Criterio de

seguridad
Lima, 24 de febrero de 2011
 Audiencia

Representante(s) de:
● Áreas o procesos organizacionales relacionados
con seguridad o auditoría interna.
● Desarrolladores de aplicaciones.
 Objetivos

● Divulgar el Criterio de Seguridad de forma que

los asistentes a esta presentación comprendan
la importancia del mismo.
● Proponer un par de indicadores que hablan
sobre el estado de la prueba/verificación de
seguridad de la información
 Contexto

● ¿Quiénes han efectuado verificaciones/pruebas

de seguridad?
● ¿Qué tipos de pruebas/verificaciones de
seguridad han realizado?
● Han pensado …¿qué es lo que
verdaderamente desean verificar/probar en
seguridad?
● ¿Cómo controlar que la verificación/prueba de
seguridad quedó completa?
Todas las respuestas deben pasar
necesariamente por ...

EL CRITERIO DE
SEGURIDAD
 Introducción

● El criterio de seguridad presenta los diferentes

requisitos no funcionales que se deben tener
en cuenta para la evaluación de aplicaciones e
infraestructura.
● Estos aspectos también pueden ser utilizados
como guías para una implementación segura.
● Cada uno de los criterios podrá ser verificado
con una o varias técnicas.
 Procedencia
El Criterio de Seguridad se basa en múltiples estándares
internacionales, entre los que se cuentan:
● Common Criteria. ISO/IEC 15408:2008 - Evaluation
criteria for IT security
– ISO/IEC 15408-1:2005
– ISO/IEC 15408-2:2008
– ISO/IEC 15408-3:2008
● ISO/IEC 17025:2005
● Reportes de vulnerabilidades en CWE - Common
Weakness Enumeration
● OWASP Code Review Guide
● OWASP Testing Guide
● American Institute of Certified Public Accountants -
Privacy Maturity Model
 Criterio de Seguridad

● Está compuesto por 19 categorías, que definen

los aspectos a evaluar durante las
pruebas/verificaciones.
● Cada categoría contiene uno o más requisitos,
para un total de 94 al día de hoy.
● Los requisitos se evalúan sobre el TOE (Target
Of Evaluation) durante una o más
verificaciones/pruebas, en función al tipo de
pruebas y al ambiente.
Criterio de Seguridad

Objetivo
Objetivo
Criterio
Criterio De
de De
de Evaluación
Evaluación
Seguridad
Seguridad TOE
TOE

RIGUROSIDAD
RIGUROSIDAD COBERTURA
COBERTURA
 Categorías del Criterio de
Seguridad
● Requisitos ● Tiempo
● Sesión ● Datos
● Criptografía ● Dependencias
● Credenciales ● Administración
● Validación ● Redes
● Codificación ● Servicios
● Autenticación ● Sistema
● Autorización ● Caché
● Archivos ● Otros
● Bitácoras
 Categoría: REQUISITOS
Sobre los requisitos de seguridad que se deben
definir para un sistema:

REQ.01.
REQ.01.Debe
Debeestar
estardefinido
definidoelel
criterio
criterio de
de seguridad
seguridad con
con los
los
requisitos
requisitos específicos para elel
específicos para
sistema.
sistema.

REQ.02.
REQ.02.Deben
Debenestar
estardefinidos
definidoslos
los
roles
roles que tendrán acceso alal
que tendrán acceso
sistema.
sistema.

REQ.03.
REQ.03.Deben
Debenestar
estardefinidos
definidoslos
los
privilegios de acceso para cada rol
privilegios de acceso para cada rol
en
enelelsistema.
sistema.
 Detalle de un requisito

VULNERABILIDAD
Antes de la

FRECUENCIA
REQ.01. Debe estar
REQUISITO

DEPENDE

construcción/ad
definido el criterio de Documento de
quisición no se
seguridad con los requisitos de seguridad Alta
especifican los
requisitos específicos específicos del sistema.
requisitos de
para el sistema.
seguridad
 Categoría: SESIÓN

Sobre la relación que se establece entre un

usuario y un sistema, o entre 2 sistemas:

SES.04.
SES.04.ElElestado
estadodedesesión
sesiónque
quese
se
SES.01.
SES.01. La
La sesión
sesión debe
debe tener
tener un
un encuentra en el cliente, debe estar
encuentra en el cliente, debe estar
tiempo máximo de vida no superior
tiempo máximo de vida no superior cifrado
cifrado yy con con protección
protección de de
aa55minutos.
minutos. integridad.
integridad.

SES.02.
SES.02.ElElmecanismo
mecanismoprimario
primariode
de
transferencia de información entre
transferencia de información entre
páginas
páginasdebe
debeser
serlalasesión.
sesión.

