Final - Auditoría y seguridad informática - 2018

Introducción 3
Rol del CSO 10
Definición de malware (malicious software): 10
Definición de crimeware (criminal software): 10
Definición de virus: 10
Métodos de detección de los antivirus 12
Detección basada en firmas 12
Identificación por comportamiento (heurística) 12
Spam 12
AntiSpam (MailServer, Workstations y Gateway) 13
Anti-Phishing 13
Pharming 13

Firewalls 13
Alcance de protección 13
Funcionamiento 13
¿Qué filtran? 13
Reglas 14
Topologías 14
IPS (Intrude Protection System) 15

Filtro de contenido (content filtering) 15

Motivación 15
Criptografía 16
¿Qué es? 16
¿Qué protege la criptografía? 16
Conceptos 16
Firma digital 16
Proceso de firmar digitalmente un documento, cifrándolo con clave privada 16
VPN (Virtual Private Network) 17
¿Cómo funciona? 17

Análisis forense 18
Investigación post-evento 18
Recolección de evidencia 18
Procedimientos forenses 18
Arquitectura de redes seguras 19
 Pasos para registrar un incidente 19
Hacking ético 21
Técnicas 21
Sigla CIA 21
Norma ISO/IEC 27002-2013 21
Fases para la implementación de la ISO/IEC 27001-2013 22
BCP (Business Continuity Plan) 23
Objetivo 23
Definición 23
Plan de contingencia de IT (Disaster Recovery Plan) 23
Plan de recuperación de servicios de IT (Disaster Recovery Service) 23
Estados del BCP 23
BIA (Business Impact Analysis) 24
¿Cómo se relacionan BIA y RTO? 24
¿Cuál es el tipo de sitio que me permite recuperar la operación en el mínimo tiempo?
24
¿Cuáles son las fases para desarrollar un BCP? 25
Legislación y normas 26
Vulnerabilidades, riesgos y amenazas 26
¿Qué es un riesgo? 26
Riesgo 26
Amenaza 26
Vulnerabilidad 26
Auditoría en sistemas y auditoría de seguridad 27
Confección del informe final 27

Primer parcial 28

Segundo parcial 32
 Introducción

Tendencias a ser atacadas​​:

Ciberespionaje.
IoT: Ataques a través de equipos vulnerables.

Privacidad​​:
Contraseñas.
Ransomware.

El valor de la información​​:
Robar – Espionaje.
Copiar – Plagio.
Adulterar – Fraude.
Destruir – Vandalismo.
Involucrar en delito informático – Cómplice.

¿Quiénes pueden robar la información?

Empleados, ex-empleados, venganza por parte de un compañero despedido.

¿Cuáles son los factores de éxito?

Implementar una buena seguridad física + una buena seguridad informática.

Leyes importantes
Ley 25326​​: Ley de protección de datos personales.
Ley 26488​​: Ley de delitos informáticos.
Protección en capas​​:
Control físico.
Control técnico.
Control administrativo.
Datos y activos de la empresa.

Donde la información es el activo más importante de la empresa.

Los datos y los activos son la prioridad n.º 1 para las políticas de
seguridad.
La seguridad debe ser integral sino es en vano.

¿Qué significa CIA?

Confidencialidad + Integridad + Disponibilidad (Availability).
Cuando queremos implementar seguridad en una empresa debemos
contar con 3 patas:
1. Alta dirección.
2. Tecnología.
3. Gestión.

Alta dirección
La seguridad tiene que ser empleada de arriba hacia abajo, es decir, el CSO
(Chief Security Officer) de seguridad tiene que estar en la misma posición que
los demás gerentes y estar abajo solo de la alta dirección.

Políticas de seguridad / Procedimientos​​:

El CSO es quién define las políticas de seguridad. Las políticas son definidas
pero no son implementadas inmediatamente, sino que, después de nombrar
quién es el CSO se debe definir y constituir lo que se conoce como ​comité de
seguridad​​.
El comité de seguridad está formado por los directores departamentales
(finanzas, RRHH, sistemas, etc.), el gerente general o el presidente y si tienen
área de legales, su director, sino, van a tener que buscar un representante del
estudio jurídico que tienen tercerizado de soporte de legales. Una vez
confirmado el comité, el CSO va a presentar los ​borradores de las políticas
de seguridad​​, porque hasta que no las evalúe y las apruebe el comité de
seguridad no pasan a ser políticas formales (cabe mencionar que tienen que
ser aprobadas por unanimidad, no por mayoría; si hay algún departamento en
desacuerdo el CSO debe revisar los borradores y darle una vuelta de rosca).
Cuando se presenta una política, el comité de seguridad tiene que estar:
El documento de la política​​: Objetivo, justificación y contenido.
Plan de proyecto​​: Donde va a estar indicado si es una actividad que
para implementar va a durar 2 horas, 2 días, 20 días, 1 mes, etc.
Cantidad de RRHH.
Presupuesto​​: Cuánto cuesta esa política (por si se tienen que
incorporar herramientas, equipamiento, gente, etc).
Cuando el comité de seguridad evalúe tiene que aprobar estas 3 cosas.
Cuando se termina la aprobación, como el director de RRHH forma parte del
comité (una vez implementado), el director de RRHH es el que hace el
comunicado a todo el personal de la implementación de la política de seguridad
(de cumplimiento obligatorio para todo el personal y contratados de la
empresa).
Si alguien tiene una queja, o pedido de excepción lo va a tener que hacer con
su respectivo director de departamento. Y luego entre todos los que componen
el comité de seguridad van a decidir si el pedido de excepción es válido o no.
En los lugares en donde no se arma un comité de seguridad el CSO queda muy
expuesto ante algún pedido de excepción ya que la responsabilidad pasa
solamente por el.

Procedimientos​​:
Una vez que la política ya fue aprobada e implementada. Mientras se
implementa se tiene que redactar el procedimiento para que todo el mundo
pueda cumplir con esa política.

Estándares​​:
En el caso de latam seguimos la ISO 27002, 27001. En EEUU siguen el IS.

