Fundamentos de Auditoría de la Ciberseguridad

Sesión N°2
Contexto: Seguridad de la Información y Ciberseguridad
El estado de la ciberseguridad

Global Risk Landscape 2021 Global Risk Landscape 2022

La evolución de lasNormas

 La actualización de la Norma
ISO 27002:2022 plantea el
desafío de la actualización de
prácticamente toda la serie
ISO 27000.

 En el portal tienen una

presentación con los
principales cambios.

Fuente: Adaptción https://revista.aenor.com/348/isoiec-27001-y-ens-binomio-perfecto-para-la-ciberseguridad.html

Acerca de ISO 27001
Evolución de las normas ISO 27001 e ISO 27002

Fuente: advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002
¿Por que contar con un SGSI basado en ISO 270001?

1. Es simple de implementar un Sistema de Gestión, la Gestión de Riesgos y Controles de

Seguridad de la Información.
2. Provee de un modelo de procesos altamente estandarizados
3. Provee de una linea base de controles de alto valor
4. Se alinea a otros Sistemas de Gestión (Calidad, Servicios, Continuidad, Privacidad)
5. Contiene principios simples y valiosos (Mejora Continua, PDCA, Riesgos)
6. Numerosas recomendaciones, extensiones y directrices en la familia 27K.
7. Puede ser certificada, en algunos países y sectores industriales es un requisito.
8. Muchos otros estándares se inspiran, referencian o han sido creados usando ISO 27001
¿Que ofrece ISO 27.001?

Una metodología basada en mejores prácticas

que posibilita la implementación de un SGSI

Actuar Planificar
(Act) (Plan)

Verificar Hacer
(Check) (Do)

Visión de Procesos Controles de Seguridad Metodología

Enfoque de Riesgos
alineada al ciclo PDCA de la Información Estandarizada
 Ciclo PDCA
 Permite a una organización asegurarse de que sus procesos
cuenten con recursos y se gestionen adecuadamente.

 Posibilita que las oportunidades de mejora se determinen y se

actúe en consecuencia.

 La aplicación del enfoque a procesos en un sistema de

gestión permite:
A. La comprensión en el cumplimiento de los
requisitos.
B. La consideración de los procesos integrado.
C. El logro del desempeño eficaz del proceso.
D. La mejora de los procesos con base en la
evaluación de los datos, la información y objetivos.
Enfoque de Riesgos

El propósito de un SGSI es tener

sus riesgos gestionados!!!
Ecosistema de Normas

ISO 27014
Gobierno dela
Ciberseguridad

ISO 27.003 ISO 27701

Directrices de Gestión dela
Implementación Privacidad

ISO 27.004
Indicadoresdel ISO 27033
SGSI Seguridad en Redes

ISO 27.022 ISO 27034

Procesos del SGSI Seguridaden
Aplicaciones

ISO 27037
Evidencia
Electrónica
Esquema General de ISO 27000
Proceso de Certificación
 Certificación ISO 27.001
 Es un proceso en la cual las organizaciones buscan validar sus capacidades en la implementación del SGSI
mediante un tercero.

 Los organismos certificadores de ISO 27.001 en general corresponden a organismos internacionales

acreditados con organismos de acreditación de alcance global, poco están acreditados en LATAM.

 Algunos organismos de acreditación:

 BSI (British Standards Institution) – acreditado por ANAB, RvA, UKAS, CNAB
 TuV - acreditado con DAkkS
 Bureau Veritas - acreditado por UKAS
 Aenor - acreditado con IQNet
 Proceso de Certificación

 Primero solicitaran información a la

organización, con la finalidad de
estimar los tiempos de auditoría.

 Fase 1: Se realiza una revisión

documental y se planifica la fase 2.

 Fase 2: Corresponde a la realización

de una auditoria presencial, con
foco en el SGSI, riesgos críticos y
controles mitigantes.

 Seguimiento Periódico anual.

Fuente: ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad – Delgado &Fernandez. 2019.
Análisis del Contexto
4. Contexto de la Organización
 4.1 Comprender la organización y su contexto
 La organización debe determinar los elementos externos e internos que son importantes para
alcanzar sus objetivos.