SES.03.
SES.03.UnUnusuario
usuariosólo
sólodebe
debepoder
poder
establecer
establecer 1 sesión simultáneaen
1 sesión simultánea en
elelsistema.
sistema.
 Detalle de un requisito

VULNERABILIDAD
Varias personas
Código fuente del

FRECUENCIA
SES.03. Un usuario pueden acceder
REQUISITO

DEPENDE

sistema y de la
solo debe poder al sistema con
configuración del
establecer 1 sesión las credenciales Alta
sistema, o
simultánea en el del mismo
Acceso al sistema en
sistema. usuario
funcionamiento.
 Categoría: CRIPTOGRAFÍA
Sobre el uso de mecanismos de cifrado y firmado
que garantizan confidencialidad, integridad y
autenticidad:
CRI.04. Debe utilizarse certificados
CRI.04. Debe utilizarse certificados
CRI.01.
CRI.01.Debe
Debeusarse
usarsemecanismos
mecanismos firmados por entidades certificadoras
firmados por entidades certificadoras
criptográficos pre-existentes. validas internas cuando estos sean para
criptográficos pre-existentes. validas internas cuando estos sean para
aplicaciones internas.
aplicaciones internas.

CRI.02. CRI.05. Debe utilizarse certificados

CRI.02.Debe
Debeutilizarse
utilizarsecertificados
certificados CRI.05. Debe utilizarse certificados
firmados por entidades certificadoras
con
con periodo de vencimiento no
periodo de vencimiento no
firmados por entidades certificadoras
validas externas cuando estos sean para
mayor a 1 año. validas externas cuando estos sean para
mayor a 1 año. aplicaciones externas.
aplicaciones externas.

CRI.03. CRI.06. Debe utilizarse certificados con

CRI.03.Debe
Debeutilizarse
utilizarsecertificados
certificados CRI.06. Debe utilizarse certificados con
una identificación coherente con la
vigentes
vigentes según sus fechas de
según sus fechas de
una identificación coherente con la
entidad (servicio, servidor, etc) a la cual se
emisión y vencimiento. entidad (servicio, servidor, etc) a la cual se
emisión y vencimiento. encuentra asociado.
encuentra asociado.
 Categoría: CRIPTOGRAFÍA
Sobre el uso de mecanismos de cifrado y firmado
que garantizan confidencialidad, integridad y
autenticidad:
CRI.07.
CRI.07. Debe
Debe utilizarse
utilizarse como
como CRI.10.
CRI.10. Debe
Debe utilizarse
utilizarse con
con lala
mecanismo de cifrado asimétrico
mecanismo de cifrado asimétrico criptografía
criptografíaasimétrica
asimétricapares
paresdede
un
un tamaño
tamaño dede clave
clave mínimo
mínimo de
de claves
claves separados para cifradoyy
separados para cifrado
1024 bits.
1024 bits. firmado.
firmado.

CRI.08.
CRI.08. Debe
Debe utilizarse
utilizarse como
como CRI.11.
CRI.11. Debe
Debe utilizarse
utilizarse firmas
firmas
mecanismo
mecanismo de cifrado simétricoun
de cifrado simétrico un digitales
digitales para garantizar lala
para garantizar
tamaño de clave mínimo
tamaño de clave mínimo de 256de 256 autenticidad
autenticidadde decódigo
códigomóvil
móviloode
de
bits.
bits. alta criticidad.
alta criticidad.

CRI.09.
CRI.09. Debe
Debe utilizarse
utilizarse como
como
mecanismo de funciones resumen
mecanismo de funciones resumen
un
untamaño
tamañomínimo
mínimodede256
256bits.
bits.
 Detalle de un requisito

Certificados
CRI.04. Debe utilizarse

VULNERABILIDAD
digitales de
certificados firmados

FRECUENCIA
aplicaciones
REQUISITO

DEPENDE

por entidades
Acceso al sistema en internas no
certificadoras validas
funcionamiento. emitidos por una Alta
internas cuando estos
entidad
sean para aplicaciones
certificadora
internas.
interna
 Categoría: CREDENCIALES
Sobre la información utilizada (usuario, clave,
OTP) para autenticar a un usuario o un sistema:

CRE.01.
CRE.01. Las
Las contraseñas
contraseñas deben
deben CRE.04.
CRE.04.Las
Lascontraseñas
contraseñasdeben
deben
almacenarse a través de resúmenes
almacenarse a través de resúmenes tener
tener una validez máxima de30
una validez máxima de 30
criptográficos.
criptográficos. días.
días.

