![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"Buenas](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2020\/03\/buenas-practicas1-300x213.jpg\")
<\/p>\n<\/p>\n
En los trabajos que se han presentado en las \u00faltimas semanas se han venido exponiendo los temas que recogen la norma ISO 27002 en su versi\u00f3n de 2022 como esenciales para el desarrollo de una gesti\u00f3n desde las buenas pr\u00e1cticas en el manejo seguro de la informaci\u00f3n.<\/p>\n
En esta entrega, que cierra esta tem\u00e1tica, se tratan los controles, que desde lo tecnol\u00f3gico, se consideran tienen mayor incidencia en la instituci\u00f3n y que deben ser atendidos como parte de las acciones necesarias para mantener un accionar preventivo.<\/p>\n
<\/p>\n
El tema de lo tecnol\u00f3gico en la ISO 27002:2022 tiene 34 controles, agrupados en la cl\u00e1usula 8 de la mencionada norma. Los mismos se relacionan a continuaci\u00f3n y entre ellos destacan algunos que se se\u00f1alan en negritas para significar su importancia al interior de la UO.<\/p>\n
1. Dispositivos de punto final del usuario.<\/p>\n
2. Derechos de acceso con privilegios.<\/p>\n
3. Restricci\u00f3n de acceso a la informaci\u00f3n.<\/p>\n
4. Acceso al c\u00f3digo fuente.<\/p>\n
5. Autentificaci\u00f3n segura.<\/p>\n
6. Capacidad de gesti\u00f3n.<\/p>\n
7. Protecci\u00f3n contra c\u00f3digos malignos.<\/p>\n
8. Gesti\u00f3n de vulnerabilidades de orden t\u00e9cnicas.<\/p>\n
9. Gesti\u00f3n de configuraci\u00f3n. (se refiere a las configuraciones en la seguridad de hardware y software, servicios y de red).<\/p>\n
10. Eliminaci\u00f3n segura de la informaci\u00f3n. (Borrado seguro)<\/p>\n
11. Enmascaramiento de datos.<\/p>\n
12. Prevenci\u00f3n de fuga de datos.<\/p>\n
13. Copias de seguridad de la informaci\u00f3n.<\/p>\n
14. Facilidades en la redundancia del procesamiento de la informaci\u00f3n. (referido a que los mecanismos para el procesamiento de informaci\u00f3n se implementar\u00e1n con la redundancia suficiente para cumplir con los requisitos de disponibilidad, protecci\u00f3n y an\u00e1lisis).<\/p>\n
15. Trazabilidad o registro.<\/p>\n
16. Monitoreo.<\/p>\n
17. Sincronizaci\u00f3n de tiempo. (se refiere a que el reloj de los sistemas de procesamiento de informaci\u00f3n utilizados por la organizaci\u00f3n debe estar sincronizado con las fuentes de tiempo aprobadas).<\/p>\n
18. Uso de programas con utilidades de privilegio. (programas que cuya utilizaci\u00f3n permite anular controles del sistema y aplicaciones, por lo que su uso debe estar restringido y estrictamente controlado).<\/p>\n
\n
19. Instalaci\u00f3n de software en sistema operativo (implementaci\u00f3n de procedimientos y medidas para gestionar de manera segura la instalaci\u00f3n de software en los sistemas operativos).<\/p>\n
20. Seguridad en la red.<\/p>\n
21. Seguridad en los servicios de red (se diferencia del control anterior en que se refiere a los mecanismos y niveles de seguridad y requerimientos para los servicios de red que deben ser identificados, implementados y monitoreados.<\/p>\n
22. Segregaci\u00f3n de redes (necesidad de separar el trabajo en subredes como mecanismo de seguridad al reducir el \u00e1rea de impacto accesible, por ejemplo).<\/p>\n
23. Filtrado de la web (como mecanismo para la reducci\u00f3n de la exposici\u00f3n de los sitios de cara a internet a contenidos o acciones maliciosos).<\/p>\n
24. Uso de mecanismos criptogr\u00e1ficos. (se refiere en especial al uso de llaves criptogr\u00e1ficas para la protecci\u00f3n de la informaci\u00f3n y los datos).<\/p>\n
25. Desarrollo seguro de ciclos de vida (referido al establecimiento de reglas de seguridad para uso y desarrollo de sistemas y software).<\/p>\n
26. Requerimientos para la seguridad en aplicaciones ( para ello se toma en cuenta los requerimientos a atender para la identificaci\u00f3n, especificaciones y aprobaci\u00f3n de las aplicaciones desarrolladas o adquiridas).<\/p>\n