 4.2 Comprender las necesidades y expectativas de las partes interesadas

 Comprender requisitos de seguridad de la información desde las partes interesadas (accionistas,
dueños, dirección, operación, clientes, reguladores, etc.)

 4.3 Determinar el alcance del SGSI

 Determinar los limites del SGSI, que es parte de este y que no.

 4.4 Definir el SGSI

 “La organización debe establecer, implementar, mantener y mejorar de manera continua un
sistema de gestión de la seguridad de la información, según los requerimientos de esta norma”.
4.1 Análisis del Contexto
4.1 Análisis del Contexto Externo
Los factores sociales,
culturales, políticos,
Las relaciones,
legales,
Los impulsores percepciones,
reglamentarios,
clave y las valores, Las relaciones
financieros, La complejidad
tendencias que necesidades y contractuales y
tecnológicos, de las redes y
afectan a los expectativas los
económicos y dependencias.
objetivos de la de las partes compromisos;
ambientales ya sea a
organización; interesadas
nivel internacional,
externas;
nacional, regional o
local;

Benchmarking Análisis de Análisis de

Análisis de
Análisis PESTEL y Estudios de Partes Partes
Compliance
Mercado Interesadas Interesadas
4.1 Análisis del Contexto Interno

Las capacidades,
La visión, la misión y los Las relaciones con
entendidas en
valores; La gobernanza, partes interesadas
términos de recursos
la estructura de la Las normas, las internas, teniendo
y conocimiento. Las relaciones
organización, los roles y directrices y los Los datos, los contractuales en cuenta sus
la rendición de cuentas; modelos sistemas de y los percepciones y
La estrategia, los adoptados por la información y los compromisos valores; Las
objetivos y las políticas; organización; flujos de
La cultura de la interdependencias
información;
organización; e interconexiones.

Análisis Análisis de
Análisis Estratégico Análisis Análisis de
Arquitectura Partes
Organizacional Normativo Compliance
Tecnológica Interesadas
Análisis PESTEL
 La elaboración del análisis PESTEL busca identificar las fuerzas externas que pueden afectar a la
organización dentro de las siguientesdimensiones:
 Política
 Económica
 Social
 Tecnológica
 Ecológica/Medioambiental
 Legal.

 Este análisis ayuda a optimizar la toma de decisiones,

evaluar riesgos externos y mejorar la adaptabilidad a los
cambios, mediante el conocimiento del entorno de la
organización.
Normativa general relacionado a la tecnología
 Ley N°17.336/2004. Ley sobre propiedad intelectual. Propiedad
Intelectual
 Ley N°20.435/2010. Modifica la Ley N° 17.336 sobre propiedadintelectual.

 Ley N°21.459/2022. Ley sobre normas sobre delitos informáticos.

Criminalidad
Informática
 Ley N°19.927/2004. Ley código penales en materia de delitos sobre pornografía infantil.

 Ley N°19.799/2002. Ley sobre documentos electrónicos

Firma
 Ley N°20.217/2007. Modifica el código de procedimiento civil y la ley nº19.799 electrónica

 Ley N°20.575/2012 Principio de finalidad en el tratamiento de datospersonales

Datos Personales
 Ley N°21.096/2018. Consagra el derecho a protección de datos personales.

 Ley N°21.220 . Sobre el trabajo a distancia y teletrabajo. Teletrabajo

Análisis FODA
 La elaboración del Análisis FODA, además de ayudar a comprender el contexto externo e
interno de la organización, ayuda a establecer y planificar estrategias que pueden ser a corto,
mediano y largo plazo, basándose en los factores internos y externos para lograr el cumplimiento
de los objetivos de la organización.