CRE.02.
CRE.02.Las
Lascontraseñas
contraseñasdeben
deben CRE.05.
CRE.05. Las
Las contraseñas
contraseñas deben
deben
almacenarse
almacenarse en una fuentede
en una fuente de tener
tener una validez mínima de 1día.
una validez mínima de 1 día.
datos única.
datos única.

CRE.03.
CRE.03.Las
Lascontraseñas
contraseñasdeben
deben CRE.06.
CRE.06.Las
Lascontraseñas
contraseñas(tipo
(tipofrase
frase
cambiarse
cambiarse siempre por otra
siempre por otra -preferido-) deben tener al menos
-preferido-) deben tener al menos
diferente a las 30 anteriores.
diferente a las 30 anteriores. 33palabras
palabrasdedelongitud.
longitud.[8]
[8]
 Categoría: CREDENCIALES
Sobre la información utilizada (usuario, clave,
OTP) para autenticar a un usuario o un sistema:

CRE.07.
CRE.07. Las
Las contraseñas
contraseñas (tipo
(tipo CRE.10.
CRE.10. Las
Las contraseñas
contraseñas (tipo
(tipo
palabra)
palabra) deben tener al menos88
deben tener al menos palabra)
palabra) deben tener al menos11
deben tener al menos
caracteres
caracteresde
delongitud.
longitud. dígito
dígitonumérico.
numérico.

CRE.08.
CRE.08. Las
Las contraseñas
contraseñas (tipo
(tipo CRE.11.
CRE.11. Las
Las contraseñas
contraseñas (tipo
(tipo
palabra)
palabra) deben tener al menos11
deben tener al menos palabra)
palabra) deben tener al menos11
deben tener al menos
letra
letraminúscula.
minúscula. carácter
carácterespecial.
especial.

CRE.09.
CRE.09. Las
Las contraseñas
contraseñas (tipo
(tipo CRE.12.
CRE.12.Las
Lascredenciales
credencialesde
deusuario
usuario
palabra)
palabra) deben tener al menos11
deben tener al menos deben
deben ser transportadas por un
ser transportadas por un
letra
letramayúscula.
mayúscula. canal seguro.
canal seguro.
 Categoría: CREDENCIALES
Sobre la información utilizada (usuario, clave,
OTP) para autenticar a un usuario o un sistema:

CRE.16.
CRE.16. ElEl salt
salt utilizado
utilizado para
para
CRE.13.
CRE.13. LasLas credenciales
credenciales de de implementar el requisito CRE.15.
implementar el requisito CRE.15.
sistema deben ser de una longitud
sistema deben ser de una longitud debe
debeser
seraleatorio
aleatorioyydedemínimo
mínimo48
48
superior
superioraa20
20yyalta
altacomplejidad.
complejidad. bits.
bits.

CRE.14.
CRE.14. Las
Las credenciales
credenciales por
por
defecto
defecto de
de sistemas
sistemas pre-
pre-
construidos deben ser eliminadas.
construidos deben ser eliminadas.

CRE.15.
CRE.15. Dos
Dos contraseñas
contraseñas iguales
iguales
deben almacenarse con diferentes
deben almacenarse con diferentes
resúmenes
resúmenescriptográficos
criptográficos(salt).
(salt).
 Detalle de un requisito

VULNERABILIDAD
Contraseñas
CRE.01. Las

FRECUENCIA
Código fuente del almacenadas de
REQUISITO

DEPENDE

contraseñas deben
sistema y de la forma plana y
almacenarse a través
configuración del por ende Alta
de resúmenes
sistema. conocidas por el
criptográficos.
administrador
 Categoría: VALIDACIÓN
Sobre las validaciones que deben realizarse
sobre los datos que provienen del exterior:
VAL.04.
VAL.04. Debe
Debe validarse
validarse que
que elel
VAL.01.
VAL.01.Debe
Debevalidarse
validarselalaentrada
entrada correo
correoelectrónico
electrónicoes
esúnico
únicoaapesar
pesar
de
de información antes de serusada.
información antes de ser usada. del
del componente entre el + y la@.
componente entre el + y la @.

VAL.02.
VAL.02.Debe
Debevalidarse
validarselalaentrada
entrada VAL.05.
VAL.05. Debe
Debe validarse
validarse que
que elel
de
de información en el servidoryyno
información en el servidor no correo
correo electrónico
electrónico declarado
declarado
solo en el cliente.
solo en el cliente. pertenece a la persona en cuestión.
pertenece a la persona en cuestión.

