Marco Teorico Ciberseguridad [PDF]

Zitiervorschau

La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. También se conoce como seguridad de tecnología de la información o seguridad de la información electrónica.  Se puede dividir en algunas categorías comunes: 

La seguridad de red es la práctica de proteger una red informática de los intrusos, ya sean atacantes dirigidos o malware oportunista.



La seguridad de las aplicaciones se enfoca en mantener el software y los dispositivos libres de amenazas.



La seguridad de la información protege la integridad y la privacidad de los datos, tanto en el almacenamiento como en el tránsito.



La seguridad operativa incluye los procesos y decisiones para manejar y proteger los recursos de datos.



La recuperación ante desastres y la continuidad del negocio definen la forma en que una organización responde a un incidente de ciberseguridad o a cualquier otro evento que cause que se detengan sus operaciones o se pierdan datos.



La capacitación del usuario final aborda el factor de ciberseguridad más impredecible: las personas.

https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security ¿Quiénes son los delincuentes cibernéticos? Los atacantes son personas o grupos que intentan atacar las vulnerabilidades para obtener una ganancia personal o financiera. Los delincuentes cibernéticos están interesados en todo, desde las tarjetas de crédito hasta los diseños de producto y todo lo que tenga valor. Los tipos de ciberdelicuentes que puede afectar más una empresa son los “Delincuentes Cibernéticos” que son hackers de sombrero negro son independientes o trabajan para grandes organizaciones de delito cibernético. Cada año, los delincuentes cibernéticos son responsables de robar miles de millones de dólares de consumidores y empresas. Cybersecurity Essentials – NetAcad – Cisco Networking Academy Cómo frustrar a los delincuentes cibernéticos Las acciones coordinadas que tomaremos en cuenta son las siguientes: 

Establecimiento de sensores de advertencia temprana y redes de alerta



Establecimiento de estándares de administración de seguridad de la información entre organizaciones nacionales e internacionales. ISO 27001 es un buen ejemplo de estos esfuerzos internacionales el cual utilizaremos de base para las políticas de ciberseguridad.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy Amenazas internas y externas Los ataques pueden originarse dentro de una organización o fuera de ella. Un usuario interno, como un empleado o un partner contratado, puede de manera accidental o intencional: 

Manipular de manera incorrecta los datos confidenciales



Amenazar las operaciones de los servidores internos o de los dispositivos de la infraestructura de red



Facilitar los ataques externos al conectar medios USB infectados al sistema informático corporativo



Invitar accidentalmente al malware a la red con correos electrónicos o páginas web maliciosos

Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura. Las amenazas externas de los aficionados o de los atacantes expertos pueden explotar las vulnerabilidades en los dispositivos conectados a la red o pueden utilizar la ingeniería social, como trucos, para obtener acceso. Los ataques externos aprovechan las debilidades o vulnerabilidades para obtener acceso a los recursos internos. Cybersecurity Essentials – NetAcad – Cisco Networking Academy Los principios de seguridad La confidencialidad previene la divulgación de información a las personas los recursos o los procesos no autorizados. La integridad hace referencia a la precisión, la uniformidad y la confiabilidad de datos. Por último, la disponibilidad garantiza que los usuarios pueden tener acceso a la información cuando sea necesario. Las organizaciones restringen el acceso para asegurar que solo los operadores autorizados pueden usar los datos u otros recursos de red. Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La pérdida de la integridad de los datos puede lograr que todos los recursos de datos sean dudosos o inutilizables. La verificación de integridad realiza un proceso denominado función de hash para tomar una instantánea de los datos en un instante de tiempo. 

La disponibilidad de los datos es el principio que se utiliza para describir la necesidad de mantener la disponibilidad de los sistemas y servicios de información en todo momento. Los ataques cibernéticos y las fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información.  Cybersecurity Essentials – NetAcad – Cisco Networking Academy Las cinco nueves El término "alta disponibilidad", describe los sistemas diseñados para evitar el tiempo de inactividad. La alta disponibilidad asegura un nivel de rendimiento por un período más alto de lo normal. Los sistemas de alta disponibilidad suelen incluir tres principios de diseño: 

Eliminar puntos sencillos de falla



Proporcionar una conexión cruzada confiable



Detecte fallas a medida que se producen

Asegurar la disponibilidad Las organizaciones pueden garantizar la disponibilidad al implementar lo siguiente: 

Realizar el mantenimiento del equipo



Realizar actualizaciones del SO y del sistema



Realizar las pruebas de copia de respaldo



Realizar una planificación para evitar desastres

Desafíos en la protección de datos en tránsito 

Protección de la confidencialidad de los datos: los delincuentes cibernéticos pueden capturar, guardar y robar datos en tránsito.



