Definición de Seguridad de la información:

Seguridad de la Información:
Según lo que podemos ver en Wikipedia, la seguridad de la información es el conjunto de medidas preventivas y
reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

Cada vez más para el individuo, la seguridad de la información tiene un efecto significativo respecto a su
privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura e idiosincrasia de la sociedad
donde se desenvuelve.

Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información,
planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de
seguridad, entre otros.

Por más información puede ver el siguiente recurso:

https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

Seguridad Informática:
Según lo que podemos ver en Wikipedia, la seguridad informática, también conocida como ciberseguridad o
seguridad de tecnología de la información, es el área relacionada con la informática y la telemática que se enfoca
en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información
contenida en una computadora o circulante a través de las redes de computadoras.

Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para
minimizar los posibles riesgos a la infraestructura o a la información. La ciberseguridad comprende software (bases
de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique
un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en
información privilegiada.

La seguridad informática también se refiere a la práctica de defender las computadoras y los servidores, los
dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos.

Por más información puede ver el siguiente recurso: https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

La Seguridad de la Información no es lo mismo que la Seguridad Informática: La seguridad informática solo se

encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.

Definición de Seguridad (ISO/IEC 27001):

La seguridad informática consiste en la implementación de un conjunto de medidas técnicas, destinadas a equilibrar
y preservar la: confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras
propiedades, como la autenticidad, la responsabilidad y la fiabilidad.” (ISO/IEC 27001).

Confidencialidad de la Información:
Confidencialidad es la propiedad de la información, por la que se garantiza que está accesible únicamente a
personal autorizado a acceder a dicha información.

La confidencialidad ha sido definida por la Organización Internacional de Estandarización (ISO) en la norma

ISO/IEC 27002 como "garantizar que la información es accesible sólo para aquellos autorizados a tener acceso" y
es una de las piedras angulares de la seguridad de la información.

La confidencialidad es uno de los objetivos de diseño de muchos criptosistemas, hecha posible en la práctica
gracias a las técnicas de criptografía actual.

La confidencialidad también se refiere a un principio ético asociado con varias profesiones (por ejemplo, medicina,
derecho, religión, psicología profesional, y el periodismo); en este caso, se habla de secreto profesional.

En ética, y (en algunos lugares) en Derecho, concretamente en juicios y otras formas de resolución de conflictos
legales, tales como la mediación, algunos tipos de comunicación entre una persona y uno de estos profesionales
son "privilegiados" y no pueden ser discutidos o divulgados a terceros. En las jurisdicciones en que la ley prevé la
confidencialidad, por lo general hay sanciones por su violación.

La confidencialidad de la información, impuesta en una adaptación del principio clásico militar "need-to-know",
constituye la piedra angular de la seguridad de la información en corporaciones de hoy en día. La llamada "burbuja
de confidencialidad" restringe.

Por más información puede ver el siguiente recurso: https://es.wikipedia.org/wiki/Confidencialidad

Confidencialidad Informática:
La confidencialidad se entiende en el ámbito de la seguridad informática, como la protección de datos y de
información intercambiada entre un emisor y uno o más destinatarios frente a terceros. Esto debe hacerse
independientemente de la seguridad del sistema de comunicación utilizado: de hecho, un asunto de gran interés es
el problema de garantizar la confidencialidad de la comunicación utilizado cuando el sistema es inherentemente
inseguro (como Internet).

En un sistema que garantice la confidencialidad, un tercero que entra en posesión de la información intercambiada
entre el remitente y el destinatario no es capaz de extraer ningún contenido inteligible.

Para garantizarla se utilizan mecanismos de cifrado y de ocultación de la comunicación. Digitalmente se puede

mantener la confidencialidad de un documento con el uso de llaves asimétricas. Los mecanismos de cifrado
garantizan la confidencialidad durante el tiempo necesario para descifrar el mensaje. Por esta razón, es necesario
determinar durante cuánto tiempo el mensaje debe seguir siendo confidencial. No existe ningún mecanismo de
seguridad absolutamente seguro.

Integridad de la información:
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad
referencial en bases de datos.)

La integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por
personas o procesos no autorizados.

La integridad también es la propiedad que busca proteger que se modifiquen los datos libres de forma no
autorizada, para salvaguardar la precisión y completitud de los recursos.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala
intención) modifica o borra datos importantes que son parte de la información.

La integridad garantiza que los datos permanezcan inalterados excepto cuando sean modificados por personal
autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad.

La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la

firma digital es uno de los pilares fundamentales de la seguridad de la información.

Disponibilidad de la información:
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de
quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

La disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo
requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de
seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella
deben estar funcionando correctamente.

La alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio
debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder
manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un
sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la
seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información es además variada en el

sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera.

Algunos de los mecanismos los hemos visto en la UC Arquitectura Básica de Dispositivos, como ser el uso de
clústers o arreglos de discos, equipos en alta disponibilidad a nivel de red y otros los iremos viendo en las UC a lo
largo del proceso del semestre actual. (servidores espejo, replicación de datos, redes de almacenamiento (SAN),
enlaces redundantes, etc.).

La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Obviamente aquí tenemos un compromiso entre disponibilidad, y costos asociados.

Ciclo de vida de la Ciberseguridad (fuente AGESIC):

En lo referente a las organizaciones locales, tenemos a AGESIC que es la Agencia de Gobierno Electrónico,
Sociedad de la Información y el Conocimiento. Dentro de las funciones de la agencia están la de impulsar las
buenas prácticas en lo referente a la gestión de información.

Como parte de ello, generaron y publicaron un documento que se denomina “Marco de Referencia de
Ciberseguridad”.

Este documento presenta un Marco de trabajo a fin de proveer un enfoque homogéneo para reducir el riesgo
vinculado a las amenazas cibernéticas que puedan comprometer la seguridad de la información.

En dicho documento comentan que se basan en las normas y buenas practicas ajustando las mismas a la
normativa nacional vigente.

Específicamente en lo que se refiere a respuestas ante amenazas cibernéticas, la gestión de los riesgos y la
gestión de la seguridad de la información estas se alinean a los estándares internacionales con el fin de facilitar a
las diferentes organizaciones a que puedan ajustar sus procesos de gestión de seguridad informática a un nivel
internacional en forma práctica y estableciendo objetivos claros.

El núcleo del Marco se basa en el ciclo de vida del proceso de gestión de la ciberseguridad desde el punto de vista
técnico y organizacional.

El ciclo de vida de la ciberseguridad se compone de funciones que permiten abstraer los principales conceptos de
la seguridad de la información, en particular de la ciberseguridad.

A continuación, se describen las funciones.

Identificar
Es la comprensión del contexto de la organización, de los activos que soportan los procesos críticos de las
operaciones y los riesgos asociados pertinentes.

Una adecuada identificación nos permite una correcta asignación de esfuerzos y recursos basados en la estrategia
de gestión de riesgos y sus objetivos.

Proteger
Es una función vinculada a la aplicación de medidas para proteger los procesos y los activos de la organización,
independientemente de su naturaleza TI.

Las categorías dentro de esta función son: Control de acceso; Concientización y formación; Seguridad de los datos;
Procesos y procedimientos para la protección de la información; Mantenimiento y Tecnología de protección.

Detectar
Está vinculada a la definición y ejecución de las actividades apropiadas dirigidas a la identificación temprana de los
incidentes de seguridad.

Las categorías dentro de esta función son: Anomalías y eventos; Monitoreo continuo de la seguridad; Procesos de
detección.

Responder
Está vinculada a la definición y ejecución de las actividades apropiadas para tomar medidas en caso de detección
de un evento de seguridad. El objetivo es reducir el impacto de un potencial incidente de seguridad informática.

Las categorías dentro de esta función son: Planificación de la respuesta; Comunicaciones; Análisis; Mitigación;
Mejoras.

Recuperar
Está vinculada a la definición y ejecución de las actividades dirigidas a la gestión de los planes y actividades para
restaurar los procesos y servicios deficientes debido a un incidente de seguridad. El objetivo es asegurar la
resistencia de los sistemas e instalaciones y, en caso de incidentes, apoyar la recuperación oportuna de las
operaciones.

Las categorías dentro de esta función son: Planificación de la recuperación; Mejoras y Comunicaciones.

Por más información puede ver el siguiente recurso: https://www.gub.uy/agencia-gobierno-electronico-sociedad-

informacion-conocimiento/comunicacion/publicaciones/marco-ciberseguridad

Evento de Seguridad vs. Incidente de seguridad:

Los conceptos de Evento e Incidente de Seguridad están estrechamente relacionados. A continuación, se
presentan las definiciones con las que trabaja el CERTuy.

¿Qué es un Evento de Seguridad?:

Según la norma ISO-IEC 27000:2013, un Evento de Seguridad es una ocurrencia identificada de un estado de un
sistema, servicio o red que indica una posible violación de la política de Seguridad de la Información o la falla de
controles, o una situación previamente desconocida que pueda ser relevante para la seguridad.

Son ejemplos de este tipo de eventos:

un usuario que se conecta a un sistema,

un intento fallido de un usuario para ingresar a una aplicación,
un firewall que permite o bloquea un acceso,
una notificación de cambio de contraseña de un usuario privilegiado, etc.
Un Evento de Seguridad Informática no es necesariamente una ocurrencia maliciosa o adversa.

EVENTO DE SEGURIDAD SEGÚN LA NORMA ISO 27035

Una ocurrencia identificada en el estado de un sistema, servicio o red, indicando una posible violación de la
seguridad de la información, política o falla de los controles, o una situación previamente desconocida que puede
ser relevante para la seguridad.

La falla de medidas de seguridad.

Una situación previamente desconocida que pueda ser relevante para la seguridad.

SON EJEMPLOS DE ESTE TIPO DE EVENTOS

Un usuario que se conecta a un sistema.
Un intento fallido de un usuario para ingresar a una aplicación.
Un firewall que permite o bloquea un acceso.
Una notificación de cambio de contraseña de un usuario privilegiado, etc.
Se debe destacar que un Evento de Seguridad Informática no es necesariamente una ocurrencia maliciosa o
adversa.

