La ciberseguridad es la práctica de defender las computadoras, los servidores,

los dispositivos móviles, los sistemas electrónicos, las redes y los datos de
ataques maliciosos. También se conoce como seguridad de tecnología de la
información o seguridad de la información electrónica. 

Se puede dividir en algunas categorías comunes:

 La seguridad de red es la práctica de proteger una red informática de

los intrusos, ya sean atacantes dirigidos o malware oportunista.

 La seguridad de las aplicaciones se enfoca en mantener el software y

los dispositivos libres de amenazas.

 La seguridad de la información protege la integridad y la privacidad de

los datos, tanto en el almacenamiento como en el tránsito.

 La seguridad operativa incluye los procesos y decisiones para manejar

y proteger los recursos de datos.

 La recuperación ante desastres y la continuidad del negocio definen

la forma en que una organización responde a un incidente de
ciberseguridad o a cualquier otro evento que cause que se detengan sus
operaciones o se pierdan datos.

 La capacitación del usuario final aborda el factor de ciberseguridad

más impredecible: las personas.

https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security

¿Quiénes son los delincuentes cibernéticos?

Los atacantes son personas o grupos que intentan atacar las vulnerabilidades
para obtener una ganancia personal o financiera. Los delincuentes cibernéticos
están interesados en todo, desde las tarjetas de crédito hasta los diseños de
producto y todo lo que tenga valor.

Los tipos de ciberdelicuentes que puede afectar más una empresa son los
“Delincuentes Cibernéticos” que son hackers de sombrero negro son
independientes o trabajan para grandes organizaciones de delito cibernético.
Cada año, los delincuentes cibernéticos son responsables de robar miles de
millones de dólares de consumidores y empresas.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Cómo frustrar a los delincuentes cibernéticos

Las acciones coordinadas que tomaremos en cuenta son las siguientes:

 Establecimiento de sensores de advertencia temprana y redes de alerta

  Establecimiento de estándares de administración de seguridad de la
información entre organizaciones nacionales e internacionales. ISO 27001
es un buen ejemplo de estos esfuerzos internacionales el cual utilizaremos
de base para las políticas de ciberseguridad.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Amenazas internas y externas

Los ataques pueden originarse dentro de una organización o fuera de ella. Un

usuario interno, como un empleado o un partner contratado, puede de manera
accidental o intencional:

 Manipular de manera incorrecta los datos confidenciales

 Amenazar las operaciones de los servidores internos o de los

dispositivos de la infraestructura de red

 Facilitar los ataques externos al conectar medios USB infectados al

sistema informático corporativo

 Invitar accidentalmente al malware a la red con correos electrónicos o

páginas web maliciosos

Las amenazas internas tienen el potencial de causar mayores daños que las
amenazas externas porque los usuarios internos tienen acceso directo al
edificio y a sus dispositivos de infraestructura.

Las amenazas externas de los aficionados o de los atacantes expertos pueden

explotar las vulnerabilidades en los dispositivos conectados a la red o pueden
utilizar la ingeniería social, como trucos, para obtener acceso. Los ataques
externos aprovechan las debilidades o vulnerabilidades para obtener acceso a
los recursos internos.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Los principios de seguridad

La confidencialidad previene la divulgación de información a las personas los

recursos o los procesos no autorizados. La integridad hace referencia a la
precisión, la uniformidad y la confiabilidad de datos. Por último, la disponibilidad
garantiza que los usuarios pueden tener acceso a la información cuando sea
necesario. Las organizaciones restringen el acceso para asegurar que solo los
operadores autorizados pueden usar los datos u otros recursos de red.

Proteger la integridad de los datos es un desafío constante para la mayoría de

las organizaciones. La pérdida de la integridad de los datos puede lograr que
todos los recursos de datos sean dudosos o inutilizables. La verificación de
integridad realiza un proceso denominado función de hash para tomar una
instantánea de los datos en un instante de tiempo. 
La disponibilidad de los datos es el principio que se utiliza para describir la
necesidad de mantener la disponibilidad de los sistemas y servicios de
información en todo momento. Los ataques cibernéticos y las fallas en el
sistema pueden impedir el acceso a los sistemas y servicios de información. 