Documentación​​:
Todo tiene que estar documentado porque es la única forma que yo tengo de
hacer auditorías y verificar incumplimientos o desvíos. Porque si no tengo
como constatar que el empleado sabiendo que algo lo tenía que hacer de una
forma determinada que está especificado en un documento y lo hace de otra
forma, no tengo forma de demostrar que hubo un desvío.
Entrenamiento​​:
Cada nueva política va a estar aplicando necesidad de productos distintos,
entonces, voy a tener que capacitar a la gente que va a tener que usar ese
producto y gestionarlo, pero además tengo que hacer un trabajo de
concientización en seguridad para todo el personal (también llamado security
awareness).
Esto se coordina con RRHH (porque sé quién tiene la responsabilidad de
convocar a la gente y llevar control de presentismo), con el armado del
contenido de los cursos con la gente de seguridad o si no hay gente para
armar eso van a tener que contratar a algún proveedor tercerizado que arme
los contenidos y dicte las charlas.
Contratación​​:
Si no tenes los recursos suficientes para gestionar una determinada solución
que está justificada por una política tengo que ver que tengo que contratar.
Puede ser por incorporación directa (que esté bajo contrato) o que tenga que
contratar a una empresa, que el empleado sea de ellos y me brinde el servicio
a mí.

Certificación​​:
Apunta a si la certificación de seguridad (ISO 27001) genera algún tipo de
beneficio a la empresa. Por ejemplo, puede generar mayor cantidad de
clientes, o va a permitir que a los clientes les cobre más.

Auditoría​​:
Cuales van a ser los mecanismos que la gente de auditoría va a seguir para
poder verificar cumplimientos o desvíos de esas políticas.

Identificando tecnología
Con qué productos voy a estar sustentando las distintas políticas que yo definí
para poder hacer la definición. Y esos productos van a tener que estar
documentados su uso en los procedimientos (recordar que la política no debe
nombrar nada de tecnología y debe ser totalmente objetiva).
Tecnologías que se pueden utilizar:
Analizadores de vulnerabilidades​​.
Firewalls​​ (Appliances; Software): Se pueden utilizar como equipos o
como software.
IDS​​ (Intrusion Detection System) ​e IPS​​ (Intrusion Prevention System).
IDS solo detecta y avisa, IPS surgió posteriormente y además previene.
Antivirus; AntiSpywares​​.
Encriptación​​, también conocido como cifrado. Puede aplicarse a tráfico
(VPNs) en caso que se necesite conexión a distancia, a partes de una
base de datos (enmascaramiento) en los casos en que se necesite que
un dba no pueda ver información sensible, ejemplo, encriptar el salario
de todos los empleados.
VPN​​ (IPsec, SSL). Sirve para cifrar tráfico. IPsec lo utilizo cuando los
equipos que se van a conectar son conocidos por la empresa, son
administrados por la empresa, por ejemplo, si la notebooks a todos los
empleados y se conectan en forma remota pueden usar el protocolo
IPsec porque la empresa sabe que elementos de seguridad posee cada
equipo y lo gestiona.
En cambio, cuando se quiere dar la facilidad que los empleados puedan
llegar a trabajar como teletrabajadores utilizando las pcs de sus casas
ahí tengo que trabajar con SSL (Secure Socket Layer), protocolo muy
utilizado por ejemplo cuando nos conectamos a un sitio de homebanking
y el sitio se convierte en https, en este caso esa conexión pasa a estar
encriptada con SSL.
Autenticación​​ ​fuerte​​, si voy a necesitar soluciones de tokens, por
ejemplo, para tener un segundo nivel de validación de un usuario que se
quiera conectar (ademas de usuario y contraseña tiene que colocar el
número de token y el pin que tiene asignado a su token).
Sistemas​​ ​biométricos​​, como lectores de huella digital, lector de iris,
lector de palma de mano completa, etc.
Consolas​​ ​centralizadas​​, de tener varios servicios de seguridad,
consiste en tratar de utilizar herramientas que me permitan centralizar
cada una de esas consolas cosa de que yo pueda tener una sola persona
mirando un solo monitor y no que tenga que tener 7 personas mirando
distintas consolas porque son distintas soluciones. Y como suelen ser
trabajos por turno eso significa tener contratadas a 21 personas solo
para controlar consolas.
Control​​ ​de​​ ​accesos​​, se evalúan políticas de contraseñas y también se
van a evaluar los controles de acceso físico.

Gestión
Si se implementan solo dirección y tecnología se tiene a la seguridad
informática corriendo en piloto automático porque se terminan de implementar
todas las herramientas y se cree que están funcionando bien pero no tengo la
certeza. Para tener la certeza de que están funcionando bien hace falta la
gestión.
Herramientas de gestión:
Monitoreo 7x24x365​​.
Detección y seguimiento de incidentes​​, porque cada vez que se
produce un incidente debo averiguar porque se produjo y como se
resolvió, eso sirve para actualizar mi política de seguridad o mis reglas
de seguridad. Puede que haya que agregar una regla más al firewall para
que cubra una situación que no estaba contemplada.
Actualización de sistemas y plataformas​​, sistemas operativos
actualizados al último nivel porque actualmente las actualizaciones de
sistemas operativos aplican parches de seguridad y no solamente
agregan funcionalidad.
Mejoramiento del nivel de seguridad​​.
Análisis forenses​​, lo tengo que hacer cuando el activo de información
que se vió afectado lo justifica. Tiene que ser un activo de información
que sea de misión crítica para la compañía o cuyo valor es muy
importante para la compañía. Entonces tengo que averiguar no solo
como es que lo hicieron sino quién.
Pruebas de penetración y análisis de vulnerabilidades​​,
◦ Penetration test​​:
Se hace cuando la aplicación que tengo que evaluar es de misión
crítica, maneja dinero o maneja un activo de información totalmente
crítico para la empresa (por ejemplo, una aplicación de
homebanking). Un penetration test se ejecuta haciendo uso de una
batería de aplicaciones (23 o 26 programas dependiendo las
herramientas) y elegir entre ellos para ver si alguno de ellos puede
tirar abajo la aplicación o no, y esta hecha para el SO para el cual
está corriendo. Ejecutó ese exploit contra el servidor, y si el servidor
es robusto y está bien parcheado va a repeler el ataque y la aplicación
se va a mantener. En cambio si el exploit tira la aplicación se hace
que la aplicación aborte.
◦ Análisis de vulnerabilidades​​:
En el vulnerability assessment, la diferencia está en que estoy usando
herramientas que internamente tienen una secuencia de comandos de
hacking ético, entonces van a evaluar si tengo vulnerabilidades a nivel
 aplicaciones, si tengo contraseñas triviales, si las contraseñas no
están protegidas, etc. Y va a hacer una cosa y después otra solo, sin
que yo le tenga que decir nada, solamente se le tuvo que apuntar una
dirección IP o una URL. Cuando termina genera un reporte diciendo
todas las cosas que encontró, pero en todos los casos todo lo que
encontró no lo explotó.
Por eso es que penetration test me puede provocar DDOS pero el análisis
de vulnerabilidad no. Por lo que un análisis de vulnerabilidad se puede
ejecutar en cualquier momento del día, mientras que un penetration test
se puede ejecutar luego de que la gente dejó de trabajar en la empresa.
Generación de informes y reportes​​, porque la alta gerencia tiene que
saber permanentemente que es lo que pasa en la parte de seguridad. Si
no recibo información, la imágen que se da es que no se está trabajando
en el área de seguridad informática y luego sucede que cuando el
gerente de seguridad pide presupuesto al director financiero porque
quiere reemplazar soluciones de firewall de una marca por otra más
robusta se lo niegan y quizá este cambio es realmente necesario debido
a que en área de seguridad detectaron muchos intentos de penetración.
Debido a esto hay que mantener informada a la gente de la alta gerencia
con los reportes de seguridad y también a los directores departamentales
respecto de lo que pasa con su gente porque también se puede llegar a
detectar que necesito una estrategia de capacitación de un sector
determinado con un departamento determinado porque la gente de ese
sector cuando fueron citadas a las charlas no participó o no fue o no
prestó atención.
Normas ISO importantes​​:
27002​​: Una de las cosas que dice es que el responsable tiene que tener
el mismo rango jerárquico que sus pares responsables departamentales.
Ejemplo, si son directores, el de seguridad será director, si son gerentes,
el de seguridad será gerente. El único que está por arriba será el
presidente o gerente general.

