones y un objetivo final. ¿Qué lenguaje generacional debería utilizar para el proceso de desarrollo? a. Generacion 2
segundo. Generacion 3
C. Generación 4 re. Generación 5
90
Respuestas a las preguntas de revisión del dominio 8 1. Respuesta: A
Explicación: El desarrollo ágil enfatiza la eficiencia y las iteraciones durante el proceso de desarrollo. Agile se centra en las historias de los usuarios para trabajar en el proceso de desarrollo. 2. Respuesta: A Explicación: Los campos de texto con los que interactúan los usuarios deben tener validación de entrada para garantizar que no se haya superado el límite de caracteres y que no se utilicen caracteres especiales que puedan causar inconsistencias en la base de datos.
3. Respuesta: D
Explicación: Los lenguajes de la generación 5 están asociados con la inteligencia artificial. Se definen las limitaciones de la aplicación y su objetivo; luego, el programa aprende más por sí solo para lograr la meta.
91
Referencias útiles Complemente la preparación de su examen o perfeccione la certificación obtenida revisando los recursos relevantes.
•
Los mejores webcasts sobre seguridad y cumplimiento de TI para asistir o ver grabados mientras se obtienen créditos CPE
•
Cómo crear una política de clasificación de datos eficaz para mejorar la seguridad de la información
•
Cinco razones para deshacerse de los métodos manuales de clasificación de datos
•
Diez formas de mejorar la clasificación de datos automatizada
•
Revista SysAdmin: "My Precious!" - Encontrar y asegurar datos sensibles
•
Cómo identificar y priorizar los riesgos de seguridad de la información
•
Cómo realizar una evaluación de riesgos de TI
•
Revista SysAdmin: Evalúe sus riesgos o muera en el intento
•
Manual de estrategias de amenazas internas: cómo evitar el robo de datos por parte de los empleados que salen
•
Cinco formas de reducir el riesgo de robo de información confidencial por parte de los empleados
•
Mejores prácticas: cómo dejar de lado a un empleado para siempre
•
Prácticas recomendadas: cómo minimizar el riesgo de amenazas internas
•
Detección de amenazas internas: 10 técnicas para la defensa de arriba hacia abajo
•
Revista Cyber Chief: Amenaza interna: descubrir y neutralizar
•
Los 20 controles de seguridad más importantes para una ciberdefensa eficaz
•
Libro blanco: Cumplimiento desmitificado
•
Reglas GDPR de notificación de violación de datos: ¿Cómo informar la pérdida de datos personales y evitar multas?
•
Revista SysAdmin: Por qué GDPR no te matará
•
Prepárese: la evaluación de riesgos de seguridad de la HIPAA está en su puerta
•
Informe técnico: Siete preguntas para evaluar la seguridad de los datos en la empresa
•
Lista de comprobación de refuerzo de Windows Server
•
Cuatro cosas que nunca debe almacenar en su base de datos
•
Qué debe saber sobre la amenaza de los usuarios privilegiados
•
Lecciones clave aprendidas de las violaciones de datos causadas por el abuso de privilegios
•
Prácticas recomendadas: cómo reforzar la seguridad de las cuentas privilegiadas
•
Cómo recopilar el inventario del servidor
•
Prácticas recomendadas: cómo implementar la política de auditoría
92
Sobre el Autor Brian Svidergol se centra en la infraestructura y las soluciones basadas en la nube, con especial énfasis en la gestión de identidades y accesos. Brian ha trabajado con numerosas empresas, desde startups hasta compañías Fortune 500, ayudándolas a diseñar e implementar infraestructura segura y soluciones en la nube. Posee numerosas certificaciones industriales de Microsoft, Red Hat, VMware, Novell y NetApp. Brian es autor de seis libros publicados a través de O'Reilly, Sybex y Microsoft Press y ha publicado un libro por cuenta propia.
Sobre Netwrix Netwrix Corporation es una empresa de software centrada exclusivamente en proporcionar a los equipos de operaciones y seguridad de TI una visibilidad generalizada del comportamiento del usuario, las configuraciones del sistema y la sensibilidad de los datos en las infraestructuras de TI híbridas para proteger los datos independientemente de su ubicación. Más de 9.000 organizaciones de todo el mundo confían en Netwrix para detectar y mitigar de forma proactiva las amenazas a la seguridad de los datos, aprobar auditorías de cumplimiento con menos esfuerzo y gasto y aumentar la productividad de sus equipos de TI. Fundada en 2006, Netwrix ha ganado más de 140 premios de la industria y ha sido incluida en las listas Inc. 5000 y Deloitte Technology Fast 500 de las empresas de más rápido crecimiento en los EE. UU.
Para obtener más información sobre Netwrix, visite www.netwrix.com .
Netwrix Auditor es una plataforma de visibilidad para el análisis del comportamiento del usuario y la mitigación de riesgos que permite controlar los cambios, las configuraciones y el acceso en entornos de TI híbridos para proteger los datos independientemente de su ubicación. La plataforma ofrece inteligencia de seguridad para identificar agujeros de seguridad, detectar anomalías en el comportamiento del usuario e investigar patrones de amenazas a tiempo para evitar daños reales.
Netwrix Auditor incluye aplicaciones para Active Directory, Azure AD, Exchange, Office 365, servidores de archivos de Windows, dispositivos de almacenamiento de EMC, dispositivos de almacenamiento de NetApp, SharePoint, Oracle Database, SQL Server, VMware y Windows Server. La plataforma, que cuenta con una API RESTful y una grabación de video de la actividad del usuario, brinda visibilidad y control en todos los sistemas de TI locales o basados en la nube de una manera unificada.
Obtenga más información sobre Netwrix Auditor y descargue su versión de prueba gratuita de 20 días visitando netwrix.com/go/freetrial .
Sedes corporativas: 300 Spectrum Center Drive, Suite 200, Irvine, CA 92618 Teléfono: 1-949-407-5125
Gratuito: 888-638-9749
EMEA: + 44 (0) 203-588-3023
netwrix.com/social
93