Documentos de Académico
Documentos de Profesional
Documentos de Cultura
net/publication/341541901
CITATIONS READS
0 350
1 author:
Emanuel Ortiz
Red de Investigación Academica en Ciberseguridad
22 PUBLICATIONS 21 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Emanuel Ortiz on 21 May 2020.
Abstract
Las líneas base para poder entender y facilitar el trabajo de los Jefes de Seguridad en la Información
de las organizaciones, está asociada a la realización de tareas enfocadas a la implementación de
estándares relacionados con la Ciberseguridad y la Seguridad Digital, de igual manera con la
asignación de controles físicos, lógicos y electrónicos a dispositivos de naturaleza digital que poseen
elementos de identificación crítica de activos de la información y su incorporación en la evaluación
de las políticas relacionadas.
El Instituto Nacional de Estándares y Tecnología (NIST, 2020) fue fundado en 1901 y ahora forma
parte del Departamento de Comercio de EE. UU. NIST es uno de los laboratorios de ciencias físicas
más antiguos del país. El Congreso estableció la agencia para eliminar un desafío importante para
la competitividad industrial de los Estados Unidos en ese momento: una infraestructura de medición
de segundo nivel que se quedaba por detrás de las capacidades del Reino Unido, Alemania y otros
rivales económicos.
Desde la red eléctrica inteligente y los registros de salud electrónicos hasta relojes atómicos,
nanomateriales avanzados y chips de computadora, innumerables productos y servicios dependen
de alguna manera de la tecnología, la medición y los estándares proporcionados por el Instituto
Nacional de Estándares y Tecnología.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Hoy en día, las mediciones NIST admiten las tecnologías más pequeñas hasta las creaciones
creadas por el hombre más grandes y complejas, desde dispositivos a nanoescala tan pequeños
que decenas de miles pueden caber en el extremo de un solo cabello humano hasta rascacielos
resistentes a terremotos y redes de comunicación global.
En ese orden de ideas, es importante primero que todo determinar los factores que involucran la
implementación de una línea base o guía estándar para el fortalecimiento de políticas a nivel de una
organización, y para la lectura y levantamiento de sus activos críticos y no críticos, y así mismo
esquematizar los factores de importancia para la correcta asociación de cumplimiento; la versión
Draft NIST Special Publication 800-53, Versión 5 que trata de Controles de seguridad y privacidad
para Sistemas de información y organizaciones, señala importancia la seguridad en los dispositivos,
la privacidad de los mismos y la importancia para la política de Seguridad Digital Nacional de un país
y sus consecuencias frente a las organizaciones.
Con base a este argumento se pretende generar una relevancia superior a la implementación de
buenas y mejoradas practicas para implementar políticas asociadas a estándares internacionales
que involucren el “Ciberespacio” como elemento transversal de entendimiento para poder lograr
afianzar el objetivo que se busca ante el fortalecimiento y protección de los activos críticamente
vulnerables.
Antes que nada, y bajo este preámbulo, es bueno recordar que existen amenazas cibernéticas que
pueden convertirse en riesgos parametrizados y no parametrizados dentro de un ambiente de
protección de activos, uno de ellos es el Ciberterrorismo1 y sus acciones; estos pueden involucrar
1
Ciberterrorismo: Es la acción que involucra el aprovechamiento negativo de una Tecnología, Técnica o herramienta para poder generar
miedo, zozobra, temor o daño a un sistema informático ante un derecho colectivo (Victimas) en el ambiente del Ciberespacio. Esta misma
puede afectar una Infraestructura Críticamente Vulnerable conectada a un servicio indispensable. Termino recuperado del Departamento
de Justicia de los Estados Unidos y mejorado bajo la teoría de la Geometría del Cibercrimen.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
acciones que afectan la seguridad en la información en sus tres pilares fundamentales, a saber:
Integridad, Confidencialidad y Confidencialidad (ISO IEC, 2020).
Para entender el sendero de múltiples conductas que pueden afectar los pilares anteriormente
enunciados, indica (Ortiz Ruiz, 2020) en su teoría de geometría del Cibercrimen, existen
particularidades que pueden definirse en el cómo un cibercriminal puede actuar, bajo unas premisas
motivacionales y frente a unos aspectos u objetivos finales, las cuales involucran una cadena de
decisiones o herramientas que facilitan su actuación en el procedimiento o “modus operandi”, sin
embargo es bueno precisar que no todas las conductas como las relacionadas anteriormente
pueden afectar en cierta parte un sistema informático, sin embargo, si la mayoría están asociadas a
un medio ambiente común, que es el “Ciberespacio”.