VAL.03.
VAL.03. Debe
Debe validarse
validarse que
que elel VAL.06.
VAL.06. Debe
Debe validarse
validarse que
que elel
sujeto
sujetoque
querealiza
realizalas
lasacciones
accionesde
de contenido
contenido de de los los archivos
archivos
registro y autenticación es
registro y autenticación es un un relacionados
relacionados este libre decódigo
este libre de código
humano.
humano. malicioso.
malicioso.
 Categoría: VALIDACIÓN
Sobre las validaciones que deben realizarse
sobre los datos que provienen del exterior:

VAL.07.
VAL.07.Debe
Debevalidarse
validarseque
queelel
formato
formato de de los
los archivos
archivos
relacionados
relacionados correspondeaasu
corresponde su
extensión.
extensión.

VAL.08.
VAL.08. Debe
Debe validarse
validarse que
que elel
sujeto
sujeto que
que lee
lee un un correo
correo
electrónico
electrónico de un sitio publicoes
de un sitio publico es
un humano.
un humano.
 Detalle de un requisito

Los procesos de

VULNERABILIDAD
Código fuente del registro y
VAL.03. Acciones de

FRECUENCIA
sistema y de la autenticación
REQUISITO

DEPENDE

registro y autenticación
configuración del pueden
solo deben ser
sistema, o realizarse Alta
realizadas por un
Acceso al sistema en mediante un
humanos (captcha).
funcionamiento. robot generando
basura
 Categoría: CODIFICACIÓN
Sobre como debe estar construido el código
fuente de un sistema:
COD.01.
COD.01. ElEl código
código sólo
sólo debe
debe COD.04.
COD.04.ElElcódigo
códigosolo
solodebe
debeusar
usar
realizar
realizar las funciones para las
las funciones para las funciones seguras y actualizadas
funciones seguras y actualizadas
cuales fue diseñado y no acciones
cuales fue diseñado y no acciones del
dellenguaje.
lenguaje.
colaterales.
colaterales.

COD.05.
COD.05.ElElcódigo
códigofuente
fuenteno
nodebe
debe
COD.02.
COD.02.ElElcódigo
códigodebe
debeestar
estarlibre
libre ser
ser accesible en ambientes de
accesible en ambientes de
de
de información personal (ej:
información personal (ej: producción
producción (ej:
(ej: compilación,
compilación,
contraseñas personales).
contraseñas personales). ofuscación).
ofuscación).

COD.06.
COD.06.ElElcódigo
códigodebe
debeestar
estar
COD.03.
COD.03.ElElcódigo
códigodebe
debecompilarse
compilarse codificado según el lenguaje
codificado según el lenguaje
oointerpretarse de forma estricta.
interpretarse de forma estricta. correspondiente
correspondiente(ej:
(ej:HTML,
HTML,JS,
JS,
"escaping").
"escaping").
 Categoría: CODIFICACIÓN
Sobre como debe estar construido el código
fuente de un sistema:

COD.07.
COD.07. ElEl código
código debe
debe definir
definir
opciones
opciones por defecto seguras(ej:
por defecto seguras (ej:
default en switchs).
default en switchs).
 Detalle de un requisito

VULNERABILIDAD
El código fuente
COD.02. El código

FRECUENCIA
tiene
REQUISITO

DEPENDE

debe estar libre de

Código fuente del “quemadas” las
información personal
sistema. contraseñas de Alta
(ej: contraseñas
conexiones a
personales).
otros sistemas
 Categoría: AUTENTICACIÓN
Sobre como debe realizarse el proceso mediante
el cual un usuario o sistema se identifica ante
otro:
AUT.01. El proceso de autenticación/login AUT.04. El proceso de autenticación debe
AUT.01. El proceso de autenticación/login AUT.04. El proceso de autenticación debe
debe tener un retraso constante no menor indicar que el sistema solo esta disponible
debe tener un retraso constante no menor indicar que el sistema solo esta disponible
a 5 segundos cuando las credenciales sean para personal autorizado. (ISO
a 5 segundos cuando las credenciales sean para personal autorizado. (ISO
erróneas. 27002:2005, 15.1.5).
erróneas. 27002:2005, 15.1.5).

AUT.02. El proceso de autenticación no AUT.05. El proceso de autenticación

AUT.02. El proceso de autenticación no
debe emitir mensajes de error que
debe emitir mensajes de error que
permitan distinguir si es un error de
permitan distinguir si es un error de
usuario o de contraseña.
usuario o de contraseña.
AUT.05. El proceso de autenticación
debe comparar los resúmenes de las
debe comparar los resúmenes de las
claves ingresadas y almacenadas y no
claves ingresadas y almacenadas y no
las claves en sí.
las claves en sí.

