Criterio de seguridad

2010/11/11
 Audiencia

Representante(s) de:
● Áreas o procesos organizacionales relacionados
con seguridad o auditoría interna.
● Desarrolladores de aplicaciones.
 Objetivos
● Divulgar el Criterio de Seguridad de forma que
los asistentes a esta presentación comprendan
la importancia del mismo.
● Proponer un par de indicadores que hablan
sobre el estado de la prueba/verificación de
seguridad de la información
 Contexto

● Quiénes han efectuado verificaciones/pruebas

de seguridad?
● Qué tipos de pruebas/verificaciones de
seguridad han realizado?
● Han pensado ¿qué es lo que verdaderamente
desean verificar/probar en seguridad?
● ¿Cómo controlar que la verificación/prueba de
seguridad quedó completa?
Todas las respuestas deben pasar
necesariamente por ...

EL CRITERIO DE
SEGURIDAD
 Introducción

● El criterio de seguridad presenta los diferentes

requisitos no funcionales que se deben tener
en cuenta para la evaluación de aplicaciones e
infraestructura.
● Estos aspectos también pueden ser utilizados
como guías para una implementación segura.
● Cada uno de los criterios podrá ser verificado
con una o varias técnicas.
 Procedencia
El Criterio de Seguridad se basa en múltiples estándares
internacionales, entre los que se cuentan:
● Common Criteria. ISO/IEC 15408:2008 - Evaluation
criteria for IT security
– ISO/IEC 15408-1:2005
– ISO/IEC 15408-2:2008
– ISO/IEC 15408-3:2008
● ISO/IEC 17025:2005
● Reportes de vulnerabilidades en CWE - Common
Weakness Enumeration
● OWASP Code Review Guide
● OWASP Testing Guide
● American Institute of Certified Public Accountants -
Privacy Maturity Model
 Criterio de Seguridad

● Está compuesto por 19 categorías, que definen

los aspectos a evaluar durante las
pruebas/verificaciones.
● Cada categoría contiene uno o más requisitos,
para un total de 94 al día de hoy.
● Los requisitos se evalúan sobre el TOE (Target
Of Evaluation) durante una o más
verificaciones/pruebas, en función al tipo de
pruebas y al ambiente.
Criterio de Seguridad

Objetivo
Objetivo
Criterio
Criterio De
de De
de Evaluación
Evaluación
Seguridad
Seguridad TOE
TOE

RIGUROSIDAD
RIGUROSIDAD COBERTURA
COBERTURA
 Categorías del Criterio de
Seguridad
● Requisitos ● Tiempo
● Sesión ● Datos
● Criptografía ● Dependencias
● Credenciales ● Administración
● Validación ● Redes
● Codificación ● Servicios
● Autenticación ● Sistema
● Autorización ● Caché
● Archivos ● Otros
● Bitácoras
 Categoría: REQUISITOS

Sobre los requisitos de seguridad que se

deben definir para un sistema:
REQ.01.
REQ.01.Debe
Debeestar
estardefinido
definidoelel
criterio
criterio de
de seguridad
seguridad con
con los
los
requisitos
requisitos específicos
específicos para
para elel
sistema.
sistema.

REQ.02.
REQ.02. Deben
Deben estar
estar definidos
definidos
los
los roles que tendrán accesoalal
roles que tendrán acceso
sistema.
sistema.

REQ.03.
REQ.03.Deben
Debenestar
estardefinidos
definidos
los
los privilegios de acceso para
privilegios de acceso para
cada rol en el sistema.
cada rol en el sistema.
 Detalle de un requisito

VULNERABILIDAD

FRECUENCIA
REQ.01. Debe estar Antes de la
REQUISITO

Documento de
DEPENDE

definido el criterio construcción/a

requisitos de
de seguridad con dquisición no
seguridad Alta
los requisitos se especifican
específicos del
específicos para el los requisitos
sistema.
sistema. de seguridad
 Categoría: SESIÓN

Sobre la relación que se establece entre un

usuario y un sistema, o entre 2 sistemas:
SES.04.
SES.04.ElElestado
estadode desesión
sesiónque
que
SES.01.
SES.01.La
Lasesión
sesióndebe
debetener
tenerun
un se encuentra en el cliente, debe
se encuentra en el cliente, debe
tiempo máximo de vida
tiempo máximo de vida no no
estar
estar cifrado
cifrado yy con
con protección
protección
superior
superioraa55minutos.
minutos. de integridad.
de integridad.

SES.02.
SES.02. ElEl mecanismo
mecanismo primario
primario
de transferencia de información
de transferencia de información
entre
entre páginas
páginas debe
debe ser
ser lala
sesión.
sesión.

