{"id":1974,"date":"2023-01-13T18:11:03","date_gmt":"2023-01-14T00:11:03","guid":{"rendered":"https:\/\/walternavarrete.com\/?p=1974"},"modified":"2023-01-13T18:11:03","modified_gmt":"2023-01-14T00:11:03","slug":"controles-de-seguridad-primeros-pasos-de-implementacion","status":"publish","type":"post","link":"https:\/\/walternavarrete.com\/academy\/controles-de-seguridad-primeros-pasos-de-implementacion\/","title":{"rendered":"Controles de Seguridad – Primeros pasos de implementacion (Parte 1)"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Controles de Seguridad - Primeros pasos (Parte 1)<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

SEGURIDAD CORPORATIVA<\/span><\/p>

Uno de los aspectos m\u00e1s importantes en las organizaciones, es la de\u00a0garantizar la operaci\u00f3n cont\u00ednua de los servicios cr\u00edticos<\/u><\/span>\u00a0de la instituci\u00f3n y es justo ac\u00e1 donde inician las primeras consulta:<\/p>

  • \u00bfCu\u00e1les son las Plataformas o Servicios Cr\u00edticos?<\/li>
  • \u00bfC\u00f3mo identicicar c\u00faales son los Servicios Cr\u00edticos?<\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    La definici\u00f3n de un SERVICIO CRITICO se puede establecer como, aquel servicio del cual\u00a0depende el ingreso de la organizaci\u00f3n, es decir, la generaci\u00f3n de utilidades o aquellos servicios que facilitan las operaciones del d\u00eda a dia en la empresa, no necesariamente para efecto de lograr una venta. Imagina una empresa de log\u00edstica, que como tal no genera una transacci\u00f3n de venta como tal, sino los aspectos mismos de etiquetado de paquetes, establecimiento de rutas, manejo de pedidos, etc…etc…<\/span><\/p>

    Entonces…. volviendo a una definici\u00f3n inicial, un SERVICIO CRITICO es todo aquel servicio y\/o plataforma de software o hardware que facilita a la organizaci\u00f3n que se puedan ejecutar sus operaciones diarias principales o la generaci\u00f3n de ingresos en la compa\u00f1ia.<\/span><\/p>

    Veamos un ejemplo a continuaci\u00f3n:<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    La imagen anterior, corresponde aun BILLING SYSTEM (Sistema de Facturaci\u00f3n), el diagrama como tal muestra las etapas por las cuales debe el usuario de pasar o los procesos que se deben de realizar para que se puedan brindar un servicio al cliente, ac\u00e1 podemos rescatar los siguientes aspectos:<\/span><\/p>

    • Es necesario SIEMPRE contar un procesos documentados<\/span><\/li>
    • La documentaci\u00f3n de los procesos permite que podamos la visibilidad de aspectos claves como:<\/span><\/li>
    • Responsables\u00a0<\/strong>en cada etapa de ejecuci\u00f3n del proceso<\/span><\/li>
    • Sistemas\u00a0<\/strong>involucrados en la prestaci\u00f3n de un servicio<\/span><\/li>
    • Los servicios cr\u00edticos incluye la identificaci\u00f3n de\u00a0tiempos de respuesta<\/strong>\u00a0o los tiempos en que el servicio debe de estar entregado al usuario final o para que la siguiente etapa del proceso pueda continuar.<\/span><\/li>
    • En dependencia de la cantidad de clientes que el proceso atiende o de los atrasos que el proceso pueda generar al verse interrumplido, se establece un\u00a0nivel de criticidad<\/strong>\u00a0sobre dicho proceso debido a la afectaci\u00f3n que se pueda tener.<\/span><\/li><\/ul>

      Es justo esto el PRIMER PASO por realizar cuando se realiza un servicio consultivo sobre aspectos de seguridad inform\u00e1tica, si yo s\u00e9 que estabas pensando en cosas como:<\/span><\/p>

      • Ataques de penetraci\u00f3n a los sistemas<\/span><\/li>
      • An\u00e1lisis de vulnerabilidades<\/span><\/li>
      • Escaneo de puertos<\/span><\/li>
      • etc….etc..<\/span><\/li><\/ul>

        Esas acciones vienen justo despues!!! no procederemos a “disparar al aire” sin antes tener un objetivo claro a proteger o por analizar y aunque parezca broma a veces resulta m\u00e1s dificil identificar y MAPEAR todas las dependencias de los sistemas cr\u00edticos y \u00bfsaben por que? por lo general en las organizaciones NO HAY DOCUMENTACION, los departamentos de IT o de Desarrollo no tienen el MAPEO DE DEPENDENCIA entre los sistemas que facilite identificar afectaciones o el efecto domino ante una falla de alg\u00fan sistema.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t

        \n\t\t\t
        \n\t\t\t\t\t\t
        \n\t\t\t\t
        \n\t\t\t\t\t\t\t\t\t

        TIPOS DE CONTROLES<\/strong><\/span><\/p>

        Uno de los aspectos con los que se inicia al momento de buscar la implementaci\u00f3n de controles de seguridad ser\u00eda basado en los siguientes aspectos:<\/span><\/p>

