Libro de Ciberseguridad

1 E-book de Ciberseguridad

Libro digital de Ciberseguridad


1. Fundamentos y principios de seguridad…………………………………………… 3

2. Políticas, lineamientos y procedimientos…………………………………………. 12

3. Gestión de riesgos…………………………………………………………………….. 26

4. Estándares y marcos de referencia de seguridad………………………………... 31

5. Capas y prácticas de control de acceso…………………………………………… 37

6. Control de acceso y gestión de la identidad………………………………………. 41

7. Herramientas y amenazas de control de acceso…………………………………. 54

8. Seguridad y dispositivos de red…………………………………………………….. 61

9. Telecomunicaciones, Moldeo OSI y Modelo TCP/IP……………………………...73

10. Cloud computing, VPN, Seguridad de internet…………………………………….88

11. Detección de virus y spam…………………………………………………………...104

12. Amenazas de Ciberseguridad (Malware)....……………………………………….110

Contenido


1. PRINCIPIOS FUNDAMENTALES DE SEGURIDAD

Concepto de seguridad: Conjunto de procesos, herramientas y personas que hacen parte

de la metodología que busca mantener la información correcta a quien lo necesite.

Es necesario comprender los objetivos básicos de la seguridad, los cuales proporcionan

disponibilidad, integridad y confidencialidad para la protección de los activos críticos, AIC

(availability, integrity, confidentiality). Cada activo de información requiere diferentes niveles

de protección como veremos más adelante en las siguientes secciones. Todos los controles

y mecanismos de seguridad se establecen para proporcionar uno o más de estos tipos de

protección. Los riesgos, amenazas y vulnerabilidades se miden por su capacidad potencial

de comprometer uno o todos los principios de la triada de seguridad AIC.


Disponibilidad

Protección que garantiza el acceso oportuno y confiable de los datos y recursos a las

personas autorizadas. Los dispositivos de red, ordenadores y aplicaciones deben

proporcionar una funcionalidad adecuada para garantizar la disponibilidad de la información

con un nivel de rendimiento aceptable. Estos deben ser capaces de recuperarse de

interrupciones de forma segura y rápida, de esta manera la productividad no es afectada

negativamente. Los mecanismos de protección necesarios deben ser implementados

contra amenazas internas y externas que pueden afectar la disponibilidad y productividad

de los componentes del negocio.

Integridad

Se confirma cuando se proporciona con exactitud la información requerida y cualquier

modificación no autorizada es evitada. Hardware, software y mecanismos de comunicación

deben trabajar en conjunto para mantener y procesar datos correctamente, además mover

datos a los destinos previstos sin ninguna alteración. Los sistemas y la red deben ser

protegidos de interferencias exteriores. Los entornos que proporcionan estos atributos de

seguridad garantizan que los atacantes o errores de los usuarios no pongan en peligro la

integridad de los sistemas o datos. Cuando un atacante inserta un virus, una bomba lógica

o una puerta trasera en un sistema la integridad del sistema se ve comprometida.

Confidencialidad

Asegura que el nivel secreto necesario se cumpla en cada procesamiento de datos y

previene la divulgación no autorizada. Este nivel de confidencialidad debe prevalecer

mientras que los datos residan en los sistemas y dispositivos dentro de la red, mientras es

transmitida y una vez llegue a su destino final. Los atacantes pueden burlar los mecanismos

de confidencialidad mediante la monitorización de red, mirar por encima del hombro de

alguien, robando archivos de contraseñas, rompiendo esquemas inscripción e ingeniería

social, etc.


** Términos Clave **

• Disponibilidad acceso confiable y oportuno a la información y los recursos que es

permitido a los individuos autorizados (aseguramiento de la información, sin

modificaciones).

• Integridad Confiablidad y exactitud en la información que es entregada y cualquier

modificación no autorizada es prevenida (aseguramiento de la información evitar

modificaciones).

• Confidencialidad Hacer cumplir el nivel de secreto necesario de la información y prevenir

la divulgación no autorizada (información solo para quien lo necesite).

“Un sistema de seguridad es tan fuerte como el eslabón más débil”

SEGURIDAD BALANCEADA

Cuando la seguridad informática se trata esto comúnmente se hace a través de la

verificación de mantener la información en secreto (confidencialidad). Las amenazas de la

integridad y disponibilidad pueden ser pasadas por alto y sólo se tratan después de que

estén comprometidos. Algunos activos tienen un requisito fundamental la confidencialidad

(secretos comerciales de la empresa), algunos tienen requisitos de integridad de críticos

(valores de transacción financiera), y algunos tienen requisitos de disponibilidad (servidores

críticos de comercio electrónico web). Mucha gente entiende los conceptos de triada de

seguridad AIC, pero pueden no apreciar plenamente la complejidad de implementar los

controles necesarios para proporcionar toda la protección que estos conceptos cubren. A


continuación se muestra una pequeña lista de algunos controles y la forma en que se

asignan a los componentes de la tríada de seguridad AIC:

Disponibilidad

• Arreglo redundante de discos económicos (RAID)

• Clustering

• Balanceo de carga

• Líneas de datos y de alimentación electrica redundantes

• Software de datos y copias de seguridad

• Disk shadowing

• Colocación e instalaciones adicionales fuera de las principales

• Funciones de Roll Back

• Configuraciones de fail over

Integridad

• Hashing (integridad de los datos)

• Gestión de la configuración (la integridad del sistema)

• Control de cambios (integridad del proceso)

• Control de acceso (físico y técnico)

• Firma de software digital

Confidencialidad

• Cifrado de datos en reposo (disco, base de datos)

• Cifrado de datos en tránsito (IPSec, SSL, PPTP, SSH)

• Control de acceso (físico y técnico)


DEFINICIONES DE SEGURIDAD

Las palabras vulnerabilidad, amenaza y riesgo a menudo se intercambian, a pesar de que

tienen diferentes significados, es importante entender la definición de cada palabra y las

relaciones entre los conceptos que representan.