Protección de la integridad de los datos: los delincuentes cibernéticos pueden interceptar y alterar los datos en tránsito.



Protección de la disponibilidad de los datos: los delincuentes informáticos pueden usar dispositivos falsos o no autorizados para interrumpir la disponibilidad de los datos. 

Cybersecurity Essentials – NetAcad – Cisco Networking Academy Medidas de protección tecnológicas con base en software



Los sistemas de detección de intrusiones (IDS) basados en el host examinan la actividad en los sistemas host. Un IDS genera archivos de registro y mensajes de alarma cuando detecta actividad inusual.

Medidas de protección tecnológicas con base en hardware 

Los dispositivos de firewall bloquean el tráfico no deseado. Estos contienen reglas que definen el tráfico permitido dentro y fuera de la red.



Los sistemas de detección de intrusiones (IDS) exclusivos detectan signos de ataques o de tráfico inusual en una red y envía una alerta.



Los sistemas de prevención de intrusiones (IPS) detectan signos de ataques o de tráfico inusual en una red, generan una alerta y toman medidas correctivas.

Medidas de protección tecnológicas con base en la red 

La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es decir, Internet). La seguridad de una VPN reside en el cifrado del contenido de paquetes entre los terminales que definen la VPN.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy Malware El software malicioso, o malware, es un término que se utiliza para describir el software diseñado para interrumpir las operaciones de la computadora u obtener acceso a los sistemas informáticos, sin el conocimiento o el permiso del usuario. Hay diferentes tipos de malware, entre los que se incluyen los siguientes: Virus: un programa capaz de reproducirse, que se incrusta un archivo limpio y se extiende por todo el sistema informático e infecta a los archivos con código malicioso. Troyanos: un tipo de malware que se disfraza como software legítimo. Los cibercriminales engañan a los usuarios para que carguen troyanos a sus computadoras, donde causan daños o recopilan datos. Spyware: un programa que registra en secreto lo que hace un usuario para que los cibercriminales puedan hacer uso de esta información. Por ejemplo, el spyware podría capturar los detalles de las tarjetas de crédito. Ransomware: malware que bloquea los archivos y datos de un usuario, con la amenaza de borrarlos, a menos que se pague un rescate.

Botnets: redes de computadoras con infección de malware que los cibercriminales utilizan para realizar tareas en línea sin el permiso del usuario. Inyección de código SQL Una inyección de código SQL (por sus siglas en inglés Structured Query Language) es un tipo de ciberataque utilizado para tomar el control y robar datos de una base de datos. Los cibercriminales aprovechan las vulnerabilidades de las aplicaciones basadas en datos para insertar código malicioso en una base de datos mediante una instrucción SQL maliciosa. Esto le brinda acceso a la información confidencial contenida en la base de datos. Phishing El phishing es cuando los cibercriminales atacan a sus víctimas con correos electrónicos que parecen ser de una empresa legítima que solicita información confidencial.

Ataque de tipo “Man-in-the-middle” Un ataque de tipo “Man-in-the-middle” es un tipo de ciberamenaza en la que un cibercriminal intercepta la comunicación entre dos individuos para robar datos. Por ejemplo, en una red Wi-Fi no segura, un atacante podría interceptar los datos que se transmiten desde el dispositivo de la víctima y la red. Ataque de denegación de servicio Un ataque de denegación de servicio es cuando los cibercriminales impiden que un sistema informático satisfaga solicitudes legítimas sobrecargando las redes y los servidores con tráfico. Ingeniería social La ingeniería social es un medio completamente no técnico por el que el delincuente reúne información sobre un objetivo. La ingeniería social es un ataque que intenta manipular a las personas para que realicen acciones o divulguen información confidencial. La protección del usuario final o la seguridad de endpoints es un aspecto fundamental de la ciberseguridad. Después de todo, a menudo es un individuo (el usuario final) el que accidentalmente carga malware u otra forma de ciberamenaza en su equipo de escritorio, laptop o dispositivo móvil. Falsificación de identidad (spoofing) La falsificación de identidad es un ataque que aprovecha una relación de confianza entre dos sistemas. 

La falsificación de direcciones IP envía paquetes IP de una dirección de origen falsificada para disfrazarse.



El Protocolo de resolución de dirección (ARP) es un protocolo que corrige las direcciones IP a direcciones MAC para transmitir datos. La suplantación de ARP envía mensajes ARP falsos a través de la LAN para conectar la dirección MAC del delincuente a la dirección IP de un miembro autorizado de la red.