FORTALEZAS DEBILIDADES INTERNO

OPORTUNIDADES AMENAZAS
EXTERNO
 Partes Interesadas Internas y Externas

Reguladores y legisladores Tomadores de decisiones, incluida laalta

dirección
Accionistas, incluidos propietarios e
inversores Propietarios de procesos, propietarios de
PARTES sistemas y propietarios deinformación
PARTES
Proveedores, subcontratistas, consultores INTERESADAS
INTERESADAS
y socios de subcontratación. INTERNAS Funciones de apoyo como TI o Recursos
EXTERNAS
Humanos
Asociaciones industriales
Empleados y usuarios
Competidores
Profesionales de la seguridad de la
Clientes y consumidores información
4.3 Determinación del alcance del SGSI

 El alcance de un SGSI puede ser muy

diferente de una implementación a
otra. Por ejemplo:
 uno o más procesos específicos;
 una o más funciones específicas;
 uno o más servicios específicos;
 una o más secciones o ubicaciones
específicas;
 una entidad jurídica completa; y
 toda una entidad administrativa y uno
o más de sus proveedores
Como determinar el alcance – Contexto Diplomados Ciberseguridad

Finanzas RRHH

Pago a Selección de Competencias y

Pago de Servicios Remuneraciones Desvinculación
Proveedores Personas Concienciación

Capacitación TI

Diseño Ejecución Titulación Plataformas Soporte

Recomendaciones de Auditoría
• Comprender el contexto: Establecer un análisis exhaustivo del entorno interno y externo asegura el
cumplimiento normativo, mitiga sanciones y mejora la reputación. (ISO 31000:2018, cláusula 5.3)

• Análisis del contexto: Monitorear y adaptar el contexto organizacional permite la mejora continua y una
respuesta efectiva a cambios internos y externos. (ISO 9001:2022, cláusula 10.3)

• Enfoque del contexto: Implementar un enfoque sistémico que considere el contexto favorece la
sostenibilidad del desempeño organizacional, asegurando un alineamiento estratégico a largo plazo. (ISO
9004:2018, cláusula 4.1)

• Identificar a las partes interesadas: Determinar y analizar partes interesadas asegura que sus expectativas
se reflejen en el sistema de gestión, mejorando su efectividad. (ISO 9001:2022, cláusula 4.2)
 Liderazgo

25
5.1 Liderazgo y Compromiso
 La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI:
 Estableciendo objetivos alcanzable
 Asegurando la integración de los requisitos del SGSI a los procesos de la
organización
 Proveyendo los recursos necesarios
 Comunicando efectivamente
 Asegurando que el SGSI alcance los resultados
 Contribuyendo en la eficacia del SGSI
 En la mejora continua
 Apoyando a otros roles en el liderazgo
5.2 Política de Seguridad de la Información
 La alta dirección debe establecer una política de seguridad de la información que:
 Es pertinente al objetivo de la organización;
 Incluya los objetivos de seguridad de la información o que proporcione el marco de trabajo para
establecer los objetivos de seguridad de la información;
 incluye un compromiso para satisfacer los requisitos aplicables, relacionados a la seguridad de la
información
 Incluya un compromiso para la mejora continua del SGSI

 La política de seguridad de la información debe:

 Estar disponible como información documentada;
 Ser comunicada dentro de la organización; y
 Estar disponible para las partes interesadas, según corresponda.
5.3 Roles Organizacionales
 La alta dirección debe asegurar que las responsabilidades y las autoridades para los roles pertinentes a la
seguridad de la información son asignados y comunicados.
 La alta dirección debe asignar la responsabilidad y la autoridad para:
A. Asegurar que el sistema de gestión de la seguridad de la información cumple con los requisitos de esta
norma; y
B. Informar a la alta dirección sobre el desempeño del SGSI

Define responsabilidades de la organización y especificas para la  No define estructura organizacional, gerencia, áreas, etc.
dirección.
No establece roles específicos, el CISO ni Oficial de Seguridad de la
 Establece responsabilidades para la gestión de activos, riesgos y información no están definidos
controles.
No establece roles ni responsabilidades sobre tecnologías en
Establece responsabilidades sobre política, controles y aspectos especificas.
operativos.
Recomendaciones de Auditoría
• Participación activa del liderazgo: La participación del liderazgo refuerza el compromiso organizacional y
facilita la identificación rápida de áreas de mejora.