Según el libro de Soporte del Servicio de ITIL un incidente es: “Cualquier evento que no forma parte de la operación
estándar de un servicio y que causa, o puede causar, una interrupción o una reducción de calidad del mismo”.

¿Qué es un Incidente de Seguridad?:

Un Incidente de Seguridad de la Información es la violación o amenaza inminente a la política de Seguridad de la
Información implícita o explícita.

También es un Incidente de Seguridad un evento que compromete la seguridad de un sistema (confidencialidad,

integridad y disponibilidad).
Según la norma ISO-IEC 27000:2013, un Incidente de Seguridad de la Información es indicado por un evento o una
serie de eventos seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa
de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Como ejemplos de Incidentes de Seguridad podemos enumerar:

Un acceso no autorizado,
El robo de contraseñas,
Prácticas de Ingeniería Social,
La utilización de fallas en los procesos de autenticación para obtener accesos indebidos,
El robo de información,
El borrado de información de terceros,
La alteración de la información de terceros,
El abuso y/o mal uso de los servicios informáticos internos o externos de una organización,
La introducción de código malicioso en la infraestructura tecnológica de una entidad (virus, troyanos, gusanos,
malware en general),
La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no aceptables o no
cumplimiento de Acuerdos de Niveles de Servicio1 existentes de determinado servicio,
Situaciones externas que comprometan la seguridad de sistemas, como quiebra de compañías de software,
condiciones de salud de los administradores de sistemas, etc.

Por más información puede ver el siguiente recurso: https://www.gub.uy/centro-nacional-respuesta-incidentes-

seguridad-informatica/comunicacion/publicaciones/que-es-un-incidente

FUNDAMENTOS Y DEFINICIONES:
INCIDENTE DE SEGURIDAD
Según la norma ISO 27035, un Incidente de Seguridad de la Información es indicado por un único o una serie de
eventos seguridad de la información indeseados o inesperados, que tienen una probabilidad significativa de
comprometer las operaciones de negocio y de amenazar la seguridad de la información.

Por lo tanto, para el CERTuy un incidente de seguridad de la información se define como un acceso, intento de
acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación
normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información
del organismo.

EJEMPLOS DE INCIDENTES DE SEGURIDAD

Un acceso no autorizado.
El robo de contraseñas.
Prácticas de Ingeniería Social.
La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
El robo de información.
El borrado de información de terceros.
La alteración de la información de terceros.
El abuso y/o mal uso de los servicios informáticos internos o externos de una organización.
La introducción de código malicioso en la infraestructura tecnológica de una entidad (virus, troyanos, gusanos,
malware en general).
La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no aceptables o no
cumplimiento de Acuerdos de Niveles de Servicio existentes de determinado servicio.
Situaciones externas que comprometan la seguridad de sistemas, como quiebra de compañías de software,
condiciones de salud de los administradores de sistemas, entre otros.
Los conceptos de Evento e Incidente de Seguridad están estrechamente relacionados

Severidad de un Incidente de Seguridad:

Severidad La severidad de un incidente es un elemento de clasificación que debe permitir determinar el potencial
impacto del problema que genera el incidente. Este impacto puede ser medido de diversas maneras. En este caso
se establece una escala de impacto funcional acorde a la afectación de los servicios.

Muy alta:
Provoca una interrupción sostenida de algún servicio crítico del organismo. Dicho servicio es consumido por la
ciudadanía y/u otros organismos. Afecta seriamente la imagen del organismo responsable del activo.

Alta:
Provoca una interrupción sostenida de algún servicio considerado esencial, superior al umbral de tolerancia
establecido para el mismo. Afecta seriamente la imagen del organismo responsable del activo.
Media:
Provoca interrupciones intermitentes o parciales sobre la provisión de algún servicio considerado esencial,
inferiores al umbral de tolerancia establecido para el mismo. Afecta la imagen de la organización responsable del
activo.

Baja:
Provoca interrupciones intermitentes parciales o interrupciones de corta duración por única vez sobre la provisión
de algún servicio considerado esencial, siempre inferiores al umbral de tolerancia establecido para el mismo. La
afectación de la imagen de la organización responsable del activo es afectada en forma menor.

Una vez clasificado, se debe determinar si el incidente corresponde a un incidente de seguridad informática, en
cuyo caso el organismo debe reportarlo al CERTuy.

Fuente AGESIC.

Vulnerabilidad informática:
Las vulnerabilidades son puntos débiles de un sistema informático (compuesto por hardware, software e incluso
humanos) que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad de este.

Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas
vulnerabilidades de seguridad, en un sistema comprometido.

Algunos ejemplos de tipos de vulnerabilidades según la naturaleza del mismo:

De hardware
Del entorno físico del sistema
Del personal involucrado
De procedimientos de administración, organización y seguridad involucrados
De la red de comunicaciones utilizada
De software. Ejemplos:
Inyección SQL
Desbordamiento de buffer
Clickjacking
Condiciones de carrera
Cross Site Request Forgery
Cross-site scripting
Por más información puede ver el siguiente recurso: https://es.wikipedia.org/wiki/Vulnerabilidad y
https://es.wikipedia.org/wiki/Agujero_de_seguridad

Common Vulnerabilities and Exposures (CVE):

Common Vulnerabilities and Exposures, siglas CVE, es una lista de información registrada sobre vulnerabilidades
de seguridad conocidas, en la que cada referencia tiene un número de identificación único.

De esta forma ofrece una nomenclatura común para el conocimiento público de este tipo de problemas, facilitando
la compartición de datos sobre dichas vulnerabilidades.

Fue definido y es mantenido por The MITRE Corporation (por eso a veces a la lista se la conoce por el nombre
MITRE CVE List) con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América.

Forma parte del llamado Security Content Automation Protocol.

Fuente: https://es.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures

Por más información puede ver el siguiente recurso: https://cve.mitre.org/

Amenaza Informática:
Una amenaza es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la
amenaza exista.

Las amenazas “explotan” vulnerabilidades

Ataque Informático - Ciberataque:

En computadoras y redes de computadoras un ataque es un intento de exponer, alterar, desestabilizar, destruir,
eliminar para obtener acceso sin autorización o utilizar un activo.
Un ciberataque o ataque informático, es cualquier maniobra ofensiva de explotación deliberada que tiene como
objetivo de tomar el control, desestabilizar o dañar un sistema informático (ordenador, red privada, etcétera).

El atacante es un individuo u organización que intenta obtener el control de un sistema informático para utilizarlo
con fines maliciosos, robo de información o de hacer daño a su objetivo. Un ciberataque utiliza códigos maliciosos,
para corromper los códigos, datos privados o algoritmos, generando consecuencias que comprometen y vulneran la
seguridad de los sistemas de información.3

Fuente y por más información puede ver el siguiente recurso: https://es.wikipedia.org/wiki/Ciberataque

Acceso a los Sistemas de Información:

Uno de los pilares fundamentales de la seguridad de la información es el adecuado control de acceso.

En este sentido para lograr un adecuado acceso a la información debemos realizar tres pasos fundamentales.

Estas consideraciones aplican a diversos sistemas informáticos como ser (Sistema de Correo electrónico, Sistema
operativo, Sistemas de aplicaciones, etc.).

Identificación:
Indica al sistema (o sistemas) cual es la cuenta de usuario a utilizar. O sea, indica al sistema una determinada
cuenta, la cual esta asociada a un determinado perfil, y este a su vez a un determinado grupo de acciones y/o
recursos.

Autenticación:
Le permite al sistema validar quien está utilizando la cuenta de usuario. O sea, se debe demostrar mediante una
clave que el usuario es quien dice ser. En este sentido puede ser una única clave o una combinación de factores de
autenticación, (por ejemplo, autenticación en 2 pasos).

Autorización:
Realiza el match o la comprobación de lo que puede hacer (o a donde puede acceder) el usuario previamente
autenticado.

O sea, se valida que el usuario tiene permiso para el recurso o acción que se desea realizar.

Fuente y por más información puede ver el siguiente recurso:

https://es.wikipedia.org/wiki/Control_de_acceso_inform%C3%A1tico y
https://es.wikipedia.org/wiki/Control_de_acceso

Consideraciones:
Para que un sistema autentique a un usuario hay que disponer y exhibir lo siguiente:

Algo que se conoce (ej. Nombre de usuario y clave).

Algo que se posee (tarjeta magnética, token, ficha o similar).
Algo que se es; una característica personal y única, (biométrico), ej. La huella digital, retina, reconocimiento facial,
etc.
Siempre que sea posible, lo ideal es realizar una combinación de 2 o más factores.

Regla de Oro:
De algo debemos estar seguros y es que nuestras contraseñas “con el método adecuado en algún momento va a
ser descubierta”.

Es por ello que lo de debemos enfocarnos es en el esfuerzo que esto implique para tener presente el “cuando” esto
pueda ocurrir.

Ataque de fuerza bruta:

Este término tiene que ver con la criptografía y en este campo se denomina a un ataque de fuerza bruta, en el cual
se utilizan todas las combinaciones posibles para poder determinar una contraseña.

Es por ello que un punto determinante para contener este tipo de ataques es la complejidad de la contraseña y
específicamente el largo de la misma, pero sobre todo el juego de caracteres disponibles para generar la
contraseña.

Fuente y por más información puede ver el siguiente recurso: https://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta

Ataque de diccionario:
En este caso el ataque consiste en el intento de averiguar (romper) una contraseña basado en un diccionario de
palabras (palabras, términos, o sub strings de caracteres conocidos).

En general dado que la combinación de caracteres no es aleatoria en un grupo, este ataque suele ser más efectivo
(o al menos más rápido) que el ataque de fuerza bruta.

Si bien en los sistemas con tipo de contraseñas complejas (o fuertes) estos ataques cuentan con poca probabilidad
de éxito.

Fuente y por más información puede ver el siguiente recurso: https://es.wikipedia.org/wiki/Ataque_de_diccionario

Estrategia de defensa en capas:

Una de las practicas a la hora de planificar la defensa es utilizar la configuración de medidas de seguridad en base
a múltiples capas.