SES.03.
SES.03.Un
Unusuario
usuariosolo
solodebe
debe
poder establecer 1 sesión
poder establecer 1 sesión
simultánea
simultáneaen
enelelsistema.
sistema.
 Detalle de un requisito

VULNERABILIDAD
Varias personas

FRECUENCIA
Código fuente del
REQUISITO

SES.03. Un usuario pueden acceder

DEPENDE

sistema y de la
solo debe poder al sistema con
configuración del
establecer 1 sesión las credenciales Alta
sistema, o
simultánea en el del mismo
Acceso al sistema en
sistema. usuario
funcionamiento.
 Categoría: CRIPTOGRAFÍA
Sobre el uso de mecanismos de cifrado y
firmado que garantizan confidencialidad,
integridad y autenticidad:

CRI.01. Debe usarse CRI.04. Debe utilizarse certificados

CRI.01. Debe usarse CRI.04. Debe utilizarse certificados
firmados por entidades certificadoras
mecanismos
mecanismos criptográficospre-
criptográficos pre-
firmados por entidades certificadoras
validas internas cuando estos sean
existentes. validas internas cuando estos sean
existentes. para aplicaciones internas.
para aplicaciones internas.

CRI.02. Debe utilizarse CRI.05. Debe utilizarse certificados

CRI.02. Debe utilizarse CRI.05. Debe utilizarse certificados
firmados por entidades certificadoras
certificados
certificados con periodo de
con periodo de
firmados por entidades certificadoras
validas externas cuando estos sean
vencimiento no mayor a 1 año. validas externas cuando estos sean
vencimiento no mayor a 1 año. para aplicaciones externas.
para aplicaciones externas.

CRI.03.
CRI.03. Debe
Debe utilizarse
utilizarse CRI.06. Debe utilizarse certificados
CRI.06. Debe utilizarse certificados
certificados
certificados vigentes segúnsus
vigentes según sus con una identificación coherente con
con una identificación coherente con
fechas de emisión yy la entidad (servicio, servidor, etc) a la
fechas de emisión la entidad (servicio, servidor, etc) a la
vencimiento. cual se encuentra asociado.
vencimiento. cual se encuentra asociado.
 Categoría: CRIPTOGRAFÍA
Sobre el uso de mecanismos de cifrado y
firmado que garantizan confidencialidad,
integridad y autenticidad:
CRI.07.
CRI.07. Debe
Debe utilizarse
utilizarse como
como CRI.10.
CRI.10. Debe
Debe utilizarse
utilizarse con
con lala
mecanismo
mecanismo dede cifrado
cifrado criptografía
criptografíaasimétrica
asimétricapares
paresdede
asimétrico
asimétricoun
untamaño
tamañode declave
clave claves
clavesseparados
separadosparaparacifrado
cifradoyy
mínimo de 1024 bits.
mínimo de 1024 bits. firmado.
firmado.

CRI.08.
CRI.08. Debe
Debe utilizarse
utilizarse como
como CRI.11.
CRI.11. Debe
Debe utilizarse
utilizarse firmas
firmas
mecanismo de cifrado simétrico
mecanismo de cifrado simétrico digitales
digitales para garantizar lala
para garantizar
un
untamaño
tamañode declave
clavemínimo
mínimodede autenticidad
autenticidadde decódigo
códigomóvil
móviloo
256 bits.
256 bits. de
dealta
altacriticidad.
criticidad.

CRI.09.
CRI.09. Debe
Debe utilizarse
utilizarse como
como
mecanismo
mecanismo de
de funciones
funciones
resumen
resumenun untamaño
tamañomínimo
mínimodede
256 bits.
256 bits.
 Detalle de un requisito

Certificados

VULNERABILIDAD
CRI.04. Debe utilizarse
digitales de

FRECUENCIA
certificados firmados
REQUISITO

aplicaciones
DEPENDE

por entidades
Acceso al sistema en internas no
certificadoras validas
funcionamiento. emitidos por una Alta
internas cuando estos
entidad
sean para aplicaciones
certificadora
internas.
interna
 Categoría: CREDENCIALES
Sobre la información utilizada (usuario,
clave, OTP) para autenticar a un usuario o
un sistema:
CRE.01.
CRE.01.Las
Lascontraseñas
contraseñasdeben
deben CRE.04.
CRE.04.Las
Lascontraseñas
contraseñasdeben
deben
almacenarse
almacenarse aa través
través dede tener
tener una validez máxima de
una validez máxima de
resúmenes criptográficos.
resúmenes criptográficos. 30 días.
30 días.