• Liderazgo y cultura de seguridad: El liderazgo efectivo es fundamental para establecer una cultura de
seguridad que promueva la participación activa de todos los empleados en la auditoría.

• Compromiso de la alta dirección: La alta dirección debe demostrar compromiso asegurando los recursos
necesarios y el apoyo para la implementación de controles.

• Comunicación clara del liderazgo: Una comunicación efectiva del liderazgo facilita la comprensión de la
norma y promueve el cumplimiento de sus requisitos entre el personal.

• Establecimiento de objetivos claros: Definir objetivos claros y alcanzables en seguridad de la información es

esencial para guiar al equipo y asegurar el cumplimiento.

ISO 9001:2022, cláusula 5.1, 6.2 y 7.4

ISO 27001: 2022 , cláusula 5.1, 6.2 y 7.4
Planificación
6. Planificación
 6.1 Acciones para abordar los riesgos y las oportunidades
 Otorga los lineamientos para la Gestión de Riesgos

 6.1.2 Evaluación de riesgo de la seguridad de la información

 Establece el proceso y los criterios que permita la evaluación de riesgos.
 “asegure que las evaluaciones de riesgo de la seguridad de la información, producen resultados consistentes, válidos y
comparables, una y otra vez”.

 6.1.3 Tratamiento de riesgo de la seguridad de la información

 Debe seleccionar opciones para el tratamiento de riesgos.
 Determinar los controles requeridos
 Verificar si hay controles requeridos en el Anexo A que hayan sido omitidos
 Realizar la Declaración de aplicabilidad de controles.
 Formular el Plan de tratamiento de riesgos
Definiciones Importantes (ISO 73:2009)
 Riesgo: Efecto de la incertidumbre en la consecución de los objetivos.

CID Negocio

Riesgo TI = Probabilidad x Impacto - Controles

Amenazas Vulnerabilidades

 Gestión de Riesgo: Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.

 Proceso de Gestión de Riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las
actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento,
seguimiento y revisión del riesgo.
En términos Simples

1. La organización establece su apetito de riesgo.

Impacto
2. Realiza el proceso de apreciación de riesgos. El cual
en base a la identificación del activo y su criticidad, el R1
análisis de amenazas y vulnerabilidades, obtiene la
evaluación del riesgo inherente.
R3

3.-Los riesgos que están por sobre el apetito o la R2

tolerancia establecida deben ser tratados, los otros se
aceptan.

4.- Analiza los controles existentes y los que

implementará y en base a la evaluación de estos Probabilidad
obtiene el riesgoresidual.
Proceso de Gestión de Riesgos – ISO 31.000

Actividad Severidad

Actividad 11 Catastrófico

Actividad 2 Catastrófico

Actividad 4 Alto
Actividad 7 Moderado
Recomendaciones de Auditoría (1 de 2)
• Identificación de riesgos asociados: Incluir un proceso detallado para la identificación de riesgos potenciales
que puedan afectar la seguridad de la información. Esta identificación debe estar alineada con el contexto y
objetivos de la organización.

• Aplicación de metodologías probadas para la evaluación de riesgos: Sugiera el uso de metodologías de

evaluación de riesgos reconocidas y probadas, facilitando la identificación y priorización de riesgos en
conformidad con las mejores prácticas del sector.

• Revisión periódica de riesgos: Sugiera implementar un proceso de revisión periódica de los riesgos
identificados. Esto permite a la organización adaptarse a cambios en su entorno y tecnología, manteniendo
el SGSI actualizado y efectivo.
Recomendaciones de Auditoría (2 de 2)
• Establecimiento de prioridades en la gestión de riesgos: Verifique que la organización defina y priorice los
riesgos críticos. Este enfoque asegura que los riesgos más significativos se aborden primero, protegiendo los
activos de información más sensibles.

• Definición de medidas de mitigación: Corrobore que cada riesgo identificado cuente con medidas de
mitigación específicas, claras y prácticas. Estas medidas deben ser implementables y efectivas para reducir el
impacto de los riesgos en el SGSI.