AUT.03.
AUT.03. ElEl proceso
proceso dede AUT.06. El proceso de autenticación
AUT.06. El proceso de autenticación
autenticación no debe bloquear las
autenticación no debe bloquear las unificado (SSO: Single Sign On) debe
unificado (SSO: Single Sign On) debe
cuentas implementarse mediante protocolos
cuentasdespués
despuésde deun
unnumero
numerode de implementarse mediante protocolos
estándar (ej: SAML).
intentos fallidos.
intentos fallidos. estándar (ej: SAML).
 Categoría: AUTENTICACIÓN
Sobre como debe realizarse el proceso mediante
el cual un usuario o sistema se identifica ante
otro:
AUT.07.
AUT.07. ElEl proceso
proceso dede AUT.10.
AUT.10. ElEl proceso
proceso de
de
autenticación
autenticación debe
debe requerir
requerir autenticación critica debe requerir
autenticación critica debe requerir
mínimamente
mínimamente nombre de usuarioyy
nombre de usuario adicionalmente
adicionalmente identificación
identificación de
de
clave.
clave. equipos.
equipos.

AUT.08.
AUT.08. ElEl proceso
proceso de
de AUT.11.
AUT.11. ElEl proceso
proceso de
de
autenticación critica debe requerir
autenticación critica debe requerir autenticación critica debe requerir
autenticación critica debe requerir
adicionalmente
adicionalmenteclaves
clavesdedeun
unsolo
solo adicionalmente
adicionalmente certificados
certificados
uso.
uso. digitales de cliente.
digitales de cliente.

AUT.09.
AUT.09. ElEl proceso
proceso de
de
autenticación critica debe requerir
autenticación critica debe requerir
adicionalmente
adicionalmente verificación
verificación
biométrica.
biométrica.
 Detalle de un requisito

Si las
AUT.01. El proceso de

VULNERABILIDAD
Código fuente del credenciales
autenticación/login

FRECUENCIA
sistema y de la son erroneas el
REQUISITO

DEPENDE

debe tener un retraso

configuración del sistema
constante no menor a
sistema, o responde Alta
5 segundos cuando las
Acceso al sistema en inmediantament
credenciales sean
funcionamiento. e facilitando un
erróneas.
ataque
 Categoría: AUTORIZACIÓN
Sobre las reglas que deben existir para otorgar
acceso a un sujeto a un objeto especifico:
AUZ.01.
AUZ.01. Los Los privilegios
privilegios para
para
objetos nuevos deben establecerse
objetos nuevos deben establecerse
según
según elel principio
principio de de mínimo
mínimo
privilegio (umask).
privilegio (umask).

AUZ.02.
AUZ.02. LosLos privilegios
privilegios para
para un
un
sujeto no pueden ser aumentados
sujeto no pueden ser aumentados
por
porelelmismo
mismosujeto.
sujeto.

AUZ.03.
AUZ.03. Los
Los privilegios
privilegios para
para
objetos con contenido sensible
objetos con contenido sensible
deben
debentener
teneracceso
accesorestringido.
restringido.
 Detalle de un requisito

VULNERABILIDAD
Código fuente del
AUZ.02. Los privilegios Un sujeto puede

FRECUENCIA
sistema y de la
REQUISITO

DEPENDE

para un sujeto no aumentar los

configuración del
pueden ser privilegios que
sistema, o Baja
aumentados por el le han sido
Acceso al sistema en
mismo sujeto. asignados
funcionamiento.
 Categoría: ARCHIVOS
Sobre las reglas que deben aplicarse sobre el
uso de archivos en un sistema:
ARC.01.
ARC.01. Los
Los archivos
archivos temporales
temporales
no
no deben desplegarse alambiente
deben desplegarse al ambiente
de producción.
de producción.

ARC.02.
ARC.02.Los
Losarchivos
archivosgenerados
generadosen
en
directorios públicos deben tener
directorios públicos deben tener
nombre
nombrealeatorio.
aleatorio.

ARC.03.
ARC.03. Los
Los archivos
archivos deben
deben ser
ser
referenciados mediante sus rutas
referenciados mediante sus rutas
absolutas.
absolutas.
 Detalle de un requisito

VULNERABILIDAD
ARC.03. Los archivos

FRECUENCIA
Código fuente del Inyección de
REQUISITO

DEPENDE

deben ser
sistema y de la código mediante
referenciados
configuración del manipulación Baja
mediante sus rutas
sistema del PATH
absolutas.
 Categoría: BITÁCORAS
Sobre los eventos, excepciones y el registro que
debe dejarse sobre los mismos en un sistema:

BIT.04. Los eventos deben contener el

BIT.04. Los eventos deben contener el
BIT.01.
BIT.01.Los
Loseventos
eventosexcepcionales
excepcionales momento de ocurrencia (fecha, hora,
momento de ocurrencia (fecha, hora,
deben segundos, mili-segundos y zona
deben ser registradosen
ser registrados enbitácoras.
bitácoras. segundos, mili-segundos y zona
horaria).
horaria).

