Aquí vamos a ver principios fundamentales de la seguridad de la información, las metodologías para proteger los datos y sistemas y qué hace que los datos estén seguros.

Protocolos, medidas y metodologías forman una pequeña parte de lo que se llama «Defensa en profundidad».

Este concepto es el uso de múltiples capas variadas de seguridad en los datos y sistemas de una organización, con la esperanza de que provean redundancia en el perímetro de seguridad de la organización.

La tríada CIA (tríada CID en español)

Es un modelo de seguridad que data de 1998, ya que se aplicaba también en escenarios como archivado y grabación de registros, mucho antes que en ciberseguridad.

Consiste en 3 secciones de un ciclo continuo que se pueden solapar un poco y es parte fundamental de una política de seguridad.

Si un elemento falta, los otros 2 son inútiles:

  • Confidencialidad. Protección de los datos frente a uso inadecuado o no autorizado. Desde secretos de estado, hasta que los informes de Recursos Humanos no pueden ser vistos desde Comercial.
  • Integridad. Que la información sea precisa y consistente, a menos que se autoricen cambios. Se mantiene si la información permanece sin cambios durante el almacenamiento, transmisión y uso que no requiera modificación. Implica que no pueda ser alterada por personas no autorizadas (como un intruso). Para todo eso se usan hashes, controles de acceso, autenticación…
  • Disponibilidad (Availability). Para que sea útil, la información debe ser accesible. Si un sistema se vuelve inaccesible, puede dañar la credibilidad de la organización. La disponibilidad se consigue con.
    • Hardware de calidad bien probado (p.ej. buenos servidores).
    • Teniendo tecnología redundante por si falla la primera línea.
    • Implementando protocolos de seguridad bien versados, para proteger la tecnología y los servicios de posibles ataques.

¿Qué elemento de la tríada CIA/CID asegura que los datos no pueden ser alterados por personas no autorizadas?

Integrity

¿Qué elemento garantiza que los datos están disponibles?

Availability

¿Qué elemento asegura que a los datos accedes solo personas autorizadas?

Confidentiality

Principios de privilegios

Los niveles de acceso de una persona están determinados por dos factores principales:

  • La función o rol de la persona en la organización.
  • La sensibilidad de la información guardada en el sistema.

Para asignar y gestionar derechos de acceso de las personas, se usan dos conceptos:

  • Gestión de los privilegios de identidad (Privileged Identity Management o PIM). Usado para traducir el rol de usuario en la organización al rol de usuario en el sistema.
  • Gestión de los privilegios de acceso (Privileged Access Management o PAM). Usado para gestionar los derechos de acceso que tiene cada rol, entre otras cosas.

Los que es esencial es siempre el principio de menor privilegio, que establece que los usuarios deben tener el menor privilegio posible, el absolutamente necesario para desarrollar sus funciones y nada más.

El PAM también implica políticas de contraseñas, de auditoría y reducir en lo posible la superficie de ataque.

¿Qué significa PIM?

Privileged Identity Management

¿Qué significa PAM?

Privileged Access Management

Si quieres gestionar los privilegios de acceso de un rol, ¿qué metodología usarías?

PAM

Si quieres crear un rol en el sistema basado en el rol que tiene la persona en la organización, ¿de qué metodología hablamos?

PIM

Modelos de seguridad, continuación

De acuerdo al modelo de seguridad, cualquier sistema o pieza de tecnología se denomina sistema de información y así nos referiremos de aquí en adelante.

Modelo Bell - La Padula

Usado para conseguir confidencialidad, este modelo realiza algunas suposiciones, como que usamos la estructura jerárquica de una organización, donde los roles y responsabilidades están bien definidos.

El modelo funciona garantizando acceso a pedazos de datos (llamados objetivos) con un criterio de «solo lo que necesitas saber».

Usa la regla: «No escribas hacia abajo, no leas hacia arriba».

Ventajas Desventajas
Las políticas en este modelo pueden ser replicadas y referencian a las jerarquías reales en la organización (y viceversa). Aunque un usuario no tenga acceso a un objeto, conocerá su existencia, así que no es confidencial en ese aspecto.
Sencilla de implementar y entender, además de que se ha probado exitosa. El modelo se basa en un montón de confianza dentro de la organización.

El modelo Bell La Padula de seguridad de la información

Este modelo es popular en organizaciones gubernamentales y militares. Esto es así porque se presume que los miembros ya han sido filtrados mediante una investigación previa, analizando sus antecedentes y estableciendo el riesgo que suponen para la organización.

Modelo Biba

El equivalente al Bell-La Padula, pero para el aspecto de integridad dentro de la tríada CIA/CID.

Se puede resumir en «no se escribe hacia arriba, no se lee hacia abajo». Eso significa que los usuarios pueden crear o escribir contenido en objetos de su nivel o por debajo, pero solo pueden leer los contenidos de objetos por encima de su nivel.