        • Autenticaci\u00f3n de usuarios\u00a0<\/strong><\/span><\/li>
        • Verificar per\u00edodicamente quienes ingresan, los errores de autenticaci\u00f3n, desde qu\u00e9 equipos ingresan, horarios de ingreso entre muchas otras cosas relacionadas a la trazabilidad de eventos.<\/span><\/li>
        • Cuentas de usuarios gen\u00e9ricos<\/strong><\/span><\/li>
        • Siempre por requerimientos de implementaci\u00f3n de aplicaciones o nuevos servicios, se crean cuentas de usuarios de tipo gen\u00e9ricos, estas cuentas por lo general tienen privilegios elevados al interior de los sistemas, es por eso queeeee… debemos de asignar una responsabilidad del uso de dichas cuentas a usuarios que por lo general son los mismos administradores de los sistemas.<\/span><\/li>
        • Proceso de Creaci\u00f3n \/ Modificaci\u00f3n \/ Baja de usuarios<\/strong><\/span><\/li>
        • Este m\u00e1s que un control es un procedimiento que debe de pasar un una autorizaci\u00f3n del gerente del \u00e1rea responsable al usuario que se estar\u00e1 modificando, para que finalmente los diferentes administradores de los sistemas a los que tendr\u00e1 acceso dicho usuario puedan proceder a crearlo \/ modificarlo \/ eliminarlo.<\/span><\/li>
        • Acceso a la ubicaci\u00f3n de los equipos<\/strong><\/span><\/li>
        • Este es m\u00e1s un control f\u00edsico que permite delimitar quienes son los autorizados en poder ingresar a la sala de equipos, normalmente \u00fanicamente los administradores son los \u00fanicos que tienen acceso, si es requerido que un proveedor o alguien adicional tenga acceso, deber\u00e1 de ser acompa\u00f1ado por un administrador autorizado.<\/span><\/li>
        • Igual debe de existir un registro por escrito o atrav\u00e9s de una aplicaci\u00f3n que facilite la generaci\u00f3n de un reporte de dichos accesos.<\/span><\/li>
        • Registro de configuraciones<\/strong><\/span><\/li>
        • Cuando se trata de equipos de comunicaci\u00f3n, de seguridad o aspectos de parametrizaci\u00f3n de un sistema cr\u00edtico, es importante tener un esquema de autorizaci\u00f3n y control de los cambios que se puedan realizar a las configuraciones de dichos sistemas, para buscar identificar si dichos cambios no generar\u00e1n afectaci\u00f3n o alg\u00fan posible riesgo.<\/span><\/li><\/ul>

          De forma general existen 3 tipos de controles:<\/span><\/p>

          • Controles Preventivos (Buscan evitar que fallas\/incidencias ocurran)<\/span><\/li>
          • Controles Detectivos (Est\u00e1n para detectar fallas\/incidencias)<\/span><\/li>
          • Controles Correctivos (Se usan para realizar la remediaci\u00f3n de las fallas\/incidencias)<\/span><\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
            \n\t\t\t\t
            \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
            \n\t\t\t\t\t\t
            \n\t\t\t\t\t
            \n\t\t\t
            \n\t\t\t\t\t\t
            \n\t\t\t\t
            \n\t\t\t\t\t\t\t\t\t

            \u00bfQu\u00e9 es un ACTIVO DE INFORMACION?<\/span><\/h4>

            No todo lo relacionado a la implementaci\u00f3n de controles se refiere a proteger un sistema inform\u00e1tico, las transacciones de una base de datos o carpetas en una ubicaci\u00f3n compartida, tambi\u00e9n como parte de la clasificaci\u00f3n e identificaci\u00f3n que se debe de realizar aparecer\u00e1n aspectos importantes a proteger como por ejemplo:<\/span><\/p>

            • Documentos Contractuales<\/span><\/li>
            • Documentos impresos de caracter confidencial<\/span><\/li>
            • Expediente de clientes\u00a0<\/span><\/li>
            • Diagramas de nuevos dise\u00f1os de productos<\/span><\/li>
            • Documentos financieros<\/span><\/li>
            • … en resumen cualquier documento que deber\u00e1 de resguardarse.<\/span><\/li><\/ul>

              Todo lo anterior deber\u00e1 de formar parte del INVENTARIO DE ACTIVOS DE INFORMACION en donde se incluyen elementos como:<\/span><\/p>

              • Hardware<\/span><\/li>
              • Software<\/span><\/li>
              • Archivos<\/span><\/li>
              • Documentaci\u00f3n\u00a0<\/span><\/li><\/ul>

                Este inventario se lleva de manera f\u00e1cil inicialmente en un archivo de EXCEL para\u00a0su respectiva clasificaci\u00f3n\u00a0<\/u><\/strong>como se muestra a continuaci\u00f3n:<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

                \n\t\t\t\t
                \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                \n\t\t\t\t
                \n\t\t\t\t\t\t\t\t\t

                Todo lo anterior forma parte de los pasos iniciales para comenzar a identificar:<\/span><\/p>

                • Procesos cr\u00edticos<\/span><\/li>
                • Infraestructura tecnol\u00f3gica requerida para la operaci\u00f3n de los procesos cr\u00edticos<\/span><\/li>
                • Identificaci\u00f3n de recursos tangibles (f\u00edsicos) que son confidenciales<\/span><\/li><\/ul>

                  Una vez tengamos esa identificaci\u00f3n se realiza la FASE 2 que es la de realizar un an\u00e1lisis de riesgos y la FASE 3 seria la de establecer los controles de seguridad para controlar y evitar que los riesgos identificados se puedan realizar.<\/span><\/p>

                  La realizaci\u00f3n efectiva de estos primeros pasos determina la efectividad que se tendr\u00e1 al momento de implementar los controles.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

                  \n\t\t\t\t
                  \n\t\t\t\t\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                  \n\t\t\t\t
                  \n\t\t\t\t\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

                  Primeros pasos a realizar y considerar para iniciar el proceso de la selecci\u00f3n e implementaci\u00f3n de controles de seguridad \/ cyberseguridad.<\/p>\n","protected":false},"author":1,"featured_media":1977,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[68],"tags":[],"class_list":["post-1974","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technology"],"_links":{"self":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts\/1974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/comments?post=1974"}],"version-history":[{"count":0,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts\/1974\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/media?parent=1974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/categories?post=1974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/tags?post=1974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}