--- title: Modelos, metodologías y frameworks de seguridad informática tags: - Fundamentos - Glosario - Conceptos categories: [Fundamentos] excerpt_separator: <!--more--> --- # Modelos, metodologías y frameworks de seguridad informática Estos conceptos siempre son dificiles de diferenciar... <!--more--> [TOC] # Términos y abreviacioens **IS** Information Security: es un área de estudio y actividad profesional multidisciplinaria que se preocupa por el desarrollo e implementación de contramedidas de seguridad de todo tipo con el fin de mantener la información en todas sus ubicaciones y, en consecuencia, los sistemas de información, donde se crea, procesa, almacena, transmite y destruye la información, libres de amenazas. [^2]. > Information Assurance is a multidisciplinary area ofstudy and professional activity which aims to protectbusiness by reducing risks associated with information and information systems by means of a comprehensiveand systematic management of security countermeasures,which is driven by risk analysis and cost-effectiveness [^2] # Marco conceptual ## Conceptos generales ### Actividad Es una tareas específicas e individuales dentro de un proceso. Ejemplos * Testeo de software (Proceso de Desarrollo de software) ### Proceso Es un conjunto de actividades que interactuan para producir un resultado o alcanzar un objetivo. ¿Esta definición púede ser recursiva si vemos un proceso global que enmarque subprocesos? Ejemplos * Desarrollo de software (Metodología DevOps) * Pentesting * Gestión de proyecto ### Modelo Un modelo es una explicación o abstracción de un sistema. Nos permite intentar entender o definir el objeto de estudio. Ejemplos * Modelo 3D de un edificio * Diagrama Entidad relacion (Modelo de datos) * Distribución Binomial (Modelo estadístico) * Simulación (Modelo científco) * Oferta - Demanda (Modelo económico) ### Arquitectura Esta en nivel de abstracción que el modelo Es la Ejemplos * Plan de construción de un edificio * Aruitectura MVC * Arquitectura orientada a servicios (SOA) * The Open Group Architecture Framework (TOGAF). ### Servicios X Ejemplos ### Metodología Detalla de manera muy específica el qué, cómo y cuándo de las acciones de un proceso. Ejemplos * DevOps * Metodología Six Sigma * X? (Metodología de pentesting) * X? (Metodología de desarrollo) * Método científco * Kanban (Metodología Aǵil) ### Marco de trabajo (Framework) Es una propuesta suelta y estandarizada del qué hacer en un proceso. Es una estructura que estandariza procedimientos, conceptos, herramientas y metodologías que se usan para llevar a cabo una práctica, generada por colectividades públicas, privadas o mixtas. Ejemplos * PMBPK (Marco de trabajo de gestión de proyectos) * SCRUM (Marco de trabajo para proyectos) [[3]](https://scrumguides.org/scrum-guide.html) ### Relación entre conceptos ```mermaid graph BT Herramientas Proceso[Proceso o tarea] Tecnicas Actividades Framework Modelo[Modelo] Metodología Objeto[Objeto o sistema] Objetivo Arquitectura[Arquitectura] Modelo -->|EXplica un aspecto de| Objeto Arquitectura-->|Especifica<br>en totalidad y alto nivel|Objeto Arquitectura-.->|Utiliza| Modelo Framework -.->|Varía segun contexto| Objetivo Metodología -.->|Orientado a un específico| Objetivo Proceso-->|para lograr un| Objetivo Framework -->|Propone el cómo de| Proceso Framework -.->|Puede enmarcar| Metodología Proceso -->|Utiliza| Herramientas Proceso -->|Emplea| Tecnicas Proceso -->|Ejecuta| Actividades Proceso -->|dentro de| Objeto Metodología -->|Detalla el cómo,<br>cuándo y qué de| Proceso Framework -->|Analiza con ayuda de| Modelo Metodología -->|Analiza con ayuda de| Modelo ``` #### Metodologia vs. Marco de trabajo Marco es mas rigido que el marco de trabajo #### Marco de trabajo vs. Modelo El modelo puede proponerse dentro del marco de trabajo #### Marco de trabajo vs. Metodología La metodología es más rígida que el marco de trabajo ## Conceptos de seguridad informática ### Actividades de seguridad informática Ejemplos * Escaneo de vulnerabilidades (Proceso de Evaluación de vulnerabilidades) * Revisión de logs de freiwall () * Detección de intrusos (Proceso de Respuesta a incidentes) * Investigación forense (Proceso de Respuesta a incidentes) ### Procesos de seguridad informática Ejemplos * Red teaming * Prueba de penetración (*Pentesting*) * Evaluación de vulnerabilidades * Blue teaming * Respuesta a incidentes ### Modelos de seguridad informática 1. *Como propeidades del sistema*, Explica o define la seguridad informática, o un aspecto de ella, de un sistema o de parte