Capítulo 1: La ciberseguridad y el Centro de Operaciones de Seguridad

Diversos motivos de ciberataques.

Los Centros de Operaciones de Seguridad (Security Operations Center, SOC) trabajan para

combatir el ciberdelito.

1.1.1.1 Personas secuestradas

Se puede configurar una zona de cobertura inalámbrica abierta “falsa” para acceder a los datos de
las personas que se conecten a ella.

También, Se adjunta un PDF en un correo y cuando se abre, el ransomware se instala en las

computadoras de los empleados y comienza el proceso de recopilación y encriptación de datos
corporativos.

Por medio de usb infectado del proveedor de soporte, el malware Stuxnet infectaba PLC que
controlaban las centrífugas de una planta nuclear

Los ciberataques son actos intencionales y maliciosos que tienen como objetivo afectar
negativamente a otra persona u organización

Script kiddies utilizan herramientas ya existentes o instrucciones que encuentran en Internet para

iniciar ataques.

Los hacktivistas son hackers que protestan contra una variedad de ideas políticas y sociales.
Realizan la publicación de artículos y videos, la filtración de información confidencial y la
interrupción de servicios web con tráfico ilegítimo “denegación de servicio distribuido” (DDoS).

Motivada por el beneficio financiero

Los estados de una nación también están interesados en utilizar el ciberespacio para espionaje
industrial. El robo de la propiedad intelectual puede otorgar una ventaja significativa a un país en
el comercio internacional.

La defensa contra las consecuencias del ciberespionaje y la ciberguerra patrocinados por el estado
continuará siendo una prioridad para los profesionales de la ciberseguridad.

1.1.2.5

IoT: Los estados de una nación también están interesados en utilizar el ciberespacio para espionaje
industrial. El robo de la propiedad intelectual puede otorgar una ventaja significativa a un país en
el comercio internacional.

1.1.3.1

PII: La información que permite identificar personas (Personally Identifiable Information, PII) es

cualquier dato que pueda utilizarse para identificar inequívocamente a una persona. Nombre,
Número de seguridad social, Fecha de nacimiento, Números de tarjetas de crédito, Números de
cuentas bancarias, Identificación emitida por el gobierno, Información sobre dirección.
Para que puedan vender en la web oscura.

PHI: La Información confidencial sobre la salud (Protected Health Information, PHI) es un

subconjunto de la PII. La comunidad médica crea y mantiene registros médicos electrónicos (EMR)
que contienen PHI. En los Estados Unidos, la manipulación de la PHI está regulada por la Ley de
Transferibilidad y Responsabilidad del Seguro Médico (HIPAA).

1.1.3.2

Las empresas están cada vez más preocupadas por el espionaje corporativo en el ciberespacio. La
pérdida de la ventaja competitiva puede deberse más a esta falta de confianza que al hecho de
que otra empresa o país robe secretos comerciales.

1.1.3.3

Política y seguridad nacional

Stuxnet es un claro ejemplo de un ataque a la red motivado por asuntos de seguridad nacional. La
ciberguerra es una posibilidad concreta. Los hackers guerreros patrocinados por el estado pueden
causar interrupciones y destrucciones de servicios y recursos vitales dentro de una nación
enemiga.

Internet se ha tornado esencial como medio para actividades comerciales y financieras. La

interrupción de estas actividades puede devastar la economía de una nación.

1.2.1.1

Se requiere un enfoque formalizado, estructurado y disciplinado en centros de operaciones de

seguridad. Los SOC proporcionan desde el seguimiento y la gestión hasta soluciones completas
contra amenazas y seguridad alojada que se pueden personalizar para satisfacer las necesidades
del cliente. Los SOC pueden ser totalmente internos o es posible tercerizar los elementos de un
SOC a proveedores de seguridad, como los Servicios de seguridad administrados de Cisco.

Elementos de un SOC

1.2.1.2

Las personas en el SOC

SANS Institute divide en cuatro los roles de la gente en los SOC:

Analista de alertas de categoría 1: estos profesionales monitorean alertas entrantes, verifican que
realmente haya ocurrido un incidente y reenvían los informes a la categoría 2 si es necesario.
Personal de respuesta ante los incidentes de categoría 2: estos profesionales son responsables de
investigar los incidentes en detalle y sugerir soluciones o medidas que deben adoptarse.