• Asignación de plazos y responsables para el plan de acción: Asegúrese de que la organización asigne plazos
específicos y responsables a cada acción de mitigación. Esto facilita el seguimiento y cumplimiento de las
acciones programadas.

• Monitoreo y ajuste continuo del plan de riesgos: Verifique que el plan de acción del SGSI sea monitoreado y
ajustado continuamente. La organización debe revisar y adaptar el plan según sea necesario para enfrentar
nuevos desafíos y cambios, garantizando la relevancia y efectividad del sistema.
Apoyo
Dentro de la cláusula 7. Soporte, de la norma ISO 27.001 podemos encontrar los requisitos en cuanto a los
recursos.

7.1 Recursos
 “La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,
implementación, mantenimiento y mejora continua del Sistema de Gestión de la Seguridad de la Información.”

 A pesar de que la cláusula no detalla específicamente cómo cumplir este requisito, sí se puede apreciar a lo largo
de la norma que la organización debe garantizar la disponibilidad de los recursos para llevar a cabo las tareas y
cumplir con los objetivos de la seguridad de la información.
Recursos de 7.2 a 7.4

7.2 Capacitación 7.3 Concienciación 7.4 Comunicación

Determinar las competencias El contenido de la

necesarias de las personas del
Sobre la Política de comunicación
SGSI. Seguridad

Cuando Comunicar
Asegurarse que estas Sobre la contribución
personas sean competentes de la Eficacia del SGSI
A quién comunicar
Adquirir la competencia Sobre los beneficios de
necesaria y evaluar la
eficacia de dichas acciones. la mejora continua
Quién debe comunicar

Conservar información
documentada apropiada, como
Implicaciones de no
evidencia cumplir con el SGSI Los procesos a comunicar
 7.5 Información documentada
 De forma general, un SGSI tiene documentado:
 Política y los objetivos del SGSI
 Alcance del SGSI
 Objetivos de Seguridad
 Procedimientos y mecanismos de control que soportan al SGSI
 Metodología de evaluación de riesgos
 Informe de análisis de riesgos
 Documento de aplicabilidad
 Plan de tratamiento de Riesgos
 Perfiles del responsable de SGSI y del auditor interno

 La documentación exigida en un SGSI, deben estar protegidos y controlados:

 Aprobación y distribución.
 Control de versiones, cambios y obsoletos.
 Clasificación de la documentación.
 Documentos y registros legibles e identificables.
 Documentación externa identificada.
Recomendaciones de Auditoría (1 de 3)
• Asignación de recursos adecuados: Verifique que la organización asigne recursos suficientes y adecuados
para implementar y mantener el SGSI. Esto incluye recursos humanos, tecnológicos y financieros necesarios
para su operación continua.

• Definición de roles y responsabilidades: Asegúrese de que la organización clarifique los roles y

responsabilidades. Cada miembro del equipo debe conocer sus responsabilidades específicas para evitar
confusiones y aumentar la efectividad del sistema.

• Documentación de hallazgos de riesgos: Todos los hallazgos derivados de la evaluación de riesgos deben
ser documentados de manera sistemática. Esta documentación es crucial para mantener la transparencia y
apoyar la mejora continua del SGSI.
Recomendaciones de Auditoría (2 de 3)
• Entender el papel del soporte técnico: El soporte técnico es fundamental para la implementación efectiva
del SGSI. Asegura que todos los sistemas operen de manera eficiente y segura.

• Capacitación del personal: La capacitación continua del personal es esencial para mantener el conocimiento
actualizado sobre las mejores prácticas en seguridad de la información.
Recomendaciones de Auditoría (3 de 3)
Capacitación y concienciación del personal
Evaluación de la
Programas de Fomento de una Incentivos para el
comprensión del
formación regular cultura de seguridad cumplimiento
personal
• Implementar • Crear una cultura • Evaluar • Establecer incentivos
programas de organizacional que periódicamente la para motivar a los
capacitación valore la seguridad de comprensión del empleados a seguir
periódicos para la información como personal sobre las las políticas de
asegurar que el un objetivo de alto políticas y prácticas seguridad y contribuir
personal esté al tanto nivel dentro del de seguridad a la protección de la
de las mejores sistema de gestión. implementadas. información.
prácticas en seguridad
y prevención de
pérdida de
información.
Operación
8.- Operación

Planificar, implementar y controlar los

procesos y alcanzar los objetivos de
seguridad.