Vulnerabilidad

Es una debilidad o falta de un control o una medida. Puede ser software, hardware,

procedimental o una debilidad humana que puede ser explotada. Una vulnerabilidad puede

ser un servicio que se ejecuta en el servidor, las aplicaciones o sistemas operativos sin

parches, un punto de acceso inalámbrico sin restricciones, un puerto abierto en un servidor

de seguridad, seguridad física laxa que permite que cualquiera pueda entrar en una sala de

servidores, o la gestión de contraseñas que no es ejecutada en servidores y estaciones de

trabajo.

Amenaza

Es cualquier peligro potencial que está asociado a la explotación de una vulnerabilidad. Es

algo o alguien que identificara una vulnerabilidad específica para explotarla y usarla en

contra. La entidad que se aprovecha de una vulnerabilidad se refiere a un agente amenaza.

Un agente amenaza podría ser un intruso en la red a través de un puerto vulnerable en el

firewall, un acceso que viola la política de seguridad, un terremoto que acaba con las

instalaciones o un empleado cometiendo un error involuntario que podría exponer

información confidencial.


Riesgo

Es la probabilidad de que un agente amenaza pueda explotar una vulnerabilidad y el

impacto que este tendrá en el negocio. Si un servidor de seguridad tiene varios puertos

abiertos hay una mayor probabilidad de que un intruso utilice uno de estos para acceder a

la red a través de un método no autorizado. Si los usuarios no están educados en los

procesos y procedimientos, hay una mayor probabilidad de que un empleado cometa un

error involuntario que pueda eliminar los datos. Si un sistema de detección de intrusiones

(IDS) no está implementado en una red, hay una mayor probabilidad de un ataque pase

desapercibido hasta que sea demasiado tarde. El riesgo ata la vulnerabilidad, la amenaza

y la probabilidad de explotación al impacto final que este tiene en el negocio.

Una exposición es una instancia de estar expuesto a pérdidas. Una vulnerabilidad expone

a una organización a posibles daños. Si la administración de contraseñas es laxa y las

reglas no se hacen cumplir, la empresa se expone a la posibilidad de tener contraseñas

capturadas y usadas de manera no autorizada. Si una empresa no tiene su cableado

inspeccionado y no pone medidas de prevención contra incendios proactivas en su lugar,

se expone a sí mismo a que los incendios sean potencialmente devastadores.

Un control o medida se pone en marcha para mitigar (reducir) el riesgo potencial. Una

medida puede ser una configuración de software, hardware o un procedimiento que elimina

una vulnerabilidad o que reduce la probabilidad de que un agente amenaza sea capaz de

explotar una vulnerabilidad. Ejemplos de contramedidas incluyen una fuerte gestión de

contraseñas, cortafuegos, guardias de seguridad, mecanismos de control de acceso,

cifrado y capacitación en seguridad, etc.



Vulnerabilidad Debilidad o la falta de un control o medida.

Amenaza Entidad o agente que puede explotar una vulnerabilidad.

Amenaza Peligro que un agente amenaza pueda explotar una vulnerabilidad.

Riesgo Probabilidad de que un agente amenaza explote una vulnerabilidad y el

impacto asociado con el negocio.

Control o medida Control que se pone en marcha para reducir el riesgo, también

llamado contramedida.

Exposición Presencia de una vulnerabilidad que expone a la organización a una

amenaza.

TIPOS DE CONTROLES

En los temas anteriores se cubrieron los objetivos de seguridad disponibilidad, integridad y

confidencialidad, además de los términos utilizados en la industria de la seguridad

informática como vulnerabilidad, amenaza, riesgo y control. Estos componentes

fundamentales deben ser entendidos para que la seguridad este establecida de manera

organizada.

A continuación se abordarán los tipos de control que pueden ser implementados y las

funcionalidades asociadas. Los controles se ponen en marcha para reducir el riesgo al que

una organización se enfrenta, estos controles se clasifican en tres partes: administrativos,

técnicos y físicos.

Los controles administrativos se refieren comúnmente a los que son orientados a la

gestión, algunos ejemplos de estos controles son documentación, gestión del riesgo y

capacitación. Los controles técnicos (también llamados controles lógicos) son

componentes de software y hardware con diferentes mecanismos de protección como

firewall, IDS, encripcion, identificación y autenticación, etc. Finalmente los controles físicos

son elementos puestos en marcha para proteger las instalaciones, el personal y los

recursos, por ejemplo guardias de seguridad, cerraduras, cercas e iluminación.


Controles administrativos

• Sistema de gestión de seguridad

• Creación y documentación de procesos

• Control de cambios

• Procesos de capacitación

Controles físicos

• Vallas, muros, cercas

• Puertas exteriores e interiores con cerradura

• Circuito cerrado de televisión

• Guardias de seguridad

• Sala de servidores con restricción de acceso

• Computadores asegurados físicamente (cerraduras de cable)

Controles técnicos

• Firewalls (cortafuegos)

• Sistema de detección de intrusos (IDS)

• Sistemas de prevención de intrusiones (IPS)

• Antimalware - Antivirus

• Control de acceso

• Encriptación


Las diferentes funcionalidades de los controles de seguridad son:

- Prevenir Intenta evitar que un accidente ocurra

- Detectar Ayuda a identificar las actividades relacionadas con un incidente y

potencializa a un intruso

- Corregir Arregla o restaura componentes luego de que un incidente ha ocurrido

- Disuadir Intenta persuadir a un potencial atacante

- Recuperar Intenta traer de vuelta el ambiente a las operaciones regulares

- Compensar Provee medidas alternativas de control


2. POLITICAS, LINEAMIENTOS Y PROCEDIMIENTOS

Computadores y la información procesada en estos suelen tener una relación directa con

los objetivos y la misión de la empresa, debido a este nivel de importancia la alta dirección

debe tomar la protección de estos elementos como una alta prioridad y proporcionar el

apoyo, fondos, tiempo y recursos necesarios para garantizar el aseguramiento de los

sistemas, las redes y la información. Esta protección debe establecerse de manera eficiente

y lo más rentable posible, de esta manera un enfoque de gestión integral debe desarrollarse

para lograr estos objetivos con éxito.