CRE.02.
CRE.02.Las
Lascontraseñas
contraseñasdeben
deben CRE.05.
CRE.05.Las
Lascontraseñas
contraseñasdeben
deben
almacenarse
almacenarse en una fuente de
en una fuente de tener
tener una validez mínimade
una validez mínima de11
datos única.
datos única. día.
día.

CRE.06.
CRE.06. Las
Las contraseñas
contraseñas (tipo
(tipo
CRE.03.
CRE.03.Las
Lascontraseñas
contraseñasdeben
deben frase
frase -preferido-) deben teneralal
-preferido-) deben tener
cambiarse
cambiarse siempre por otra
siempre por otra menos
menos 33 palabras
palabras de
de longitud.
longitud.
diferente a las 30 anteriores.
diferente a las 30 anteriores. [8]
[8]
 Categoría: CREDENCIALES
Sobre la información utilizada (usuario,
clave, OTP) para autenticar a un usuario o
un sistema:
CRE.07.
CRE.07. Las
Las contraseñas
contraseñas (tipo
(tipo CRE.10.
CRE.10. Las
Las contraseñas
contraseñas (tipo
(tipo
palabra) deben tener al menos
palabra) deben tener al menos palabra) deben tener al menos
palabra) deben tener al menos
88caracteres
caracteresde
delongitud.
longitud. 11dígito
dígitonumérico.
numérico.

CRE.08.
CRE.08. Las
Las contraseñas
contraseñas (tipo
(tipo CRE.11.
CRE.11. Las
Las contraseñas
contraseñas (tipo
(tipo
palabra) deben tener al menos
palabra) deben tener al menos palabra) deben tener al menos
palabra) deben tener al menos
11letra
letraminúscula.
minúscula. 11carácter
carácterespecial.
especial.

CRE.12.
CRE.12.Las
Lascredenciales
credencialesde de
CRE.09.
CRE.09. Las
Las contraseñas
contraseñas (tipo
(tipo usuario
usuario deben
deben ser
ser
palabra) deben tener al menos
palabra) deben tener al menos transportadas
transportadas por
por un
un canal
canal
11letra
letramayúscula.
mayúscula. seguro.
seguro.
 Categoría: CREDENCIALES
Sobre la información utilizada (usuario,
clave, OTP) para autenticar a un usuario o
un sistema:
CRE.13.
CRE.13.Las
Lascredenciales
credencialesdede CRE.16.
CRE.16. ElEl salt
salt utilizado
utilizado para
para
sistema deben ser de
sistema deben ser de unauna implementar
implementar el
el requisito
requisito
longitud
longitudsuperior
superioraa20
20yyalta
alta CRE.15.
CRE.15.debe
debeser seraleatorio
aleatorioyydede
complejidad.
complejidad. mínimo 48 bits.
mínimo 48 bits.

CRE.14.
CRE.14.Las
Lascredenciales
credencialespor
por
defecto de sistemas
defecto de sistemas pre- pre-
construidos
construidos deben
deben ser
ser
eliminadas.
eliminadas.

CRE.15.
CRE.15. Dos
Dos contraseñas
contraseñas
iguales
iguales deben almacenarsecon
deben almacenarse con
diferentes
diferentes resúmenes
resúmenes
criptográficos (salt).
criptográficos (salt).
 Detalle de un requisito

VULNERABILIDAD
Contraseñas

FRECUENCIA
CRE.01. Las
REQUISITO

Código fuente del almacenadas de

DEPENDE

contraseñas deben
sistema y de la forma plana y
almacenarse a través
configuración del por ende Alta
de resúmenes
sistema. conocidas por el
criptográficos.
administrador
 Categoría: VALIDACIÓN

Sobre las validaciones que deben realizarse

sobre los datos que provienen del exterior:
VAL.04.
VAL.04.Debe
Debevalidarse
validarseque
queelel
VAL.01.
VAL.01. Debe
Debe validarse
validarse lala correo
correo electrónico
electrónico es
es único
único aa
entrada
entradadedeinformación
informaciónantes
antes pesar
pesardel
delcomponente
componenteentre
entreelel
de ser usada.
de ser usada. ++yylala@.
@.

VAL.05.
VAL.05.Debe
Debevalidarse
validarseque
queelel
VAL.02.
VAL.02. Debe
Debe validarse
validarse lala correo
correo electrónico
electrónico declarado
declarado
entrada
entrada de
de información
información en en elel pertenece
pertenece a la persona en
a la persona en
servidor
servidoryyno
nosolo
soloen
enelelcliente.
cliente. cuestión.
cuestión.