Realizar apreciaciones de riesgos frente

a cambios importantes

Implementar el plan de
tratamiento de riesgos
Recomendaciones de Auditoría
• Planificación y control operacional: Asegurar que se seleccionen todos los procesos necesarios para cumplir
con los requisitos del SGSI. Esto incluye gestionar los cambios en los procesos y revisar la efectividad de los
controles implementados para garantizar su adecuación y eficiencia.

• Consideración de control interno: Recopilar evidencia de manera adecuada y tomar decisiones

fundamentadas en la información recolectada. Este enfoque permite evaluar la efectividad de los controles y
mejorar continuamente el SGSI.

• Generación de informes intermedios: Elaborar informes de manera constante durante cada etapa del
proceso. Presentar los resultados es crucial para la transparencia y para el éxito, facilitando la identificación
de áreas de mejora y el seguimiento de las acciones correctivas.
Evaluación del SGSI
 9.- Evaluación del SGSI
9.1 Seguimiento, medición, análisis y evaluación 9.2 Auditoría Interna 9.3 Revisión por la Dirección

Hacerla en intervalos Hacerla en intervalos planificados

Determinar que medir planificados
Revisión de cambios del contexto
Establecer programas de interno y externo

Establecer métodos de auditoria

medición Revisar el comportamiento de la
seguridad de la información
Definir criterios y
alcance de la auditoria
Los comentarios de las partes
Cuando, quien y como interesadas
realizar la evaluación Seleccionar auditores
objetivos e imparciales Apreciación y Tratamiento de
Riesgos
Quien debe analizar y
Conservar información
revisar resultados Las oportunidades de mejora continua
documentada
Recomendaciones de Auditoría
• Auditorías internas regulares: Realizar auditorías internas de manera regular ayuda a identificar áreas de
mejora y asegurar el cumplimiento de las políticas

• Análisis de incidentes y lecciones aprendidas: Analizar incidentes de seguridad y extraer lecciones

aprendidas permite fortalecer el sistema y prevenir futuros problemas.

• Actualización de documentos y políticas: Actualizar regularmente la documentación de sistema de gestión

para reflejar cambios en la organización y en el entorno.

• Incorporación de retroalimentación: Recoger y utilizar la retroalimentación del personal sobre el SGSI

puede proporcionar una perspectiva valiosa para la mejora continua.
Mejora del SGSI
10.1- No conformidad y acciones correctivas

Reaccionar frente al incumplimiento de requisito

(Leyes, norma, políticas, procedimientos e
instructivos)

Solucionar las no conformidades desde la causa

para que no vuelvan a ocurrir

Implementar las acciones necesarias para corregir la

no conformidad
Recomendaciones de Auditoría
• Revisión del contexto: Revisar constantemente el contexto interno y externo de la organización para
verificar que se está cumplimiento todos los criterios.

• Evaluación de métricas de desempeño: Analizar las métricas ayudar a medir la efectividad de las acciones de
la mejora y su impacto en el SGSI.