BIT.05. Las bitácoras deben

BIT.05. Las bitácoras deben
BIT.02.
BIT.02.Los
Loseventos
eventosexcepcionales
excepcionales almacenarse mediante un mecanismo o
almacenarse mediante un mecanismo o
deben sistema inalterable (externo, append-
deben clasificarse porseveridad.
clasificarse por severidad. sistema inalterable (externo, append-
only).
only).

BIT.03.
BIT.03.Los
Loseventos
eventoscon
conseveridad
severidad BIT.06.
BIT.06. Las
Las bitácoras
bitácoras deben
deben
de
de depuración no deben estar
depuración no deben estar retenerse
retenerse como mínimo 1año.
como mínimo 1 año.
habilitados en producción.
habilitados en producción.
 Categoría: BITÁCORAS
Sobre los eventos, excepciones y el registro que
debe dejarse sobre los mismos en un sistema:

BIT.07.
BIT.07. La
La gestión
gestión dede bitácoras
bitácoras
(rotación,
(rotación, transporte, etc) debeser
transporte, etc) debe ser
responsabilidad
responsabilidad del
del sistema
sistema
operativo.
operativo.
 Detalle de un requisito

VULNERABILIDAD
Situaciones

FRECUENCIA
BIT.01. Los eventos Código fuente del excepcionales
REQUISITO

DEPENDE

excepcionales deben sistema y de la no son

ser registrados en configuración del tratadadas Alta
bitácoras. sistema adecuadamente
o registradas
 Categoría: TIEMPO
Sobre la sincronización de relojes que mantienen
un tiempo coherente en los sistemas:

TIE.01.
TIE.01.ElEltiempo
tiempodel
delsistema
sistemadebe
debe
estar sincronizado con el tiempo
estar sincronizado con el tiempo
oficial
oficialdel
delpaís.
país.

TIE.02.
TIE.02.ElEltiempo
tiempodel
delsistema
sistemadebe
debe
estar
estar sincronizado con el tiempode
sincronizado con el tiempo de
los demás sistemas
los demás sistemas de la de la
organización.
organización.
 Detalle de un requisito

VULNERABILIDAD
Acceso al servidor La hora del

FRECUENCIA
TIE.01. El tiempo del
REQUISITO

DEPENDE

donde se aloja el sistema no

sistema debe estar
sistema, o corresponde a
sincronizado con el Media
Acceso al sistema en la hora oficial
tiempo oficial del país.
funcionamiento del país
 Categoría: DATOS
Sobre los datos y respaldos que deben realizarse
sobre la información de la organización:

DAT.04.
DAT.04.Los
Losdatos
datosde
deambientes
ambientes
DAT.01.
DAT.01.Los
Losdatos
datosde
derespaldos
respaldos diferentes
diferentes a produccióndeben
a producción deben
deben almacenarse cifrados.
deben almacenarse cifrados. encontrarse enmascarados.
encontrarse enmascarados.

DAT.02.
DAT.02. Los
Los datos
datos de
de respaldos
respaldos
deben
deben almacenarse fueradel
almacenarse fuera delsitio
sitio
origen.
origen.

DAT.03.
DAT.03. Los
Los datos
datos de
de respaldos
respaldos
deben realizarse a una frecuencia
deben realizarse a una frecuencia
no
nomayor
mayordede77días
días(RPO).
(RPO).
 Detalle de un requisito

Los respaldos al

VULNERABILIDAD
ser

FRECUENCIA
REQUISITO

DEPENDE

DAT.01. Los respaldos interceptados

Acceso a los respaldos
deben almacenarse pueden ser
del sistema Alta
cifrados. leídos por
cualquier
persona
 Categoría: DEPENDENCIAS

Sobre los componentes del sistema que se

requieren para funcionar:

DEP.01.
DEP.01.Deben
Debenusarse
usarseversiones
versiones
estables
estables de las dependenciasdel
de las dependencias del
sistema.
sistema.