Por este motivo, esta construcción amerita hablar de la Oportunidad deliberada y la vulnerabilidad
expuesta, la evolución tecnológica del a víctima hiperconectada y el apetito y aceptación del riesgo
Cibernético están asociadas entre sí, son los elementos fundamentales para poder comprender
desde que orientación se pueden asociar las amenazas de tipo informático o tecnológico.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
De tal manera que para hablar de riesgos cibernéticos asociados en le ciberespacio y puedan
asociarse a una víctima (sistema de información o persona), es importante definir su ubicación en
el ciberespacio de la siguiente manera:
Figura elaborada por el autor frente a la ubicación del riesgo cibernético en el ciberespacio
A partir de la anterior gráfcia se delimita si el riesgo cibernético posee una pertinencia actual con la
metodología, y desde la otica técnica se puede dar un propósito al estudio de los estándares
involucrados para este fin.
• Lógico: Son todos aquellos orientados los datos estructurados en un ambiente de bits
• Físico: Son todos aquellos orientados a los datos en un ambiente físico y su medio ambiente.
• Electrónico: Son todos aquellos orientados a los ambientes eletrónicos interoperables
• Informático: Son los datos orientados que estan compuestos de información asociada a un
Sistema específico.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Cada uno de ellos posee un eje transversal destacado que son los datos2, el cual, es un concepto
que se ha construido através del tiempo para explicar las disposiciones informáticas,
computacionales y de sistemas. Por tanto la relación transversal con la informática, electrónica, el
espacio lógico y físcio, permiten determinar un amplio sentido en el ciberespacio, por tanto se
relaciona en los cuatro aspectos enumerados.
Por otro lado se encuentra la definición de impacto y probabilidad, que son dos conceptos teóricos
y simples orientados a la medición del daño que puede originar un riesgo; en ese orden de ideas se
puede determinar funcionalmente la definición de “riesgo cibernético”.
En esa medida NIST se hace necesario acoplar la necesidad e interoperabilidad necesaria para poder
interactuar ante la gestión de los riesgos cibernéticos adaptado de la siguiente manera:
Diagrama tomado de paper ttitulado RANSOMWARE: METODOLOGÍA Y MEJORES PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES DE
SECUESTRO DE INFORMACIÓN (Ortiz Ruiz, ResearchGate, 2020)
2
Datos: Un dato es una representación simbólica (numérica, alfabética, algorítmica, espacial, etc.) de un atributo o variable cuantitativa
o cualitativa. https://es.wikipedia.org/wiki/Dato, conecto ampliado mediante su aplicación en el articulo propuesto.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Una vez se realiza un contexto mediante el cual es necesario aplicar un estándar o línea base para
poder implementar otro tipo de documentos que fortalezcan los antes indicados, es necesario poder
evidenciar la ubicación del concepto de riesgo Cibernético en cada una de ellas:
La propuesta establecida en este articulo es poder enfocar el riesgo hacia un estándar debidamente
aplicado alienado a un marco de ciberseguridad (NIST F. , 2020) (Icontec, 2020) o relacionado con
los estándares actuales determinados en el ciberespacio:
3
ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de
Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de información.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
-Seguridad en
Redes
-Seguridad en
Internet
Protección de las
Infraestructuras
Críticas
Publicación de Publicación de Publicación de Publicación de Publicación de
Estándar Estándar Estándar Estándar Estándar
apropiado apropiado apropiado apropiado apropiado
Ninguno Framework de Framework de Complementarios ISO/IEC
Ciberseguridad Ciberseguridad con el campo de 17799:2005
COBIT Guia de Buenas la ciberseguridad
ISO 27001 y practicas COBIT (G. Ridley,
familias 2004)
relacionadas
ISO 27002
(Franco &
Guerrero, 2013)
en donde se
relacionan los
diferentes
controles
aplicabes a esta
metodología.
