Consideraciones generales para la gestión del riesgo

a) Visualización de anuncios cortos, los cuales proporcionan resúmenes claros y

concisos de una página de las políticas esenciales en línea de la compañía (usando
un lenguaje sencillo). Con esto, los usuarios son capaces de tomar decisiones más
informadas acerca de compartir su información en línea. Los anuncios cortos deben
cumplir con todos los requisitos reglamentarios y proporcionar enlaces a las
declaraciones legales completas y demás información pertinente, para que los
clientes que quieren más detalle pueden fácilmente hacer clic para leer la versión
más larga. Con una sola notificación, los clientes pueden tener una experiencia más
consistente a través de todas las propiedades de la compañía, con los mismos
estándares de privacidad y expectativas extendidas a muchos sitios.
b) Asegurar el manejo de sesiones para las aplicaciones web; esto puede incluir
mecanismos en línea, tales como cookies.
c) Validación y manejo de entradas seguras para evitar ataques comunes como
inyección de SQL. Basado en el hecho de que los sitios web, los cuales son
generalmente consideradas como confiables, se utilizan cada vez más para la
distribución de código malicioso, validación de entradas y de salidas tienen que ser
llevadas a cabo por contenido activo, así como por contenido dinámico.

d) Scripting de páginas web seguras para prevenir ataques comunes tales como el
Cross-site Scripting.
e) Revisión de seguridad de código y pruebas por entidades debidamente calificadas.
f) El servicio de la organización, ya sea proporcionado por la organización o por un
parte que representa a la organización, debe proporcionarse de manera que el
consumidor pueda autenticar el servicio. Esto puede incluir al proveedor tener el uso
de un sub dominio del nombre de dominio de la marca de la organización y,
posiblemente, el uso de credenciales HTTPS registradas a nombre de la
organización. El servicio debe evitar el uso de métodos engañosos en los cuales el
consumidor pueda tener dificultades para determinar con quién están tratando.
g)

CONTROLES
Los interesados requieren de un profundo conocimiento y entendimiento del activo o control en cuestión,
así como, de las amenazas, agentes amenaza o riesgos involucrados, con el fin de realizar una evaluación
exhaustiva.

El nivel de seguridad integrado a los sistemas necesita ser determinado en base a la criticidad de los datos
de la organización.

La comprensión y el uso adecuado de canales de comunicación con proveedores y prestadores de servicio

en cuestiones de seguridad descubiertos durante su uso.


Comprender el tráfico en la red - qué es normal, qué no lo es normal.

Utilizar una herramienta de gestión de red para identificar los picos en el tráfico,
tráfico/puertos "inusuales" y asegurarse de que hay herramientas disponibles para
identificar y responder a la causa.

Poner a prueba la capacidad de respuesta antes de que sea necesario para un evento
real. Reafirmar las técnicas de respuesta, procesos y herramientas basadas en el
resultado de los ejercicios regulares.

El aislamiento de la red puede prevenir la propagación de malware, aunque algunas

implementaciones pueden requerir el consentimiento del usuario o cambios a los
Términos de Servicio.

al volumen de información en la red, herramientas tales como IDS e IPS pueden ser usados para monitorear excepciones que puedan ser
reportadas.

Ingreso
Validación
Contraseñas
Encripción

- roles;

- políticas;

- métodos;

- procesos; y

- controles técnicos aplicables.

Medidas de seguridad en telefonía.
Medidas de seguridad de correos comerciales.

Activo

Es cualquier cosa que tenga valor para un individuo o una organización.

a) información;

b) software, como un programa de computadora;

c) físico, como un computador;

d) servicios;

e) personas, aptitudes, habilidades y experiencia, y

f) activos intangibles, como la reputación y la imagen.

La identidad en línea es considerada como un activo ya que es el identificador clave para cualquier consumidor
personal en el Ciberespacio
La dirección URL y la página web de la organización son activos de información.

Las amenazas a los activos personales, giran en torno principalmente a los problemas de identidad,
derivados de la fuga o robo de información personal.
EJEMPLO La información crediticia puede ser vendida en el mercado negro, lo cual facilitaría el robo de identidad en línea.

Guía de protección y seguridad para usuarios finales

ISO-IEC 27032, guía técnica para atender riesgos de Ciberseguridad comunes,

incluyendo:

- ataques de ingeniería social;

- hacking;
- la proliferación de software malicioso (“malware”);
- spyware; y
- otro software potencialmente no deseado.

El ataque puede provenir de dos categorías principales:

- Ataques desde el interior de una red privada; y

- Ataques desde fuera de una red privada.

Provee controles para hacer frente a estos riesgos, incluyendo controles para:

- prepararse para ataques por malware, criminales u organizaciones criminales en

Internet, por mencionar algunos;
- detectar y monitorear ataques; y
- responder a ataques.

El atacante puede usar mecanismos tales como un software analizador de paquetes para
obtener contraseñas u otro tipo de información de identidad. Alternativamente, el atacante
puede hacerse pasar como entidad autorizada y actuar como un hombre en el medio para
robar información de identidad.

Los key loggers

El escaneo de puertos

aplicaciones peer-to-peer

desbordamientos de búfer
suplantación de IP

La Seguridad de la Información, se ocupa de la protección de la confidencialidad,

integridad y disponibilidad de la información en general, para atender las necesidades
de información aplicables al usuario.