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Las cinco nueves

El término "alta disponibilidad", describe los sistemas diseñados para evitar el

tiempo de inactividad. La alta disponibilidad asegura un nivel de rendimiento
por un período más alto de lo normal. Los sistemas de alta disponibilidad
suelen incluir tres principios de diseño:

 Eliminar puntos sencillos de falla

 Proporcionar una conexión cruzada confiable

 Detecte fallas a medida que se producen

Asegurar la disponibilidad

Las organizaciones pueden garantizar la disponibilidad al implementar lo

siguiente:

 Realizar el mantenimiento del equipo

 Realizar actualizaciones del SO y del sistema

 Realizar las pruebas de copia de respaldo

 Realizar una planificación para evitar desastres

Desafíos en la protección de datos en tránsito

 Protección de la confidencialidad de los datos: los delincuentes

cibernéticos pueden capturar, guardar y robar datos en tránsito.

 Protección de la integridad de los datos: los delincuentes cibernéticos

pueden interceptar y alterar los datos en tránsito.

 Protección de la disponibilidad de los datos: los delincuentes

informáticos pueden usar dispositivos falsos o no autorizados para
interrumpir la disponibilidad de los datos. 

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Medidas de protección tecnológicas con base en software

  Los sistemas de detección de intrusiones (IDS) basados en el host
examinan la actividad en los sistemas host. Un IDS genera archivos de
registro y mensajes de alarma cuando detecta actividad inusual.

Medidas de protección tecnológicas con base en hardware

 Los dispositivos de firewall bloquean el tráfico no deseado. Estos

contienen reglas que definen el tráfico permitido dentro y fuera de la red.

 Los sistemas de detección de intrusiones (IDS) exclusivos detectan

signos de ataques o de tráfico inusual en una red y envía una alerta.

 Los sistemas de prevención de intrusiones (IPS) detectan signos de

ataques o de tráfico inusual en una red, generan una alerta y toman
medidas correctivas.

Medidas de protección tecnológicas con base en la red

 La red privada virtual (VPN) es una red virtual segura que utiliza la red
pública (es decir, Internet). La seguridad de una VPN reside en el cifrado
del contenido de paquetes entre los terminales que definen la VPN.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Malware

El software malicioso, o malware, es un término que se utiliza para describir el

software diseñado para interrumpir las operaciones de la computadora u
obtener acceso a los sistemas informáticos, sin el conocimiento o el permiso
del usuario.

Hay diferentes tipos de malware, entre los que se incluyen los siguientes:

Virus: un programa capaz de reproducirse, que se incrusta un archivo limpio y

se extiende por todo el sistema informático e infecta a los archivos con código
malicioso.

Troyanos: un tipo de malware que se disfraza como software legítimo. Los

cibercriminales engañan a los usuarios para que carguen troyanos a sus
computadoras, donde causan daños o recopilan datos.

Spyware: un programa que registra en secreto lo que hace un usuario para que
los cibercriminales puedan hacer uso de esta información. Por ejemplo, el
spyware podría capturar los detalles de las tarjetas de crédito.

Ransomware: malware que bloquea los archivos y datos de un usuario, con la

amenaza de borrarlos, a menos que se pague un rescate.
Botnets: redes de computadoras con infección de malware que los
cibercriminales utilizan para realizar tareas en línea sin el permiso del usuario.

Inyección de código SQL

Una inyección de código SQL (por sus siglas en inglés Structured Query

Language) es un tipo de ciberataque utilizado para tomar el control y robar
datos de una base de datos. Los cibercriminales aprovechan las
vulnerabilidades de las aplicaciones basadas en datos para insertar código
malicioso en una base de datos mediante una instrucción SQL maliciosa. Esto
le brinda acceso a la información confidencial contenida en la base de datos.

Phishing

El phishing es cuando los cibercriminales atacan a sus víctimas con correos

electrónicos que parecen ser de una empresa legítima que solicita información
confidencial.

Ataque de tipo “Man-in-the-middle”

Un ataque de tipo “Man-in-the-middle” es un tipo de ciberamenaza en la que un

cibercriminal intercepta la comunicación entre dos individuos para robar datos.
Por ejemplo, en una red Wi-Fi no segura, un atacante podría interceptar los
datos que se transmiten desde el dispositivo de la víctima y la red.