Referente a la anterior gráfica es importante delimitar cuál es el alcance del termino “Riesgo”, a
partir de un enfoque principal que es el ciberespacio; desde este en particular, poder determinar los
factores adecuados para determinar el alcance del presente articulo. Por lo cual, se encuentra
definido en la relación de la fila horizontal de los estándares aplicados, lo cual exige una liena de
estudio y análisis a partir de la bibliografía existente y el estado del arte.
Basado en lo anterior, los dominios alcanzados por la identificación del “Riesgo Cibernético” están
ampliamente reconocidos por medio de la guía de estándares de la ISO 27032:2012 cuya fuente
garantiza la solvencia en 4 campos esencialmente:
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Dentro del marco de trabajo de NIST, orientado a los riesgos cibernéticos, se puede relacionar varios
aspectos que se vienen enfocando en los diferentes trabajos de los dominios de la ciberseguridad
aplicando los controles necesarios para la administración del riesgo cibernético, sin desprenderse
del concepto de ciberseguridad. En lo comentado en CSAT: A User-interactive Cyber Security,
Architecture Tool based on NIST-compliance Security Controls for Risk Management (Huang Y,
2019), lo cual traduce al español con la arquitectura de ciberseguridad usada como herramienta
basada en el cumplimiento de los controles y administración del riesgo. Este articulo se orienta en
tres aspectos y preguntas para poder aproximarse para la aplicación de un estándar:
• Cómo generar un gráfico dinámico orientado a la entrada del usuario Visualización de mapa
de calor de arquitectura de referencia de seguridad (SRA) en aspectos de desarrollo técnico
y usuario experiencia?
• Cómo proporcionar una herramienta de controles de seguridad fácil de usar y seguridad del
sistema para mejorar la gestión de riesgos, por ejemplo,en control de acceso,
confidencialidad de datos, seguridad sistema,implementación de controles aplicables y
seguridad del sistema planificación?
Lo anterior aplicado al comercio electrónico y las distintos modelos de arquitectura que enfrente
al modelo explicado por (Huang Y, 2019), la respuesta a estas preguntas, fueron basadas en la
interacción del proceso de la aministracion del riesgo basado en NIST, de la siguiente manera:
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Figura 1 tomada del articulo CSAT: A User-interactive Cyber Security Architecture Tool based on NIST-compliance Security Controls for
Risk Management p.p 2 (Huang Y, 2019)
4
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles
hasta encontrar aquella que permite el acceso. https://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
IA-8(5) El sistema de información identifica y autentica de manera única a los usuarios que
no son de la organización utilizando y verifica electrónicamente la Verificación de identidad
personal- I (PIV-I) credenciales.
Una vez se establecen los controles tencicos de seguridad, es viable responder adecuadamente las
interacciones del sistema o servidor frente a los requerimientos del consumidor financiero5 o el
usuario que va tener la interacción con la plataforma, por ende es importante determinar y
establecer los controles necesarios para poder garantizar que la transacción de datos sea la acorde
a los principios fundamentales.
En ese sentido el estándar NIST para la administración de los riesgos de seguridad y privacidad son
aplicables a un sistema informático, dependiendo de su alcance, por ende lo que indica que permite
aplicarse a un propósito que se fundamenta en cinco lienas fundamentales (M. Blank & Gallagher,
2013):
5
Es la persona (indenterminado) ó empresa (indeterminada) conectada por medio del ciberespacio por medio de una plataforma
tecnológica, la cual dispone de herramientas para poder realizar transacciones frente a un interés en particular, ejemplo: Una compra,
un servicio, etc. (Concepto elaborado por el autor)
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
• Proporcionar un catálogo estable pero flexible de controles de seguridad para satisfacer las
necesidades actuales de protección de la información y las demandas de futuras
necesidades de protección basadas en amenazas, requisitos y tecnologías cambiantes;
• Proporcionar una recomendación para los controles de seguridad para los sistemas de
información categorizados de acuerdo con la Publicación 199 de FIPS, Normas para la
categorización de seguridad de la información federal y los sistemas de información;
• Crear una base para el desarrollo de métodos y procedimientos de evaluación para
determinar la efectividad del control de seguridad; y
• Mejorar la comunicación entre las organizaciones al proporcionar un léxico común que
respalde la discusión de los conceptos de gestión de riesgos.