Esta estrategia se basa en la consideración de que cada una de las capas (o medidas puntuales de seguridad,
restricciones y demás) será vulnerada (con mayor o menor esfuerzo y recursos). Es por ello que en este caso nos
enfocamos en planificar una serie de capas que nos permita que, ante un ataque o atacante, al momento de que
una capa cae (o es superada) el atacante se encuentre con una nueva capa a ser superada.

El mejor concepto es el de cebolla, cada capa nos lleva a una nueva capa que debemos superar.

Uno de los esquemas para definir las capas es utilizar el modelo OSI (visto en infraestructura de red) por lo que
iremos desde los puntos más bajos en el modelo (seguridad del sistema) hacia los puntos de aplicación (seguridad
de transacciones).

Cuando nos determinamos a elaborar una política de seguridad debemos desarrollar individualmente una estrategia
de seguridad para cada capa, considerando cómo interaccionarán entre sí los distintos conjuntos componentes y
capas de nuestra estrategia.

Seguridad a nivel de sistema (sistema empresa):

El primer paso de una estrategia de seguridad (por ejemplo, de acceso desde Internet) es el de zonas de seguridad
(o perímetros) con restricción de acceso por perímetro (ejemplo castillo medieval, primera medida, zonas exteriores
– interiores y diferenciación con fosa, murallas).

Siendo esta la seguridad más básica del sistema.

Seguridad a nivel de red (interno a la empresa/sistema):

Las medidas de seguridad de la red controlan el acceso al sistema especifico dentro de la red. Nos debemos
asegurar de implantar las debidas medidas de seguridad adecuadas a nivel de la red para proteger los recursos
internos de la red contra la intrusión y el acceso no autorizado.

Aquí también podemos pensar en un seccionamiento por zonas y también por control e inspección del tráfico.

Al igual que en la zona exterior debemos trabajar con el ISP para que nos provea de las medidas básicas de
acceso a la red desde Internet; a nivel interno también tenemos que gestionar los accesos (pero esto lo realizamos
nosotros como administradores de la red interna), por lo que tenemos que ver las reglas de filtrado de la conexión
por direccionamiento del cliente y las medidas de precaución de información interna en la red (DNS interno /
privado).

Seguridad a nivel de aplicaciones

Las medidas de seguridad a nivel de aplicaciones controlan cómo pueden interaccionar los usuarios con las
aplicaciones concretas.

Tenemos que configurar una matriz de permisos y acciones por usuario / aplicación (o sea configurar los valores de
seguridad para cada una de las aplicaciones que utilice cada usuario).

Otros puntos son:

Seguridad a nivel de transmisión
Las medidas de seguridad a nivel de transmisión protegen las comunicaciones de datos dentro de la red y entre
varias redes.

Cuando se comunica en una red que no es de confianza como Internet, no puede controlar cómo fluye el tráfico
desde el origen hasta el destino.
El tráfico y los datos transportados fluyen a través de distintos sistemas que están fuera de su control.

A menos que implante medidas de seguridad como las de configurar las aplicaciones para que utilicen la capa de
sockets segura (SSL), los datos direccionados estarán a disposición de cualquier persona que desee verlos y
utilizarlos. Las medidas de seguridad a nivel de transmisión protegen los datos mientras fluyen entre los límites de
otros niveles de seguridad.

Fuente y por más información puede ver el siguiente recurso:

https://www.ibm.com/support/knowledgecenter/es/ssw_ibm_i_73/rzaj4/rzaj40a0internetsecurity.htm

Estrategia de defensa en punto final (End-Point):

En base a la incorporación de nuevos métodos de trabajo, el asegurar el correcto cumplimiento de los estándares
de seguridad nos lleva a tener que considerar también un enfoque basado en el cliente.

En este sentido el cliente debe ser protegido y debe estar configurado de tal forma que el por si mismo un punto
confiable.

Por más información puede ver el siguiente recurso: https://en.wikipedia.org/wiki/Endpoint_security

Política de Seguridad de la Información (ver ISO/IEC 27001:2013):

La política de seguridad es un documento de alto nivel que denota el compromiso de la dirección de la empresa con
la seguridad de la información.

En el se deben considerar y detallar las definiciones de lo que es el compromiso con la seguridad de la información
desde el punto de vista de dicha entidad.

En esta se deben compatibilizar las acciones con un marco de trabajo global a nivel de gobernanza corporativa que
permita todo el grupo de políticas dependientes de ésta, objetivos de seguridad, procedimientos.

El documento marco de las políticas de seguridad de la información debe estar fácilmente accesible de forma que
los empleados estén al tanto de su existencia y entiendan su contenido; debiendo quedar claro que este no es un
documento de ejecución o implementación de las acciones (no es un manual técnico).

Puede ser también un documento único o inserto en un manual de seguridad (general de la empresa). Se debe
designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se
requiera.

Fuente y por más información puede ver el siguiente recurso:

https://es.wikipedia.org/wiki/Pol%C3%ADtica_de_seguridad_inform%C3%A1tica

y ver https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:en

Ejemplo de Política de Seguridad de la información:

Política de Seguridad de la información para organismos de la Administración Central:
La Dirección del Organismo reconoce la importancia de identificar y proteger los activos de información del
Organismo. Para ello, evitará la destrucción, divulgación, modificación y utilización no autorizada de toda
información, comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente un Sistema de Gestión
de Seguridad de la Información.

La Dirección del Organismo declara el cumplimiento con la normativa y legislación vigente en relación con aspectos
de seguridad de la información.

La Seguridad de la Información se caracteriza como la preservación de:

a) Su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información;

b) Su integridad, asegurando que la información y sus métodos de proceso sean exactos y completos;

c) Su disponibilidad, asegurando que los usuarios autorizados tengan acceso a la información cuando lo
requieran.
La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como políticas,
procedimientos, estructuras organizativas, software e infraestructura. Estos controles deberán ser establecidos para
asegurar los objetivos de seguridad del Organismo.

El Organismo designará un responsable de la Seguridad de la Información, quien se encargará de la guía,

implementación y el mantenimiento del Sistema de Gestión de Seguridad de la Información.

La presente Política de Seguridad de la Información debe ser conocida y cumplida por todo el personal del
Organismo, independiente del cargo que desempeñe y de su situación contractual.

Esta Política de Seguridad de la Información se integrará a la normativa básica del Organismo, incluyendo su
difusión previa, y la instrumentación de las sanciones correspondientes por incumplimiento de la presente política,
así como de los documentos relacionados a esta.

Es política del Organismo:

a) Establecer objetivos anuales con relación a la Seguridad de la Información.

b) Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad, y de acuerdo a su resultado

implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar el plan de
acción.

c) Clasificar y proteger la información de acuerde acuerdo a la normativa vigente y a los criterios de valoración
en relación a la importancia que posee para el Organismo.

d) Cumplir con los requisitos del servicio, legales o reglamentarios y las obligaciones contractuales de
seguridad.

e) Brindar concientización y formación en materia de seguridad de la información a todo el personal.

f) Contar con una política de gestión de incidentes de seguridad de la información de acuerdo a los
lineamientos establecidos por el CERTuy.

g) Establecer que todo el personal es responsable de registrar y reportar las violaciones a la seguridad,
confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.

h) Establecer los medios necesarios para garantizar la continuidad de las operaciones del organismo.

Fuente AGESIC ver el siguiente recurso: https://www.gub.uy/agencia-gobierno-electronico-sociedad-informacion-

conocimiento/

Seguridad Física:
Cuando hablamos de seguridad física, nos referimos a las medidas que permiten proteger el acceso físico a los
dispositivos y recursos de los sistemas de información. Por ejemplo, quien accede a una consola de administración
(terminal de escritorio) del servidor.

Por ejemplo, que acceso a recursos de hardware, backups, equipos de networking y demás equipos que forman
parte de los recursos de los sistemas.

“Aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial”

Si alguien que desee atacar un sistema y tiene acceso físico al mismo todo el resto de las medidas de seguridad
implementadas se convierten en inútiles.

Medidas a nivel de seguridad física son, por ejemplo: tarjetas inteligentes, videocámaras, personal de vigilancia,
etc.

Defensa contra los ataques informáticos:

Un concepto muy importante a la hora de hablar de defendernos ante un ataque es el tiempo de exposición y las
medidas reactivas que podemos implementar en los sistemas.

En lo referente a tiempo de exposición, por ejemplo, podemos ver que, si un ataque de fuerza bruta ante un sistema
de log in no se controla, el mismo lograra indefectiblemente acceso al sistema.
Para limitar el tiempo (o más bien para extender el tiempo requerido) es que se utiliza un conteo de intentos y un
tiempo de inhabilitación ante tantos intentos.

Es mediante la combinación de estos 2 puntos que limitamos la cantidad de intentos fallidos por día para acceder a
un sistema determinado.

Como ya hemos visto, la seguridad en capas es otra de las defensas (en este caso de diseño) contra los intentos
de acceso a la información.

Considere que, si se tiene una única capa, al ser vulnerada esta, ya de pierde toda opción de defensa porque la
seguridad fue sorteada en todas sus capas.

Limitando el nivel de acceso para un usuario especifico. O sea, contando con un adecuada matriz de permisos por
usuario / sistema.

Ampliando la Diversidad de sistemas y métodos de trabajo. Si contamos con una misma estructura a nivel de las
diferentes capas, al conocer los métodos de trabajo para vulnera una de las capas, ya conocemos los desafíos para
superar el resto de las capas. Es por ello que debemos variar y contar con diversidad entre las diferentes capas.

Oscurecer los detalles; o sea presentar la menor cantidad de información posible afueras de la organización, tanto
de forma explícita como implícita, por ejemplo, ocultar los tipos de sistemas operativos utilizados en la organización,
las políticas de seguridad de la información, la versión del software utilizado, y sin dudas datos de las
implementaciones como ser códigos fuente, leguajes de programación, librerías utilizadas, etc.