¿Qué significa CIA?

Confidencialidad + Integridad + Disponibilidad (Availability)

Rol del CSO

3 roles:
1. Análisis.
2. Mitigación.
3. Gestión del control.

Definición de malware (malicious software):

Cualquier tipo de programa intencionalmente diseñado para provocar daños en
un sistema informatizado.

Definición de crimeware (criminal software):

Programa diseñado con fines netamente delictivos y financieros. Es utilizado
para cometer fraudes utilizando Internet como infraestructura de ataque.

Definición de virus:
Es un archivo o porción de archivo dañino que es capaz de reproducirse,
autoejecutarse y ocultarse para no ser identificado. Por lo general necesitan un
huésped. Tipos:
Gusano​​: Se propagan por canales de comunicación, no necesitan un
huésped ni infectan archivos, y explotan vulnerabilidades.
Troyano​​: Necesita ser ejecutado, no se propaga por sí mismo, y suele
descargar otras piezas de malware.
Spyware​​: Se instala sin consentimiento del usuario, genera perfiles de
usuario y de navegación, y roban información.
Rogue​​: Falsos antivirus, realizan falsos escaneos, genera falsas alarmas,
e intenta que el usuario “compre” la aplicación.
Rootkit​​: Esconde recursos en el sistema, se ejecuta en el Ring 0, y son
difíciles de detectar.
 Backdoor​​: Suelen ser instalados por Rootkits, permite al atacante
acceder al sistema víctima para lograr control total sobre él.

Métodos de detección de los antivirus

Detección basada en firmas

El principal método detección utilizado por los antivirus se basa en firmas. Los
antivirus tienen una base de datos con las firmas de todos los virus que
pueden detectar. Cada vez que analizan un archivo, lo comparan contra la
base de datos que tienen y así determinar si es un virus o no. Requiere
constante actualización para detectar los últimos virus conocidos. Debido a la
alta velocidad de propagación de los virus actuales, es un método lento. La
falta de actualización por parte del antivirus o del usuario puede acarrear una
infección.

Identificación por comportamiento (heurística)

En el análisis por comportamiento, se realizan dos tipos de verificaciones:
Comportamiento similar al de los virus conocidos.
Comportamiento anormal y que potencialmente puede provocar daño
(por análisis heurístico).
Los antivirus más eficaces son los que analizan ambas situaciones. Sólo en
estos casos (los que manejan ambas opciones) son los que protegen contra los
ataques Zero Day.

Esto solo puede ser controlado por análisis de comportamiento.

Spam
El spam es un ataque, no solo una molestia cuyo objetivo es el de saturar las
capacidades de los servidores de correo electrónico. Es el medio de transporte
de malwares.

AntiSpam (MailServer, Workstations y Gateway)

Se verifica que por el contenido o por su origen (listas negras), se pueda
descartar emails basura (scoring y filtrado). Se envían a carpetas de
cuarentena los emails descartados para su revisión.

Anti-Phishing
Se verifica URL, contenidos, título o palabras clave, se detectan emails de
phishing y pueden ser bloqueados o eliminados.

Pharming
Ataque a servidores DNS (Domain Name Servers) donde se modifica su
memoria caché, modificando el destino de las URLs mapeadas.
De esta manera, el usuario nunca se entera que está siendo dirigido a otro
sitio distinto del legítimo.
Es un ataque común hacia los ISP’s, y al archivo HOST en Windows.

Firewalls

Alcance de protección
Funcionamiento
Protección y control de accesos básicos de tráfico hacia las redes del cliente y
viceversa. Es pasa o no-pasa. (Análisis de Encabezado) Políticas de seguridad
para permitir o no el acceso a la Red de IP’s de origen, IP’s de destino, ports y
protocolos.

¿Qué filtran?
Acceso a redes y servidores, inspeccionan el estado, puertos, protocolos y
paquetes. Hay que cerciorarse de que las operaciones sean realizadas en base
a políticas definidas.
Control del encabezado de datos (Header de un datagrama IP)​​:
Es una primera medida de seguridad, pero no suficiente ahora

Reglas
Permit​​: Permite la regla establecida. Ejemplo: permit tcp host 1.1.1.1
any eq 53, permite que 1.1.1.1 haga un telnet a cualquier dirección ip.
Deny​​: Deniega la regla establecida. Ejemplo: deny tcp host 1.1.1.1 any
eq 53, deniega que 1.1.1.1 haga un telnet a cualquier dirección ip.
Drop​​: Tiene la misma función que el ​Deny​​, tanto ​Drop​​ como ​Deny
cuando descarta un paquete no avisan al destino que se descartó el
paquete. Existe una cuarta regla que se llama ​Reject​​ que tiene la
función del ​Drop​​ o ​Deny​​ pero cuando se descarta un paquete se suele
mandar un mensaje ICMP al destino avisando porque se descartó el
paquete.