• Análisis de incidentes y no conformidades: Realizar análisis detallados de incidentes y no conformidades

ayuda a identificar causas raíz y a prevenir su recurrencia en el futuro.
Caso: Fase 2 - Protección frente al Ransomware
La importancia del estudio de amenazas y vulnerabilidades en un SGSI
AntesdelAtaque Duranteel Ataque DespuésdelAtaque

 Concientizar  Detectar  Alcance

 Capacitar  Bloquear  Contener
 Descubrir  Defender  Remediar
 Reforzar
 Hardening
6.3 5.5 8.13

5.15 – 5.18; 8.2 – 8.5

5.24 – 5.28; 6.8 5.27

8.7
8.14; 5.29 5.28
8.15

8.8

5.14; 6.6; 8.20 – 8.21

 Control de acceso

3
CONTROL DE ACCESO - CRITERIO
• Controles de la Norma ISO 27002:2023

5.2 – 5.18 5.31 – 5.37 6.6 – 6.7 7.1 – 7.14 8.1 – 8.23

8.2 8.31 8.32 8.34

• POL-010 - POLITICA DE GESTIÓN DE ACCESOS

• INS-009 - Monitoreo de Plataforma de Seguridad
• INS-010 - Monitoreo de Servicios de Base de Datos
Control de Acceso
 Muchos vectores de ataque de ransomware comienzan desde la explotación
de mecanismos de control de acceso.

 Algunas de las debilidades que mas aprovechan los cibercriminales son

aspectos básicos de control de accesos, tales como:
 Contraseñas débiles
 Falta de factores de doble autenticación
 Mecanismos de monitoreo
 Acciones de bloqueo oportuno
 Visibilidad de IP, usuarios, login
 Restricciones de accesos a servicios
La importancia de la fortaleza de las contraseñas
 La combinación de usuario y contraseña es la más empleada para el acceso a cualquier tipo de recursos,
siendo la contraseña el factor que proporciona la seguridad.

 Los ataques a contraseñas son recurrentes, aprovechando diversas debilidades:

 Que sean de un largo corto (ataques de fuerza bruta)
 Que empleen solo letras y números (ataque de fuerza bruta)
 Que sean números o combinaciones de teclas (ataque de diccionario)
 Que sean palabras conocidas (ataques de diccionario)

 Las claves deben poseer un largo adecuado, incorporando a lo menos letras minúsculas, mayúsculas,
números y símbolos, un largo muy recomendado es 12, esto hará compleja la materialización de un ataque
de fuerza bruta.

 De igual debe ser concientizado el personal en relación con el uso de contraseñas, buscando que están
tenga un nivel de complejidad ad-hoc y no se basen en palabras conocidas.
Recomendaciones desde ISO 27.002 – 5.7
La combinación de usuario y contraseña es la más empleada para el acceso a cualquier tipo de recursos, siendo
la contraseña el factor que proporciona la seguridad.
Tiempos estimados para romper contraseñas
5.17 Sistema de gestión de contraseñas
Los sistemas para la gestión de contraseñas deberían ser interactivos y establecer contraseñas seguras y
robustas, prácticamente todas las soluciones comerciales lo tienen.
Recomendaciones de Auditoría (1 de 2)
• Evaluación de Políticas Organizacionales
Analizar la definición de las políticas organizacionales para determinar si se alinean con las buenas prácticas
recomendadas.
Evaluar la implementación de estas políticas en los sistemas, asegurando que las directivas establecidas sean
efectivas y estén en uso.
(ISO 27002 - 5.15)

• Elementos Clave para la Evaluación:

o Verificar la fortaleza de las contraseñas (CIS Control 16.6 e ISO 27002 – 5.17).
o Evaluar la calidad de las contraseñas, asegurando que cumplan con los estándares mínimos de seguridad
(CIS Control 16.6 e ISO 27002 – 5.17).
o Comprobar la existencia de mecanismos de bloqueo ante intentos de acceso no autorizados
(ISO 27002 - 8.5).
o Asegurar que no se reutilicen contraseñas en ningún sistema (CIS Control 16.5 e ISO 27002 – 5.17).
o Verificar que se realicen cambios de contraseña de forma regular para mantener la seguridad
(ISO 27002 - 5.17).
Recomendaciones de Auditoría (2 de 2)
• Verificar la existencia de registros de acceso que documenten tanto los intentos fallidos como los exitosos, con
especial atención a los incidentes relacionados con ataques (ISO 27002 - 5.17).