Protocolo WEP y WPA El protocolo WEP utiliza una clave para la encriptación. No existen disposiciones para la administración de claves con WEP, por lo que la cantidad de personas que comparten la clave crecerá continuamente. El protocolo WPA2 no tienen los mismos problemas de encriptación porque un atacante no puede recuperar la clave al observar el tráfico.  Controles de acceso físico Son obstáculos reales implementados para evitar el contacto directo con los sistemas. El objetivo es evitar que los usuarios no autorizados tengan acceso físico a las instalaciones, el equipo y otros activos de la organización. Control de acceso discrecional El propietario de un objeto determina si permite el acceso a un objeto con control de acceso discrecional (DAC). DAC otorga o restringe el acceso de objeto determinado por el propietario del objeto. Control de acceso basado en reglas El control de acceso basado en reglas utiliza listas de control de acceso (ACL) para ayudar a determinar si otorga acceso o no. Una serie de reglas se incluye en la ACL. Cybersecurity Essentials – NetAcad – Cisco Networking Academy Políticas Una política de seguridad es un conjunto de objetivos de seguridad para una empresa que incluye las reglas de comportamiento de usuarios y administradores y especificar los requisitos del sistema. Estos objetivos, estas reglas y estos requisitos en conjunto garantizan la seguridad de una red, de los datos y de los sistemas informáticos de una organización. Una política de seguridad completa logra varias tareas: 

Demuestra el compromiso de una organización con la seguridad.



Establece las reglas para el comportamiento esperado.



Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento.



Define las consecuencias legales de violaciones.



Brinda al personal de seguridad el respaldo de la administración.

Las políticas de seguridad informan a los usuarios, al personal y a los gerentes los requisitos de una organización para proteger la tecnología y los activos de información. Una política de seguridad también especifica los mecanismos necesarios para cumplir con los requisitos de seguridad. Una política de seguridad generalmente incluye: 

Políticas de autenticación e identificación: determinan cuáles son las personas autorizadas que pueden acceder a los recursos de red y describen los procedimientos de verificación.



Políticas de contraseña: garantizan que las contraseñas cumplan con requisitos mínimos y se cambien periódicamente.



Políticas de uso aceptable: identifican los recursos y el uso de red que son aceptables para la organización. También puede identificar las consecuencias de las violaciones de la política.



Políticas de acceso remoto: identifican cómo los usuarios remotos pueden obtener acceso a la red y cuál es accesible de manera remota.



Políticas de mantenimiento de red: especifican los sistemas operativos de los dispositivos de la red y los procedimientos de actualización de las aplicaciones de los usuarios finales.



Políticas de manejo de incidentes: describen cómo se manejan los incidentes de seguridad.

Uno de los componentes más comunes de la política de seguridad es una política de uso aceptable (AUP). Este componente define qué pueden y no pueden realizar los usuarios en los distintos componentes del sistema. Un AUP enumera las páginas web, los grupos informativos o las aplicaciones de uso intensivo de ancho de banda específicos a las que los usuarios no pueden acceder utilizando las computadoras o la red de la empresa. ISO/IEC 27000 Es un estándar de seguridad informática publicada en 2005 y revisada en 2013. ISO publica los estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los países los utilizan como marco trabajo de facto para implementar la seguridad informática. Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de la información (ISMS) completo. Un ISMS incluye todos los controles administrativos, técnicos y operativos para mantener la información segura dentro de una organización. Doce dominios independientes representan los componentes del estándar ISO 27000. Estos doce dominios sirven para

organizar, en un nivel alto, las vastas áreas de información bajo el término general de seguridad informática.

Fuente: Cybersecurity Essentials – NetAcad – Cisco Networking Academy Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar. Los objetivos de control definen los requisitos de alto nivel para implementar un ISM completo. El equipo de administración de una organización utiliza los objetivos de control de ISO 27001 para definir y publicar las políticas de seguridad de la organización. Los objetivos de control proporcionan una lista de comprobación para utilizar durante las auditorías de administración de seguridad. Muchas organizaciones deben aprobar una auditoría de ISMS para obtener una designación de cumplimiento del estándar ISO 27001. La certificación y el cumplimiento proporcionan confianza para dos organizaciones que deben confiar los datos y las operaciones confidenciales de cada uno. Las auditorías de cumplimiento y de seguridad demuestran que las organizaciones aumentan continuamente su sistema de administración de seguridad informática. Cybersecurity Essentials – NetAcad – Cisco Networking Academy Esta norma internacional especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información. Esta norma también incluye los requisitos para la evaluación y tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización.