Experto en la materia (SME)/buscador de categoría 3: estos profesionales son expertos en redes,

terminales, inteligencia de amenazas e ingeniería inversa de malware. Son especialistas en seguir
los procesos del malware para determinar su impacto y cómo eliminarlo. También están
profundamente involucrados en la búsqueda de posibles amenazas y la implementación de
herramientas de detección de amenazas.

Administrador del SOC: este profesional administra todos los recursos del SOC y sirve como punto
de contacto para el cliente o la organización en su totalidad.

La figura del SANS Institute representa gráficamente cómo interactúan entre sí estos roles.

1.2.1.3

Los procesos en el SOC

El día de un analista de categoría 1 comienza con el monitoreo de colas de alertas de seguridad.

Con frecuencia, se utiliza un sistema de informes que les permite a los analistas seleccionar alertas
de una cola para investigar. Dado que el software que genera alertas puede activar falsas alarmas,
una de las tareas del analista de categoría 1 puede ser verificar que una alerta sea realmente un
incidente de seguridad. Cuando se establece la verificación, es posible reenviar el incidente a
investigadores u otro personal de seguridad para que tomen medidas, o categorizarlo como
resuelto si es una falsa alarma.

Si un informe no se puede resolver, el analista de categoría 1 reenviará el informe a un analista de

categoría 2 para que lo investigue en detalle e implemente una solución. Si el analista de
categoría 2 no puede resolver el informe, se lo reenviará a un analista de categoría 3 con
conocimiento experto y habilidades de búsqueda de amenazas.
1.2.1.4 Las tecnologías en el SOC

Un SOC necesita un sistema de administración de información y eventos de seguridad (SIEM). Este

sistema combina datos de varias tecnologías. Los sistemas SIEM se usan para recopilar y filtrar
datos; detectar, clasificar, analizar e investigar amenazas; y administrar recursos a fin de
implementar medidas preventivas y afrontar futuras amenazas. Las tecnologías del SOC incluyen
una o más de las siguientes:

 Recopilación, correlación y análisis de eventos

 Monitoreo de la seguridad

 Control de la seguridad

 Administración de registros

 Evaluación de vulnerabilidades

 Seguimiento de vulnerabilidades

 Inteligencia de amenazas
1.2.1.5 Seguridad empresarial y administrada

Para redes medianas y grandes, la organización se beneficiará de implementar un SOC de nivel

empresarial. El SOC puede ser una solución interna completa. Sin embargo, muchas
organizaciones importantes tercerizan, al menos en parte, las operaciones del SOC a un proveedor
de soluciones de seguridad.

Cisco cuenta con un equipo de expertos que ayudan a garantizar la resolución oportuna y precisa
de incidentes. Cisco ofrece una amplia gama de capacidades de respuesta, preparación y
administración de incidentes:

 Servicio Cisco Smart Net Total Care para la resolución rápida de problemas

 Equipo de respuesta ante los incidentes de seguridad de los productos (PSIRT) de Cisco

 Equipo de respuesta ante los incidentes de seguridad de las computadoras (CSIRT) de

Cisco

 Servicios administrados de Cisco

 Operaciones tácticas de Cisco (TacOps)

 Programa de seguridad física y seguridad de Cisco

1.2.1.6 Comparación entre seguridad y disponibilidad

La mayoría de las redes empresariales tienen que estar funcionando en todo momento. El
personal de seguridad entiende que, para que la organización logre sus prioridades, debe
mantenerse la disponibilidad de la red.

Cada empresa o industria tiene una tolerancia limitada al tiempo de inactividad de la red. Esa
tolerancia suele basarse en una comparación entre el costo del tiempo de inactividad y el costo de
protección contra el tiempo de inactividad. Por ejemplo, en un comercio minorista pequeño con
una sola ubicación, puede resultar suficiente que un router sea el único punto de falla. Sin
embargo, si gran parte de las ventas de ese comercio proviene de compradores en línea, el
propietario puede decidir brindar determinado nivel de redundancia para asegurar que siempre
haya disponible una conexión.

El tiempo de actividad preferido suele medirse según la cantidad de minutos de inactividad en

un año, como se ve en la figura. Entre los ejemplos, un tiempo de actividad de “cinco nueves”
indica que la red está activa el 99,999 % del tiempo, es decir, permanece inactiva menos de
5 minutos por año. “Cuatro nueves” equivale a un tiempo de inactividad de 53 minutos por año.