Keep it Simple (Kiss); implementar una solución simple de gestión y diseño a la interna. El sistema debe ser simple
para el equipo de seguridad interior quien será el que lo administre/opere y mantenga.

Si optamos por implementar un sistema tan complejo que nuestro equipo no pueda comprenderlo a cabalidad y
administrarlo adecuadamente, este será el principal riesgo a nuestra seguridad. Lo más importante es lograr un
sistema simple desde la interna pero complejo desde el exterior.

A nivel del End – Point debemos implementar gestión centralizada con el fin de obtener:

Máxima distribución, actualización e instalación (deployment).

Análisis de amenazas, status de cada equipo, acciones globales.
Auditoria centralizada de eventos e incidencias de seguridad.
Continuidad / disponibilidad de la información:
Un punto para lograr la disponibilidad de acceso a la información es lograr la continuidad del negocio.

En este sentido el contar con una adecuada respuesta ante desastres es imprescindible.

Desastres Naturales:
Los desastres naturales pueden tener muy graves consecuencias, sobre todo, si no están contemplados en nuestra
política de seguridad.

Terremotos
Incendios
Tormentas Eléctricas
Humedad
Inundaciones
Humo
Alteraciones del Entorno:
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas, y que,
por tanto, tenemos que conocer y controlar:

Debemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de los equipos
(alimentación eléctrica, cambios bruscos de temperatura, etc.).

Electricidad (Cortocircuitos, cortes de flujo, picos de tensión, etc.).

Controlar temperatura correcta de funcionamiento de los equipos.
Interceptación:
La política de seguridad (PSI) debe incluir medidas de protección de los datos, ya que en realidad la mayoría de los
ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.

El problema de este tipo de ataque es que en principio es completamente pasivo y difícil de detectar mientras se
produce, de forma que un atacante puede capturar información privilegiada y claves que emplea para atacar de
modo activo.
Copias de Seguridad:
Es necesario establecer en nuestra política de seguridad (PSI) la adecuada generación, gestión, almacenamiento y
recaudo sobre las copiad de seguridad.

Al igual que otros medios, las copias de seguridad deben tener una protección física y lógica.

Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de servidores, esto puede convertirse en
un problema serio si se produce cualquier tipo de desastre.

Uno de los métodos de protección lógico sobre la información almacenada en los backups es la utilización de
mecanismos de cifrado.

Cifrado de Información:
En criptografía, el cifrado es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de cifrado)
para transformar un mensaje, sin atender a su estructura lingüística o significado, de tal forma que sea
incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta (clave de
descifrado) del algoritmo.

Las claves de cifrado y de descifrado pueden ser iguales (criptografía simétrica), distintas (criptografía asimétrica) o
de ambos tipos (criptografía híbrida).

El juego de caracteres (alfabeto) usado en el mensaje sin cifrar puede no ser el mismo que el juego de caracteres
que se usa en el mensaje cifrado.

Aunque el cifrado pueda volver secreto el contenido de un documento, es necesario complementarlo con otras
técnicas criptográficas para poder comunicarse de manera segura. Puede ser necesario garantizar la integridad la
autenticación de las partes, etcétera.

Fuente y por más información puede ver el siguiente recurso:

https://es.wikipedia.org/wiki/Cifrado_(criptograf%C3%ADa)

Información en Medios no Electrónicos:

Si bien esto excede a lo que estrictamente es política de seguridad informática, si tiene su relevancia y en muchos
casos varios puntos de contacto y trabajo en común y sin dudas debe estar contemplado a nivel de la PSI.

Información en medios no electrónicos, es por ejemplo la información que reside en papel (documentos varios) y
por ejemplo los documentos que son imprimibles. En este sentido a nivel de sistemas debemos tener presente que
tipo de información se puede imprimir y donde (por ejemplo, impresoras globales de piso, vs impresoras de uso
exclusivo/restringido).

Es por esto que es imprescindible controlar los sistemas que permiten exportar la información en formatos no
electrónicos (así también como los electrónicos obviamente).

Cualquier dispositivo por el cual pueda salir información de nuestro sistema deberá estar contemplado y evaluado a
nivel de nuestra PSI y situado baso las debidas medidas de restricción de acceso.

También cabe la destrucción de documentos contando con los dispositivos para tal fin.

Seguridad Lógica:
Cuando hablamos de seguridad lógica, nos referimos a las medidas que permiten proteger el acceso lógico a los
sistemas (por ejemplo, consolas de administración remotas telnet / SSH).

“Aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo permita acceder a ellos a las
personas debidamente autorizadas”

También debemos resguardar el acceso a los sistemas de archivos, archivos en sí y programas.

Debemos asegurarnos de que los operadores puedan trabajar sin una supervisión minuciosa y que aun así no
puedan modificar los programas ni archivos que no deban ser modificados.

Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no otro.

Que la información recibida sea la misma que la información que realmente ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

Que disponga de pasos alternativos de emergencia para la transmisión de información.

Seguridad a nivel del usuario:

Es imprescindible contemplar todos los aspectos a nivel del acceso a la información y sin dudas el usuario del
sistema (los usuarios de los sistemas) es una pieza clave en nuestro esquema de trabajo (o al menos así debería
serlo).

Esto no solo porque el concientizar a los usuarios es básico para lograr proteger la información de los sistemas,
sino también porque el cambio de habito y formas de trabajar de los usuarios es una tarea muy difícil y la cual
insume mucho tiempo y esfuerzo.

También hay que tener presente que ya muchas de las técnicas de trabajo a nivel de vulnerar los sistemas son las
técnicas de ingeniería social.

Es importante entrenar y sobre todo contar con el trabajo consciente del usuario a fin de cuidar los siguientes
puntos:

No relevar contraseñas a otros usuarios.

No anotar contraseñas en lugares comunes.
No ingresar equipos y/o personas ajenas a la organización.
Correo (solo apertura de correos corporativos y recepción de remitentes conocidos sobre información esperada o
corroborada).
Navegación en sitios confiables (sitios que se encuentran dentro de la PSI).
Aplicaciones permitidas (debidamente registradas en la PSI).
Recomendaciones a nivel de SysAdmin:
Como responsables de la Seguridad de la Información debemos contemplar siempre los tres pilares que son base
para lograr dicha seguridad (confidencialidad – integridad – disponibilidad).

Debemos contar con una visión amplia y no sesgada del tema, no solo los programas, los datos almacenados, sino
velar por toda la infraestructura y su seguridad.

A nivel de HW debemos proteger:

Servidores (acceso, disponibilidad, rendimiento).
Comunicaciones (ídem anterior).
Dispositivos pasivos (racks, cableado, eléctrica).
Etc.

A nivel del End – Point (estación de trabajo) siempre debemos contar con un mecanismo de defensa. Éste,
dependerá de muchas variables como ser: dimensión de la organización, posibilidades económicas, ubicación
(interno o externo a nuestra organización), SO, aplicación ejecutándose, importancia dentro de la organización.
Como mecanismos de defensa del End – Point podemos enumerar:
Antivirus local (AV).
Firewall local (FW).
Parches del SO (patches).
Parches de aplicaciones.
Cliente VPN (si fuese externos a nuestra organización).
Etc.

A nivel de SW debemos contemplar:

Backup de Data y configuraciones.
Auditoria de eventos (chequeos del NOS y Aplicaciones).
Cumplimiento de políticas para usuarios:
Rotación y complejidad de las contraseñas.
Restricciones de accesos (hora, máquina, etc.).
Cuotas (almacenamiento, navegación).
Navegación (destinos permitidos).
Accesos a recursos (otros sistemas, impresoras, storage).
Auditorias de acceso.
A diferencia de un #antivirus -que analiza archivos en el ordenador en busca de amenazas- un firewall analiza el
tráfico que de nuestra red para diferenciar el trafico permitido y el prohibido, bloqueando este último.

Existen firewall software instalados en un ordenador, que se limitarán a autorizar o bloquear los intentos de
conexión a o desde una aplicación, pero no serán capaces de trabajar con el conjunto de lo que ocurre en nuestra
red local y existen firewall perimetrales instalados como un equipo más de la red por donde se hace pasar el trafico
para que sea analizado.

Existen 3 tipos de firewall perimetrales:

· Firewalls tradicionales integrados en el router: Analizan el origen y destino de una conexión (IP y puerto). Son
muy fáciles de configurar, pero ofrecen una protección muy limitada, ya que solo trabajan en capa 2 y 3 del
protocolo OSI.

· Firewalls dedicados básicos: Clásico servidor Linux con funciones de firewall, nos da un nivel de seguridad
comparable a un firewall en el router, ya que trabajan bien en capa 2 y 3 del protocolo OSI, pero no suelen tener un
soporte de firmas de tráfico que les permita elevar la gestión a las capas superiores. Ofrecen alguna funcionalidad
adicional y ayudan a que no sufra tanto el rendimiento del router. Mantienen la facilidad de configuración.

· Gestores unificados de amenazas UTM: Aquí englobamos firewalls como Fortinet -Fortigate, con capacidad
de gestionar todas las capas del protocolo OSI. Recopilan firmas de tráfico y otras estrategias para identificar no
solo el origen y destino del tráfico, sino el cometido de ese tráfico ¿A qué aplicación pertenece? ¿Para qué se
usará? ¿Qué ha ocurrido en la red en el periodo X de tiempo? ¿Incluye un ejecutable?... Soluciones como
FortiSandbox son las únicas que pueden identificar como dañino un ataque de día cero, simulando la ejecución del
potencial riesgo en un entorno seguro y analizando su comportamiento. Es conveniente disponer de personal
cualificado capaz de configurar adecuadamente el firewall, para lograr sacar partido de todas sus funcionalidades.

Por último es importante recordar que cualquier solución de seguridad solo nos da tiempo, por ello es necesario
disponer de personal cualificado capaz de advertir una amenaza, durante todo el tiempo en que se esté usando la
solución. Un firewall no gestionado, será igual de vulnerable que una puerta de una casa vacía.

¿Cómo funciona el diseño de firewall?