Topologías
El análisis se realiza a nivel de header​​:
 IPS (Intrude Protection System)
Protege el acceso a redes, servidores y aplicaciones. Inspecciona paquetes,
protocolos y perfiles a nivel profundo y se cerciora de que los intentos de
intrusión a todo nivel sean bloqueados. Se analizan los contenidos de datos a
fin de identificar si son correctas o si son ataques directos, encapsulados o
fragmentados
Tiene​​:
Análisis de comportamiento.
Políticas de seguridad para que determinados eventos generen alarmas y
decidan el bloqueo automático de los intrusos.

El análisis se realiza a nivel de datos​​:

Filtro de contenido (content filtering)

Su función es la de proteger el acceso a internet (restringe el acceso a sitios

especificados). Para esto realiza análisis de títulos, categorías y contenidos
para cerciorarse de acceder a sitios válidos y seguros.

Motivación
Pérdida de productividad y/o de moral​​:
El acceso a sitios no relacionados con la ocupación laboral genera pérdida
de productividad y de recursos de red.
El acceso a sitios de contenido inapropiado genera atentados a la moral,
y más aún si sucede con menores en casa.
Content Filtering​​:
Bloqueo de sitios de internet por URL, categoría y/o contenidos.
En casa, tenemos la herramienta de Parental Control (Control de Padres)
para impedir que se accedan a sitios no convenientes (pornografía
infantil, pedofilia, phishing, etc).
 Criptografía
¿Qué es?
Arte o ciencia de cifrar o descifrar información utilizando técnicas que hagan
posible el intercambio de mensajes de manera segura que sólo puedan ser
leídos por las personas a quienes van dirigidos.
La criptografía puede aplicarse en el almacenamiento y en la transmisión de la
información.

¿Qué protege la criptografía?

Confidencialidad​​: La información no puede ser accesible o revelada a
individuos, entidades o procesos no autorizados.
Integridad​​: Los datos no serán alterados o destruidos de una forma no
autorizada
Autenticación​​: Los usuarios emisor y receptor deben identificarse y sus
identidades deben verificarse apropiadamente. Protege contra la
suplantación de identidad (un tercero envía Comprender, entender,
mensajes en nombre del verdadero emisor) y contra la falsificación del
mensaje (el receptor falsifica mensajes y dice que se los envió el
emisor).
No repudio​​: Se puede probar que los participantes de una transacción
realmente la autorizan y que no pueden negar de ninguna forma su
participación.

Conceptos
Criptografía​​: Ciencia que usa las matemáticas para cifrar y descifrar
datos, utilizando algoritmos y claves.
Criptoanálisis​​: Ciencia de obtener el descifrado de datos cifrados, sin
conocer la clave respectiva (ej. Ataque de Fuerza Bruta: probar todas las
claves posibles en sus combinaciones, hasta poder ingresar).
Complejidad​​: Cantidad de combinaciones posibles de claves.

Firma digital

Proceso de firmar digitalmente un documento, cifrándolo con clave

privada
1. Autenticación​​: identifica a quien firmó el documento.
2. Inalterabilidad​​: estipula que el documento no se alterará con
posterioridad.
 3. Autoría​​: estipula que el firmante redactó el documento.
4. Adhesión​​: estipula que el firmante está de acuerdo con el contenido del
documento.
5. No Repudio​​: estipula que el firmante no podrá negar todo lo detallado
anteriormente .
Con el HASH se completa su elaboración.
 VPN (Virtual Private Network)

Permite acceso remoto a la red y un servidor, provee validación de usuario,

clave y protocolo y se cerciora de que quien ingresa es válido.

¿Cómo funciona?
Se establece un túnel segurizado y encriptado desde el origen hasta el destino.
La información viaja sin riesgos de alteración, ni pérdida, ni vulnerabilidades.
El destino sabe que el origen es válido por funciones de validación, por usuario
y contraseñas, autenticación fuerte mediante tokens, y protocolos de
encriptación (IPSec cuando el endpoint es conocido, SSL cuando el endpoint
desconocido o público).
 Análisis forense

Investigación post-evento
1. Análisis del hecho​​: Se analizan los logs, registros de video, eventos
correlacionados, para la determinación de los daños si existieron, o el
recurso que ha sido víctima del intento de delito.
2. Adquirir evidencias​​: Se adquieren evidencias (ante Escribano o
privadas). Tomar evidencias ante Escribano si se las quiere presentar en
procesos judiciales como pruebas (ej. archivos o correos eliminados).
3. Determinar ataque​​: Con el análisis de la información y eventos,
determinar el origen del ataque, tipo de ataque, país de origen, ISP que
da servicios a esa IP.
4. Iniciar acciones legales​​: Con esos datos, si se desea y justifica, iniciar
acciones legales.
5. Ajustar políticas​​: Ajustar las políticas de seguridad para que eso no
suceda en el futuro, o se vea mitigado.

Recolección de evidencia
1. Autenticidad​​: Quien haya recolectado la evidencia debe poder probar
que es auténtica.
2. Cadena de custodia​​: Registro detallado del tratamiento de la evidencia,
incluyendo quiénes, cómo y cuándo la transportaron, almacenaron y
analizaron, a fin de evitar alteraciones o modificaciones que
comprometan la misma.
3. Validación​​: Garantizar que la evidencia recolectada es la misma que la
presentada ante las autoridades.

Procedimientos forenses
1. Identificación​​: Origen de la evidencia (computadoras, celulares,
Tablet-PC, memorias, servidores, backup tapes, Memorias USB, virtual
drives, SAN, discos rígidos externos, CD, DVD, diskettes, SIM cards, etc).
2. Preservación​​: Protección del área de trabajo, técnicas forenses de
adquisición cadena de custodia, integridad, confidencialidad.
3. Procesamiento​​: Extraer valor de la información sin modificarla (por ej,
recuperar archivos eliminados).
4. Revisión/Análisis​​: No modificar la evidencia durante la revisión,
registros de auditoría de lo realizado.
 Arquitectura de redes seguras

La ISO/IEC 27002 recomienda la segmentación de redes por cuestiones de

seguridad.