Todas las personas dentro de una organización pueden aportar al desarrollo y cumplimiento

de la seguridad. Es importante asegurar que todos dentro de la organización de acuerdo a

su nivel jerárquico ayuden al cumplimiento de lo determinado en las leyes, reglamentos,

políticas, requisitos y objetivos del negocio.

Un programa de seguridad contiene las piezas necesarias para proporcionar una protección

integral en una empresa y establece una estrategia de seguridad a largo plazo. La

documentación de un programa de seguridad debe estar compuesta por las políticas de

seguridad, procedimientos, normas y directrices. Diferentes áreas de las empresas como

recursos humanos, departamento jurídico, entre otros; deben participar en el desarrollo y

aplicación de las normas y requisitos establecidos en los documentos


POLÍTICA DE SEGURIDAD

Es una declaración general producida por la alta dirección o un comité que habla del rol y

el papel que juega la seguridad en la organización. Una política de seguridad puede ser

generada de manera general a nivel organizacional o particular a nivel de un tema

específico como un sistema. En la política organizacional se definen los parámetros para

establecer un programa de seguridad, establecer las metas del programa,

responsabilidades, describe el valor estratégico y táctico de la seguridad, ademas describe

como debe llevarse a cabo. La política de seguridad de la organización proporciona el

alcance y la dirección de todas las futuras actividades de seguridad dentro de la

organización.

La política de seguridad organizacional tiene varias características importantes:

• Los objetivos de negocio deben impulsar la creación, implementación y ejecución de la

política. La política no debe dictar los objetivos de negocio.

• Debe ser un documento de fácil comprensión que se utiliza como punto de referencia para

todos los empleados y directivos.

• Debe ser desarrollado y utilizado para integrar la seguridad en todas las funciones y

procesos de negocio.

• Debe apoyar todas las leyes y reglamentos aplicables a la empresa.

• Cada iteración de la política debe estar fechada y bajo control de versiones.

• Las unidades y los individuos que se rigen por la política deben tener fácil acceso a ella.

Las políticas se publican habitualmente en los portales en una intranet o a través de

comunicados corporativos.

A continuación, se muestra una jerarquía de políticas de seguridad, que ilustran la relación

entre la política organizacional general y las políticas específicas o particulares que la

apoyan:

• Política organizacional

• Política de uso aceptable

• Política de gestión del riesgo

• Política de manejo de vulnerabilidades


• Política de protección de datos

• Política de control de acceso

• Política de continuidad del negocio

• Política de auditoria

• Política de seguridad personal

• Política de seguridad física

• Política de desarrollo de aplicaciones seguras

• Política de control de cambios

• Política de correo electrónico

• Política de respuesta de incidentes

Tipos de políticas

Generalmente las políticas se categorizan dentro de las siguientes categorías:

Reguladora: Este tipo de política asegura que la organización está siguiendo los

estándares definidos por regulaciones específicas de la industria (HIPAA, GLBA, SOX, PCI-

DSS, etc.). Esta está bien detallada y especificada de acuerdo al tipo de industria, esta es

usada por instituciones financieras, instituciones del sector de la salud, entidades públicas

y otras industrias gubernamentalmente reguladas.

Consultiva: Este tipo de política asesora empleados acerca del tipo de actividades y

comportamientos que deben y no deben tener lugar dentro de la organización. Esta también

da un esquema de las posibles acciones a tomar si los empleados no cumplen con lo

establecido; este tipo de política puede ser usada por ejemplo para describir cómo manejar

información médica o financiera.

Informativa: Este tipo de política informa a los empleados acerca de ciertos temas. Esta

no es una política ejecutable si no que enseña a los individuos acerca de temas de interés

para la empresa, además puede explicar cómo interactúa la empresa con socios de

negocio, los objetivos, la misión y una estructura general de información de la misma en

diferentes situaciones.


Implementación

Desafortunadamente las políticas de seguridad, normas, procedimientos, lineamientos

base y directrices a menudo se escriben porque un auditor lo requirió en empresa para

documentar estos los procedimientos, pero desafortunadamente luego se dejan en un

servidor de archivos y no se comparten, explican o se utilizan. Para que estos mismos sean

útiles deben ser puestos en acción, ninguna persona va a seguir las normas y

procedimientos si nos las conoce.

La publicación de esta información a través de diferentes recursos como correos

electrónicos corporativos, carteleras, manuales, boletines, entre otros; permiten la

visibilidad de las normas y procedimientos establecidos para crear una cultura y conciencia

de seguridad en las personas de la organización.

La implementación de políticas de seguridad y sus elementos de apoyo demuestran la

gestión y el debido cuidado que se tiene por la empresa y los empleados. Es de suma

importancia Informar a todos los empleados lo que se espera de ellos sus deberes y

derechos en las políticas establecidas, además de las consecuencias que puede acarrear

el incumplimiento de las mismas. Si un empleado es despedido por descargar material

prohibido como material pornográfico y el empleado no tenía el debido conocimiento de la

prohibición de la descarga y manejo de este material dentro de la empresa, este mismo

puede entablar medidas judiciales ante la empresa y ganar si demuestra que no fue

debidamente informado y desconocía las políticas y normas de prohibición establecidas

para este tipo de contenido.