27. Principios de seguridad para la ingenier\u00eda y arquitectura de sistemas (se refiere a la obligatoriedad atender los principios de la ingenier\u00eda de software y sistemas que deben estar documentado en el proceso desde su establecimiento, aplicaci\u00f3n y mantenimiento).<\/p>\n
28. Seguridad de los c\u00f3digos (referido a los principios para asegurar el uso de c\u00f3digos seguros en el desarrollo de software).<\/p>\n
29. Pruebas de seguridad para el desarrollo y aceptaci\u00f3n (se enmarca en la necesidad de realizar pruebas para definir e implementar el desarrollo de un ciclo de vida para software y sistemas).<\/p>\n
30. Aplicaci\u00f3n del subcontrato (se atiende la aplicaci\u00f3n de revisiones directas y monitoreo para el arrendamiento o subcontrato de sistemas de desarrollo).<\/p>\n
31. Separaci\u00f3n de entornos de desarrollo, pruebas y producci\u00f3n (deben estar separados y definidos sus mecanismos de seguridad).<\/p>\n
32. Cambios administrativos. (Est\u00e1 referido a los cambios en los sistemas de informaci\u00f3n y mecanismos de procesamiento que estar\u00e1n sujetos a los procedimientos de gesti\u00f3n de cambios para su conocimiento y control).<\/p>\n
33. Pruebas de informaci\u00f3n (refiere que toda prueba a la informaci\u00f3n ser\u00e1 debidamente seleccionada, protegida y gestionada para evitar errores o desv\u00edo de los objetivos trazados).<\/p>\n
34. Protecci\u00f3n de los sistemas de informaci\u00f3n durante las pruebas de auditor\u00eda (El control centra su atenci\u00f3n en el hecho de que las pruebas de auditor\u00eda y otras acciones de seguridad que involucren la evaluaci\u00f3n del sistema operativo deben estar planificadas y acordado su alcance entre el que eval\u00faa y la direcci\u00f3n de la organizaci\u00f3n evaluada).<\/p>\n
Muchas de las cuestiones tratadas hasta este momento encuentran su reflejo en los controles del tema de lo tecnol\u00f3gico. Esto es muestra de las interconexiones que se establecen entre los temas y controles en la norma 27002 y con las restantes de la serie 27000.<\/p>\n
De la cl\u00e1usula 8, se har\u00e1 referencia 8 controles a partir del comportamiento que tienen en las incidencias institucionales. Esto no resta importancia a los restantes, pero el espacio y los tecnicismos que poseen, no permite profundizar en un n\u00famero mayor de ellos.<\/p>\n
El control 2 se refiere a los Derechos de acceso con privilegio<\/strong>.<\/p>\n Es un control de tipo preventivo que busca proteger desde la confidencialidad, la integridad y la disponibilidad la informaci\u00f3n partiendo de la gesti\u00f3n de accesos e identidades.<\/p>\n Se parte del presupuesto de que la asignaci\u00f3n y el uso de los derechos de acceso privilegiado deben restringirse y gestionarse con el prop\u00f3sito de garantizar que solo los usuarios autorizados, los componentes de software y los servicios que se proporcionen cuente con derechos de acceso.<\/p>\n Para ello deben identificarse los usuarios que necesitan acceso privilegiado para cada sistema o proceso como por ejemplo, los sistemas de gesti\u00f3n de bases de datos y las aplicaciones.<\/p>\n Tambi\u00e9n debe realizarse la asignaci\u00f3n de derechos de acceso privilegiados a los usuarios cuando sea necesario y al evento que lo requiera. La pol\u00edtica sobre el tema del control de acceso debe atender adem\u00e1s las competencias de las personas para desarrollar las actividades acordes a ese acceso privilegiado y sobre todo que se correspondan con sus funciones.<\/p>\n Es vital definir cuando expiran esos permisos, qui\u00e9n aprueba la asignaci\u00f3n de privilegios, la manera en que se accede a las redes y con que usuario. Es esencial tambi\u00e9n evitar que estos usuarios con privilegios usen usuarios como \u201croot\u201d, lo que facilita la labor de un atacante. Y sobre todo, recordar que estas cuentas no deben ser utilizadas en el trabajo cotidiano por el nivel de compromisos que pueden provocar en los sistemas inform\u00e1ticos.