La gestión de incidentes de seguridad de la información está prevista en la

ISO/IEC 27035:2011

Pasos para registrar un incidente

1. Registro​​: El empleado que tiene que cargar el incidente debe tener un
lugar en donde pueda cargar esa información y cuando carga la
información el sistema le va a devolver un número de ticket para que
después pueda hacer un seguimiento.
2. Identificación​​: Cuando carga el registro va a colocar la información
asociada a ese incidente y va a tener que marcar de alguna forma cual
es el sector o área que el considera que corresponde a ese incidente
(puede ser seguridad, networking, logística, si es de aplicación si es de
permisos). Eso va a servir para que la persona de helpdesk que trabaja
en la gestión de la herramienta pueda ver si esta identificación es
correcta e inmediatamente proceder a la ​clasificación​​ y posteriormente
a la ​asignación​​.
3. Clasificación​​: Se evalúa la prioridad del incidente. Un incidente puede
tener las siguientes prioridades:
1. Prioridad 1​​: Cuando el incidente afecta un activo de información
crítica y que por este incidente no se puede acceder a este activo.
Cuando se trabaja con este nivel de prioridad tiene que haber una
persona trabajando ya asignada en el caso dentro de los primeros 15
minutos que se cargó el incidente. Si va por el minuto 13 y nadie se
hizo cargo, el sistema tiene que alertar que hay un problema de
criticidad 1 que no está siendo atendido a quien le corresponda.
2. Prioridad 2​​: Cuando el activo de información está en una situación
inestable. Significa que alguien va a tener que trabajar en este caso
dentro de las próximas 2 horas desde que fue cargado.
3. Prioridad 3​​: Cuando el activo se puede seguir usando pero no en las
condiciones normales en las que el usuario la puede utilizar y lograr
mejor productividad y eso significa que debe ser empezado a tratar
dentro de las próximas 8 horas desde que fue cargado.
4. Prioridad 4​​: El activo que se vió afectado no es de severidad crítica,
el empleado puede seguir haciendo su trabajo y significa que alguien
 va a tener que tomar ese incidente para empezar a trabajarlo dentro
de las 24hs desde que se cargó.
El tiempo que se cuenta es hasta que alguien se pone a trabajar, no que
lo resuelve. Por ejemplo, un caso de severidad 1 puede tardar una
semana en resolverse.
4. Asignación​​: Una vez que el responsable de helpdesk le puso la
calificación lo deriva al especialista que debería tomarlo por el tipo de
identificación que se validó, por ejemplo, si es de seguridad se lo va a
pasar a uno de los técnicos de seguridad, si es networking se lo va a
pasar a una de las personas de comunicaciones. Una vez que la persona
lo toma, la herramienta hace un timestamp de ​“acaba de ser asignado a
‘x’ y ‘x’ empezó a trabajar en el problema”​, con esto se verifican los
tiempos según la prioridad. Lo ideal es que siempre se cumplan los
tiempos porque después se van a sacar reportes y si veo que
permanentemente estoy incumpliendo con los tiempos con los cuales
tendría que empezar a trabajar el peso va a caer sobre el asistente
técnico y deberá justificar porque nunca se llega a trabajar a tiempo.
5. Tratamiento​​: Se va a empezar a hacer el tratamiento si tiene toda la
información cargada en el momento del registro va a empezar a hacer
todas las pruebas hasta que hace la resolución. Si le falta información le
va a pedir al usuario que cargue más información y le va a decir que tipo
de información es la que necesitaría y ahí pasan a correr los tiempos del
usuario. Salen los tiempos de la gente de soporte técnico y empiezan a
correr los tiempos del usuario, por ejemplo, si el usuario tarda 24hs en
responder ya no le van a poder adjudicar la penalización de las 24hs al
de soporte técnico porque en este caso el usuario no brindó la
información, la penalización cae ahora sobre el usuario si no responde.
6. Seguimiento​​: Mientras se está haciendo el tratamiento se puede hacer
el seguimiento. Es decir, entrar por el número de ticket (por ejemplo, el
más interesado es el que cargó el ticket) para ver en qué situación está,
en que estado se encuentra. Si ve que se está trabajando o ve que está
parado y no se agregó ninguna actividad nueva desde la última vez que
lo vió.
7. Resolución​​: Una vez que se termina de resolver se entra en la etapa de
resolución. En esta etapa lo que se hace es, la persona que tomó el caso
le devuelve el caso al usuario que cargó ese incidente para que confirme
si está resuelto o no. Pero le pone un tiempo además, es decir, si dentro
de las próximas 8 horas no responde ninguna respuesta en contrario,
considera que el tema fue resuelto y se va a cerrar el caso. Sino, si
responde y dice que el tema no fue resuelto se debe seguir trabajando
hasta que se resuelva.
 8. Catalogación y guarda​​: Cuando recibe la confirmación de que se cerró
el caso, es decir, la resolución fué correcta se procede a la etapa de
catalogación que es: Generar todas las entradas posibles para ese
incidente que se pueda entrar y que permita identificar que ese incidente
fue cargado en algún momento. Si tiene relación con seguridad, se lo va
a catalogar en seguridad, si tiene relación con redes y seguridad, se lo va
a catalogar en redes y seguridad y así sucesivamente. Es para mantener
un índice con todos los incidentes que fueron ocurriendo, cómo se
resolvieron y cuándo. Para luego ante futuros incidentes se consulta si
hubo algún incidente similar para poder contar con más capacidad de
solvencia. Luego de la catalogación se procede a la guarda de un
registro. Toda esta información es almacenada en una base de datos que
debe contar con seguridad porque, si alguien con intenciones maliciosas
llegará a acceder a esta bdd de incidentes podría ver y explotar todas las
vulnerabilidades que se listan que no fueron resueltas.
El equipo afectado se debe aislar en una VLAN de emergencia.
 Hacking ético

Técnicas
Footprinting​​: Consiste en obtener información.
Scanning​​: Consiste en ​escanear​​ sistemas activos y puertos abiertos de
los sistemas operativos.
Enumeración​​: Consiste en ​enumerar​​ recursos de red, cuentas de
usuario y aplicaciones.
Ataque o hacking​​.
Wardriving​​: Consiste en detectar redes sin protección o con protección
vulnerable para poder atacarlas.