LINEAMIENTOS, DIRECTRICES Y PROCEDIMIENTOS

Se refieren a las actividades, acciones o normas obligatorias. Las normas pueden apoyar y

reforzar una política. Los estándares de seguridad organizacionales pueden especificar

cómo los productos de hardware y software van a ser utilizados, también pueden ser

utilizados para indicar el comportamiento esperado del usuario. Estos proporcionan un

medio para asegurar que determinadas tecnologías, aplicaciones, parámetros y

procedimientos se implementen de forma adecuada en toda la organización.


Un estándar organizacional puede requerir que todos los empleados usen sus tarjetas de

identificación dentro de la empresa en todo momento, para permitir identificar individuos

desconocidos dentro de la organización y descubrir el propósito que tienen los mismos en

las diferentes áreas que visitan. Estas reglas son obligatorias dentro de una empresa y

deben hacerse cumplir para que sean eficaces.

Lineamiento Base (Baseline)

El termino base se refiera a un punto en el tiempo que es usado con una comparación para

cambios futuros. Una vez un riesgo es mitigado y la seguridad puesta en marcha, una línea

base es revisada formalmente para realizaran comparaciones y mediciones contra este

procedimiento. Una línea base es un punto de referencia constante.

Los lineamientos base también se utilizan para definir el nivel mínimo de protección

requerido, en seguridad pueden definirse según el tipo de sistema para indicar los ajustes

necesarios y el nivel de protección. Por ejemplo una empresa puede definir que todos los

sistemas contables deben cumplir con un nivel de evaluación específico, para que solo los

sistemas que han superado por el proceso de evaluación definido pueden ser utilizados en

el departamento.

Directrices (Guidelines)

Son las acciones y guías operacionales recomendadas para los usuarios, el personal de TI,

personal de operaciones y los demás cuando una norma específica no es aplicada. Las

directrices pueden hacer frente a las metodologías tecnológicas, el personal o la seguridad

física. Los estándares son reglas específicas obligatorias, las directrices son enfoques

generales que proporcionan la flexibilidad necesaria para circunstancias imprevistas.

Una política podría afirmar que el acceso a datos confidenciales debe auditarse, una

directriz de apoyo podría explicar con más detalle que las auditorías deben contener

información suficiente para permitir la conciliación con las revisiones anteriores.

Procedimientos de apoyo podrían dar una idea de los pasos necesarios para configurar,

implementar y mantener este tipo de auditoría.


Procedimientos

Son tareas detalladas paso a paso que se deben realizar para alcanzar un determinado

objetivo. Estos pasos se pueden aplicar a los usuarios, el personal de TI, personal de

operaciones, miembros de la seguridad y otros que necesiten llevar a cabo tareas

específicas. Muchas organizaciones han escrito procedimientos acerca de cómo instalar

sistemas operativos, configurar los mecanismos de seguridad, implementar listas de control

de acceso, crear nuevas cuentas de usuario, asignar privilegios en los equipos, actividades

de auditoría, destrucción de material, informes de incidentes y mucho más. Los

procedimientos se consideran el nivel más bajo en la cadena de documentación, ya que

son los más cercanos a los equipos y usuarios (en comparación con las políticas) y

proporcionan pasos detallados para problemas de configuración e instalación.

Los procedimientos explican como la política, normas y directrices se pueden implementar

en un entorno operativo. Si una política establece que todas las personas que tienen acceso

a información confidencial deben estar debidamente autenticadas, los procedimientos de

apoyo explicaran los pasos a seguir para que esto suceda mediante la definición de los

criterios de autorización de acceso, como se implementan y configuran los mecanismos de

control de acceso y cómo se auditan las actividades de acceso. Si una norma establece

que se deben realizas copias de seguridad, entonces los procedimientos definirán los pasos

detallados para realizar la copia de seguridad, los tiempos de las copias de seguridad, los

medios de almacenamiento y demás. Los procedimientos deben ser lo suficientemente

detallados para ser comprensibles y útiles para diferentes grupos de personas.


CLASIFICACION DE LA INFORMACION

La clasificación de información es un tema importante dentro del concepto de seguridad de

la información en una empresa. Esta clasificación permite asignar valores específicos y

cuantificar la importancia de los diferentes tipos de datos y activos de información de

acuerdo al nivel de sensibilidad identificado en cuanto a la pérdida o divulgación de la

misma.

Luego de realizar un análisis y clasificación de la información en diferentes segmentos con

base al nivel de sensibilidad identificado, la empresa debe definir las mediciones correctas

para asignar los recursos necesarios en la implementación de mecanismos y controles que

garanticen la protección de la información. Esto asegura que los activos de información

reciban el nivel de protección adecuado de acuerdo a la prioridad indicada en niveles de

clasificación establecidos. La clasificación de datos ayuda a asegurar que los mismos están

protegidos de la manera más rentable, además la protección y el mantenimiento de los

datos cuesta, por eso importante invertir el dinero en la información que realmente requiere

protección.

Niveles de Clasificación

No hay reglas en los niveles de clasificación que una organización debe utilizar, hay algunos

establecidos en estándares y marcos de referencia, sin embargo, las empresas pueden

optar por utilizar niveles de clasificación personalizados

Los siguientes niveles de sensibilidad se muestran del más alto al más bajo en términos

empresariales:

• Confidencial

• Privado

• Sensitivo

• Publico

Los siguientes niveles de sensibilidad se muestran del más alto al más bajo en propósitos

militares:

• Ultra secreto

• Secreto


• Confidencial

• Sensitivo pero desclasificado

• Desclasificado

A continuación, se muestra el detalle de los niveles de clasificación corporativo y militar:

Clasificación

Corporativa Definición Ejemplos

Publico La divulgación de la información no causa ningún impacto adverso a la organizacional o el personal

de la misma.

Información del portafolio de productos y servicios, información de proyectos públicos, licitaciones.