DEP.02.
DEP.02. Deben
Deben usarse
usarseversiones
versiones
actualizadas de las dependencias
actualizadas de las dependencias
del
delsistema.
sistema.
 Detalle de un requisito

Binarios o versiones Las

VULNERABILIDAD
de las bibliotecas dependencias

FRECUENCIA
DEP.02. Deben usarse
REQUISITO

DEPENDE

usadas por el sistema, del sistema son

versiones actualizadas
o versiones
de las dependencias Alta
Acceso al servidor desactualizadas
del sistema.
donde se aloja el por ende con
sistema. problemas.
 Categoría: ADMINISTRACIÓN

Sobre la gestión administrativa del sistema:

ADM.01. Los mecanismos de gestión de

ADM.01. Los mecanismos de gestión de
un sistema solo deben ser accesibles
un sistema solo deben ser accesibles
desde segmentos de gestión o
desde segmentos de gestión o
administrativos.
administrativos.
 Detalle de un requisito

ADM.01. Los Las interfaces

VULNERABILIDAD
mecanismos de de gestión

FRECUENCIA
REQUISITO

DEPENDE

gestión de un sistema Acceso a la red donde pueden

solo deben ser se conectan los accederse
Alta
accesibles desde usuarios. desde
segmentos de gestión segmentos de
o administrativos. usuarios.
 Categoría: REDES
Sobre la red que soporta el sistema en
evaluación:
RED.01. Los segmentos de usuarios y RED.04.
RED.01. Los segmentos de usuarios y
servidores con aplicaciones o contenido RED.04.UnUnpuerto
puertodebe
debetener
tenerunun
servidores con aplicaciones o contenido
deben permitir acceso solo a los
limite máximo de conexiones por IP
limite máximo de conexiones por IP
deben permitir acceso solo a los origen.
puertos necesarios. origen.
puertos necesarios.

RED.02. Los servidores con aplicaciones

RED.02. Los servidores con aplicaciones
o contenido solo deben tener acceso a
o contenido solo deben tener acceso a
los puertos que les permitan cumplir su
los puertos que les permitan cumplir su
propósito.
propósito.

RED.03. El acceso físico a la red para los

RED.03. El acceso físico a la red para los
usuarios debe asignarse con base en las
usuarios debe asignarse con base en las
credenciales del usuario en la organización
credenciales del usuario en la organización
(ej: 802.1x).
(ej: 802.1x).
 Detalle de un requisito

RED.01. Los

VULNERABILIDAD
segmentos de usuarios Los servidores

FRECUENCIA
REQUISITO

DEPENDE

y servidores con Acceso a la red donde aceptan

aplicaciones o se conectan los conexiones no
Alta
contenido deben usuarios. relacionadas
permitir acceso solo a con su propósito
los puertos necesarios.
 Categoría: SERVICIOS

Sobre los servicios o características habilitadas

en el sistema en evaluación:

SER.01.
SER.01. Las
Las funciones
funciones de
de un
un
servicio que son potencialmente
servicio que son potencialmente
inseguras
inseguras deben
deben estar
estar
deshabilitadas.
deshabilitadas.

SER.02.
SER.02.Las
Lasfunciones
funcionesdedeunun
servicio que son innecesarias
servicio que son innecesarias
deben
debenestar
estardeshabilitadas.
deshabilitadas.
 Detalle de un requisito

VULNERABILIDAD
SER.01. Las funciones Funciones de un

FRECUENCIA
REQUISITO

DEPENDE

de un servicio que son Acceso a la red donde servicio

potencialmente se conectan los inseguras se
Alta
inseguras deben estar usuarios. mantienen
deshabilitadas. habilitadas
 Categoría: SISTEMA
Sobre las características necesarias en los
sistemas operativos que soportan el sistema en
evaluación:

SIS.01. La gestión administrativa del sistema

SIS.01. La gestión administrativa del sistema
debe realizarse a través de intermediarios
debe realizarse a través de intermediarios
privilegiados (sudo) que permitan la
privilegiados (sudo) que permitan la
contabilidad a cada individuo.
contabilidad a cada individuo.

SIS.02.
SIS.02.La
Laintegridad
integridadde
delos
losarchivos
archivos
del sistema debe ser verificada
del sistema debe ser verificada
periódicamente
periódicamente yy su su estado
estado
reportado.
reportado.

SIS.03. El uso de compiladores en sistemas de

SIS.03. El uso de compiladores en sistemas de
producción debe estar restringido solo para
producción debe estar restringido solo para
las aplicaciones que así lo requieran (ej:
las aplicaciones que así lo requieran (ej:
servidores de aplicaciones Java).
servidores de aplicaciones Java).
 Detalle de un requisito