Sigla CIA
Confidencialidad​​: Activo que no será revelado a ninguna persona,
entidad o proceso a no ser que se tenga la autoridad suficiente.
Integridad​​: Mantenimiento de la exactitud y la completitud de la
información.
Disponibilidad​​: Acceso y utilización de la información para cuando lo
requieran aquellas personas, entidades o procesos con autoridad para
hacerlo.

Norma ISO/IEC 27002-2013

La seguridad de la información es la protección de la información de una
amplia variedad de amenazas, con el objeto de asegurar la continuidad del
negocio, minimizar los riesgos y maximizar el retorno de la inversión y las
oportunidades de negocio.

ISO/IEC 27001​​: Sistema de gestión de seguridad e información.

ISO/IEC 27002​​: Código de prácticas de seguridad de la información.
Fases para la implementación de la ISO/IEC 27001-2013
 BCP (Business Continuity Plan)

Objetivo
Lograr que las operaciones de negocios continúen desarrollándose ante la
ocurrencia de desastres naturales o humanos.

Definición
Plan para recuperar la continuidad de operaciones de negocios, ante la
ocurrencia imprevista de desastres naturales o humanos.
Su contenido incluye al ​DRP​​ (Disaster Recovery Plan) de IT, y su producto es
el ​BCP​​ (Business Contingency Plan). Su gestión en régimen, manteniéndolo
actualizado y vigente, se llama ​BCM​​ (Business Continuity Management).

Plan de contingencia de IT (Disaster Recovery Plan)

Especificaciones de recuperación de las aplicaciones de misión crítica,
procedimientos, tecnología junto con su capacidad de operación.

Plan de recuperación de servicios de IT (Disaster Recovery Service)

Servicio de implementación del DRP, en base a la definición del BCP y su Plan
de Contingencia de IT, con servicios de infraestructura alternativa a su Centro
de Procesamiento de Datos principal.

Estados del BCP

1. Prevención​​: Acciones dirigidas a disminuir la posibilidad y/o el impacto
del incidente. Objetivo primordial: Preservar Vidas, proteger el
patrimonio, controlar y minimizar el costo del riesgo.
2. Reacción​​: Acción que evalúa el daño y define las acciones requeridas
dirigidas a asegurar la vida, y los procesos y procedimientos a seguir
luego del incidente.
3. Reanudación​​: Acciones dirigidas a reanudar inmediatamente las
operaciones más sensibles al tiempo.
4. Recuperación​​: Acciones dirigidas a reanudar inmediatamente las
operaciones menos sensibles al tiempo.
5. Restauración​​: Acciones dirigidas a restaurar las operaciones normales
en un sitio principal tal como estaban antes del incidente.

ISO/IEC 22301-2012​​: Estándar internacional en continuidad del negocio

BIA (Business Impact Analysis)
Cantidad de plata que se pierde en el negocio por unidad de tiempo medible
para el negocio en el que estoy parado por las operaciones suspendidas.

¿Cómo se relacionan BIA y RTO?

El RTO con el BIA tienen la relación de que me permite determinar dónde está
mi punto de quiebre. Esto significa que tengo que tratar de recuperar la
operación antes de llegar al RTO de estar parado, si me excedo, me excedo
también en las pérdidas del BIA porque son costos que no puedo calcular
(penalidades, multas, juicios por incumplimiento de service level agreement),
en cambio hasta el punto de quiebre tengo pérdidas tangibles como se puede
ver en la figura (ausencia de ventas y ausencia de cobranzas).

¿Cuál es el tipo de sitio que me permite recuperar la operación en el

mínimo tiempo?
Hot site
¿Cuáles son las fases para desarrollar un BCP?
1. Análisis de impacto.
2. Estrategia de recupero.
3. Finalizar estrategia de recuperación.
4. Documentación del plan.
5. Prueba, entrenamiento y mantenimiento.
 Legislación y normas

La norma 27005 no es certificable.

Vulnerabilidades, riesgos y amenazas

Atentan contra CIA.

¿Qué es un riesgo?
Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un
activo o grupo de activos, y causar daños a la organización (ISO/IEC
27005-2008).
Dado un riesgo, digamos un desastre natural, no vamos a poder evitarlo pero
si teniendo conciencia de esto podemos mitigar el riesgo.

Riesgo
Probabilidad de que algo ocurra dadas determinadas circunstancias. Es decir, si
dejo la puerta de casa abierta de par en par todo el día es un riesgo, hay
probabilidad de que ocurra algo como puede que no ocurra nada.

Amenaza
Materialización del riesgo. Deje la puerta abierta y se metió un ladrón.

Vulnerabilidad
Debilidad o grado de exposición. Por ej, tener en tu casa una puerta de papel.

Ley ¿Qué hacer?

26388 - Ley de delitos informáticos URL Filtering - Logs management

Ley de ciberhostigamiento - grooming

25326 - Ley de protección de datos Control de accesos

personales

Ley de propiedad intelectual Gestión automática de inventario de

HW y SW
 Auditoría en sistemas y auditoría de seguridad

Confección del informe final

Aquí se colocan los hechos detectados (findings), y se tiene que colocar:
El hecho que se detectó.
Cual es la consecuencia en el caso de que no se corrija.
Recomendación para corregir eso y que no se vuelva a producir y
detectar en la próxima auditoría.
 Primer parcial

Nº Pregunta Si No Respuesta

Si tengo un gateway antivirus ¿puedo

1 prescindir de los antivirus en cada X
puesto de trabajo y servidores?

Un intento de ataque a nivel de

2 aplicación (ej. SQL Injection) ¿puede X
ser bloqueado por un firewall?

Las herramientas de URL filtering o

contents filtering, ¿me permiten
3 X
proteger la productividad y la moral de
los empleados?

El análisis de vulnerabilidades ¿puede

ponerme en riesgo de disponibilidad un
4 X
recurso accesible desde internet?
¿puede provocar DoS?

¿Los antivirus gratuitos son tan

completos como los comerciales?
5 X
(contemplando todas las funciones,
incluyendo actualizaciones)

¿Un sistema de prevención de intrusos

6 X
me permite prescindir del firewall?

Para impedir la fuga de la información

7 por puertos USB, ¿puedo usar una X
herramienta de control de dispositivos?

¿La segmentación de redes está

8 recomendada por cuestiones de Seguridad
performance en la red o por seguridad?