Sin embargo, el nivel de seguridad no debe ser tan alto como para interferir en las necesidades de
los empleados o las funciones empresariales. El secreto es lograr siempre un equilibrio entre un
buen nivel de seguridad y la posibilidad de que la empresa funcione con eficacia.
1.2.1.7

1.2.2.1 Certificaciones

Cisco CCNA Cyber Ops

La certificación CCNA Cyber Ops proporciona un valioso primer paso en la adquisición del
conocimiento y las habilidades que se necesitan para trabajar con un equipo de SOC. Puede ser
una parte valiosa de una profesión en el fascinante y cada vez más importante campo de las
operaciones de ciberseguridad.

Certificación CompTIA Cybersecurity Analyst

La certificación CompTIA Cybersecurity Analyst (CSA+) es una certificación profesional de TI

independiente. Valida el conocimiento y las habilidades que se necesitan para configurar y utilizar
herramientas de detección de amenazas, realizar análisis de datos e interpretar los resultados para
identificar vulnerabilidades, amenazas y riesgos en una organización. El objetivo final es lograr la
capacidad de proteger aplicaciones y sistemas dentro de una organización.

Certificaciones de seguridad de la información (Information Security Certifications, ISC)²

(ISC)² es una organización internacional sin fines de lucro que ofrece la famosa certificación de
CISSP. También ofrece una variedad de otras certificaciones de diversas especialidades en
ciberseguridad.

Certificación global de seguridad verificada de la información (Global Information Assurance

Certification, GIAC)

GIAC, que se fundó en 1999, es una de las organizaciones de certificación de seguridad más
antiguas. Ofrece una amplia gama de certificaciones en siete categorías.

Otras certificaciones relacionadas con la seguridad

Busquen “certificaciones de ciberseguridad” para obtener información acerca de otras

certificaciones de proveedores e independientes.

1.2.2.2 Educación adicional

Títulos

Toda persona que considere trabajar en ciberseguridad, debería pensar seriamente en comenzar
una carrera de grado técnica o una licenciatura en ciencias informáticas, ingeniería eléctrica,
tecnología de la información o seguridad de la información. Muchas instituciones educativas
ofrecen especializaciones y certificaciones relacionadas con la seguridad.

Programación con Python

La programación por computadora es una habilidad esencial para cualquiera que desee trabajar en
ciberseguridad. Si nunca aprendió a programar, Python es el primer lenguaje que debe aprender.
Python es un lenguaje de código abierto orientado a objetos que usan frecuentemente los
analistas de ciberseguridad. También es un lenguaje de programación popular para sistemas
basados en Linux y redes definidas por software (SDN).

1.2.2.3 Fuentes de información sobre trabajo

Una variedad de sitios web y aplicaciones móviles publicita trabajos de tecnología de la

información. Cada sitio está dirigido a diversos postulantes y proporciona diferentes herramientas
para que los candidatos busquen su puesto de trabajo ideal. Muchos sitios son agregadores de
sitios de trabajo. Los agregadores de sitios de trabajo publican en un solo lugar recopilaciones de
anuncios de otros paneles de empleo y sitios de profesionales de empresas.

Indeed.com

Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de
180 millones de visitantes exclusivos por mes de más de 50 países diferentes. Indeed.com es
verdaderamente un sitio de trabajo mundial. Ayuda a las empresas de todos los tamaños a
contratar a los mejores talentos y ofrece las mejores oportunidades para quienes buscan trabajo.

CareerBuilder.com
CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este sitio atrae a
los candidatos específicos que poseen la mayor educación y las credenciales más altas. Los
empleadores que publican en CareerBuilder comúnmente obtienen más candidatos con títulos
universitarios, credenciales avanzadas y certificaciones industriales.

USAJobs.gov

El gobierno federal de EE. UU. publica cualquier vacante en USAJobs. Haga clic aquí para obtener
más información sobre cómo postularse.

Información sobre salarios

El sitio web glassdoor.com proporciona información salarial de diferentes lugares, empresas y

tipos de trabajo. Busquen “analista de ciberseguridad” para conocer los salarios y requisitos de
vacantes actuales.

LinkedIn

LinkedIn es una red profesional de más de 530 millones de usuarios en más de 200 países cuyo
objetivo es ayudar a las personas a ser más productivas y exitosas. LinkedIn también es un
excelente sitio para obtener información profesional y oportunidades laborales. Haga clic aquí
para obtener más información sobre Linkedin y crear una cuenta.