VAL.03.
VAL.03.Debe
Debevalidarse
validarseque
queelel VAL.06.
VAL.06.Debe
Debevalidarse
validarseque
queelel
sujeto
sujetoque
querealiza
realizalas
lasacciones
acciones contenido
contenido de de los
los archivos
archivos
de
de registro
registro yy autenticación
autenticación es
es relacionados
relacionados este
este libre
libre de
de
un humano.
un humano. código malicioso.
código malicioso.
 Categoría: VALIDACIÓN

Sobre las validaciones que deben realizarse

sobre los datos que provienen del exterior:
VAL.07.
VAL.07.Debe
Debevalidarse
validarseque
queelel
formato
formato de de los
los archivos
archivos
relacionados
relacionadoscorresponde
correspondeaasusu
extensión.
extensión.

VAL.08.
VAL.08.Debe
Debevalidarse
validarseque
queelel
sujeto
sujeto que
que lee
lee unun correo
correo
electrónico de un sitio publico
electrónico de un sitio publico
es
esun
unhumano.
humano.
 Detalle de un requisito

Los procesos de

VULNERABILIDAD
Código fuente del registro y

FRECUENCIA
VAL.03. Acciones de
REQUISITO

sistema y de la autenticación
DEPENDE

registro y autenticación
configuración del pueden
solo deben ser
sistema, o realizarse Alta
realizadas por un
Acceso al sistema en mediante un
humanos (captcha).
funcionamiento. robot generando
basura
 Categoría: CODIFICACIÓN

Sobre como debe estar construido el código

fuente de un sistema:
COD.01.
COD.01. ElEl código
código sólo
sólo debe
debe COD.04.
COD.04.ElElcódigo
códigosolo
solodebe
debe
realizar
realizar las funciones paralas
las funciones para las usar
usar funciones seguras yy
funciones seguras
cuales
cuales fue
fue diseñado
diseñado yy no no actualizadas
actualizadasdel
dellenguaje.
lenguaje.
acciones colaterales.
acciones colaterales.

COD.05.
COD.05. ElEl código
código fuente
fuente no
no
COD.02.
COD.02.ElElcódigo
códigodebe
debeestar
estar debe
debe ser
ser accesible
accesible en
en
libre de información personal
libre de información personal ambientes de producción
ambientes de producción (ej:(ej:
(ej:
(ej:contraseñas
contraseñaspersonales).
personales). compilación,
compilación,ofuscación).
ofuscación).

COD.06.
COD.06.ElElcódigo
códigodebe
debeestar
estar
COD.03.
COD.03. ElEl código
código debe
debe codificado según el lenguaje
codificado según el lenguaje
compilarse
compilarse o interpretarsede
o interpretarse de correspondiente
correspondiente(ej:
(ej:HTML,
HTML,JS,
JS,
forma estricta.
forma estricta. "escaping").
"escaping").
 Categoría: CODIFICACIÓN

Sobre como debe estar construido el código

fuente de un sistema:
COD.07.
COD.07.ElElcódigo
códigodebe
debedefinir
definir
opciones por defecto seguras
opciones por defecto seguras
(ej:
(ej:default
defaulten
enswitchs).
switchs).
 Detalle de un requisito

VULNERABILIDAD
El código fuente

FRECUENCIA
COD.02. El código
REQUISITO

tiene
DEPENDE

debe estar libre de

Código fuente del “quemadas” las
información personal
sistema. contraseñas de Alta
(ej: contraseñas
conexiones a
personales).
otros sistemas
 Categoría: AUTENTICACIÓN
Sobre como debe realizarse el proceso
mediante el cual un usuario o sistema se
identifica ante otro:
AUT.01. El proceso de AUT.04. El proceso de autenticación
AUT.01. El proceso de AUT.04. El proceso de autenticación
autenticación/login debe tener un debe indicar que el sistema solo esta
autenticación/login debe tener un debe indicar que el sistema solo esta
retraso constante no menor a 5 disponible para personal autorizado.
retraso constante no menor a 5 disponible para personal autorizado.
segundos cuando las credenciales (ISO 27002:2005, 15.1.5).
segundos cuando las credenciales (ISO 27002:2005, 15.1.5).
sean erróneas.
sean erróneas.

AUT.02. El proceso de autenticación AUT.05. El proceso de autenticación

AUT.02. El proceso de autenticación AUT.05. El proceso de autenticación
no debe emitir mensajes de error debe comparar los resúmenes de
no debe emitir mensajes de error debe comparar los resúmenes de
que permitan distinguir si es un las claves ingresadas y
que permitan distinguir si es un las claves ingresadas y
error de usuario o de contraseña. almacenadas y no las claves en sí.
error de usuario o de contraseña. almacenadas y no las claves en sí.