¿Los LOGs del firewall me brindan

9 X
información de origen de ataques?
 ¿Los LOGs del IPS contienen
10 X
contenidos de datos del cliente?

La resolución antispam debe estar en

11 el mismo servidor de correo (como X
práctica recomendada).

¿Las consolas antivirus me permiten

12 identificar intentos de intrusión X
perimetral?

Si un usuario tiene su PC contaminada

¿debo pedirle que la apague primero o
13 Aislarla
debo aislarla en un segmento separado
del resto?

¿Con un certificado digital identifico al

responsable de un documento digital
14 X
que venga con su firma digital
correspondiente?

¿Un antivirus me brinda protección

15 total contra todos los malwares X
existentes?

¿La correlación de eventos me brinda

información histórica de eventos
16 X
ocurridos en el pasado como
resultado?

Si tengo un proxy server ¿la solución

17 de filtro de contenidos URL debe X
instalarse en el proxy?

¿Se puede controlar tecnológicamente

18 X
el tipo de ataque de ingeniería social?

¿Qué diferencia existe entre la forma

de trabajo del producto Spybot Search
19 FALTA
& Destroy respecto de Spyware
Blaster? Desarrolle.
 ¿Cuál es la función más relevante del
20 producto IOBIT Advanced Care Corregir el registry.
System?

¿Cuál de estos dos productos contiene

la función de prevención de intrusos
21 Comodo.
mediante el control de deep inspection
(o application control)?

En la implementación de soluciones de
data loss prevention en entorno
windows con active directory, ¿cuál es
22 el nivel de privilegio que debe tener el Administrador de dominio
usuario para realizar la
implementación? (en un entorno
corporativo)

Infiltrar​​: Ingresar a un sitio de

manera ilícita para robar
¿Qué significa el concepto de
23 información.
infiltración y de exfiltración?
Exfiltrar​​: Sacar información del
sitio en el que me infiltre.

Encripta información del

Explique el comportamiento de un virus usuario/víctima y se pide
24
ramsonware. rescate a cambio de la clave
para desencriptar.

1. Nombrar al CSO.
Para implementar seguridad en una
2. Crear el comité de
organización desde el inicio, mencione
25 seguridad.
los 3 primeros pasos que se deben
3. Realizar el risk
concretar.
assessment.

¿Cuál es el objetivo de un ataque de Robar información del visitante

26 Cross Site Scripting (XSS) y en qué al sitio. FALTA EN QUÉ
consiste? CONSISTE.

Un ataque fragmentado a nivel

27 aplicación, ¿cuál es el componente que IPS
me permite identificarlo y bloquearlo?

Puntaje obtenido resultado de

Explique el concepto de scoring en una
28 la suma de filtros acertados por
solución antispam.
la solución antispam.

Explique el concepto de lista negra
29
internacional en una solución antispam.
Explique el concepto de sandbox en los
30
antivirus y en los IPS.
Es una lista con distintas
direcciones que deben
bloquearse ya que se sabe que
son spam.
Permite ejecutar aplicaciones,
descargar archivos y visitar
sitios web en un entorno virtual
seguro aislado del resto del
equipo.
 Segundo parcial

Nº Pregunta Si No
ISO/IEC 22301 X
1 ¿Cuáles de estas normas son certificables actualmente? ISO/IEC 27005 X
ISO/IEC 27001 X
Porque intuyo que me han
X
provocado algún daño
Porque he tenido un
ataque involucrando un
¿Por qué debo realizar un proceso de análisis informático X
2 forense?
activo de información
crítico
Porque estimo que sufriré
un ataque en los próximos X
días
Autenticidad
¿Cuáles son las 3 condiciones que hacen que una evidencia sea reconocida como Cadena de
3 válida? Guarda
Validacion
Listar las evidencias
X
disponibles
Sacar una fotografía del
entorno donde se hará la X
Cuando se realiza el proceso de recolección de evidencias, investigación
4 ¿cuál es la primera acción que se debe llevar a cabo?
Rotular las evidencias X
Confeccionar las planillas
identificatorias de cada X
evidencia
Realizar copias de las
evidencias digitales X
originales
Las copias debe hacerlas
El perito informático forense, ¿cómo debe organizar su
5 trabajo?
delante de un escribano X
público
Puede trabajar sobre el
original si no dispone de X
tiempo para las copias

Realiza la investigación de
X
acuerdo con su curiosidad

Durante una pericia, ¿qué hace el perito informático

6 forense? Realiza la investigación de
acuerdo con los puntos de X
pericia solicitados
 Puede comentar con
cualquiera lo que va X
detectando en su análisis
La metodología que usó
X
durante su tarea
Las herramientas que usó
En el informe pericial algunos de los puntos que deben X
7 estar presentes e identificados son:
en su tarea
Las respuestas a los
puntos de pericia X
solicitados
RRHH X
¿De quién es responsabilidad la definición y redacción de
8 los acuerdos de confidencialidad?
Seguridad X
Legales X
se debe comenzar con
X
pruebas al azar
se debe comenzar con el
9 En la metodología de Hacking Ético,
proceso de footprinting
X

se debe comenzar con el

X
proceso de escaneo
Se viola la
confidencialidad de los X
10 Si tercerizo funciones de monitoreo de video-vigilancia datos
Se viola la integridad de
X
los datos
Se viola la
confidencialidad de los X
Si tercerizar funciones de monitoreo y gestión en un SOC datos
11 de un MSSP (Managed Security Service Provider)
Se viola la integridad de
X
los datos
Es responsabilidad del
X
CSO
Es responsabilidad del
12 La seguridad física Gerente de Asset X
Management
Es responsabilidad del
X
CIO
Debo usar barreras de
X
En un lugar donde tengo problemas de niebla en alguna rayos infrarrojos
13 época del año Debo usar barreras de
X
microondas
Cámaras IP X
Indique cuales son tipos válidos de cámaras de
14 videovigilancia
Cámaras analógicas X
Cámaras térmicas X

Impedir roturas por golpes

15 Los films antivandalismo permiten:
de barretas
X
 Impedir el ingreso de
disparos de armas de
X
fuego (según el grosor del
film)