Sensitivo

Requiere que el personal tenga precaución y se asegure que la integridad y confidencialidad de la información es protegida a modificaciones o publicaciones no autorizadas

Información financiera, Detalles específicos de proyectos, Ventas y

Ganancias

Privado Información para uso exclusivo de la organización , la divulgación no autorizada puede afectar a la empresa o el personal de la misma

Historial de negocios, clientes, aliados, información de recursos humanos, información médica.

Confidencial

Para uso exclusivo de la organización, la divulgación de la información está protegida por leyes y regulaciones, la publicación de la información puede traer serios problemas a la empresa o el personal de la misma

Secretos de desarrollo de un producto, formulas secretas, archivos fuentes de código o

programación de aplicaciones.

Clasificación Militar Definición Ejemplos

No Clasificada La información no es sensible Información de reclutamiento, servicios públicos

Sensitiva pero no clasificada

Secretos menores, si la información es divulgada no se causa mayor daño

Información del personal, información médica, resultados de

estudios

Secreto Si la información es divulgada puede causar problemas de seguridad nacional

Planes para tropas, ubicación de bases militares, detalles de armas

y programas

Ultra Secreto Si la información es divulgada puede causar serios problemas de seguridad nacional

Información de nuevas tecnologías, armas y desarrollos, información de estado, espionaje


Una vez que el plan se decide, la organización debe desarrollar los criterios que utilizará

para decidir qué información ira en cada nivel de clasificación. La siguiente lista muestra

algunos parámetros que una organización puede utilizar para determinar la sensibilidad de

los datos.

• La utilidad de los datos

• El valor de los datos

• La antigüedad de los datos

• El nivel de daño que puede ser causado si esta es divulgada

• El nivel de daño que puede ser causado si esta es modificada o corrupta.

• Responsabilidad legal o contractual de proteger los datos

• Los efectos que la información tiene en la seguridad

• Quien puede tener acceso a los datos

• Quien debe almacenar y mantener los datos

• Quien debe reproducir o controla la información

ROLES (algunos de ellos)

Administrador de Seguridad

El administrador de seguridad es responsable de la implementación y el mantenimiento de

los dispositivos de seguridad de red y software. Estos controles suelen incluir firewalls, IDS,

IPS, antimalware, proxies de seguridad, prevención de pérdida de datos, control de acceso,

etc. Es común que haya delimitación entre el administrador de seguridad y el administrador

de la red. El administrador de seguridad tiene el objetivo principal de mantener la red segura

y el administrador de la red tiene el objetivo de mantener las cosas en marcha y

funcionando.

Analista de Seguridad

El papel analista de seguridad se desarrolla en un nivel más alto, más estratégico. Ayuda a

desarrollar las políticas, normas y lineamientos establecidos. Un analista de seguridad

ayuda a definir los elementos del programa de seguridad y hace seguimiento a través de

diferentes elementos para asegurar que los procedimientos se están llevando a cabo

correctamente. Esta persona trabaja más a nivel de diseño que en un nivel de ejecución u

operacional.


Dueño de aplicación

Son personas encargadas de algunas aplicaciones específicas del negocio, por ejemplo, el

sistema de información del departamento de contabilidad. Por lo general los directores de

los diferentes departamentos o los dueños de aplicaciones son los responsables de decidir

quiénes pueden acceder a sus aplicaciones, sujeto a las políticas y los procedimientos

establecidos.

Supervisor

El supervisor es el responsable de toda la actividad de los usuarios y todos los recursos

creados para los usuarios. Es el responsable en materia de seguridad de que un número

de empleados entiendan sus responsabilidades y las políticas establecidas, además de

reportar cualquier novedad sobre la suspensión, transferencia o despido de algún

empleado. El supervisor debe informar al administrador de seguridad todos los cambios

presentados en los usuarios para que se habilite o deshabilite el acceso a los recursos

corporativos.


Integrantes Comité de Control de Cambios

Dado a la gran presencia de cambios en el ambiente y las configuraciones, alguien debe

asegurarse que los cambios se apliquen de forma segura. Los integrantes del comité de

control de cambios son responsables de aprobar o rechazar las solicitudes para realizar

cambios en la red, sistemas o servicios. Deben asegurarse que los cambios aprobados no

generaran ninguna indisponibilidad ni vulnerabilidad en la operación dela empresa. El

comité de cambios debe tener el conocimiento y la experiencia necesaria para entender

cómo los cambios pueden afectar la seguridad, operatividad y productividad del negocio.

Usuario

Un usuario es cualquier individuo que utiliza de forma rutinaria la información y los recursos

corporativos para desarrollar las tareas y actividades relacionadas con su trabajo. El usuario

debe tener un nivel de acceso necesario a los datos para realizar las actividades

relacionadas con sus funciones, además es responsable de seguir las políticas y normas

establecidas para garantizar la integridad, confiabilidad y disponibilidad de la información

para el mismo y los demás usuarios.

Auditor

La función del auditor se realiza periódicamente para asegurar que todo lo estipulado se

esté haciendo correctamente, se asegura que los controles y procedimientos adecuados

estén en su lugar y se mantengan de forma segura. El objetivo del auditor es asegurarse

que la organización cumpla con sus propias políticas, normas y reglamentos establecidos.

Las organizaciones pueden tener auditores internos y/o externos, los auditores internos son

personas que trabajan dentro de la organización y se capacitan para verificar todos los

procedimientos y controles se estén cumpliendo; los auditores externos suelen trabajar en

nombre de un organismo regulador que se encarga de verificar al igual que todo este

marchando en orden. CobiT es un modelo que la mayoría de los auditores de seguridad de

información siguen en la evaluación de un programa de seguridad.