Los cinco pasos secuenciales que deben seguirse para diseñar un firewall incluyen:

Identificar las necesidades de seguridad de la organización. Evaluar las necesidades de seguridad, evaluar la
postura de seguridad y el uso de la información para definir las necesidades de seguridad.
Definir una política general de seguridad. Una política de seguridad bien definida incluye los recursos de la red, las
políticas de acceso y los controles de autorización, y garantiza que el firewall cumple todos los requisitos de
seguridad.
Definir una filosofía de firewall. Será más fácil definir y configurar el firewall si se identifican los recursos, las
aplicaciones y los servicios que deben protegerse de las amenazas externas y los ataques internos de la
organización.
Identificar comunicaciones permitidas. Se debe definir una política de uso aceptable para especificar los tipos de
actividad en la red, como aplicaciones permitidas y no permitidas en la LAN y los servicios web de Internet.
Identificar los puntos de cumplimiento del firewall. A la hora de diseñar un firewall, es fundamental definir los puntos
de cumplimiento. Los programas de firewall se despliegan en el borde, entre la LAN privada y una red pública,
como Internet.
Como medidas de protección, debe desarrollar un perfil base de tráfico de red que identifique los patrones de tráfico
normales de la red. La definición de una base permite medir el comportamiento irregular y fijar umbrales de
protección contra ataques.

Los problemas que trata el diseño de firewall

La tecnología de firewall ha evolucionado, al dejar de ser un firewall de filtro de paquetes para convertirse en un
firewall de última generación. Aparecieron soluciones y servicios nuevos para atender la complejidad del panorama
cibernético, y proteger los recursos e impedir que los atacantes cibernéticos vulneren el firewall con objetivos
maliciosos. El despliegue de un firewall eficaz para la red contempla mucho más que una simple configuración. Las
mejores prácticas contribuyen a la creación de una política de seguridad, fortalecen el diseño y la configuración del
firewall, y despliegan un firewall que cumple las necesidades de seguridad de la red.

¿Qué puede hacer con el diseño de firewall?

Según las prácticas recomendadas, se debe caracterizar la red, documentar la postura de seguridad y definir la
posición de la organización en materia de seguridad.

Identifique los recursos de la red y las necesidades de seguridad.

Identifique las amenazas conocidas y cómo enfrentar los ataques.
Documente los sistemas operativos, las versiones y las aplicaciones.
Defina el flujo de trabajo de la organización para las comunicaciones permitidas, los derechos de acceso basados
en las responsabilidades de los empleados y los requisitos de usuario.
Defina los puntos de cumplimiento del firewall: despliegue un firewall para proteger el borde (de cara a Internet), el
núcleo (de cara a la empresa) o el ZDM (bastión de primera línea de defensa)
Diseñe el firewall para lograr la simplicidad.
Como medidas de protección, debe desarrollar un perfil base de tráfico de red que identifique los patrones de tráfico
normales de la red. La definición de una base permite medir el comportamiento irregular y fijar umbrales de
protección contra ataques.

Aplicación de Juniper Networks

Los dispositivos de la serie SRX de Juniper Networks implementan servicios de seguridad, diseño y simplicidad de
despliegue de firewall que incluyen la creación de áreas específicas para necesidades funcionales, la separación de
grupos de usuarios y servidores, la asignación de grupos de usuarios a un área según la subred del grupo y el
diseño de políticas para la organización.

IDS/IPS
Seguro que has oído hablar de sistemas IDS, IPS y SIEM, ¿pero sabes qué son exactamente y por qué son tan
importantes para la seguridad de la red de tu empresa? Los tres son sistemas de protección de las
comunicaciones que actúan monitorizando el tráfico que entra o sale de nuestra red pero cada uno tiene unas
características que les confieren ventajas e inconvenientes. Veremos estas diferencias y el papel de cada uno en la
ciberseguridad de la empresa.
IDS, IPS y SIEM, ¿qué son?
Aunque las tres herramientas se usan para monitorizar y detectar intrusiones en los equipos o en la red de la
empresa son diferentes entre sí. A continuación, os describimos cada una de ellas.

IDS
IDS (Intrusion Detection System) o sistema de detección de intrusiones: es una aplicación usada para detectar
accesos no autorizados a un ordenador o a una red, es decir, son sistemas que monitorizan el tráfico entrante y
lo cotejan con una base de datos actualizada de firmas de ataque conocidas. Ante cualquier actividad
sospechosa, emiten una alerta a los administradores del sistema quienes han de tomar las medidas oportunas.
Estos accesos pueden ser ataques esporádicos realizados por usuarios malintencionados o repetidos cada cierto
tiempo, lanzados con herramientas automáticas. Estos sistemas sólo detectan los accesos sospechosos
emitiendo alertas anticipatorias de posibles intrusiones, pero no tratan de mitigar la intrusión. Su actuación es
reactiva.

IPS
IPS (Intrusion Prevention System) o sistema de prevención de intrusiones: es un software que se utiliza
para proteger a los sistemas de ataques e intrusiones. Su actuación es preventiva. Estos sistemas llevan a cabo
un análisis en tiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a
producir un incidente, identificando ataques según patrones, anomalías o comportamientos sospechosos
y permitiendo el control de acceso a la red, implementando políticas que se basan en el contenido del tráfico
monitorizado, es decir, el IPS además de lanzar alarmas, puede descartar paquetes y desconectar conexiones.
Muchos proveedores ofrecen productos mixtos, llamándolos IPS/IDS, integrándose frecuentemente
con cortafuegos y UTM (en inglés Unified Threat Management o Gestión Unificada de Amenazas) que controlan el
acceso en función de reglas sobre protocolos y sobre el destino u origen del tráfico.

SIEM
SIEM (Security Information and Event Management) o sistema de gestión de eventos e información de
seguridad: es una solución híbrida centralizada que engloba la gestión de información de seguridad
(Security Information Management) y la gestión de eventos (Security Event Manager). La tecnología SIEM
proporciona un análisis en tiempo real de las alertas de seguridad generadas por los distintos
dispositivos hardware y software de la red. Recoge los registros de actividad (logs) de los distintos sistemas, los
relaciona y detecta eventos de seguridad, es decir, actividades sospechosas o inesperadas que pueden suponer el
inicio de un incidente, descartando los resultados anómalos, también conocidos como falsos positivos y generando
respuestas acordes en base a los informes y evaluaciones que registra, es decir, es una herramienta en la que se
centraliza la información y se integra con otras herramientas de detección de amenazas.

Ventajas y desventajas de cada herramienta

IDS
La principal ventaja de un sistema IDS es que permite ver lo que está sucediendo en la red en tiempo real en
base a la información recopilada, reconocer modificaciones en los documentos y automatizar los patrones de
búsqueda en los paquetes de datos enviados a través de la red. Su principal desventaja es qué estas herramientas,
sobre todo en el caso de las de tipo pasivo, no es están diseñadas para prevenir o detener los ataques que
detecten, además son vulnerables a los ataques DDoS que pueden provocar la inoperatividad de la herramienta.

IPS
Las ventajas de un IPS son:

 escalabilidad al gestionar multitud de dispositivos conectados a la misma red;

 protección preventiva al comprobarse de forma automatizada comportamientos anómalos mediante el uso de
reglas prefijadas;
 fácil instalación, configuración y administración al estar disponibles multitud de configuraciones predefinidas y
centralizar en un punto su gestión, aunque puede ser contraproducente para su escalabilidad;/
 defensa frente a múltiples ataques, como intrusiones, ataques de fuerza bruta, infecciones por malware o
modificaciones del sistema de archivos, entre otros;
 aumento de la eficiencia y la seguridad de la prevención de intrusiones o ataques a la red.

Entre sus desventajas, destacan los efectos adversos que pueden producirse en el caso de que se detecte un
falso positivo, si por ejemplo se ejecuta una política de aislamiento de las máquinas de la red o en el caso de que
se reciban ataques de tipo DDoS o DoS que pueden provocar su inutilización.

SIEM
Entre las ventajas de contar con un SIEM destacan la centralización de la información y eventos, es decir, se
proporciona un punto de referencia común. La centralización permite automatizar tareas, con su consiguiente
ahorro de tiempo y costes, el seguimiento de los eventos para detectar anomalías de seguridad o la visualización
de datos históricos a lo largo del tiempo. Además, los sistemas SIEM muestran al administrador la existencia de
vulnerabilidades, así como si están siendo aprovechadas en los ataques.
Entre sus desventajas en el caso de que se encargue de su mantenimiento un departamento de la empresa
destacan sus altos costes de implantación, una curva de aprendizaje larga al tener que formar personal propio
para esta tarea y una integración limitada con el resto del sistema. En el caso de que se externalice esta tarea se
experimenta una pérdida de control de la información generada o un acceso limitado a determinada información y
una fatiga por la alta recepción de notificaciones. Estos aspectos pueden gestionarse con el proveedor del servicio
a través de los acuerdos de nivel de servicios o ANS

THREAT DETECTION
¿Qué es la detección y respuesta a amenazas?
La detección y respuesta a amenazas es el aspecto más importante de la ciberseguridad para las organizaciones
de TI que dependen de la infraestructura de la nube. Sin la capacidad de reconocer a los intrusos en la red u otros
adversarios maliciosos de manera oportuna, los analistas de seguridad de TI no tienen esperanza de responder de
manera efectiva a los eventos de seguridad y mitigar los daños de manera efectiva.
Una amenaza es cualquier cosa que tiene el potencial de causar daño a un sistema informático o red en la nube. La
detección de amenazas, por lo tanto, describe la capacidad de las organizaciones de TI para identificar de forma
rápida y precisa las amenazas a la red oa las aplicaciones u otros activos dentro de la red. Una vez que se ha
detectado una amenaza, el siguiente paso es la respuesta. Las respuestas a las amenazas deben planificarse con
anticipación para que se puedan tomar medidas rápidamente.
A pesar de la enorme importancia de la ciberseguridad, las organizaciones de TI aún enfrentan desafíos
importantes en lo que respecta a la detección de amenazas. La buena noticia es que existen muchos tipos de
soluciones de software de ciberseguridad que las organizaciones de TI empresariales pueden implementar para
respaldar la detección oportuna de amenazas y ayudar a optimizar o incluso automatizar la respuesta.
Cinco desafíos de detección y respuesta ante amenazas
Un informe realizado por la investigación de ESG en 2019 revela: el 76 % de los empleados de ciberseguridad
informan que su trabajo se ha vuelto más difícil en comparación con los dos años anteriores. Las violaciones de
datos son cada vez más comunes y con más organizaciones de TI trasladando activos a la nube, hay más
oportunidades que nunca para que los adversarios maliciosos realicen ataques cibernéticos exitosos. Los
profesionales de la ciberseguridad se enfrentan a desafíos sin precedentes en la detección y respuesta a
amenazas, como:

Entornos de nube complejos

Dado que la mayoría de las empresas ahora utilizan más de un entorno de nube y la empresa promedio
implementa hasta veinte aplicaciones separadas en la nube, se ha vuelto cada vez más difícil para SecOps
mantener una supervisión adecuada de los entornos de nube empresarial.