Tener efecto de laminado

de seguridad ante rotura X
de vidrios y cristales
Cantidad de pérdida de
dinero por unidad de X
tiempo interrumpido
Impacto operativo por
16 ¿Qué es el BIA (Business Impact Analysis)? tener interrumpido el X
negocio
Cantidad de pérdida de
dinero al momento de X
concretarse el RTO
Tiempo objetivo que debe
durar el proceso de X
recuperación
17 ¿Qué es RTO (Recovery Time Objective)? Tiempo objetivo de
recuperación límite para
X
no tener pérdidas
descontroladas
Almacenamiento
complementario al de la X
nube privada
Soluciones de backup
remoto de pcs/notebooks X
y/o servidores
Indique cuales son soluciones de storage utility en una nube
18 pública Grabadoras remotas de
X
cd/dvd
Vaulting de medios
X
magnéticos removibles
Guarda de imágenes de
X
videovigilancia
Disponer de un sistema de
X
gestión de incidentes
Disponer de un sistema de
procesamiento y gestión X
de logs
Por aplicación de la ley 26388, ¿cuáles son las acciones Impedir que cualquiera
19 obligatorias para las empresas? pueda descargar
X
herramientas de hacking
de internet
Disponer de un sistema de
control de contenidos o X
filtrado de urls

¿Cuál es el principal beneficio del BCP (Business Continuity Asegurar la continuidad de

20 Plan)? las operaciones de IT
X
 Asegurar la continuidad de
las operaciones de X
negocio

Cumplir con el RTO

X
definido
Risk assessment -
Evaluación y tratamiento 2
de riesgos
Nombrar al líder del
Al inicio del BCP, ¿qué actividad debo llevar a cabo en proyecto BCP y que éste 1
21 primera instancia y cuál inmediatamente después? (indicar nombre a su equipo
sólo 1 y 2) Relevar las necesidades
de replicación de datos
Evaluación del
presupuesto disponible de
IT
Determinar las
3
aplicaciones críticas
Determinar los procesos
Para determinar cuáles son los componentes que debo de misión crítica de 1
22 darles prioridad para su restablecimiento, ¿qué se debe negocio
hacer? (indicar 1, 2 y 3)
Determinar las
aplicaciones que soportan
2
los procesos de misión
crítica de negocios
Hot site X
Para poder restablecer las operaciones de IT en el menor
23 tiempo, ¿qué tipo de sitio de contingencia debo tener?
Warm site X
Cold site X
Para determinar la
magnitud de inversiones X
en el sitio de contingencia
Para determinar el RTO
X
24 ¿Para qué es necesario conocer el BIA? recomendado
Para cuantificar los daños
a generarse ante la
X
ocurrencia de riesgos
potenciales
El hash del mensaje a
enviar + una clave X
simétrica concatenada
El hash del mensaje a
25 ¿Qué es la firma digital? enviar cifrado con la clave X
privada del emisor
El mensaje completo a
enviar cifrado con la clave X
privada del emisor

Tengo que modificar las

¿Por qué motivo se dice que una VPN con protocolo IPSec
26 es una extensión perimetral?
aplicaciones para los X
accesos remotos
 El usuario remoto accede
sin cambio alguno a sus X
activos informáticos
El usuario puede usar un
X
equipo desconocido
El usuario remoto se
conecta en un ambiente X
colaborativo
Identificación y tratamiento
de riesgos de negocios, X
organización y locación
Al inicio del BCP, ¿qué actividad debo llevar a cabo en Identificación y tratamiento
27 primera instancia? de solo los riesgos X
operacionales
Evaluación de sólo los
X
riesgos del negocio
Algoritmo matemático que transforma
cualquier bloque arbitrario de datos en
una nueva serie de caracteres con una
longitud fija. Independientemente de la
longitud de los datos de entrada, el
valor hash de salida tendrá siempre la
misma longitud.
Las funciones Hash deben cumplir con
una serie de propiedades para ser
seguras:
. ​Unidireccionalidad​​: Debe ser
computacionalmente imposible obtener
el mensaje original a partir del Hash.
28 Explique el concepto de hash
. ​Compresión​​: el Hash debe tener una
longitud fija, menor que la del mensaje
original, para cualquier tamaño de
mensaje.
. ​Facilidad de cálculo​​: el Hash debe
ser fácil de calcular.
. ​Difusión​​: el algoritmo de Hash debe
ser una función compleja de todos los
bits del mensaje original, por lo que la
modificación de un bit del mensaje
original debería cambiar
aproximadamente la mitad de los bits
del Hash.
Las UPS deben tener la
potencia de la energía a X
abastecer
Las UPS deben tener un
30% más de capacidad X
¿Cuáles son las relaciones a contemplar para la elección de que la energía a abastecer
29 una correcta provisión de solución de energía eléctrica en
un DC? Los generadores tienen
que tener igual capacidad
X
de generación que las
UPS
Los generadores deben
X
tener un 60% más de
 potencia a generar que la
capacidad de cada UPS
En una empresa corporativa se ha cometido un delito de intrusión a la privacidad de una base de
datos Oracle, violando las políticas de permisos de acceso a la misma y adulterando contenidos.
Se le pide que evalúe el caso y responda a las siguientes preguntas (se dispone de cámaras, FW,
IPS, antivirus, switches L2, todos con sus logs y SGI).
La red está segmentada en VLANs y éstas protegidas con reglas de FW (la intrusión pudo haber sido
interna u externa)
Apagar el equipo X
Aislar el equipo en una
¿Cuál es la primera acción a realizar? X
VLAN de emergencia
Clonar los discos X

¿Con qué fuentes de información puede identificar el puesto

físico desde donde se realizó la intrusión?
Identificando IP privada o pública y también su fecha y hora.

¿Cómo usaría la detección del puesto físico mediante el

30 LOG con su fecha y hora para determinar quién fué el
Con video Vigilancia
potencial autor del delito?
(Aplicable solo en el caso de intrusión interna)

Registro
Identificación
¿Cuál sería el circuito de tratamiento de este incidente? Clasificación
(desde su registro e identificación hasta su resolución y Asignación
cierre, indicando las funciones de acuerdo con un sistema Tratamiento
de gestión de incidentes) Seguimiento
Resolución
Catalogación y guarda
Una vez identificado el responsable, el responsable de Si el responsable es interno​​:
seguridad debe elevar las evidencias y el informe
correspondiente a la alta gerencia y a RRHH y/o legales
según corresponda.
Si el responsable es externo​​:
¿Cuál es el procedimiento que debería seguir el
responsable de RRHH y/o legales, según sea identificado el
responsable interno u externo?