SIS.01. La gestión
administrativa del Código fuente del No se puede

VULNERABILIDAD
sistema debe sistema y de la conocer que

FRECUENCIA
REQUISITO

DEPENDE

realizarse a través de configuración del persona

intermediarios sistema, o especifica
Alta
privilegiados (sudo) Acceso al servidor realiza las
que permitan la donde se aloja el labores
contabilidad a cada sistema. administrativas
individuo.
 Categoría: CACHÉ
Sobre la información almacenada
temporalmente para mejorar el rendimiento o la
usabilidad:
CAC.01.
CAC.01.La
Lainformación
informaciónsensible
sensible
debe
debe ser
ser excluida
excluida del del
almacenamiento en caché [2].
almacenamiento en caché [2].
 Detalle de un requisito

VULNERABILIDAD
Código fuente del Información
CAC.01. La

FRECUENCIA
sistema y de la sensible es
REQUISITO

DEPENDE

información sensible
configuración del almacenada en
debe ser excluida del
sistema, o cache sin que Alta
almacenamiento en
Acceso al sistema en esta situación
cache [2].
funcionamiento. sea permitida.
 Categoría: OTROS

Sobre otros aspectos de seguridad que deben

considerarse:

OTR.01.
OTR.01.Los
Losnúmeros
númerosaleatorios
aleatorios
generados
generados deben seguir una
deben seguir una
distribución uniforme.
distribución uniforme.

OTR.02. La información de producto

OTR.02. La información de producto
solo debe ser accesible para los
solo debe ser accesible para los
administradores del sistema [7].
administradores del sistema [7].
 Detalle de un requisito

VULNERABILIDAD
OTR.02. La Código fuente del
El sistema

FRECUENCIA
información de sistema y de la
REQUISITO

DEPENDE

revela mas
producto solo debe ser configuración del
información de
accesible para los sistema, o Alta
la necesaria
administradores del Acceso al sistema en
para un usuario
sistema [7]. funcionamiento.
 Rigurosidad

● La rigurosidad es el valor porcentual de la

relación entre los requisitos verificados y los
requisitos aplicables a la prueba
Requisitos Verificados
Rigurosidad= 
Requisitos Aplicables
● Cabe anotar que este valor irá aumentando en
función de las pruebas ejecutadas sobre el
TOE, pues se considerara más requisitos.
 Metodología
Análisis Diseño Desarrollo Pruebas Despliegue Operación Solución

Participación Acompañamiento

Diseño Pruebas Auditoría

de de de
Seguridad Seguridad Cumplimiento

1. Entender problemática 8. de infraestructura. 13. Verificar controles

2. Identificar regulación y requisitos 9. de aplicación. 14. Monitorear los riesgos.
3. Identificar activos de información 10. de ingeniería social
4. Identificar riesgos sobre ellos 11. de rendimiento.
5. Proponer controles de seguridad 12. Análisis de código
a. Vista de Seguridad de la AE
b. BD de Controles / Lineas Base
6. Decidir sobre el riesgo residual.
7. Entregar el diseño de seguridad.
 Conclusiones
● El criterio de seguridad es una adecuada “herramienta”
para escoger una prueba/verificación de seguridad.
● El criterio de seguridad es un punto de apoyo para evaluar
el estado de seguridad de determinado artefacto.
● La prueba/verificación está determinada por lo que se
quiere validar y no por la técnica aplicada por un “hacker”
● Es posible modificar el criterio de seguridad y adaptarlo a
las exigencias de manera fácil y sin traumatismos.
● Sirve tanto de herramienta de medición, como de
fundamentación para implementar políticas de seguridad.
 Contáctenos

● Web : http://www.fluidsignal.com/
● Twitter : http://twitter.com/fluidsignal
● Youtube : http://www.youtube.com/fluidsignal
● Facebook : http://www.facebook.com/fluidsignal
● Correo : mercadeo.ventas@fluidsignal.com
● Teléfono : +57 (1) 2697800, +57 (4) 4442637
● Celular : +57 3108408002, +57 3136601911
● Ubicación : calle 7D 43A-99 Oficina 509 - Medellín
 Muchas gracias!

mauricio.gomez@fluidsignal.com
 Cláusula Legal
Copyright 2010 Fluidsignal Group
Todos los derechos reservados
Este documento contiene información de propiedad de Fluidsignal
Group. El cliente puede usar dicha información sólo con el
propósito de documentación sin poder divulgar su contenido a
terceras partes ya que contiene ideas, conceptos, precios y
estructuras de propiedad de Fluidsignal Group S.A. La
clasificación "propietaria" significa que ésta información es sólo
para uso de las personas a quienes esta dirigida. En caso de
requerirse copias totales o parciales se debe contar con la
autorización expresa y escrita de Fluidsignal Group S.A. Las
normas que fundamentan la clasificación de la información son los
artículos 72 y siguientes de la decisión del acuerdo de Cartagena,
344 de 1.993, el artículo 238 del código penal y los artículos 16 y
siguientes de la ley 256 de 1.996.