Ventajas Desventajas
Sencillo de aplicar. Habrá muchos niveles de acceso y objetos. Se pueden pasar cosas por alto a la hora de aplicar controles de seguridad.
Resuelve las limitaciones de Bell-La Padula sobre confidencialidad e integridad de los datos. A menudo, provoca retrasos en un negocio. Por ejemplo, un médico no podría leer las notas de una enfermera.

Esquema del modelo Biba de seguridad de la información

El modelo Biba se usa en organizaciones donde la integridad es más importante que la confidencialidad. Por ejemplo, en desarrollo de software, los desarrolladores pueden tener acceso solamente al código que es necesario para su trabajo. No necesitan acceso a otras cosas críticas, como bases de datos, etc.

¿Cuál es el nombre del modelo que usa la regla «No puedes leer hacia arriba, puedes leer hacia abajo?

The Bell-La Padula model

¿Cuál es el nombre del modelo que usa la regla «Puede leer hacia arriba, no puedes leer hacia abajo?

The Biba model

Si fueras militar, ¿qué modelo usarías?

The Bell-La Padula model

Si fueras desarrollado de software, ¿qué modelo usaría la empresa?

The Biba model

Modelar amenazas y Respuesta a Incidentes

Modelar amenazas es el proceso de revisar, mejorar y probar los protocolos de seguridad que tiene una organización en cuanto a tecnología de la información e infraestructuras.

Una fase crítica de modelar amenazas es identificar las que puede afrontar una organización y las vulnerabilidades que puede tener un sistema o aplicación.

Modelar amenazas es un proceso muy similar a la evaluación de riesgos de empleados y clientes en un lugar de trabajo.

En ambos, los principios son:

  • Preparación.
  • Identificación.
  • Mitigaciones.
  • Revisión.

Sin embargo, es un proceso complejo que necesita revisión constante con un equipo dedicado. Un modelo efectivo de amenazas incluye:

  • Inteligencia de amenazas.
  • Identificación de activos.
  • Capacidades de mitigación.
  • Evaluación de riesgos.

Para ayudar con esto, hay metodologías como STRIDE (*Spoofing identity, Tampering with data, Repudiation threats, Information disclosure, Denial of Service and Elevation of privileges*) y PASTA (*Process for Attack Simulation and Threat Analysis*).

Veamos STRIDE, creado por 2 investigadores de seguridad de Microsoft en 1999 y todavía relevante hoy. Incluye 6 principios.

Principio Descripción
Spoofing Requiere que te autentiques y el spoofing implica que alguien lo hace como quien no debe. Claves de acceso (como claves API) o firmas vía encriptación ayudan a remediar esta amenaza.
Tampering Con medidas para impedir la alteración de datos permiten dar integridad a un sistema. Por ejemplo, una tienda impide la alteración poniendo sellos y cierres a los productos.
Repudiation Este principio dicta el uso de servicios como registros de actividad para un sistema o aplicación.
Information Disclosure Aplicaciones o servicios que muestran información a múltiples usuarios necesitan configurarse de manera apropiada para mostrar solamente la información relevante para su dueño.
Denial of Service Medidas para impedir que el abuso de una aplicación o servicio eche abajo el sistema.
Elevation of Privilege El peor escenario. Significa que el usuario puede escalar su autorización a un nivel más elevado, como el de administrador. Eso lleva a más explotación o a revelación de información.

A una brecha de seguridad se la conoce como incidente. Las acciones destinadas a resolverlo son llamadas Respuestas al Incidente (RI o IR en ingles, de Incident Response).

Los incidentes se clasifican usando baremos de impacto y urgencia. La urgencia viene determinada por el tipo de ataque al que nos enfrentamos, mientras que el impacto viene determinado por el sistema afectado y su influencia en las operaciones del negocio.

Clasificación de incidentes por urgencia e impacto

El CSRIT (*Computer Security Incident Response Team*) responde a los incidentes. Es un grupo de empleados preconfigurado, con conocimiento técnico de los sistemas o el incidente en sí. Para resolverlo con éxito, se suelen usar estos 6 pasos.

Acción Descripción
Preparación ¿Tenemos dispuestos los recursos y planes para afrontar el incidente de seguridad?
Identificación ¿La amenaza o el adversario han sido identificados correctamente?
Contención ¿La amenaza puede ser contenida para prevenir el impacto en otros sistemas o usuarios?
Erradicación Eliminar la amenaza activa.
Recuperación Realizar una revisión completa de los sistemas afectados para volver a las operaciones habituales.
Lecciones aprendidas ¿Qué podemos aprender del incidente? Si ha sido por phishing, por ejemplo, los empleados deberían ser mejore entrenados para detectarlos.

¿Qué modelo incluye «Spoofing»?

STRIDE

¿Qué significa IR?

Incident Response

Se te encarga añadir medidas a una aplicación para mejorar la integridad de los datos. ¿Qué principio de STRIDE es este?

Tampering

El atacante ha penetrado en la organización y robado datos. Es nuestra tarea que todo vuelva a la normalidad. ¿Qué fase de la respuesta a incidentes es esta?

Recovery