<\/p>\n Este control tiene una estrecha relaci\u00f3n con otros que son esenciales entre los que destacan: 16 Monitoreo, 17 protecci\u00f3n contra c\u00f3digos malignos y en especial con el 13 referido a las copias de seguridad. Un usuario con privilegios comprometido puede hacer caer todo el trabajo de los controles mencionados.<\/p>\n El control 5: Autenticaci\u00f3n segura.<\/strong> Con este control se busca la protecci\u00f3n desde la prevenci\u00f3n y busca asegurar que las tecnolog\u00edas y los procedimientos de autenticaci\u00f3n seguros sean implementados en funci\u00f3n de la informaci\u00f3n, las restricciones de acceso y la pol\u00edtica establecida para el control de acceso.<\/p>\n El prop\u00f3sito es garantizar que un usuario o la entidad est\u00e9 autenticado de forma segura, cuando se accede a sistemas, aplicaciones y servicios.<\/p>\n La solidez de la autenticaci\u00f3n debe estar adecuada a la clasificaci\u00f3n de la informaci\u00f3n que se va a acceder. Para ello es imprescindible una autenticaci\u00f3n s\u00f3lida y una verificaci\u00f3n de identidad. Los m\u00e9todos de autenticaci\u00f3n con contrase\u00f1as, certificados digitales, tarjetas inteligentes, fichas o medios biom\u00e9tricos puede ser utilizados a ese fin. Recordar que no puede por ning\u00fan concepto transmitirse el contenido de las credenciales en texto plano por canales inseguros. Hacerlo es un suicidio.<\/p>\n El control 7 se refiere a la Protecci\u00f3n contra c\u00f3digos malignos. Con este control se pretende actuar desde tres aristas: la prevenci\u00f3n, la detecci\u00f3n y la correcci\u00f3n. Su \u00e1mbito de acci\u00f3n no solo est\u00e1 en la seguridad de la informaci\u00f3n, sino tambi\u00e9n en la seguridad del sistema inform\u00e1tico y su red de datos, pues debe recordarse que es esta la principal causa de p\u00e9rdida de informaci\u00f3n.<\/p>\n Al ser este uno de los temas m\u00e1s conocidos no se considera conveniente prolongar las explicaciones, pero si dejar algunos contenido del control a la vista.<\/p>\n La protecci\u00f3n contra los c\u00f3digos malignos debe implementarse y sobre todo lograrse, desde la concientizaci\u00f3n de los usuarios. Este es la \u00fanica manera de garantizar que la informaci\u00f3n y otros activos asociados est\u00e9n protegidos. De nada vale antivirus y actualizaciones ante usuarios \u201cpromiscuos\u201d cuyos dispositivos no se operan de forma segura. Debe trabajarse con el personal en la adquisici\u00f3n de h\u00e1bitos preventivos como la revisi\u00f3n, antes de su uso, de los dispositivos extra\u00edbles.<\/p>\n Es por ello que, la instalaci\u00f3n de software no autorizado, la navegaci\u00f3n en sitios de dudosa reputaci\u00f3n, la actualizaci\u00f3n regular del software antivirus, el aislamiento de activos infectados, pero sobre todo el conocimiento de como proceder ante la presencia de un programa maligno, son acciones esenciales que forman parte de las buenas pr\u00e1cticas a poseer.<\/p>\n No puede excluirse la necesaria b\u00fasqueda de vulnerabilidades y la atenci\u00f3n a boletines de firmas de antivirus sobre el tema. El principio debe ser: conocer es prevenir.<\/p>\n El control 8 se refiere a la Gesti\u00f3n de vulnerabilidades de orden t\u00e9cnico<\/strong>. Esto se expresa en la necesidad de obtener informaci\u00f3n sobre las vulnerabilidades en el aspecto t\u00e9cnico que presentan los sistemas inform\u00e1ticos. Esta labor implica que estas sean evaluadas y se adopte medidas en el sentido de su erradicaci\u00f3n, mitigaci\u00f3n o correcci\u00f3n. Por ello el prop\u00f3sito esencial de este control es la prevenci\u00f3n para evitar que estas vulnerabilidades t\u00e9cnicas sean explotadas. Por ello es vital, que cuando se notifican debilidades, quienes administrar los sistemas comprometidos trabajen de inmediato en la correcci\u00f3n de estas.