del sistema, como objetivos a lograr. * CIA: Con, int avia * CIAAA * IA cube: * McCumber Cube 2. *Como enfoque de aspecto*, Es sinónimo de Marco de trabajo, en tanto un modelo presenta un enfoque estrcuturado para abordar un aspecto particular de seguridad.. Un modelo infosec puede ser un marco de trabajo conceptual, un modelo matemático (ver ...) o una repressentación gráfica. Ejemplos | Model | Aspect | Framework or Methodology (if they are realted) | - | - | - | Bell LaPadula | Access Control | Missing | Biba | Integrity Control | Missing | Clarke Wilson | Integrity Control | Missing | OCTAVE Allegro | Security risk | Missing | FAIR | Security risk | Missing | McCumber Cube | InfoSec | Missing ### Arquitectura de seguridad informática Es el diseño mas abstracto y en mas alto niuvel de los componentes, estructuras y relaciones en un sistema de gestión de seguridad informática Ejemplos * Sherwood Applied Business Security Architecture (SABAA) ### Servicios de seguridad informática Autenticación: Confirma que la identidad de una o más entidades conectadas a una o más entidades sea verdadera. Entiéndase por entidad un usuario, proceso o sistema. De igual forma corrobora a una entidad que la información proviene de otra entidad verdadera. Control de acceso: Protege a una entidad contra el uso no autorizado de sus recursos. Este servicio de seguridad se puede aplicar a varios tipos de acceso, por ejemplo el uso de medios de comunicación, la lectura, escritura o eliminación de información y la ejecución de procesos. Confidencialidad: Protege a una entidad contra la revelación deliberada o accidental de cualquier conjunto de datos a entidades no autorizadas. Integridad: Asegura que los datos almacenados en las computadoras y/o transferidos en una conexión no fueron modificados. No repudio: Este servicio protege contra usuarios que quieran negar falsamente que enviaran o recibieran un mensaje. ### Metodologías de seguridad informática Ejemplos * Penetration Testing Execution Standard (PTES) * PTES puede ser utilizad para realizar un **proceso** de *Pentesting* para la **activiadad** *Identificación* del **proceso** de *Respuesta a incidentes* ### Marcos de trabajo de seguridad informática Ejemplos * ISO/IEC 27001 * LA 27001 utiliza el modelo CID * OSSTMM (Marco de trabajo de pentesting) * OWASP (Marco de trabajo de pentesting) * NIST 1.1 Cybersecurity framework (Marco de trabajo de pentesting) * LA NIST utiliza el modelo CID * Information Technology Infrastructure Library (ITIL) # Modelo CID # Modelo IA ## RMIAS: Reference Model of Information Assurance & Security ![](https://i.imgur.com/Isck4Px.jpg) Imagen tomada de https://rmias.cs.cf.ac.uk/ Las cuatro dimensiones 1. La Dimensión del Ciclo de Vida de la Seguridad del Sistema de Información ilustra la progresión de la seguridad de SI a lo largo del Ciclo de Vida del Desarrollo del SI (*IS Development Life Cycle*, ISDL); 1. La Dimensión de la Taxonomía de la Información describe la naturaleza de la información que se está protegiendo; 1. La Dimensión de los Objetivos de Seguridad describe una lista ampliamente aplicable de objetivos de seguridad. Un Objetivo de Seguridad es una capacidad deseable de un SI para resistir una categoría específica de amenazas. 1. La Dimensión de las Contramedidas de Seguridad clasifica las contramedidas disponibles para la protección de la información. # Modelo McCumber # Modelo CIAAN # Modelo CIAAA # Modelo ISO/IEC 27001 # Theat Modeling :warning: # Imágenes >:warning: Pöner fentes de las imánges * CIA Triad ![](https://i.imgur.com/o75vPNo.png) * OSINT ![](https://i.imgur.com/sMzF619.png) * McCumber cube ![](https://i.imgur.com/VStpq2e.png) * Information Assurance ![](https://i.imgur.com/YvTQMeO.png) # Referencias [1]: titulo link [2]: What Is The Difference Between A Methodology And A Framework? https://thinkinsights.net/consulting/framework-methodology/ [3]: Why You're Confusing Frameworks with Methodologies https://www.projectmanagement.com/contentPages/article.cfm?ID=278600&thisPageURL=/articles/278600/why-you-re-confusing-frameworks-with-methodologies#_=_ [4]: OSA Taxonomy https://www.opensecurityarchitecture.org/cms/foundations/osa-taxonomy [5]: Attack Vector vs. Attack Surface https://www.balbix.com/insights/attack-vector-vs-attack-surface/ # Bibliografía [^2]: Cherdantseva, Y., & Hilton, J. (2013). A Reference Model of Information Assurance &amp;amp; Security. In Availability, Reliability and Security. https://www.researchgate.net/publication/261338307_A_Reference_Model_of_Information_Assurance_Security