En ese sentido es importante determinar la relación entre los riesgos de ciberseguridad planteados
y los riesgos cibernéticos en general, para ello es relevante tener en cuenta que hay estándares
complementarios a esta metodología, por ejemplo la ISO 20032:2012 que trata de la guias para la
implementación de controles en Ciberseguridad, y a partir de esta determinar un contexto de la
tendencia formal de las herramientas; para ello construir un enfoque de administración del riesgo
cibernético se detaca en estos dos estándares aplicados ente sí.
La aproximación técnica más adecuada para poder direccionar una base en esta materia está
adopadad mediante la Guía de Fundamentos en Ciberseguridad que posee ISACA mediante su
documento (Comité ISACA) en su página 6 el cual describe la participación de las infraestructuras
críticas basado en un estándar determinado, así:
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Dado esa medición también se establecen los tipos de daños potenciales que puede causar este
riesgo, descrito (Donald L. Evans, 2004) por categorías, así:
• La tipo de información “C” está compuesta por valores de impacto potencial BAJO,
MODERADO, ALTO o NO APLICABLE, Ej. Una organización que administra la información
pública en su servidor web determina que no hay un impacto potencial por una pérdida de
confidencialidad (es decir, los requisitos de confidencialidad no son aplicables), un impacto
potencial moderado por una pérdida de integridad y un impacto potencial moderado por
una pérdida de disponibilidad.
• La categoría “SC” cuya información gestionada por parte de la organización
extremadamente sensible y determina que la perdida o imapcto hacia la información es
alto, lo que permite que también se afecte la integridad de manera moderada, y exista un
impacto potencia a la perdida de disponibilidad de manera moderada.
• La categoría “SC” que posea información fiannciera y de tipo administrativo cuya
información no relacione privacidad, se determian que le impacto potencial de la perdida
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
de información es bajo, y el impacto potencial de una pérdida de integridad es bajo y el
impacto potencial de una pérdida de disponibilidad es bajo.
• La ultima categoría “SC” está relacionada con Información dentro de la organización
contratante determina que: (i) para la información confidencial del contrato, el impacto
potencial de una pérdida de confidencialidad es moderado, el impacto potencial de una
pérdida de integridad es moderado y el impacto potencial de una pérdida de disponibilidad
es bajo; y (ii) para la información administrativa de rutina (información no relacionada con
la privacidad), el impacto potencial de una pérdida de confidencialidad es bajo, el impacto
potencial de una pérdida de integridad es bajo y el impacto potencial de una pérdida de
disponibilidad es bajo. Ej. Información dispuesta por terceros bajo contrato
Lo anterior se refiere a la información que posee la organización dentro del marco de la política
o subactegorización interna. Ello define los tipos y categorías en tres partes: SC Información
contractual, información administrativa, sistema de adquisición.
De esta manera se logra determinar la participación de los sistemas categorizados (SCADA) que
traduce (Control de supervisión y Adquisición de Datos), estos sistemas categorizados
especialmente en este numeral, poseen características esenciales para su funcionamiento; para
la adopción de riesgos cibernéticos y la metdologia adecuada para poder aterrizar el estándar
de trabajo marco dispuesto en este articulo, se tuvo en cuenta lo siguiente:
IMPACTO POTENCIAL
Obejtivo de Bajo Moderado Alto
Seguridad
Confidencialidad Se podría esperar Se podría esperar Se podría esperar
que la divulgación no que la divulgación no que la divulgación no
autorizada de autorizada de autorizada de
información tenga un información tenga un información tenga un
efecto adverso efecto adverso grave efecto adverso grave
limitado en las en las operaciones de o catastrófico en las
operaciones de la la organización, los operaciones de la
organización, los activos de la organización, los
activos de la organización o las activos de la
organización o las personas. organización o las
personas personas. individuos.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Disponibildiad Se podría esperar Se podría esperar Se podría esperar
que la interrupción que la interrupción que la interrupción
del acceso o uso de la del acceso o uso de la del acceso o uso de la
información o un información o un información o un
sistema de sistema de sistema de
información tenga un información tenga información tenga un
efecto adverso un efecto adverso efecto adverso
limitado en las grave en las severo o catastrófico
operaciones de la operaciones de la en las operaciones de
organización, los organización, los la organización, los
activos de la activos de la activos de la
organización o las organización o las organización o las
personas. personas. personas
En ese orden de ideas se extrae una única variable uniforme a las tres categorías dispuestas:
Confidencialidad, Integridad y Disponibilidad y se detaca dos variables más orientadas a la
calificación de limpacto desarrollado mediante la publicación especial (FIPS PUB 199) de NIST,
este complementado frente a (M. Blank & Gallagher, 2013) que orienta los tipos de
infraestructuras criticas y sistemas de información sometidos a evaluación de criticidad.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Enfoque dirigido a los activos críticos
Se entiende por activos de información6 como los elementos fisicos, lógicos, electrónicos e
informáticos que posee la organización y se considera como los datos creados en ese proceso
específico de la organización.
