# Fundamentos de Ciberseguridad
> **Robustez**: Capacidad de operar frente a un determinado nivel de perturbaciones producidas por ciberamenazas.
> **Resiliencia**: Capacidad de restablecer o restaurar el sistema luego de producido un evento no deseado, con el mínimo impacto posible acorde a los riesgos tolerables definidos por la organización.
## SOX: Acta Sarbanes-Oxley
- Define responsabilidades de la dirección ejecutiva y consejos de administración en la dirección ejecutiva y consejos de administración en las organizaciones, las expectativas de los inversores, reguladores e interesados del negocio externos. Busca:
- Parar el fraude fiscal
- Las organizaciones son legalmente responsables de decir la verdad a los inversores.
- Aumentó la responsabilidad de las empresas auditoras de permanecer independientes.
- Apunta a tener mayor control interno en las empresas, tanto contable, de operaciones y de IT.
---
## UIT-T X.805
- Define un marco para analizar la arquitectura y las dimensiones que garantizan la seguridad extremo a extremo de las apps distribuidas.
- Puede aplicarse a las políticas y los procedimientos de seguridad, y tambien a la tecnología, en las 3 etapas de un programa de seguridad (definicion, implementación y mantenimiento).
- Puede ser la base de una evaluación de seguridad, para analizar el efecto del programa de seguridad en las dimensiones, las capas y los planos de seguridad, cuando se realizan las políticas y los procedimientos, y se implanta la tecnología.
### Dimensiones de Seguridad
1. Autenticación: Quién pretende acceder a la información o al sistema informático es quien dice ser.
2. Confidencialidad: Quién pretende acceder a la información o a los sistemas, tiene derecho a hacerlo.
3. Integridad: La información a la que se pretende acceder no ha sido modificada.
4. Disponibilidad: La información y los sistemas están disponibles cuando se pretende acceder a ellos.
5. Control de acceso: Prevenir el uso no autorizado de un recurso.
6. No repudio: No se puede negar un acto.
7. Privacidad: Confidencialidad de datos personales.
### Modelo de Amenazas
- Comprender y modelar las amenazas específicas que pueden afectar a una aplicación, sistema o producto.
1. Identificación de amenazas, generalmente a nivel de diseño y desarrollo.
2. Evaluación de amenazas: Cómo los threats pueden explotar las vulnerabilidades.
3. Diseño seguro: A partir de la comprensión de las amenazas, se diseñan medidas de seguridad adecuadas para mitigar o prevenir las amenazas identificadas.
> Una **amenaza** es una causa potencial de un incidente no deseado, que puede resultar en daño a un sistema, un individuo o una Organización.
#### Ejemplo de Amenazas
1. Destrucción -> Ataque a la Disponibilidad.
2. Corrupción -> Ataque a la Integridad.
3. Robo de Datos -> Ataque a la Confidencialidad.
4. Divulgación -> Ataque a la Confidencialidad.
5. Interrupción -> Ataque a la Disponibilidad.
#### Modelo PASTA (Process for Attack Simulation & Threat Analysis)
### Vulnerabilidades
> Una **vulnerabilidad** es una debilidad de un activo o un control que puede ser explotada por una o varias amenazas.
### CWE, CVE y CAPEC
- CVE (Common Vulnerability Enumeration)
- Vendor specific
- Identified, validated vulnerabilities
- CWE (Common Weakness Enumeration)
- Vendor agnostic
- Categories of exploitable errors based on historical vulnerabilities
- CAPEC (Common Attack Pattern Enumeration and Classification)
- Implementation agnostic
- Threat Modeling
- Vulnerability and exploit identification approach
#### Relación entre vulnerabilidad y amenaza
> La superficie de ataque es la suma de vulnerabilidades, rutas o métodos, vectores de ataque, que se pueden usar para obtener acceso no autorizado a la red o a datos confidenciales.
##### Entorno VUCA
- Volatilidad: Visión estratégica. Nos ayuda a adaptarnos al entorno, tener visión a futuro -> Minimizar sus efectos
- Incertidumbre: Formación, conocimiento, mejora continua -> Estar actualizados.
- Complejidad: Claridad, sencillez y "hacerlo fácil" en todos los procesos y tareas.
- Ambigüedad: Agilidad -> Ser ágiles para hacer frente a imprevistos.
### Capas de Seguridad
- Cada capa tiene vulnerabilidades y amenazas propias.
- Cada capa da soporte de seguridad a la superior.
1. Infraestructura: Comprende los dispositivos de transmisión de la red y los elementos de la red.
2. Servicios: Seguridad de servicios que los proveedores prestan a sus clientes.
3. Aplicaciones: Seguridad de aplicaciones de red a la que acceden los clientes.
### Planos de Seguridad
- Representan los distintos tipos de actividad sobre la red.
### X.805 Security Architecture
---
## Gestión del riesgo
- Identificar, evaluar y mitigar los riesgos de seguridad de una organización.
- De alguna manera se corre el foco de lo mas critico de una aplicacion o sistema que son las amenazas al mismo. Por ejemplo las mismas vulnerabilidades y normativas en dos arquitecturas u organizaciones diferentes pueden tener distintas amenazas...
> **Activos**: Recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección (ej: info, software, etc).
> **Impacto**: Daño producido por la efectivización de una amenza. Cambio adverso o importante en el nivel de los objetivos de negocios (ej: pérdida de imagen pública por fuga de info).
> **Riesgo**: Incertidumbre sobre la ocurrencia de un evento que afecte el logro de los objetivos de la organización mediante el siniestro de activos. -> Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupo de activos y por lo tanto causara daño a la organización.
$$R = P x l
El riego es la combinación de la probabilidad de un evento y sus consecuencias.
> **Salvaguardas**: Procedimientos o mecanismos tecnológicos que reducen el riesgo.
> **Control**: Método utilizado para reducir el riesgo.
- Control Preventivo: Desalentar o prevenir la aparición de problemas.
- Control Detectivo: Buscar, detectar e identificar problemas.
- Control Correctivo: Resolver problemas.
> **Objetivo de Control**: Declaración de lo que se quiere lograr como resultado de la aplicación de un control.
1. Definir el alcance
2. Identificar los activos.
3. Identificar las amenazas.
4. Identificar salvaguardas.
5. Evaluar el riesgo.
6. Tratamiento del riesgo.
## Fallos de Seguridad Comunes
1. En el diseño:
- Ubicar controles de seguridad y/o las variables de una webapp únicamente en el lado del cliente
- Omitir definir quiénes NO deben tener acceso a cierta información.
2. En la implementación
- No validar entradas: construir consultas SQL sin validar el texto -> da lugar a SQL injections.
- Manejo incorrecto de excepciones.
3. En el despligue:
- Configuración insegura de servidores y servicios.
- Falta de protolos seguros.
4. En la operación:
- Monitoreo insuficiente.
- Actualizaciones y parches desatendidos.
5. En el soporte:
- Gestión deficiente ante incidencias.
- Capacitación insuficiente del personal de soporte
Google Drive
Gist
Clipboard
Sign in with Wallet