AUT.03.
AUT.03. ElEl proceso
proceso de
de AUT.06. El proceso de autenticación
AUT.06. El proceso de autenticación
autenticación no debe bloquear
autenticación no debe bloquear unificado (SSO: Single Sign On)
unificado (SSO: Single Sign On)
las debe implementarse mediante
las cuentas
cuentas después
después de de un
un debe implementarse mediante
protocolos estándar (ej: SAML).
numero de intentos fallidos.
numero de intentos fallidos. protocolos estándar (ej: SAML).
 Categoría: AUTENTICACIÓN
Sobre como debe realizarse el proceso
mediante el cual un usuario o sistema se
identifica ante otro:
AUT.07.
AUT.07. ElEl proceso
proceso dede AUT.10.
AUT.10. ElEl proceso
proceso dede
autenticación debe requerir
autenticación debe requerir autenticación critica debe
autenticación critica debe
mínimamente
mínimamente nombre
nombre dede requerir
requerir adicionalmente
adicionalmente
usuario y clave.
usuario y clave. identificación
identificaciónde
deequipos.
equipos.

AUT.08.
AUT.08. ElEl proceso
proceso de
de AUT.11.
AUT.11. ElEl proceso
proceso de
de
autenticación
autenticación critica
critica debe
debe autenticación
autenticación critica
critica debe
debe
requerir adicionalmente claves
requerir adicionalmente claves requerir
requerir adicionalmente
adicionalmente
de
deun
unsolo
solouso.
uso. certificados
certificados digitalesde
digitales decliente.
cliente.

AUT.09.
AUT.09. ElEl proceso
proceso dede
autenticación critica debe
autenticación critica debe
requerir
requerir adicionalmente
adicionalmente
verificación
verificaciónbiométrica.
biométrica.
 Detalle de un requisito

Si las

VULNERABILIDAD
AUT.01. El proceso de
Código fuente del credenciales

FRECUENCIA
autenticación/login
REQUISITO

sistema y de la son erroneas el

DEPENDE

debe tener un retraso

configuración del sistema
constante no menor a
sistema, o responde Alta
5 segundos cuando las
Acceso al sistema en inmediantament
credenciales sean
funcionamiento. e facilitando un
erróneas.
ataque
 Categoría: AUTORIZACIÓN
Sobre las reglas que deben existir para
otorgar acceso a un sujeto a un objeto
especifico:
AUZ.01.
AUZ.01. Los
Los privilegios
privilegios para
para
objetos
objetos nuevos
nuevos deben
deben
establecerse
establecersesegún
segúnelelprincipio
principio
de mínimo privilegio (umask).
de mínimo privilegio (umask).

AUZ.02.
AUZ.02.Los
Losprivilegios
privilegiospara
paraunun
sujeto
sujeto no
no pueden
pueden ser
ser
aumentados por el
aumentados por el mismo mismo
sujeto.
sujeto.

AUZ.03.
AUZ.03. Los
Los privilegios
privilegios para
para
objetos con contenido sensible
objetos con contenido sensible
deben
debentener
teneracceso
accesorestringido.
restringido.
 Detalle de un requisito

VULNERABILIDAD
Código fuente del

FRECUENCIA
AUZ.02. Los privilegios Un sujeto puede
REQUISITO

sistema y de la
DEPENDE

para un sujeto no aumentar los

configuración del
pueden ser privilegios que
sistema, o Baja
aumentados por el le han sido
Acceso al sistema en
mismo sujeto. asignados
funcionamiento.
 Categoría: ARCHIVOS

Sobre las reglas que deben aplicarse sobre

el uso de archivos en un sistema:
ARC.01.
ARC.01. Los
Los archivos
archivos
temporales
temporales no
no deben
deben
desplegarse
desplegarsealalambiente
ambientedede
producción.
producción.

ARC.02.
ARC.02.Los
Losarchivos
archivosgenerados
generados
en
en directorios públicos deben
directorios públicos deben
tener nombre aleatorio.
tener nombre aleatorio.