• Confirmar que existan procedimientos claros y acciones definidas para responder a inicios de sesión fallidos,
garantizando una gestión adecuada de los incidentes de seguridad. (ISO 27002 - 8.5)
Respaldo de Información
8.13 Copias de Seguridad de la Información

 Uno de los principales efectos del ransomware es la perdida de información.

 Diversas variantes de ransomware inhabilitan el acceso a la información cifrándola (la mayoría), junto con
eliminar copias de seguridad realizadas en el mismo equipo.

 Es de mayor criticidad frente a escenarios de servidores claves para la organización,

donde la perdida de información puedes ser mayor.
Controles básicos – 8.13
El alcance
 Es importante determinar el alcance de las copias de seguridad, estableciendo con precisión:
 ¿Cuál es el criterio de selección de la información a respaldar?
 ¿Cual es la información y/o activos de información respaldados?

 En base a la criticidad de los activos de información y la naturaleza de estos resulta importante establecer
los mecanismos de respaldo, haciendo distinciones entre lo transaccional o lo más estático.

 Si es información transaccional, no debemos perder información, no se pueden perder transacciones.

 Si es información estática, podríamos potencialmente tolerar la perdida de información,

archivos de fácil recuperación por ejemplo.
Controles de las ISO 27.002 – 8.13

 Es importante la integridad y completitud de los respaldos, comprender el mecanismo de

respaldo asociado y los resultados de esta actividad.

 La periodicidad es clave y debe alinearse a los contextos de negocio, los requisitos de seguridad y la
criticidad de la información.

 Es importante el establecimiento de procedimientos documentados para la recuperación y contar con la

infraestructura necesaria para ello.
Controles de las ISO 27.002 – 8.13

 Los respaldo no debe compartir similares riesgos:

 Si son lógicos deben estar en debidamente protegidos, con la debida segregación de redes, accesos y/o
servicios.
 Si son físicos, no deben compartir similares riesgos, por ejemplo no deben estar en la misma
infraestructura y a una distancia razonable (por ejemplo para terremotos)

 El cifrado es un tema importante de considerar, el robo de respaldo es un riesgo critico, debe considerarse
las medidas adecuada.
Controles de las ISO 27.002 – 8.13

 Los respaldos deben ser probados periódicamente con comprobaciones mínimas:

 Completitud – Tienen toda la información?
 Tiempo – La recuperación se realiza en tiempos idóneos?
 Efectividad – Es funcional el respaldo para la operación?
 Capacidades – Existe la infraestructura para levantar el respaldo?

 Las pruebas deben hacer idealmente en infraestructura dedicada para dicho propósito y establecer los
contextos idóneos de uso.

 Las pruebas realizadas deben estar documentadas, así como los resultados obtenidos.
Recomendaciones de Auditoría (1 de 2)
 Verificar que ningún activo critico del negocio quede fuera de los respaldos de información
establecidos. (8.13)
 Identificar la información y activos críticos de la organización, desde el inventario de activos
y matriz de riesgos por ejemplo.

 Identificar la política y procedimientos de respaldos establecida en la organización.

 Identificar el alcance de los respaldos y verificar que consideren la información y activos

críticos identificados previamente.

 Verificar que la periodicidad y caracteristicas de los respaldos sean los adecuados con
respecto a los activos considerados. (8.13a)

 Verificar la realización en tiempo y completitud de los respaldos realizados. (8.13a)

Recomendaciones de Auditoría (2 de 2)
 Verificar la realización de pruebas de recuperación de los respaldos (8.13.e):
 Planificación de las pruebas
 Funcionamiento (tiempo/efectividad)
 Infraestructura disponible
 Análisis de resultados

 Verificar los medios de almacenamiento de los respaldos.

 Si son lógicos, verificar que estén debidamente aislados, con IP, servicios y accesos independientes.
(8.13.c)
 Si son físicos, verificar que no compartan similares riesgos, no estén en el mismo lugar físico o
compartan similar riesgo a la infraestructura base. (8.13.d)

 Verificar los mecanismos de cifrado y protección de los respaldos. (8.13.f)

 jorge.vasconcelos@usach.cl
Fundamentos de Auditoría
Sesión N°2