<\/p>\n En este sentido es importante que se parta de una preparaci\u00f3n para desarrollar test de penetraci\u00f3n \u00e9ticas, tambi\u00e9n conocido como hacking \u00e9tico, el estudio de las librer\u00edas y bases de vulnerabilidades de que se dispone a nivel internacional. Esta es una pr\u00e1ctica habitual en la UO, nuestra debilidad est\u00e1 en la respuesta por el personal que atiende los sistemas afectados.<\/p>\n De lo anterior se deduce la necesidad de la b\u00fasqueda de software capaz de detectar y enfrentar las vulnerabilidades y establecer los roles para el cumplimiento de las medidas y procedimientos enfilados a la soluci\u00f3n. Esto se relaciona de manera muy especial con la actualizaci\u00f3n de los sistemas operativos y de aplicaci\u00f3n. Se interconecta con controles como el 23 y el 32 del tema organizacional sobre servicios en la nube y los cambios administrativos, respectivamente.<\/p>\n El control 12 se refiere a la prevenci\u00f3n de la fuga de datos<\/strong>. El prop\u00f3sito de este se enfila a la detecci\u00f3n y prevenci\u00f3n de la fuga o extracci\u00f3n no autorizada de informaci\u00f3n personal o del sistema y la toma de medidas en este sentido. Debe pensarse siempre que la informaci\u00f3n que se posee puede ser codiciada por alguien, pensar que para los ciberdelincuentes la informaci\u00f3n que se maneja es un error. Hay que pensar incluso en la posibilidad de corrupci\u00f3n o disgusto de personas al interior de las dependencias que los lleven a esta pr\u00e1ctica.<\/p>\n Para poder desarrollar esta labor se debe realizar una clasificaci\u00f3n de la informaci\u00f3n, para ello es vital el Decreto 199\/99 de la Rep\u00fablica de Cuba. Tambi\u00e9n se debe monitorear los canales que son susceptibles a la fuga de datos y mantener una actuaci\u00f3n preventiva para evitar el filtrado de informaci\u00f3n.<\/p>\n Pero recordar que para bloquear el filtrado de informaci\u00f3n debe dise\u00f1arse un mecanismo que parte de la observaci\u00f3n y que permita el establecimiento de reglas en los sistemas de alerta temprana que frenen el drenaje de la informaci\u00f3n.<\/p>\n El control 13 se refiere a las copias de seguridad de la informaci\u00f3n<\/strong>. Este es un punto d\u00e9bil en el trabajo de prevenci\u00f3n en ciberseguridad en la UO.<\/p>\n El control expresa de manera t\u00e1cita: Las copias de seguridad de la informaci\u00f3n, el software y los sistemas deben mantenerse y probarse peri\u00f3dicamente de conformidad con la pol\u00edtica acordada sobre temas espec\u00edficos en la materia. Su prop\u00f3sito es simple: permitir la recuperaci\u00f3n de la p\u00e9rdida de datos o de sistemas en caso de incidente. Es importante hacer \u00e9nfasis en la frase del control: \u201cmantener y probar peri\u00f3dicamente\u201d.<\/p>\n Un backup \u201cviejo\u201d no garantiza que el sistema se pueda restablecer para cumplir sus funciones al mismo nivel de antes de la ocurrencia del incidente, por ello, la actualizaci\u00f3n es esencial.<\/p>\n La segunda arista es que una \u201csalva\u201d defectuosa, de la que se detecta el problema al momento de la recuperaci\u00f3n de la informaci\u00f3n, genera un nuevo problema en el sistema, por ello su integridad debe ser verificada de manera peri\u00f3dica. Debe recordarse que un medio puede fallar en cualquier momento por lo que debe desarrollarse una labor preventiva al respecto.<\/p>\n Pero la realizaci\u00f3n de las salvas no pueden ser un mecanismo para cumplir ante una inspecci\u00f3n, tiene que ce\u00f1irse a un plan y cumplir la l\u00f3gica de sus etapas. Cuando se establece el plan este debe contener un registro preciso y los procedimientos a desarrollar que pasan por la selecci\u00f3n del material, su ubicaci\u00f3n, la documentaci\u00f3n del proceso, las herramientas a utilizar, donde van a ser guardadas (medios y lugares) y su verificaci\u00f3n. Todo esto sustentado en pol\u00edticas, medidas y procedimientos que est\u00e1n en el Plan de Seguridad de las TIC. Recordando que las copias de seguridad contienen la informaci\u00f3n que garantiza la continuidad de los procesos sustantivos de la instituci\u00f3n.