ARC.03.
ARC.03.Los
Losarchivos
archivosdeben
debenser
ser
referenciados mediante
referenciados mediante sus sus
rutas
rutasabsolutas.
absolutas.
 Detalle de un requisito

VULNERABILIDAD

FRECUENCIA
ARC.03. Los archivos
REQUISITO

Código fuente del Inyección de

DEPENDE

deben ser
sistema y de la código mediante
referenciados
configuración del manipulación Baja
mediante sus rutas
sistema del PATH
absolutas.
 Categoría: BITÁCORAS
Sobre los eventos, excepciones y el registro
que debe dejarse sobre los mismos en un
sistema:
BIT.01. BIT.04. Los eventos deben contener
BIT.01. LosLos eventos
eventos BIT.04. Los eventos deben contener
el momento de ocurrencia (fecha,
excepcionales
excepcionales debenser
deben ser
el momento de ocurrencia (fecha,
hora, segundos, mili-segundos y
registrados en bitácoras. hora, segundos, mili-segundos y
registrados en bitácoras. zona horaria).
zona horaria).

BIT.02. Los eventos BIT.05. Las bitácoras deben

BIT.02. Los eventos BIT.05. Las bitácoras deben
almacenarse mediante un
excepcionales
excepcionales deben
deben
almacenarse mediante un
mecanismo o sistema inalterable
clasificarse por severidad. mecanismo o sistema inalterable
clasificarse por severidad. (externo, append-only).
(externo, append-only).

BIT.03.
BIT.03. Los
Los eventos
eventos concon
severidad
severidad de depuraciónno
de depuración no BIT.06.
BIT.06. Las
Las bitácoras
bitácoras deben
deben
deben
deben estar
estar habilitados
habilitados en
en retenerse
retenerse como mínimo 1año.
como mínimo 1 año.
producción.
producción.
 Categoría: BITÁCORAS

Sobre los eventos, excepciones y el registro

que debe dejarse sobre los mismos en un
sistema:
BIT.07.
BIT.07. La
La gestión
gestión de
de bitácoras
bitácoras
(rotación, transporte, etc) debe
(rotación, transporte, etc) debe
ser
serresponsabilidad
responsabilidaddel
delsistema
sistema
operativo.
operativo.
 Detalle de un requisito

VULNERABILIDAD
Situaciones

FRECUENCIA
REQUISITO

BIT.01. Los eventos Código fuente del excepcionales

DEPENDE

excepcionales deben sistema y de la no son

ser registrados en configuración del tratadadas Alta
bitácoras. sistema adecuadamente
o registradas
 Categoría: TIEMPO
Sobre la sincronización de relojes que
mantienen un tiempo coherente en los
sistemas:
TIE.01.
TIE.01. ElEl tiempo
tiempo del
del sistema
sistema
debe
debe estar sincronizadocon
estar sincronizado conelel
tiempo
tiempooficial
oficialdeldelpaís.
país.

TIE.02.
TIE.02. ElEl tiempo
tiempo del
del sistema
sistema
debe
debe estar sincronizadocon
estar sincronizado conelel
tiempo
tiempode delos losdemás
demássistemas
sistemas
de la organización.
de la organización.
 Detalle de un requisito

VULNERABILIDAD

FRECUENCIA
Acceso al servidor La hora del
REQUISITO

TIE.01. El tiempo del

DEPENDE

donde se aloja el sistema no

sistema debe estar
sistema, o corresponde a
sincronizado con el Media
Acceso al sistema en la hora oficial
tiempo oficial del país.
funcionamiento del país
 Categoría: DATOS
Sobre los datos y respaldos que deben
realizarse sobre la información de la
organización:
DAT.04.
DAT.04.Los
Losdatos
datosde
deambientes
ambientes
DAT.01.
DAT.01.Los
Losdatos
datosde
derespaldos
respaldos diferentes
diferentes a producción deben
a producción deben
deben almacenarse cifrados.
deben almacenarse cifrados. encontrarse enmascarados.
encontrarse enmascarados.

DAT.02.
DAT.02.LosLosdatos
datosde
derespaldos
respaldos
deben
deben almacenarse fuera del
almacenarse fuera del
sitio origen.
sitio origen.

DAT.03.
DAT.03.Los
Losdatos
datosdederespaldos
respaldos
deben
deben realizarse
realizarse aa una una
frecuencia
frecuencianonomayor
mayordede77días
días
(RPO).
(RPO).
 Detalle de un requisito

VULNERABILIDAD
Los respaldos al

FRECUENCIA
ser
REQUISITO

DEPENDE

DAT.01. Los respaldos interceptados

Acceso a los respaldos
deben almacenarse pueden ser
del sistema Alta
cifrados. leídos por
cualquier
persona
 Categoría: DEPENDENCIAS

Sobre los componentes del sistema que se

requieren para funcionar:
DEP.01.
DEP.01.Deben
Debenusarse
usarseversiones
versiones
estables de las dependencias
estables de las dependencias
del
delsistema.
sistema.