GOBERNABILIDAD DE SEGURIDAD

Una organización puede estar siguiendo muchos de los pasos descritos anteriormente: la

construcción de un programa de seguridad, integración con la arquitectura empresarial,

desarrollo de un programa de gestión de riesgos, documentación de los diferentes aspectos

del programa de seguridad, realización de protección de datos y la capacitación del

personal. Pero, ¿cómo sabemos que se está haciendo todo correctamente y de manera

permanente?, Aquí es donde el gobierno de la seguridad entra en juego. Este permite que

los objetivos de seguridad se establezcan en una organización, se apoyen por la alta

dirección y se comuniquen a través de los diferentes niveles de la organización. Además

permite establecer las medidas necesarias para implementar y reforzar la seguridad y

verificar su desempeño.

Para que los administradores, jefes de área y la dirección general se enteren de lo que esté

sucediendo con la integración de la seguridad se deben desarrollar mecanismos de

supervisión que integren adecuadamente todos los niveles de la organización, de manera

que todas las personas encargadas del proceso y los usuarios finales estén actualizados

sobre el rendimiento de la seguridad a través de los canales de comunicación, reportes y

métricas establecidas.

Vamos a comparar dos empresas. La empresa A tiene un programa eficaz de gobierno de

la seguridad y la empresa B no lo hace. Ahora para el ojo inexperto, parece como si las

empresas A y B son iguales en sus prácticas de seguridad, ya que ambos tienen las

políticas de seguridad, procedimientos, normas, los controles de la tecnología misma

seguridad (firewalls, IDS, gestión de identidad, etc.).


Empresa A Empresa B

Los miembros de la junta directiva entienden que la seguridad de la información es algo crítico para la

empresa y requieren estar al tanto de las actualización en seguridad,

rendimiento y amenazas

Los miembros de la junta no entienden la importancia de la

seguridad de la información, sus responsabilidades en el proceso

Los directivos, administradores e integrantes de comités se reúnen cada mes y la seguridad de la información es uno de los temas en la agenda a revisar

Los directivos, administradores e integrantes de comités no se

involucran en la seguridad de la información y piensan que todo es

responsabilidad del área de TI

Los administradores y directivos establecen un nivel de riesgo aceptable que será la base para las políticas y las actividades de seguridad de la empresa

El oficial de seguridad establece algunas políticas de seguridad y las

implementa en la empresa en nombre del gerente o la junta

directiva

Los administradores y directores de área designan responsables para llevar

a cabo la gestión del riesgo y las actividades relacionadas

Todas las actividades de seguridad se llevan a cabo dentro del

departamento de seguridad de la información y estas no son integradas

con el resto de la empresa

Los procesos de negocio críticos son documentados teniendo en cuenta el

nivel de riesgo relacionado en cada paso dentro de las unidades de negocio

o áreas de la empresa

Los procesos de negocio no son documentados y no es analizado el

riesgo potencial para las operaciones y la productividad

Los empleados son mantenidos bajo seguimiento en sus actividades realizadas seguras, maliciosas y

accidentales

Las políticas y estándares están implementadas, pero no hay

prácticas de apoyo y seguimiento de las actividades de los empleados

Las soluciones de seguridad, servicios administrados o consultores

contratados son analizadas de forma diligente para evaluar la productividad

y el costo-beneficio de los mismos.

Las soluciones de seguridad, servicios administrados o consultores no son analizados de una buena manera sin

costo-beneficio, efectividad o retorno de la inversión

La organización analiza y evalúa sus procesos continuamente, incluyendo la

seguridad de la información con el objetivo de lograr una mejora

continua.

La organización no analiza ni evalúa sus rendimiento y mejoramiento,

pero continua avanzando y cometiendo los mismos errores


3. GESTION DE RIESGOS

EVALUACIÓN Y ANÁLISIS DEL RIESGO

La evaluación del riesgo es una herramienta para la gestión de riesgos, un método de

identificación de amenazas y vulnerabilidades que permite evaluar los posibles impactos y

determinar dónde aplicar los controles de seguridad necesarios. El análisis de riesgos es

utilizado para garantizar la rentabilidad del costo-beneficio de la implementación de la

seguridad en las organizaciones y garantizas la oportuna respuesta ante amenazas.

La seguridad informática es un tema complejo incluso para los profesionales en esta área,

ya que los mecanismos y controles implementados podrían no ser los adecuados para

garantizar el cumplimiento de los objetivos de seguridad, además es posible gastar mucho

dinero en el proceso de implementación el cual al final podría no cumplir con los objetivos

propuestos inicialmente.

El análisis del riesgo ayuda a las empresas priorizar sus riesgos y permite realizar una

adecuada gestión de la cantidad de recursos que deben ser utilizados para aplicar la

protección necesaria a los mismos.


El análisis del riesgo tiene cuatro objetivos principales:

• Identificar los activos y su valor para la organización.

• Identificar las vulnerabilidades y amenazas.

• Cuantificar la probabilidad de ocurrencia y el impacto del negocio para las amenazas

potenciales.

• Proporcionar un equilibrio económico entre el impacto de la amenaza identificada y el

costo de la medida definida.

El análisis del riesgo proporciona una comparación costo-beneficio, que compara el costo

anual de los controles de protección con el costo potencial de pérdida. En la mayoría de los

casos un control no debe aplicarse si el costo anualizado excede el valor del costo de

perdida; esto quiere decir que si una instalación de una empresa tiene un valor de 50

millones no tiene sentido gastar 70 millones para tratar de protegerla.

IDENTIFICAR VULNERABILIDADES Y AMENAZAS

Existen muchos tipos de amenazas que pueden tomar ventaja de los diferentes tipos de

vulnerabilidades que pueden afrontar las organizaciones en los programas de gestión del

riesgo.

Como se mencionó anteriormente la definición de un riesgo es la probabilidad de que un

agente amenaza explote una vulnerabilidad para causar daño a un activo y el impacto final

que este pueda tener en el negocio. Existen muchos tipos de agentes amenaza que pueden

tomar ventaja de varios tipos de vulnerabilidades como se indica en la tabla de la siguiente

página, en la cual se representa sólo una muestra de los riesgos que muchas empresas

deben abordar en sus programas de gestión del riesgo.