Ataque de denegación de servicio

Un ataque de denegación de servicio es cuando los cibercriminales impiden

que un sistema informático satisfaga solicitudes legítimas sobrecargando las
redes y los servidores con tráfico.

Ingeniería social

La ingeniería social es un medio completamente no técnico por el que el

delincuente reúne información sobre un objetivo. La ingeniería social es un
ataque que intenta manipular a las personas para que realicen acciones o
divulguen información confidencial. La protección del usuario final o la
seguridad de endpoints es un aspecto fundamental de la ciberseguridad.
Después de todo, a menudo es un individuo (el usuario final) el que
accidentalmente carga malware u otra forma de ciberamenaza en su equipo de
escritorio, laptop o dispositivo móvil.

Falsificación de identidad (spoofing)

La falsificación de identidad es un ataque que aprovecha una relación de

confianza entre dos sistemas.

 La falsificación de direcciones IP envía paquetes IP de una dirección de

origen falsificada para disfrazarse.
  El Protocolo de resolución de dirección (ARP) es un protocolo que
corrige las direcciones IP a direcciones MAC para transmitir datos. La
suplantación de ARP envía mensajes ARP falsos a través de la LAN para
conectar la dirección MAC del delincuente a la dirección IP de un miembro
autorizado de la red.

Protocolo WEP y WPA

El protocolo WEP utiliza una clave para la encriptación. No existen

disposiciones para la administración de claves con WEP, por lo que la cantidad
de personas que comparten la clave crecerá continuamente. El protocolo
WPA2 no tienen los mismos problemas de encriptación porque un atacante no
puede recuperar la clave al observar el tráfico. 

Controles de acceso físico

Son obstáculos reales implementados para evitar el contacto directo con los
sistemas. El objetivo es evitar que los usuarios no autorizados tengan acceso
físico a las instalaciones, el equipo y otros activos de la organización.

Control de acceso discrecional

El propietario de un objeto determina si permite el acceso a un objeto con

control de acceso discrecional (DAC). DAC otorga o restringe el acceso de
objeto determinado por el propietario del objeto.

Control de acceso basado en reglas

El control de acceso basado en reglas utiliza listas de control de acceso (ACL)

para ayudar a determinar si otorga acceso o no. Una serie de reglas se incluye
en la ACL.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Políticas

Una política de seguridad es un conjunto de objetivos de seguridad para una

empresa que incluye las reglas de comportamiento de usuarios y
administradores y especificar los requisitos del sistema. Estos objetivos, estas
reglas y estos requisitos en conjunto garantizan la seguridad de una red, de los
datos y de los sistemas informáticos de una organización. Una política de
seguridad completa logra varias tareas:

 Demuestra el compromiso de una organización con la seguridad.

 Establece las reglas para el comportamiento esperado.

 Garantiza la uniformidad en las operaciones del sistema, el software y la

adquisición y uso de hardware, y el mantenimiento.
  Define las consecuencias legales de violaciones.

 Brinda al personal de seguridad el respaldo de la administración.

Las políticas de seguridad informan a los usuarios, al personal y a los gerentes

los requisitos de una organización para proteger la tecnología y los activos de
información. Una política de seguridad también especifica los mecanismos
necesarios para cumplir con los requisitos de seguridad. Una política de
seguridad generalmente incluye:

 Políticas de autenticación e identificación: determinan cuáles son las

personas autorizadas que pueden acceder a los recursos de red y
describen los procedimientos de verificación.

 Políticas de contraseña: garantizan que las contraseñas cumplan con

requisitos mínimos y se cambien periódicamente.

 Políticas de uso aceptable: identifican los recursos y el uso de red que

son aceptables para la organización. También puede identificar las
consecuencias de las violaciones de la política.

 Políticas de acceso remoto: identifican cómo los usuarios remotos

pueden obtener acceso a la red y cuál es accesible de manera remota.

 Políticas de mantenimiento de red: especifican los sistemas

operativos de los dispositivos de la red y los procedimientos de
actualización de las aplicaciones de los usuarios finales.