Desde este punto de vista, están categorizados y calsificados por su criticidad mediante una
inventario que realiza la organización; por ende se denota según la importancia, cuál es la
importancia para la estrategia, y su visaulización a futuro.
Cunado se denota como activo critico, como se evidencia en la medición, la organización define su
impacto y su importancia, esto permite evaluar la relación que posee ante los tres pilares
(Confidencialidad, Integridad y Disponibilidad).
En ese orden de ideas la lectura de activos para los sistemas de información y las infraestructuras
tiene asociado el riesgo cibernético, de la siguiente manera:
6
Activos de la información: Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y
por lo tanto debe proteger”. Se puede considerar como un activo de información a: Los datos creados o utilizados por un proceso de la
organización en medio digital, en papel o en otros medios
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
• ¿Qué vinculación tiene la “estrategia” para valorar los activos críticos de la organización o
infraestructura?
• ¿Cuál es el negocio de la organización y la relación con los activos críticos?
• ¿De que depende la misión crítica para el mantenimiento y gestión de los activos de
información?
• ¿La visión empresarial y organizativa posee una transversalidad con los activos expuestos o
críticos?
• ¿La evolución tecnológica posee el análisis necesario para poder enfocar los activos críticos
afectados ante esta necesidad escalable?
A partir de esto, la aproximación para examinar un estándar es necesario para poder ajustar y
evaluar la relación de los riesgos cibernéticos ante la necesidad de proteger los pilares de seguridad
de la información determinado por medio de la ISO 27001; sin embargo también es necesario
determinar si la categoría de riesgos cibernéticos está directamente asocaida a la estrategia,
negocio, visión, misión crítica y la evolución tecnológica determinada, para poder relamente
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
determinar sus amenazas cibernéticas, la valoración de un impacto desconocido o conocido, y su
posicionamiento frente a este tipo de impacto y probabilidad.
Del mismo modo determinar cuales son las características de estos activos frente a los datos y su
relacionamiento con los procesos críticos en cada una de estas, mediante un caso de estudio de su
implementación y el desarrollo de la metodología aplicada a los sistemas SCADA.
Por este motivo, es importante que las organizaciones fiabilice nla aplicación de una acertada
metodología para poder afianzar el conocimiento sobre los riesgos cibernéticos aplciados a las
diferentes noramtivas de cumplimiento, como lo son: ISO 27001 e ISO 27032 (Buenas prácticas).
Para que por medio de estas se posea el conocimiento necesario frente a la dinámica del
Ciberespacio y la Ciberseguridad.
De tal manera que los retos ante la transformación digital debe nenfocar realmente sus necesidades
en plantear metodologías disruptivas ante nuevos elementos de competititividad, como por
ejemplo las aplicaciones conectadas a la nueve IAAS, PAAS o SAAS, que en su necesidad particular,
requiere un análisis de riesgo de infraestructura, plataformas y software. Todo esto orientado a
conocer el adversario y los riesgos que permiten se asocie o se relacione con la matriz actual de sus
activos más sensibles o vulnerables.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
BILIOGRAFIA
G. Ridley, J. Y. (2004). COBIT and its utilization: a framework from the literature. 37th Annual
Hawaii International Conference on System Sciences, 2004, 8.
M. Blank, R., & Gallagher, P. (2013). Security and Privacy Controls for Federal Information Systems.
National Institute of Standards and Technology.
Marshall D. Abrams, J. W. (2008). Malicious Control System Cyber Security Attack Case Study–
Maroochy Water Services, Australia. NIST Industrial Control System (ICS) Cyber Security
Project.