Reactividad sobre proceso

La detección de amenazas es inherentemente un proceso proactivo, sin embargo, muchas organizaciones de TI
dedican gran parte de su tiempo a comportarse de manera reactiva: apagar incendios y lidiar con emergencias en
lugar de construir los procesos e implementar las herramientas que impulsan un proceso confiable de detección y
respuesta a amenazas. Pasar de una acción reactiva a una proactiva es un gran desafío que enfrenta la TI
empresarial.

Enfoque perimetral
Muchas organizaciones de TI centran demasiado su esfuerzo y atención en los ataques desde el perímetro. Hay
dos problemas con este enfoque:

1. La organización puede tener un excelente firewall perimetral, pero sigue siendo susceptible a vectores como
ataques de phishing que superan los firewalls perimetrales.
2. La organización puede carecer de la capacidad para detectar un ataque una vez que se viola el perímetro.

Demasiado enfoque en el perímetro de la red puede crear una falsa sensación de seguridad mientras que los
activos dentro de la red siguen siendo vulnerables.

carrera armamentista infinita

Las organizaciones de TI son parte de una carrera armamentista infinita contra los atacantes cibernéticos. A
medida que las organizaciones de TI desarrollan nuevas capacidades de detección y respuesta a amenazas, los
atacantes cibernéticos continúan desarrollando nuevos tipos de amenazas para eludir los sistemas de
detección. Este proceso está en curso.

Conjunto de herramientas desconectado

Las organizaciones de TI confían en una gama de herramientas de ciberseguridad para ayudar con la detección y
respuesta de amenazas. Si bien se necesita más de una herramienta de software para respaldar la detección eficaz
de amenazas, un conjunto de herramientas desconectado con componentes dispares puede dificultar y llevar
mucho tiempo el seguimiento de los eventos de seguridad.

Desafíos de dotación de personal

Los datos de la industria sugieren que los trabajos de seguridad cibernética están creciendo casi tres veces más
que los trabajos de TI en general, sin embargo, la industria enfrenta una escasez de habilidades cuando se trata de
profesionales calificados de seguridad cibernética. En 2019, la escasez global de profesionales de ciberseguridad
se estima en 2 millones de puestos de trabajo totales y continúa aumentando.

¿Qué amenazas son el enfoque de la detección y respuesta de amenazas?

El primer paso para un proceso efectivo de detección y respuesta de amenazas es comprender qué amenazas
están presentes en el entorno cibernético. Esta lista corta cubre varios de los tipos más comunes, pero hay más y
aparecen nuevos todo el tiempo.
Malware : el malware incluye cualquier programa de software malicioso. Los programas de malware incluyen
spyware, virus, aplicaciones troyanas y otras aplicaciones que pueden infectar su computadora o red, robar
información confidencial y causar estragos y caos.
Phishing : los ataques de phishing engañan al destinatario para que proporcione datos confidenciales. Por lo
general, consisten en un correo electrónico que solicita al destinatario que proporcione información
confidencial. También pueden incluir un enlace a una página web que ha sido falsificada para parecerse a un sitio
familiar donde el visitante puede ingresar información de inicio de sesión u otros detalles personales.
Ransomware : el ransomware es un tipo de malware que bloquea o desactiva una computadora y le pide al usuario
que pague para recuperar el acceso.
DDoS : un ataque DDoS ocurre cuando un atacante cibernético utiliza una red de computadoras controladas de
forma remota para inundar un sitio web o una red con tráfico, generalmente en un intento de desactivar el servidor.
Botnets : una botnet es una red de computadoras infectadas. Algunos piratas informáticos se dieron cuenta de
que, en lugar de escribir un virus que haga que su computadora se vuelva loca, podrían escribir un programa que
haga que su computadora envíe correos electrónicos no deseados a otros con archivos adjuntos maliciosos o
participe en un ataque DDoS. Es posible que ni siquiera sepa que sus máquinas están afectadas.
Amenaza combinada : una amenaza combinada utiliza múltiples técnicas y vectores de ataque simultáneamente
para atacar un sistema.
Amenaza de día cero: las amenazas de día cero son amenazas nuevas que nadie ha visto antes. Son el resultado
de la carrera armamentista entre las organizaciones de TI y los atacantes cibernéticos. Debido a que son nuevas,
las amenazas de día cero son impredecibles y difíciles de preparar.
Amenaza persistente avanzada (APT) : una APT es un ataque cibernético sofisticado que incluye vigilancia a
largo plazo y recopilación de inteligencia, puntuado por intentos de robar información confidencial o apuntar a
sistemas vulnerables. Las APT funcionan mejor cuando el atacante no se detecta

Listas de Control de Acceso (ACL): Funcionamiento y Creación

1. ¿Qué es la lista de control de acceso?
Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la
información que se encuentra en el encabezado del paquete. Las ACL son una de las características del software
IOS de Cisco más utilizadas.

1.1. Tareas de las ACL

Cuando se las configura, las ACL realizan las siguientes tareas:

 Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política corporativa no permite
el tráfico de video en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico de video. Esto reduciría
considerablemente la carga de la red y aumentaría su rendimiento.
 Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones de routing
para asegurar que las actualizaciones provienen de un origen conocido.
 Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que un host
acceda a una parte de la red y evitar que otro host acceda a la misma área.
 Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de correo
electrónico, pero bloquear todo el tráfico de Telnet.
 Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden
permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP o HTTP.

Los routers no tienen ACL configuradas de manera predeterminada, por lo que no filtran el tráfico de manera
predeterminada. El tráfico que ingresa al router se enruta solamente en función de la información de la tabla de
routing. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos
los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.

2. Filtrado de paquetes
Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como «entradas
de control de acceso» (ACE). Las ACE también se denominan comúnmente «instrucciones de ACL». Cuando el
tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del
paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este
proceso se denomina filtrado de paquetes.
El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la
transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes puede producirse en la
capa 3 o capa 4.

Las ACL estándar filtran sólo en la Capa 3. Las ACL extendidas filtran en las capas 3 y
4.
El criterio de filtrado establecido en cada ACE de una ACL de IPv4 estándar es la dirección IPv4 de origen. Un
router configurado con una ACL de IPv4 estándar recupera la dirección IPv4 de origen del encabezado del paquete.
El router comienza en la parte superior de la ACL y compara la dirección con cada ACE de manera secuencial.
Cuando encuentra una coincidencia, el router realiza la instrucción, que puede ser permitir o denegar el paquete.
Una vez que se halla una coincidencia, las ACE restantes de la ACL, si las hubiera, no se analizan. Si la dirección
IPv4 de origen no coincide con ninguna ACE en la ACL, se descarta el paquete.
La última instrucción de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente
al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Debido
a esta denegación implícita, una ACL que no tiene, por lo menos, una instrucción permit bloqueará todo el
tráfico.

3. Funcionamiento de las ACL

Las Listas de Control de Acceso definen el conjunto de reglas que proporcionan un control adicional para los
paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que
salen por las interfaces de salida del router. Las ACL no operan sobre paquetes que se originan en el router mismo.
Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente, como se muestra en la Imagen 2.

 ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL de
entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL
 permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes
cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.

 ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y después se procesan mediante la
ACL de salida. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de
varias interfaces de entrada antes de salir por la misma interfaz de salid
Control de aplicaciones
Conceptos de Firewall de Aplicación
Para minimizar las limitaciones asociadas al nuevo formato de aplicaciones, que utilizan el protocolo HTTP, surgió
el concepto de análisis de capa 7 (aplicación), donde las soluciones eran capaces de identificar comportamientos
estándares no sólo en los encabezados, pero también en el área de datos de los paquetes, y determinar qué tipo
de aplicación estaba asociada.
Esta característica es muy relevante, ya que permite no sólo la visibilidad, sino también la operación de controles
de acceso, basados en el tipo de aplicación. Por ejemplo, Dropbox utiliza como base de protocolo HTTPs.
Con firewall de aplicación usted ve la abstracción de Dropbox, Spotify, Netflix, Youtube, etc., independientemente
del comportamiento del protocolo.
Antes era necesario mapear redes y puertos que ciertos servicios usaban, lo que en muchos casos era poco
eficiente. Ahora, independientemente de redes y puertos, se analizan los patrones de comportamiento de la
aplicación, y se crean filtros para ello. Es un recurso extremadamente interesante, que garantiza más seguridad y
facilidad para la gestión de redes y adherencia a la política de seguridad establecida.