 Políticas de manejo de incidentes: describen cómo se manejan los

incidentes de seguridad.

Uno de los componentes más comunes de la política de seguridad es una

política de uso aceptable (AUP). Este componente define qué pueden y no
pueden realizar los usuarios en los distintos componentes del sistema. Un AUP
enumera las páginas web, los grupos informativos o las aplicaciones de uso
intensivo de ancho de banda específicos a las que los usuarios no pueden
acceder utilizando las computadoras o la red de la empresa.

ISO/IEC 27000

Es un estándar de seguridad informática publicada en 2005 y revisada en 2013.

ISO publica los estándares ISO 27000. Si bien los estándares no son
obligatorios, la mayoría de los países los utilizan como marco trabajo de facto
para implementar la seguridad informática. Los estándares ISO 27000
describen la implementación de un sistema de administración de seguridad de
la información (ISMS) completo. Un ISMS incluye todos los controles
administrativos, técnicos y operativos para mantener la información segura
dentro de una organización. Doce dominios independientes representan los
componentes del estándar ISO 27000. Estos doce dominios sirven para
organizar, en un nivel alto, las vastas áreas de información bajo el término
general de seguridad informática.

Fuente: Cybersecurity Essentials – NetAcad – Cisco Networking

Academy

Los doce dominios constan de objetivos de control definidos en la parte 27001

del estándar. Los objetivos de control definen los requisitos de alto nivel para
implementar un ISM completo. El equipo de administración de una organización
utiliza los objetivos de control de ISO 27001 para definir y publicar las políticas
de seguridad de la organización. Los objetivos de control proporcionan una lista
de comprobación para utilizar durante las auditorías de administración de
seguridad. Muchas organizaciones deben aprobar una auditoría de ISMS para
obtener una designación de cumplimiento del estándar ISO 27001. La
certificación y el cumplimiento proporcionan confianza para dos organizaciones
que deben confiar los datos y las operaciones confidenciales de cada uno. Las
auditorías de cumplimiento y de seguridad demuestran que las organizaciones
aumentan continuamente su sistema de administración de seguridad
informática.

Cybersecurity Essentials – NetAcad – Cisco Networking Academy

Esta norma internacional especifica los requisitos para establecer, implementar,

mantener y mejorar de manera continua un Sistema de Gestión de Seguridad
de la Información.

Esta norma también incluye los requisitos para la evaluación y tratamiento de

riesgos de seguridad de la información adaptados a las necesidades de la
organización.
Los requisitos establecidos en esta norma internacional son genéricos, y se
pretende que sean aplicables a todas las organizaciones, sin importar su tipo,
tamaño o naturaleza.

“El Sistema de Gestión de Seguridad de la Información preserva la

confidencialidad, integridad y disponibilidad de la información mediante la
aplicación de un proceso de gestión de riesgos y da confianza a las partes
interesadas de que los riesgos se gestionan adecuadamente.”

Modulo ISO/IEC 27001 – Centro Europeo de Postgrado CEUPE

Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un

modelo para crear, implementar, hacer funcionar, supervisar, revisar, mantener
y mejorar la protección de los activos de información para alcanzar los objetivos
de negocio. La base de un SGSI reside en, conociendo el contexto de la
organización, evaluar los riesgos y fijar los niveles determinados como
adecuados por parte de la Dirección de la organización para la aceptación de
un nivel de riesgo de modo que se puedan tratar y gestionar los riesgos con
eficacia.

El análisis de los requisitos para la protección de los activos de información y la

aplicación de controles adecuados para garantizar la protección de estos
activos de información, según sea necesario, contribuye a la exitosa
implementación de un SGSI.

En términos de un SGSI, la gestión consiste en la supervisión y toma de

decisiones necesarias para poder alcanzar los objetivos de negocio mediante la
protección de los activos de información de la organización.

Certificación del SGSI

Una vez implantado el SGSI en la organización, y con un historial de registros

de actividad recomendado de algunos meses, se puede afrontar la fase de
auditoría y certificación de una organización. Se desarrolla de la siguiente
forma:
 Figura: Fases para afrontar la certificación formal de un SGSI.