DEP.02.
DEP.02.Deben
Debenusarse
usarseversiones
versiones
actualizadas
actualizadas de
de las
las
dependencias del sistema.
dependencias del sistema.
 Detalle de un requisito

VULNERABILIDAD
Binarios o versiones Las

FRECUENCIA
de las bibliotecas dependencias
REQUISITO

DEP.02. Deben usarse

DEPENDE

usadas por el sistema, del sistema son

versiones actualizadas
o versiones
de las dependencias Alta
Acceso al servidor desactualizadas
del sistema.
donde se aloja el por ende con
sistema. problemas.
 Categoría: ADMINISTRACIÓN

Sobre la gestión administrativa del sistema:

ADM.01. Los mecanismos de

ADM.01. Los mecanismos de
gestión de un sistema solo deben
gestión de un sistema solo deben
ser accesibles desde segmentos de
ser accesibles desde segmentos de
gestión o administrativos.
gestión o administrativos.
 Detalle de un requisito

VULNERABILIDAD
ADM.01. Los Las interfaces

FRECUENCIA
mecanismos de de gestión
REQUISITO

DEPENDE

gestión de un sistema Acceso a la red donde pueden

solo deben ser se conectan los accederse
Alta
accesibles desde usuarios. desde
segmentos de gestión segmentos de
o administrativos. usuarios.
 Categoría: REDES

Sobre la red que soporta el sistema en

evaluación:
RED.01. Los segmentos de usuarios RED.04.
RED.01. Los segmentos de usuarios
y servidores con aplicaciones o RED.04.Un Unpuerto
puertodebe
debetener
tener
y servidores con aplicaciones o
contenido deben permitir acceso
un
un limite
limite máximo
máximo de
de
contenido deben permitir acceso conexiones por IP origen.
solo a los puertos necesarios. conexiones por IP origen.
solo a los puertos necesarios.

RED.02. Los servidores con

RED.02. Los servidores con
aplicaciones o contenido solo deben
aplicaciones o contenido solo deben
tener acceso a los puertos que les
tener acceso a los puertos que les
permitan cumplir su propósito.
permitan cumplir su propósito.

RED.03. El acceso físico a la red para

RED.03. El acceso físico a la red para
los usuarios debe asignarse con base
los usuarios debe asignarse con base
en las credenciales del usuario en la
en las credenciales del usuario en la
organización (ej: 802.1x).
organización (ej: 802.1x).
 Detalle de un requisito

VULNERABILIDAD
RED.01. Los

FRECUENCIA
segmentos de usuarios Los servidores
REQUISITO

DEPENDE

y servidores con Acceso a la red donde aceptan

aplicaciones o se conectan los conexiones no
Alta
contenido deben usuarios. relacionadas
permitir acceso solo a con su propósito
los puertos necesarios.
 Categoría: SERVICIOS

Sobre los servicios o características

habilitadas en el sistema en evaluación:
SER.01.
SER.01.Las
Lasfunciones
funcionesde
deun
un
servicio
servicio que
que son
son
potencialmente
potencialmente inseguras
inseguras
deben estar deshabilitadas.
deben estar deshabilitadas.

SER.02.
SER.02. Las
Las funciones
funciones de
de un
un
servicio que son innecesarias
servicio que son innecesarias
deben
debenestar
estardeshabilitadas.
deshabilitadas.
 Detalle de un requisito

VULNERABILIDAD

FRECUENCIA
SER.01. Las funciones Funciones de un
REQUISITO

DEPENDE

de un servicio que son Acceso a la red donde servicio

potencialmente se conectan los inseguras se
Alta
inseguras deben estar usuarios. mantienen
deshabilitadas. habilitadas
 Categoría: SISTEMA
Sobre las características necesarias en los
sistemas operativos que soportan el
sistema en evaluación:
SIS.01. La gestión administrativa del
SIS.01. La gestión administrativa del
sistema debe realizarse a través de
sistema debe realizarse a través de
intermediarios privilegiados (sudo) que
intermediarios privilegiados (sudo) que
permitan la contabilidad a cada
permitan la contabilidad a cada
individuo.
individuo.