<\/p>\n Las copias de seguridad en la UO son \u201cdesestructuradas\u201d<\/a>, lo que representa una debilidad y requiere un cambio de mentalidad. En este Blog de Ciberseguridad de la UO puede encontrarse adem\u00e1s, informaci\u00f3n sobre las modalidades de backup.<\/a> (completas o totales, incrementales, diferenciales y se mencionan adem\u00e1s en la literatura, las de espejo).<\/p>\n El control 15 se refiere a la Trazabilidad o registro<\/strong>. Esto sustenta un pilar de la Ciberseguridad: el no repudio. Su existencia permite la prevenci\u00f3n de acciones ciberdelictivas, ya que saca a la luz desde un registro pormenorizado, la autor\u00eda de ese tipo de acciones, o sea su detecci\u00f3n.<\/p>\n El control se basa en la producci\u00f3n, almacenamiento de registros que evidencien actividades, excepciones, fallas y otros eventos relevantes. Este registro, tambi\u00e9n conocido como traza o logs debe estar protegido y requiere un an\u00e1lisis continuo, para conocer la manera en que se act\u00faa sobre el sistema por los usuarios.<\/p>\n Se puede afirmar esto, porque su prop\u00f3sito es el control del registro de eventos, generar la evidencia, prevenir el acceso no autorizado, identificar eventos de seguridad de la informaci\u00f3n que pueden conducir a un incidente de seguridad de la informaci\u00f3n. Es vital su protecci\u00f3n para garantizar la integridad de la informaci\u00f3n de registro y poder respaldar las investigaciones forenses que se realicen. Sin contar que es un requerimiento de la legislaci\u00f3n cubana.<\/p>\n El control 18 es esencial y se refiere al uso de programas con utilidades de privilegio<\/strong>. Este control es esencialmente preventivo pero trabajo sobre el concepto de la protecci\u00f3n en ciberseguridad a partir de lograr una red con un sistema y configuraci\u00f3n segura, junto a la seguridad de las aplicaciones.<\/p>\n Este se basa restringir y controlar el uso de programas capaces de anular los controles del sistema y de las aplicaciones como pueden ser los VPN que no sean promovidos por la organizaci\u00f3n y que intenten enmascarar o crear t\u00faneles que evadan el control de una navegaci\u00f3n desligada de las necesidades institucionales.<\/p>\n Su prop\u00f3sito es garantizar que el uso de este tipo de utilidades no incidan negativamente en los mecanismos de seguridad e informaci\u00f3n del sistema y las aplicaciones.<\/p>\n El control 19, por su parte se refiere a la instalaci\u00f3n de software en el sistema operativo.<\/p>\n La intenci\u00f3n de este indicador se refiere a la necesidad de que sean implementados medidas y procedimientos para gestionar de forma segura la instalaci\u00f3n de software en los sistemas operativos. Cuesti\u00f3n est\u00e1 que a\u00fan es una debilidad en nuestro sistema inform\u00e1tico, de manera especial en los activos que son manejados por una sola persona o en \u00e1reas reducidas. Solo as\u00ed se puede garantizar la integridad de los sistemas operativos y evitar que puedan ser explotadas vulnerabilidades t\u00e9cnicas. Uno de los mayores problemas es la instalaci\u00f3n de software descargado directamente y sin control por parte de los usuarios sin que medie la anal\u00edtica y la cuarentena como cuestiones elementales de seguridad.<\/p>\n Hasta aqu\u00ed un an\u00e1lisis suscinto de algunos aspectos de la norma ISO 27002 que sustentan las buenas pr\u00e1cticas en el manejo seguro de la informaci\u00f3n y por ende de las TIC.<\/p>\n En los trabajos que se han presentado en las \u00faltimas semanas se han venido exponiendo los temas que recogen la norma ISO 27002 en su versi\u00f3n de 2022 como esenciales para el desarrollo de una gesti\u00f3n desde las buenas pr\u00e1cticas … Sigue leyendo Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"