1.2.2.4 Cómo obtener experiencia

Pasantías

Las pasantías son un excelente método para comenzar a trabajar en el campo de la

ciberseguridad. A veces, las pasantías se convierten en una oferta de trabajo a tiempo completo.
De todas maneras, hasta una pasantía temporal permite adquirir experiencia en el funcionamiento
interno de una organización de ciberseguridad. Los contactos que se logran durante una pasantía
también pueden resultar un recurso valioso a medida que se avanza en una profesión. Haga clic
aquí para leer un artículo de Forbes sobre los 10 mejores sitios web para pasantías.

Beca de ciberseguridad Cisco

Para ayudar a reducir la brecha de habilidades de seguridad, Cisco presentó el Programa de becas
de ciberseguridad global en 2016. Cisco tiene por objetivo aumentar el grupo de talentos con
conocimiento experto en ciberseguridad esencial. Las inscripciones comienzan en el otoño y se
nombrará a los beneficiarios a finales de la primavera. Haga clic aquí para obtener más
información sobre las becas.

Agencias temporarias

Si resulta difícil encontrar un primer trabajo, una empresa de trabajo temporal puede ser un
excelente puntapié inicial. La mayoría de estas empresas ayudan a perfeccionar las hojas de vida y
a formular recomendaciones sobre las habilidades adicionales que un candidato podría obtener
para atraer más a posibles empleadores.
Muchas organizaciones utilizan empresas de trabajo temporal para cubrir vacantes durante los
primeros 90 días. Luego, si el empleado realiza un buen trabajo, la organización puede ofrecer
comprarle el contrato a la empresa de trabajo temporal para convertir al empleado en un
trabajador permanente a tiempo completo.

Su primer trabajo

Sin ninguna experiencia en el campo de la ciberseguridad, lo más recomendable es buscar una

empresa que esté dispuesta a brindar entrenamiento para un puesto similar al de analista de
categoría 1. Trabajar para un centro de llamadas o mesa de soporte puede ser el primer paso para
obtener la experiencia necesaria para avanzar en su profesión.

¿Cuánto tiempo es necesario permanecer en el primer trabajo? Generalmente, se recomienda

completar un ciclo completo de evaluación antes de abandonar una empresa. Este ciclo suele ser
de más de 18 meses. Normalmente, los posibles empleadores querrán saber si se cumplieron o
superaron las expectativas en el trabajo actual o anterior.

1.3.1.1 Capítulo 1: La ciberseguridad y el Centro de Operaciones de Seguridad

En el comienzo del capítulo, aprendieron que las personas, las empresas y hasta las naciones
pueden ser víctimas de ciberataques. Hay varios tipos de atacantes, incluidos los aficionados que
atacan por diversión y prestigio, los hacktivistas que atacan para respaldar una causa política, y los
hackers profesionales que atacan con fines de lucro. Además, las naciones pueden atacar a otras
para obtener beneficios económicos mediante el robo de propiedad intelectual, o para dañar o
destruir los recursos de otro país. Las redes vulnerables a los ataques no son solamente redes
empresariales de computadoras y servidores, sino también miles de dispositivos en Internet de las
cosas.

Los centros de operaciones de seguridad (SOC) son responsables de prevenir y detectar la

ciberdelincuencia, y de responder ante ella. Los SOC se componen de personas que siguen
procesos de utilización de tecnologías para responder a las amenazas. Hay cuatro roles principales
en el SOC. Los analistas de categoría 1 verifican las alertas de seguridad usando datos de la red. El
personal de respuesta de categoría 2 verifica los incidentes y decide cómo actuar. Los
SME/buscadores de categoría 3 son expertos capaces de investigar amenazas al máximo nivel. El
cuarto rol es el de los administradores del SOC. Administran los recursos del centro y se
comunican con los clientes. Los clientes pueden ser internos o externos. Un SOC puede estar a
cargo de una sola empresa o puede prestar servicios a muchas empresas. Por último, aunque la
seguridad de la red es extremadamente importante, no puede interferir con la capacidad de la
empresa y sus empleados de cumplir con la misión de una organización.

Para trabajar en un SOC, ahora saben que es posible estudiar para obtener certificaciones
ofrecidas por una serie de diferentes organizaciones. Además, pueden obtener títulos de
educación superior relevantes para el campo de las ciberoperaciones y aprender otras habilidades,
como la programación mediante Python. Es posible encontrar trabajo en numerosos sitios web de
empleo, y hay empresas que pueden ayudar a encontrar trabajos temporales, pasantías o trabajos
permanentes.