Amenaza Vulnerabilidad que puede ser explotada Resultado de la amenaza

Malware Falta de software antivirus Infección de virus

Hacker Servicios importantes en un servidor de bases de datos

Acceso no autorizado a información confidencial

Usuarios Parámetros de seguridad no configurados en el sistema

operativo

Mal funcionamiento del sistema operativo

Empleado Falta de entrenamiento o falta de auditoria

Divulgación de información confidencial, alteración de las entradas

y salidas en las aplicaciones de entra y

salida de datos

Fuego Falta de extintores Daño en las locaciones y equipos a causa del fuego

Contratista Falta de mecanismos de control de acceso

Robo o pérdida de activos e información de la

empresa

Atacante Código de aplicaciones

débil, configuración ineficiente del firewall

Ataques de fuerza bruta y sobrecarga de buffer

Intruso Falta de un guardia de seguridad

Daños de dispositivos y partes físicas del edificio

Riesgo total vs riego residual

La razón para que una empresa implemente medidas es para reducir el riesgo global hacia

un nivel aceptable. Es importante aclarar que ningún sistema o medio ambiente es 100%

seguro, lo que quiere decir que siempre habrá algún tipo de riesgo restante a enfrentar, esto

se conoce riesgo residual.

El riesgo total es diferente al riego residual, este es el riesgo al que se enfrenta una

empresa si decide no aplicar ningún tipo de medida o garantía. Una empresa puede optar


por tomar el riesgo total si los resultados del análisis costo-beneficio indican que por su

valor esta es la mejor decisión. Por ejemplo, si hay una pequeña probabilidad de que los

servidores web de una empresa puedan verse comprometidos y las medidas necesarias

para dar un mayor nivel de protección van a costar más que la pérdida potencial, la empresa

optara por no aplicar la contramedida eligiendo no hacerle frente y aceptando el riesgo total.

MANEJO DEL RIESGO

Una vez que una empresa sabe la cantidad de riesgo total y residual que enfrenta debe

decidir cómo manejarlo. El riesgo puede ser tratado en cuatro formas: transferirlo, evitarlo,

reducirlo o aceptarlo.

Muchos seguros están disponibles para proteger los activos en las empresas, si una

empresa decide que el riesgo total es demasiado alto como para jugar con él y manejarlo,

puede adquirir un seguro con el cual podrá transferir el riesgo a la compañía de seguros.

Si una empresa decide poner fin a la actividad está causando el riesgo esto se conoce como

evitar el riesgo, por ejemplo, si una compañía permite o deniega el uso de la mensajería

instantánea (IM) en los empleados evita o mantiene muchos riesgos que rodean a esta

tecnología.


Otro enfoque es la mitigación o reducción del riesgo, en el que el riesgo este se reduce a

un nivel que se considera lo suficientemente aceptable para continuar con normalidad en la

operación del negocio, por ejemplo, la implementación y capacitación de dispositivos de

seguridad como sistemas de protección/detección de intrusión, firewalls u otros tipos de

control representan tipos de esfuerzos para la mitigación de riesgos. El último enfoque es

aceptar el riesgo, lo que significa que la compañía entiende el nivel de riesgo al que se

enfrenta, el costo potencial del daño y decide vivir con el mismo sin implementar ninguna

contramedida. Muchas empresas aceptan el riesgo cuando analizan la relación costo-

beneficio y el costo de la contramedida es mayor al valor de la potencial pérdida.

Gestión del riesgo:

- Análisis del riesgo

- Identificar las amenazas

- Determinar las probabilidades

- Valorar el riesgo

- Evaluar las protecciones

- Cuantificar el impacto de las amenazas

- Calificar el impacto

- Determinar probabilidad de ocurrencia: alta, media, baja, critica

- Aceptación, mitigación, transferencia y evadir el riesgo


• Análisis del riesgo cuantitativo Asignar valores monetarios y numéricos a todos los

elementos de datos de una evaluación del riesgo.

• Análisis del riesgo cualitativo Método basado en el análisis del riesgo con el uso de

escenarios y valoraciones.

• Funcionalidad versus efectividad del control Funcionalidad es lo que el control hace y

la efectividad es que también lo hace

• Riesgo total Es la cantidad total de riesgo existente antes de que un control sea

implementado, Amenazas x Vulnerabilidades x Activos = Riesgo total

• Riesgo residual El riesgo que permanece luego de la implementación de un control,

Amenazas x Vulnerabilidades x Activos x (brecha del control) = Riesgo residual

• Manejo del riesgo Aceptar, transferir, mitigar o evitar


4. MARCOS DE REFERENCIA, ESTÁNDARES Y MEJORES PRÁCTICAS DE

SEGURIDAD

MARCOS DE REFERENCIA DE SEGURIDAD (FRAMEWORK)

Hasta este punto sabemos lo que necesitamos para llevar a cabo (disponibilidad, integridad

y confidencialidad), sabemos que las herramientas que podemos utilizar (controles

administrativos, técnicos y físicos), además de cómo hablar de este tema (vulnerabilidad,

amenaza, riesgo y control).

El concepto de seguridad por oscuridad (no recomendado) supone que los atacantes no

son tan inteligentes como usted y no pueden imaginar algo se piensa es muy difícil. Por

ejemplo, poner una llave adicional debajo de un tapete o encima de un marco en caso de

que la puerta de la casa se cierre o perdamos las llaves. Usted asume que nadie sabe el

lugar donde escondió la llave de repuesto, siempre y cuando los demás no se enteren de

esto se puede considerar seguro. La vulnerabilidad es que cualquier persona podría

acceder fácilmente a la casa si conoce el lugar donde se guardan las llaves.