La Seguridad en las Aplicaciones, es un proceso realizado para aplicar controles y

mediciones a las aplicaciones de una organización, con el fin de gestionar el riesgo de
su uso.
Los controles y las mediciones se pueden aplicar a la aplicación en sí (sus procesos,
componentes, software y resultados), a sus datos (datos de configuración, datos de
usuarios, datos de la organización), y toda la tecnología, procesos y actores que
participan en el ciclo de vida de la aplicación.

La Seguridad en Redes, hace referencia al diseño, implementación y operación de

las redes para cumplir con los propósitos de seguridad de la información en las redes,
dentro de las organizaciones, entre las organizaciones, y entre usuarios y las
organizaciones.

La Seguridad en Internet, se ocupa de la protección de los servicios relacionados con

Internet y sistemas relacionados con las TIC y redes como extensión de la seguridad en
la red, en organizaciones y hogares, para lograr el propósito de la seguridad. La
seguridad en Internet, también asegura la disponibilidad y confiablidad de los servicios
de Internet.
La CIIP, se ocupa de la protección de los sistemas que son proporcionados u operados
por proveedores de infraestructura crítica, tales como, los departamentos de energía,
telecomunicaciones y agua. La CIIP, asegura que esos sistemas y redes estén protegidos
y sean resistentes ante los riesgos de seguridad de la información, los riesgos de la
seguridad en redes, los riesgos de la seguridad en Internet, así como los riesgos de la
Ciberseguridad.

La ISO/IEC 27005 provee directrices sobre la identificación de las vulnerabilidades.

La ISO/IEC 27001 proporciona requerimientos para los sistemas de gestión de la
información. Requisitos de un SGSI.
La ISO/IEC 27005, Tecnologías de la Información – Técnicas de seguridad – Gestión
del riesgo de la seguridad de la información, provee las directrices y procesos para
la gestión de la seguridad de la información en una organización.
Una serie de metodologías existentes pueden ser usadas bajo el marco descrito en la Norma ISO/IEC 27005
para implementar los requisitos de un SGSI.

La ISO/IEC 27031 proporciona directrices para la preparación de las TIC para la

continuidad del negocio.
La ISO/IEC 27034-1 proporciona directrices para la seguridad de aplicaciones. La ISO
/ IEC 27034, Tecnologías de la información - Técnicas de seguridad - seguridad de las
aplicaciones, proporciona directrices a definir, desarrollar, implementar, gestionar,
apoyar y retirarse una solicitud.
La Norma ISO 31000, Gestión de riesgos – Principios y directrices, provee principios
y directrices genéricas sobre la gestión del riesgo.

Donde exista un alto grado de confianza en la seguridad de los productos de software, esto
puede ser validado independiente bajo el esquema de CRITERIO COMÚN como se
describe en la ISO/IEC 15408.

Se deben buscar y aplicar soluciones a las vulnerabilidades, y cuando una solución no sea posible o factible,
los controles deben ser puestos en su lugar.

Aprender y comprender la política de seguridad y de privacidad del sitio y de la

aplicación en cuestión, tal como fue publicada por el proveedor del sitio.
Aprender y comprender la política de seguridad y de privacidad del sitio y de la
aplicación en cuestión, tal como fue publicada por el proveedor del sitio.

Aprender y comprender la política de seguridad y de privacidad del sitio y de la

aplicación en cuestión, tal como fue publicada por el proveedor del sitio.

Aprender y comprender la política de seguridad y de privacidad del sitio y de la

aplicación en cuestión, tal como fue publicada por el proveedor del sitio.

Aprender y comprender los riesgos involucrados en la seguridad y privacidad y

determinar controles aplicables apropiados.
El inicio de sesión único es una forma de administración de la identidad en línea.

Como un IAP, practique el desarrollo de software seguro y provea el valor del hash
para el código en línea

Proveer documentación de las políticas y prácticas de seguridad y privacidad del código

y respete la privacidad de los usuarios del código.

ABORDAR LOS REQUISITOS DE SEGURIDAD PARA EL ALOJAMIENTO

(HOSTING) WEB Y OTROS SERVICIOS DE CIBER-APLICACIÓN.

11.4.2.2 Proporcionar productos seguros

Algunas organizaciones desarrollan1 y liberan sus propias barras de herramientas del navegador, marcadores,
o código para proporcionar servicios de valor agregado a los usuarios finales, o facilita el acceso a los servicios
o aplicaciones de la organización.

En tales casos, debe existir un CORRECTO ACUERDO DE USUARIO FINAL, en un idioma adecuado, la
incorporación de declaraciones sobre la política de la organización de codificación, política de privacidad, y
medios por los cuales los usuarios pueden cambiar su aceptación posteriormente o escalar cualquier
problema que puedan tener con respecto a la política y las prácticas. Cuando se utiliza un acuerdo de este
tipo, este debe ser puesto bajo control de versiones y la organización debe asegurarse de que los usuarios
finales lo firman consistentemente.

Documentar el comportamiento de código y hacer una evaluación de si el comportamiento puede caer en

áreas potenciales que pudieran ser consideradas como spyware o software engañoso.

Evaluar si el código cae dentro de los criterios de los objetivos anti-spyware del proveedor y que se adhiere a
las mejores prácticas de tal forma que las herramientas de software proporcionadas por la organización para
los usuarios finales, no sean etiquetadas como spyware o adware por los vendedores de anti-spyware.

Muchos vendedores de anti-spyware publican los criterios por los cuales ellos califican un software.

Implementar el firmado digital de código para sus binarios de forma tal que los vendedores de anti-malware
y anti-spyware puede determinar fácilmente el propietario de un archivo, y los ISVs, que producen
consistentemente software que siguen las mejores prácticas, sean clasificados como probablemente seguros,
incluso antes del análisis.