Beneficios asociados a un firewall de aplicación

Las soluciones de seguridad que tienen visibilidad y control de aplicaciones permiten una mayor flexibilidad en la
gestión de las políticas de seguridad, pues abstraen totalmente conceptos o parámetros técnicos, facilitando la
construcción de las reglas y haciéndolas más legibles.
Para las políticas de uso de Internet más permisivas, esta característica permite reducir exposiciones bloqueando
aplicaciones que ciertamente no se asocian a las actividades laborales, como el uso de torrents, streaming de
video, televisión por Internet, juegos y otros.
Las que poseen facilidad para asociar las aplicaciones a cierto rango de banda, garantizan que incluso al permitir el
uso de aplicación como el Netflix, por ejemplo, el mismo no consume recurso excesivo de internet al punto de
imposibilitar la emisión de una factura electrónica, o cualquier otra actividad altamente relevante para el negocio.
En cuanto a la perspectiva de visibilidad, es posible acompañar el perfil de uso de Internet, ya sea de manera
global, sectorial o por usuario, validando si aquellas actividades realmente están vinculadas a sus necesidades de
trabajo.
Este conocimiento es importante en situaciones donde se diagnostica la falta de productividad, teniendo en cuenta
que muchas veces las razones están asociadas al uso indebido de Internet, donde las distracciones ocurren en
todo momento.
Un caso práctico muy interesante de control de aplicación que ha ayudado a varias empresas a evitar multas por
infringir los derechos de autor, es el control de las aplicaciones de intercambio de archivos, como torrents. Muchos
acaban usando estas aplicaciones dentro del trabajo para realizar copias ilegales de películas y juegos, generando
potenciales trastornos para la empresa.

Una nueva perspectiva de regla

Con el recurso de control de aplicaciones, el administrador en el momento de crear una regla contará con los
tradicionales campos de dirección, puertos y protocolos, pero también podrá asociarse a una aplicación específica.
Es importante resaltar que no es posible construir una política de acceso solamente basada en aplicación, ya que
hay muchas que no pueden ser clasificadas, o son muy específicas, por lo que seguirán siendo reguladas por
reglas tradicionales.
Todo el funcionamiento del control de aplicación está asociado a la capacidad de «reconocimiento» de la aplicación
por el motor de la solución. Si el motor no es eficiente, la visibilidad y control sobre las aplicaciones queda
comprometida, resultando en un bajo aprovechamiento de la solución. Es común que, ante alguna actualización, las
aplicaciones pasen a no ser reconocidas por el firewall de aplicación, generando una ventana de adaptación.
Por el motivo descrito en el párrafo anterior es de suma importancia que los productos con foco en control de
aplicación sean frecuentemente actualizados, minimizando el tiempo de respuesta frente a los cambios ocurridos
en las aplicaciones.
El mercado cuenta con una infinidad de productos que se proponen controlar accesos en la capa de aplicación,
siendo un desafío optar por la herramienta más adecuada a las necesidades de cada negocio. Si usted tiene otras
preguntas relacionadas con el firewall de aplicación, por favor, contacte con nosotros.

spamBlocker
Los correos electrónicos no deseados, también conocidos como spam, llenan una bandeja de entrada promedio a
una velocidad muy alta. Un gran volumen de spam consume ancho de banda, degrada la productividad del
empleado y desperdicia recursos de red.
Los filtros de correo comerciales utilizan muchos métodos para detectar el spam. Las listas negras guardan una
lista de dominios que son utilizados por fuentes de spam conocidas y son relés abiertos para el spam. Los filtros de
contenido buscan palabras clave en el encabezado y en el cuerpo del mensaje de correo electrónico. La detección
de URL compara una lista de dominios utilizados por fuentes de spam conocidas con el enlace publicitado en el
cuerpo del mensaje de correo electrónico. Todos estos procedimientos escanean cada mensaje de correo
electrónico individual. Los atacantes pueden evitar fácilmente esos algoritmos fijos. Pueden enmascarar la dirección
del emisor para evitar una lista negra, cambiar las palabras clave, integrar palabras en una imagen o utilizar
múltiples idiomas. También pueden crear una cadena de servidores proxy para camuflar la URL publicitada.
spamBlocker utiliza una combinación de reglas, coincidencia de patrones y reputación del remitente para identificar
y bloquear de manera precisa mensajes spam y mantenerlos separados de su servidor de correo electrónico.
spamBlocker usa tecnología anti-spam de CYREN (anteriormente Commtouch).
Fireware es compatible con IPv6 para las políticas de proxy y los servicios de suscripción. spamBlocker usa IPv4
para conectarse al servidor CYREN. Si su Firebox está configurado para IPv6, debe configurar la interfaz externa
con una dirección IPv4 y una dirección IPv6.

¿Qué son los Ataques Informáticos?

Como vimos en la semana previa; “Un ataque informático consiste en aprovechar alguna debilidad o falla
(vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente
informático".

Qué es el monitoreo de rendimiento de aplicaciones

El monitoreo del rendimiento de las aplicaciones es más que solo monitorear métricas en un dashboard con una
solución de monitoreo. En pocas palabras, el monitoreo del rendimiento de las aplicaciones se trata de garantizar
que sus aplicaciones corporativas se comportan como se espera, en todo momento, con una supervisión e informes
adecuados de los problemas de rendimiento. La meta final de un software de monitoreo del rendimiento de las
aplicaciones en muchas compañías es garantizar una prestación de servicios ininterrumpida a los usuarios finales y
una óptima calidad de la experiencia para el usuario final.

Ahora explicaremos los diversos conceptos de un monitor del rendimiento de las aplicaciones y por qué se está
convirtiendo gradualmente en una parte inevitable de los equipos de Ops y DevOps de TI en distintas compañías.
Dividamos las operaciones de los equipos de TI de forma general en tres componentes primarios:
Servidor e infraestructura
DevOps
Experiencia del usuario final
Al examinar estos tres componentes en detalle, los límites de las herramientas para el monitoreo del rendimiento de
las aplicaciones se harán cada vez más claros. Si bien las operaciones en los equipos mencionados a menudo se
superponen, es importante entender el alcance preciso de estas operaciones y su importancia para garantizar un
proceso del ciclo de vida de la aplicación eficiente con mínimos problemas de rendimiento.

Ventajas clave del monitoreo de red

Visibilidad clara de la red
Mediante el monitoreo de red, los administradores pueden obtener una imagen clara de todos los dispositivos
conectados a la red, ver cómo se mueven los datos por ella, e identificar y corregir rápidamente los problemas que
pueden afectar el rendimiento y causar fallas.
Mejor uso de los recursos de TI
Las herramientas de hardware y software de los sistemas de monitoreo de red reducen las tareas manuales para
los equipos de TI. Esto significa que el valioso personal de TI puede tener más tiempo para dedicarse a los
proyectos esenciales para la organización.
Análisis temprano de las necesidades de infraestructura futuras
Los sistemas de monitoreo de red pueden proporcionar informes de rendimiento de los componentes de la red en
un período determinado. Mediante el análisis de estos informes, los administradores de red pueden anticiparse a
las necesidades de la organización respecto a la actualización o la implementación de la infraestructura de TI
nueva.
La capacidad para identificar amenazas de seguridad más rápido
El monitoreo de red ayuda a las organizaciones a entender cuál es el rendimiento “normal” de las redes. Por lo
tanto, cuando se produce actividad inusual, como un aumento inexplicable de los niveles de tráfico de red, los
administradores pueden identificar los problemas más rápido y determinar si se puede tratar de una amenaza para
la seguridad.
 Tipos de protocolos de monitoreo de red
SNMP
El Protocolo simple de administración de redes es un protocolo de capa de aplicaciones que usa un sistema de
llamada y respuesta para verificar los estados de muchos tipos de dispositivos, desde switches hasta impresoras.
SNMP se puede usar para monitorear el estado y la configuración de los sistemas.

ICMP
Los dispositivos de red, como los routers y servidores, usan el Protocolo de mensajes de control de Internet para
enviar información de operaciones por IP y para generar mensajes de error ante fallas de dispositivos.

Protocolo de detección de Cisco

Cisco Discovery Protocol facilita la administración de dispositivos de Cisco al detectar estos dispositivos, determinar
su configuración y permitir que los sistemas usen diferentes protocolos de capa de red para obtener información el
uno del otro.

Que es un Syslog
¿Qué es un servidor Syslog?
Como su nombre lo indica, se utiliza para que dispositivos como routers, switches, firewalls, puntos de acceso Wi-Fi
y servidores Linux generen sus propios registros. Los servidores de Windows usan registros de eventos, pero
pueden utilizarse junto con los servidores Syslog. Su función es almacenar eventos o mensajes de registro
localmente dentro del dispositivo elegido y enviar esta información a un servidor Syslog para obtener, ordenar y
filtrar todos los registros y datos que contiene.
En términos simples, un dispositivo o servidor de red que ya está en una empresa puede ser configurado para que
genere mensajes Syslog y luego reenviarlos a un servidor Syslog o Daemon. Esto permite supervisar y hacer un
seguimiento preciso de los dispositivos conectados a la red, además de evaluar adecuadamente las cuestiones o
los problemas que deberían arreglar, siempre que aparezcan en los registros.
A continuación, se envía un mensaje desde el dispositivo inicial al servidor (también denominado colector)
utilizando UDP, que es un protocolo que no requiere conexión. En aras de la rapidez y la facilidad de comprensión,
estos mensajes se mandan como textos cortos que no superan los 1024 bytes.
Sin embargo, al utilizar UDP, el emisor no recibe ningún tipo de acuse de recibo, lo que implica que los paquetes
podrían perderse durante la transmisión.
Dicha complicación puede ser fácilmente sorteada usando un servidor (o Daemon) para recoger, ordenar, clasificar
y configurar la alerta de los eventos y su localización dentro de la red.
Así, contar con herramientas como Syslog y su registro de datos de información brinda a las empresas la
posibilidad de elaborar informes, diagramas y gráficos para visualizar con precisión elementos y aspectos de los
sistemas y obtener una mejor visualización de la infraestructura de IT.

¿Cuándo se utiliza Syslog?