Fuente Modulo ISO/IEC 27001 – Centro Europeo de Postgrado CEUPE

Competencia

La organización debe garantizar que todo el personal al que se le hayan

asignado responsabilidades dentro del SGSI sea competente para llevar a cabo
sus tareas. Para ello, deberá:

• Determinar la competencia necesaria.

• Asegurarse de que estas personas son competentes en la base en la

educación, la formación o la experiencia.

• En su caso, tomar medidas para adquirir las competencias necesarias y

evaluar la eficacia de las medidas adoptadas.

• Retener la información documentada apropiada como prueba de

competencia.

Las acciones aplicables pueden incluir, por ejemplo: la oferta para formación,
tutorías, la reasignación de los empleados actuales o la contratación de
personas competentes.
Concienciación

La concienciación referida a la seguridad de la información es un pilar

fundamental de la gestión de la seguridad. Las personas (internas o externas)
que realizan trabajos bajo el control de la organización deberán tener en
cuenta:

La política de seguridad de la información.

• Su contribución a la eficacia del Sistema de Gestión de Seguridad de la

Información, incluyendo los beneficios de un mejor desempeño de
seguridad de información.

• Las consecuencias de que no cumplan con los requisitos del Sistema de

Gestión de Seguridad de la Información.

Tanto la concienciación como la formación deben ser registradas y medidas

para poder evaluar su eficacia. Se deben crear y mantener los registros para
proporcionar las evidencias de dicha formación.

En el caso de personal externo, se deben establecer los mecanismos para

implantar y medir el control, de acuerdo al contrato existente y a la legislación
laboral actual.

Comunicación

La organización debe determinar la necesidad de las comunicaciones internas

y externas relacionadas con el Sistema de Gestión de Seguridad de la
Información, incluyendo:

• Qué comunicar.

• Cuando comunicar.

• A quién comunicar.

• Quién debe comunicar.

• Cómo se llevará a cabo la comunicación.

Análisis de riesgos

El análisis de riesgos es una aproximación metódica para determinar el riesgo

siguiendo unos pasos pautados dentro del alcance definido previamente:

• Determinar los activos relevantes (junto a los propietarios asignados) a la

organización, su interrelación y su valor, en el sentido de qué perjuicio
(coste) supondría su degradación.
• Determinar a qué amenazas están expuestos aquellos activos.
• Determinar las vulnerabilidades que podrían ser aprovechadas por las
amenazas para identificar los impactos que las pérdidas de
confidencialidad, integridad y disponibilidad puedan tener sobre los activos.
Activos

Se denominan activos los recursos del sistema de información, o relacionados

con este, necesarios para que la organización funcione correctamente y
alcance los objetivos propuestos por su Dirección. El activo esencial es la
información que maneja el sistema. Se entiende por información todo aquel
conjunto de datos organizados en poder de una entidad que poseen valor para
la misma, independientemente de la forma en que se guarde o transmita
(escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente,
proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones,
etc.), de su origen (de la propia organización o de fuentes externas) o de la
fecha de elaboración.

Amenazas

Las amenazas son causas potenciales de un incidente no deseado que están

siempre presentes y fuera de nuestras posibilidades de control. Hay
accidentes naturales, como terremotos o inundaciones, desastres industriales,
que causan contaminación o fallos eléctricos, ante los cuales el sistema de
información está expuesto. También existen amenazas causadas por las
personas de una manera intencionada o accidental por errores o malas
prácticas.

Análisis de eventos

El objetivo del análisis de los eventos de seguridad que se produzcan es

asegurar que los eventos y debilidades en la seguridad de la información
asociados con los sistemas de información sean comunicados de una manera
que permita que se realice una acción correctiva a tiempo.

Un procedimiento formal de notificación de eventos de seguridad de la

información debe ser establecido junto a una respuesta apropiada a las
incidencias y procedimientos de escalado, estableciendo las acciones que
deben ser tomadas en cuenta por cada uno de los implicados en las tareas
relacionadas al recibir una notificación o ticket.

Figura 1. Secuencia de actividades básicas que intervienen en la resolución de

un incidente y su participación en la mejora continua.
Fuente Modulo ISO/IEC 27001 – Centro Europeo de Postgrado CEUPE