Los requisitos establecidos en esta norma internacional son genéricos, y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza. “El Sistema de Gestión de Seguridad de la Información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas de que los riesgos se gestionan adecuadamente.” Modulo ISO/IEC 27001 – Centro Europeo de Postgrado CEUPE Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la protección de los activos de información para alcanzar los objetivos de negocio. La base de un SGSI reside en, conociendo el contexto de la organización, evaluar los riesgos y fijar los niveles determinados como adecuados por parte de la Dirección de la organización para la aceptación de un nivel de riesgo de modo que se puedan tratar y gestionar los riesgos con eficacia. El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la exitosa implementación de un SGSI. En términos de un SGSI, la gestión consiste en la supervisión y toma de decisiones necesarias para poder alcanzar los objetivos de negocio mediante la protección de los activos de información de la organización. Certificación del SGSI Una vez implantado el SGSI en la organización, y con un historial de registros de actividad recomendado de algunos meses, se puede afrontar la fase de auditoría y certificación de una organización. Se desarrolla de la siguiente forma:

Figura: Fases para afrontar la certificación formal de un SGSI. Fuente Modulo ISO/IEC 27001 – Centro Europeo de Postgrado CEUPE Competencia La organización debe garantizar que todo el personal al que se le hayan asignado responsabilidades dentro del SGSI sea competente para llevar a cabo sus tareas. Para ello, deberá: •

Determinar la competencia necesaria.

•

Asegurarse de que estas personas son competentes en la base en la educación, la formación o la experiencia.

•

En su caso, tomar medidas para adquirir las competencias necesarias y evaluar la eficacia de las medidas adoptadas.

•

Retener la información competencia.

documentada apropiada

como prueba de

Las acciones aplicables pueden incluir, por ejemplo: la oferta para formación, tutorías, la reasignación de los empleados actuales o la contratación de personas competentes.

Concienciación La concienciación referida a la seguridad de la información es un pilar fundamental de la gestión de la seguridad. Las personas (internas o externas) que realizan trabajos bajo el control de la organización deberán tener en cuenta: La política de seguridad de la información. •

Su contribución a la eficacia del Sistema de Gestión de Seguridad de la Información, incluyendo los beneficios de un mejor desempeño de seguridad de información.

•

Las consecuencias de que no cumplan con los requisitos del Sistema de Gestión de Seguridad de la Información.

Tanto la concienciación como la formación deben ser registradas y medidas para poder evaluar su eficacia. Se deben crear y mantener los registros para proporcionar las evidencias de dicha formación. En el caso de personal externo, se deben establecer los mecanismos para implantar y medir el control, de acuerdo al contrato existente y a la legislación laboral actual. Comunicación La organización debe determinar la necesidad de las comunicaciones internas y externas relacionadas con el Sistema de Gestión de Seguridad de la Información, incluyendo: •

Qué comunicar.

•

Cuando comunicar.

•

A quién comunicar.

•

Quién debe comunicar.

•

Cómo se llevará a cabo la comunicación.

Análisis de riesgos El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados dentro del alcance definido previamente: • • •

Determinar los activos relevantes (junto a los propietarios asignados) a la organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. Determinar a qué amenazas están expuestos aquellos activos. Determinar las vulnerabilidades que podrían ser aprovechadas por las amenazas para identificar los impactos que las pérdidas de confidencialidad, integridad y disponibilidad puedan tener sobre los activos.

Activos Se denominan activos los recursos del sistema de información, o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su Dirección. El activo esencial es la información que maneja el sistema. Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que poseen valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. Amenazas Las amenazas son causas potenciales de un incidente no deseado que están siempre presentes y fuera de nuestras posibilidades de control. Hay accidentes naturales, como terremotos o inundaciones, desastres industriales, que causan contaminación o fallos eléctricos, ante los cuales el sistema de información está expuesto. También existen amenazas causadas por las personas de una manera intencionada o accidental por errores o malas prácticas. Análisis de eventos El objetivo del análisis de los eventos de seguridad que se produzcan es asegurar que los eventos y debilidades en la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo. Un procedimiento formal de notificación de eventos de seguridad de la información debe ser establecido junto a una respuesta apropiada a las incidencias y procedimientos de escalado, estableciendo las acciones que deben ser tomadas en cuenta por cada uno de los implicados en las tareas relacionadas al recibir una notificación o ticket.

Figura 1. Secuencia de actividades básicas que intervienen en la resolución de un incidente y su participación en la mejora continua.

Fuente Modulo ISO/IEC 27001 – Centro Europeo de Postgrado CEUPE