SIS.02.
SIS.02. La
La integridad
integridad de
de los
los
archivos del sistema debe ser
archivos del sistema debe ser
verificada
verificadaperiódicamente
periódicamenteyysu su
estado reportado.
estado reportado.
SIS.03. El uso de compiladores en
SIS.03. El uso de compiladores en
sistemas de producción debe estar
sistemas de producción debe estar
restringido solo para las aplicaciones
restringido solo para las aplicaciones
que así lo requieran (ej: servidores de
que así lo requieran (ej: servidores de
aplicaciones Java).
aplicaciones Java).
 Detalle de un requisito

SIS.01. La gestión

VULNERABILIDAD
administrativa del Código fuente del No se puede

FRECUENCIA
sistema debe sistema y de la conocer que
REQUISITO

DEPENDE

realizarse a través de configuración del persona

intermediarios sistema, o especifica
Alta
privilegiados (sudo) Acceso al servidor realiza las
que permitan la donde se aloja el labores
contabilidad a cada sistema. administrativas
individuo.
 Categoría: CACHÉ
Sobre la información almacenada
temporalmente para mejorar el rendimiento
o la usabilidad:
CAC.01.
CAC.01.La
Lainformación
informaciónsensible
sensible
debe
debe ser
ser excluida
excluida del
del
almacenamiento en caché [2].
almacenamiento en caché [2].
 Detalle de un requisito

VULNERABILIDAD
Código fuente del Información

FRECUENCIA
CAC.01. La
REQUISITO

sistema y de la sensible es
DEPENDE

información sensible
configuración del almacenada en
debe ser excluida del
sistema, o cache sin que Alta
almacenamiento en
Acceso al sistema en esta situación
cache [2].
funcionamiento. sea permitida.
 Categoría: OTROS

Sobre otros aspectos de seguridad que

deben considerarse:
OTR.01.
OTR.01.Los
Losnúmeros
númerosaleatorios
aleatorios
generados
generados deben seguir una
deben seguir una
distribución uniforme.
distribución uniforme.

OTR.02. La información de producto

OTR.02. La información de producto
solo debe ser accesible para los
solo debe ser accesible para los
administradores del sistema [7].
administradores del sistema [7].
 Detalle de un requisito

VULNERABILIDAD
OTR.02. La Código fuente del

FRECUENCIA
El sistema
REQUISITO

información de sistema y de la
DEPENDE

revela mas
producto solo debe ser configuración del
información de
accesible para los sistema, o Alta
la necesaria
administradores del Acceso al sistema en
para un usuario
sistema [7]. funcionamiento.
 Rigurosidad

● La rigurosidad es el valor porcentual de la

relación entre los requisitos verificados y los
requisitos aplicables a la prueba
Requisitos Verificados
Rigurosidad= 
Requisitos Aplicables
● Cabe anotar que este valor irá aumentando en
función de las pruebas ejecutadas sobre el
TOE, pues se considerarán más requisitos.
 Conclusiones

● El criterio de seguridad es una adecuada “herramienta”

para escoger una prueba/verificación de seguridad.
● El criterio de seguridad es un punto de apoyo para evaluar
el estado de seguridad de determinado artefacto.
● La prueba/verificación está determinada por lo que se
quiere validar y no por la técnica aplicada por un “hacker”
● Es posible modificar el criterio de seguridad y adaptarlo a
las exigencias de manera fácil y sin traumatismos.
● Sirve tanto de herramienta de medición, como de
fundamentación para implementar políticas de seguridad.
 Contáctenos

● Web: http://www.fluidsignal.com/
● Twitter: http://twitter.com/fluidsignal
● Youtube: http://www.youtube.com/fluidsignal
● Facebook: http://www.facebook.com/fluidsignal
● Correo: mercadeo.ventas@fluidsignal.com
● Teléfono: +57 (1) 2697800, +57 (4) 4442637
● Celular: +57 3108408002, +57 3136601911
● Ubicación: Calle 7D 43A-99 Oficina 509 - Medellín
 Muchas gracias!

mauricio.gomez@fluidsignal.com
 Clausula Legal
Copyright 2010 Fluidsignal Group
Todos los derechos reservados
Este documento contiene información de propiedad de Fluidsignal
Group. El cliente puede usar dicha información sólo con el
propósito de documentación sin poder divulgar su contenido a
terceras partes ya que contiene ideas, conceptos, precios y
estructuras de propiedad de Fluidsignal Group S.A. La
clasificación "propietaria" significa que ésta información es sólo
para uso de las personas a quienes esta dirigida. En caso de
requerirse copias totales o parciales se debe contar con la
autorización expresa y escrita de Fluidsignal Group S.A. Las
normas que fundamentan la clasificación de la información son los
artículos 72 y siguientes de la decisión del acuerdo de Cartagena,
344 de 1.993, el artículo 238 del código penal y los artículos 16 y
siguientes de la ley 256 de 1.996.