Quizás la mayor duda de la gente que está acostumbrada a usar SNMP es "¿Para qué sirve Syslog si las trampas
de SNMP ya existen y tienen una funcionalidad similar?" Hay algo de verdad en esto, ya que ambos se utilizan para
enviar alertas y mensajes a los servidores centrales sin necesidad de hacer sondeos para conocer su estado.
Sin embargo hay una diferencia bastante grande y es que los traps SNMP tienen formatos especiales predefinidos
contenidos en un archivo MIB. En el caso de que una interfaz de un switch se caiga, el archivo MIB define
instantáneamente un mensaje trap "ifDown" que comunica información importante que incluye, pero no se limita a,
cosas como la interfaz específica que se cayó, por ejemplo. Esto permite a los usuarios del software saber de
antemano qué información tendrá el mensaje en su contenido. Sin embargo, este no es siempre el caso.
Los traps SNMP son más adecuados para eventos que están bien definidos, como los reinicios de la interfaz o
algunos dispositivos muy específicos conectados a la red.
Los eventos Syslog, por otro lado, son mucho mejores para eventos que son, por naturaleza, más amplios y de
alcance más general, y por lo tanto más difíciles de predecir.
Sin embargo, la naturaleza amplia de los mensajes Syslog también puede ser un gran obstáculo, ya que sería todo
un reto analizar los eventos largos y numerosos de los registros de tantos sistemas diferentes de varios
proveedores y, al mismo tiempo, darles sentido a todos ellos. ¿Cómo saber qué mensajes representan
determinadas funciones?, ¿Cuáles son sólo mensajes informativos y cuáles son eventos críticos a los que hay que
atender inmediatamente?
Para hacer frente a estas cuestiones, el protocolo Syslog (que se define en el RFC 5424) proporciona a estos
mensajes de forma libre campos especiales denominados "Facility" y "Severity", que tienen sus propios códigos de
identificación para facilitar el análisis.

Los códigos de las instalaciones necesitan una explicación un poco más detallada. En sus inicios, la
implementación del software del servidor Syslog solía limitarse a colocar todos los mensajes entrantes en uno o
varios archivos de registro. El sistema del servidor obtenía el código de Facility para clasificar los mensajes
pertinentes en el mismo archivo.
Hoy en día, las implementaciones más modernas vuelcan todos los mensajes en una base de datos común
compartida y los códigos Facility funcionan como claves de búsqueda. Además, estos códigos se expresan con
valores numéricos de forma similar a los códigos Severity.

¿Cómo se transporta el Syslog?

Las dos formas más utilizadas para transportar los mensajes Syslog son el método más anticuado UDP o a través
de un transporte de red TSL encriptado sobre TCP.

Método UDP
Cuando se utiliza el método UDP, los mensajes se ponen en la parte de datos de un paquete UDP y se envían
directamente al servidor a través del puerto UDP 514. Cada mensaje suele caber en un solo paquete. UDP no tiene
estado ni sesión, por lo que no se proporciona ningún acuse de recibo y los paquetes simplemente se retransmiten
y se envían a la red.
El problema más evidente de este método es que cualquier tipo de contratiempo con la red podría impedir que el
paquete se entregue, y es posible que nunca se sepa que la red está caída (porque no hay forma de que el
mensaje sea reconocido y retransmitido a quien lo envió en primer lugar). En consecuencia, los paquetes cruciales
corren el riesgo de dañarse o directamente perderse en tránsito.
Otro aspecto del transporte UDP Syslog que hay que tener en cuenta es que no está encriptado. Esto supone un
riesgo para la seguridad del puesto de trabajo digital. Ergo, los paquetes podrían ser fácilmente interceptados e
incluso falsificados. Así que, a menos que los paquetes UDP Syslog se envíen con la protección de una VPN
encriptada, se desaconseja su uso a través de infraestructuras públicas de Internet.

Método TCP
Este método difiere en que está encriptado y basado en la sesión. Además, esta versión del transporte de Syslog
utiliza la seguridad TLS. En este caso se usa el puerto TCP Syslog 6514 y tiene el mismo tipo de certificados de
autenticación que HTTPS.
Dado que TCP tiene un proceso basado en la sesión, los dispositivos conectados remotamente simplemente
abrirán una sesión TCP conectada con el servidor y normalmente la mantendrán activa mientras se entregan los
mensajes en cola. Un ejemplo de esto podrían ser los firewalls, que tienen una afluencia regular de mensajes
Syslog que llegan en todo momento. En consecuencia, se necesita una conexión ininterrumpida.
Utilizar TCP sobre UDP tiene muchas ventajas. Una de ellas es que, como las sesiones están cifradas, es
prácticamente imposible leerlas mientras se envían. Además, como cada dispositivo tiene un certificado único, el
servidor puede autenticar que los dispositivos no han sido víctimas de falsificación o que no han sido secuestrados.
Por último, pero no menos importante, las sesiones basadas en TCP significan que la entrega de cada
mensaje está completamente garantizada, e incluso si se pierden o se dañan en el tránsito, se pueden
retransmitir sin comprometer el mensaje.
El servicio de registro de syslog proporciona tres funciones principales:
· La capacidad de recopilar información de registro para el control y la resolución de problemas
· Capacidad de seleccionar el tipo de información de registro que se captura
· La capacidad de especificar los destinos de los mensajes de syslog capturado

¿Qué información se almacena en syslog?

Todos los mensajes de syslog siguen un formato estándar, que es necesario para compartir mensajes entre
aplicaciones. Este formato incluye los siguientes componentes: Un encabezado que incluye campos específicos
para prioridad, versión, marca de tiempo, nombre de host, aplicación, ID de proceso e ID de mensaje.
Splunk Connect para Syslog es un servidor Syslog-ng en contenedores con un marco de configuración diseñado
para simplificar la obtención de datos de Syslog en Splunk Enterprise y Splunk Cloud.

¿Qué puerto usa syslog?

¿Cómo instalar syslog en Linux?

Instalar syslog-ng
1. Verifique la versión del sistema operativo en el sistema: $ lsb_release -a. …
2. Instale syslog-ng en Ubuntu: $ sudo apt-get install syslog-ng -y. …
3. Instalar usando yum: $ yum install syslog-ng.
4. Instalar utilizando Amazon EC2 Linux:
5. Verifique la versión instalada de syslog-ng:…
6. Verifique que su servidor syslog-ng esté funcionando correctamente: estos comandos deben devolver
mensajes de éxito.
17 июн. 2019 г.
¿Cómo reenvío un syslog en Linux?
Reenvío de mensajes de Syslog
1. Inicie sesión en el dispositivo Linux (cuyos mensajes desea reenviar al servidor) como superusuario.
2. Ingrese el comando – vi / etc / syslog. conf para abrir el archivo de configuración llamado syslog. …
3. Ingresar *. …
4. Reinicie el servicio syslog usando el comando / etc / rc.

Evento de Seguridad vs. Incidente de seguridad:

Auditor Términos y Definiciones ISO 19011:2011
Auditoría:
Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en
recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. “Proceso sistemático,
independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué
grado se cumplen los criterios de la auditoria” ISO 19011

Criterios de Auditoría Grupo de políticas, procedimientos o requisitos usados como referencia y contra los cuales se
compara la evidencia de auditoría. Criterios: • Normas (integral).
• Políticas.
• Procedimientos.
• Regulaciones.
• Legislación.
• Requisitos de la Norma.
• Requisitos contractuales.
• Códigos de conducta del sector comercial.
Evidencia de la Auditoría
Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría
y que son verificables.

Hallazgos de la Auditoría Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios
de auditoría, Si los criterios de auditoría son seleccionados de requisitos legales o de otra índole, los hallazgos de
auditoría se denominan Cumplimiento o Incumplimiento.
• Hallazgo de cumplimiento.
• Requisitos (Norma, legal, reglamentario, contractual)
. • El elemento se ajusta a la exigencia.
• La implantación corresponde a la intención.
• La implantación es eficaz.
Mejores prácticas:
• Verificar los hechos verbales.
• Definir la naturaleza de la no conformidad con el auditado, detallando la evidencia de auditoría.
• Tomar notas y consultarlas posteriormente para realizar el reporte.
• Hacer un bosquejo del reporte de hallazgos durante la toma de alimentos o al finalizar.
• Cada jornada y luego terminar en la revisión privada.

Conclusiones de la Auditoría
Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.
Principios de Auditoría El Auditor
Conducta ética: (Profesionalidad), la confianza, integridad, confidencialidad y discreción son esenciales para el
auditor.
Presentación ecuánime: Los hallazgos, conclusiones e informes de la auditoría reflejan con veracidad y exactitud
las actividades de la auditoria.
Debido cuidado profesional: Actuar de acuerdo con la importancia de la tarea que desempeñan y la confianza
depositada en ellos.

Atributos de los Auditores

Auditoría y Evidencia Auditoría Independencia:
Independencia de la actividad auditada. Deben mantenerse libres de cualquier perjuicio o conflicto de intereses.
Actitud objetiva para asegurarse de que los hallazgos y conclusiones de la auditoria están basados solo en
evidencia de la auditoría.
Evidencia Enfoque basado en la evidencia:
La evidencia de la auditoria es verificable. Basada en muestras de la información disponible. El uso apropiado del
muestreo esta estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la
auditoría.
Objetivos de la Auditoría Interna Auditorías Internas
Todas las normas tienen como requisito realizar auditorías internas, a intervalos planificados, para determinar si el
sistema de gestión cumple con los requisitos de esta parte del estándar que se esta auditando (Ejemplo. ISO/IEC
20000, ISO 22301 etc). Las auditorias ayudan en la mejora continua de los sistemas de gestión.
Auditoría Interna Evidencia Objetiva
• Evidencia que existe.
• No influenciada por emociones o perjuicios.
• Puede ser documentada.
• Puede ser basada en la observación.
• Debe estar relacionada con el SGSI.
• Puede ser cuantificada y cualitativa.
• Puede verificarse.

Actividades de Auditoría Inicio de Auditoría

• Revisión de Documentos.
• Preparación.
• Realización.
• Preparación y Entrega de Informes.
• Finalización.

Preparación de las Actividades Auditoría en Sitio

• Designación del jefe/líder.
• Definición, de los objetivos, alcance, criterios de auditoría.
• Determinación de la viabilidad de la auditoría.
• Selección de equipo auditor (auditor, auditores expertos).
• Establecimiento del contacto inicial con el auditado.
• Preparación del plan de auditoría.
• Asignación de tareas al equipo auditor.
• Preparación de los documentos de trabajo.