ISO/IEC 27000 SERIES

La industria se ha movido desde el estándar ambiguo BS7799 hasta toda la lista de

estándares ISO/IEC que tratan de dividir y poner en módulos los componentes necesarios

de un sistema de gestión de seguridad de la información (SGSI) siglas en español,

(ISMS) siglas en ingles.


• ISO/IEC 27000 Información general y vocabulario

• ISO/IEC 27001 Requerimientos del SGSI

• ISO/IEC 27002 Código de prácticas para la gestión de seguridad de la información

• ISO/IEC 27003 Pautas para la implementación del SGSI

• ISO/IEC 27004 Pautas de medición y métricas para la gestión de seguridad de la

información

• ISO/IEC 27005 Pautas para la gestión del riesgo de seguridad de la información

• ISO/IEC 27006 Guía para los organismos que realizan auditoria y certificación de sistemas

de gestión de seguridad de la información

• ISO/IEC 27011 Pautas de seguridad de la información para empresas de

telecomunicaciones

• ISO/IEC 27031 Pautas en tecnologías de la información y las comunicaciones (TIC) para

la preparación de continuidad del negocio

• ISO/IEC 27033-1 Pautas para seguridad de red

• ISO 27799 Pautas para la gestión de seguridad de la información en organizaciones de

salud

Este grupo de normas se conoce como la serie ISO/IEC 27000 y sirve como mejores

prácticas de la industria para la gestión de los controles de seguridad de manera integral

dentro de las organizaciones de todo el mundo.


Ciclo (PHVA)

ISO sigue el Planificar - Hacer - Verificar - Actuar, que es un proceso iterativo que se

utiliza comúnmente en los programas de control de calidad de procesos de negocio. El

componente Planificar hace referencia al establecimiento planes y objetivos, el

componente Hacer hace referencia a la ejecución de los planes, el componente Verificar

hace referencia a la medición de los resultados relacionado con el cumplimiento de los

objetivos y finalmente el componente Actuar proporciona orientación acerca de cómo

corregir y mejorar los planes para lograr un mayor éxito.


El estándar ISO 27001 es el punto de partida para la implementación del sistema de

gestión de seguridad de la información (SGSI) en las organizaciones.

ISO/IEC 27001 es el estándar para el establecimiento, implementación, control y mejora

del sistema de gestión de seguridad de la información.

Un sistema de gestión de seguridad de la información (SGSI) es un conjunto coherente

de políticas, procesos y sistemas que permiten gestionar los riesgos de los activos de

información como se indica en la norma ISO\IEC 27001.


NIST CYBERSECURITY FRAMEWORK

Es un estándar creado por el NIST, instituto estadounidense. Utiliza un lenguaje de fácil

entendimiento, guiar a las empresas y organizaciones de todos los tamaños, a gestionar y

reducir los riesgos de ciberseguridad y proteger su información.

Está enfocado a la seguridad y protección de infraestructuras críticas, de las cuales,

dependa al normal funcionamiento de un país; como la generación de electricidad,

tratamiento y entrega de agua potable, la economía, seguridad, telecomunicaciones, etc.

Los pasos o las funciones de este marco se enfocan en Identificar, proteger, detectar,

responder y recuperar. Cinco pilares, para llevar todo este ciclo y poder gestionar los

riesgos de forma adecuada. Enfrentar, manejar, mitigar y contener de buena manera las

ciber amenazas.

Identificar: Desarrollar y generar un entendimiento para administrar el riesgo de

ciberseguridad de los sistemas, personas, activos, información. Comprensión del contexto

empresarial, los recursos que respaldan las funciones críticas y los riesgos relacionados con la

ciberseguridad, permiten que se enfoque y prioricen sus esfuerzos.

Proteger: Describe las medidas de seguridad indicadas para garantizar la entrega de servicios

o funcionalidad de las infraestructuras críticas. La capacidad de limitar o contener el impacto de

un potencial evento de ciberseguridad.


Detectar: Identifica actividades necesarias para identificar el nivel de ocurrencia de un evento

de ciberseguridad, permitiendo el descubrimiento oportuno.

Responder: Permite tomar medidas con respecto a un incidente de ciberseguridad detectado,

desarrollando la capacidad de contener y mitigar el alcance y el impacto del incidente.

Recuperar: Planes para resistir y recuperar las capacidades y servicios, que hayan podido

afectar el incidente de ciberseguridad.

ALGUNOS MARCOS DE REFERENCIA Y MEJORES PRÁCTICAS

Desarrollo de programas de seguridad

• ISO/IEC 27000 series estándares internacionales que hacen referencia a cómo

desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI).

Desarrollo de arquitectura tecnológica empresarial

• Zachman framework Modelo para el desarrollo de arquitectura empresarial

• TOGAF Modelo y metodología para el desarrollo de arquitectura empresarial


• DoDAF Marco de referencia de arquitectura empresarial del departamento de defensa de

los Estados Unidos que garantiza interoperabilidad de los sistemas para cumplir los

objetivos militares

• MODAF Marco de referencia de arquitectura usado principalmente en apoyo de misiones

militares

Gestion de procesos

• ITIL Procesos para permitir la gestión de servicios de TI

• Six Sigma Estrategia de gestión de negocios que puede ser usada para realizar el

mejoramiento de procesos

• Capability Maturity Model Integration (CMMI) Desarrollo de procesos de mejoramiento

organizacional

Desarrollo de arquitectura de seguridad empresarial

• SABSA model Modelo y metodología para el desarrollo de arquitectura empresarial de

seguridad

Desarrollo de controles de seguridad

• CobiT Conjunto de objetivos de control para la gestión de TI

• SP 800-53 Conjunto de controles para proteger sistemas federales

Gobiernancia corporativa

• COSO Conjunto de controles corporativos para ayudar a reducir el riesgo de fraude

financiero

Libro de Ciberseguridad

Documents

Transcript of Libro de Ciberseguridad