Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Ciberseguridad

    Cargado por

    Jerson Sebastian
    22 vistas29 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    22 vistas29 páginas

    Ciberseguridad

    Cargado por

    Jerson Sebastian

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 29

    CIBERSEGURIDAD

    ARQUITECTURA DE COMPUTADORAS 2021-A


    HUAYLLA QUISPE JERSON
    CONTENIDO

    ▪ Ciberseguridad
    ▪ Definición de ciberseguridad
    ▪ Defensa en profundidad
    ▪ Defensa ofensiva
    ▪ Defensa ampliada
    ▪ Resiliencia

    ▪ Ciberauditoria
    ▪ El porqué de la ciberauditoria
    ▪ Sinergia Auditoria Interna y Seguridad Informática
    ▪ Desafíos de Auditoria Interna
    ▪ Marcos de referencia

    2
    CIBERSEGURIDAD

    Definición: Ciberseguridad es el conjunto de: herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, guías, enfoques de
    gestión de riesgo, acciones, entrenamiento, mejores prácticas, garantías y tecnologías que pueden ser utilizadas para proteger el ambiente
    cibernético, la organización y los activos de los usuarios. Dentro de la organización y los activos de los usuarios están incluídos: dispositivos
    conectados, personal, infraestructura, aplicaciones, servicios, sistema de telecomunicaciones y la totalidad de la información transmitida y/o
    almacenada en el ambiente cibernético.
    La ciberseguridad se esfuerza en asegurar el éxito y el mantenimiento de las propiedades de seguridad de la organización y los activos contra
    los riesgo relevantes de seguridad en el ambiente cibernético.

    Fuente: www.itu.int
    CIBERSEGURIDAD

    Fuente: http://www.informationisbeautiful.net
    DEFENSA EN PROFUNDIDAD

    5
    DEFENSA EN PROFUNDIDAD

    Fuente: http://opensecuritytraining.info/
    DEFENSA EN PROFUNDIDAD
    Eslabones en la cadena de Seguridad: Gestión, Operación y Controles Técnicos

    ➢ Mecanismos de control de accesos


    ➢ Evaluación de riesgo
    ➢ Mecanismos de identificación y autorización
    ➢ Planificación, políticas y procedimientos (biométrico, tokens, contraseñas, etc)
    de Seguridad
    ➢ Mecanismos de auditoría
    ➢ Gestión y control de configuraciones
    ➢ Mecanismos de cifrado/encripción
    ➢ Plan de contingencia
    ➢ Dispositivos para proteger la red y el borde
    ➢ Plan de respuesta ante incidentes (firewalls, routers, gateways)
    ➢ Concientización y entrenamiento de ➢ Sistemas de detección/protección de intrusos (IDS,
    Seguridad IPS)
    ➢ Seguridad en adquisiciones ➢ Ajustes de configuraciones de Seguridad
    ➢ Seguridad Física ➢ Antivirus, anti-spyware, anti-spam
    ➢ Personal de Seguridad ➢ Smart cards
    ➢ Evaluación y autorización de Seguridad ➢ Anti-DDoS, WAF, Firewall DB, Protección contra APTs,
    Proxies, WIPS
    ➢ Monitereo continuo
    ➢ Filtros de contenidos, Control de Aplicaciones

    Fuente: National Institute of Standars and Technoloy NIST - OWASP


    DEFENSA EN PROFUNDIDAD
    DEFENSA OFENSIVA

    ▪ … o Seguridad Ofensiva?

    ▪ Definición: es un enfoque proactivo y contradictorio con los


    enfoques de Seguridad Defensiva, ya que se centran en la búsqueda
    de los autores del ataque, tratando de interrumpir o desactivar el
    ataque.

    Fuente: National Institute of Standars and Technoloy NIST


    DEFENSA OFENSIVA
    Dos principios extraídos de Sun Tzu:

    •Todo el Arte de la Guerra se basa en el engaño.

    •El supremo Arte de la Guerra es someter al enemigo sin luchar.

    “Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás


    peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una
    batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás
    peligro en cada batalla.”

    “Los buenos guerreros hacen que los adversarios vengan a ellos, y de ningún
    modo se dejan atraer fuera de su fortaleza.”

    “No persigas a los enemigos cuando finjan una retirada, ni ataques tropas
    expertas.”

    “Cansa a los enemigos manteniéndolos ocupados y no dejándoles respirar.”


    DEFENSA OFENSIVA

    ▪ Aspecto legales, o mejor dicho ilegales.


    ▪ Técnicas de reconocimiento pasivo.
    ▪ Ingeniería inversa.
    ▪ Notificación a fabricantes y Centros de Respuestas ante
    Incidentes.
    ▪ Conocer al enemigo, sus técnicas y comportamientos.
    ▪ Riesgos de compromiso del equipamiento utilizado para la
    investigación y/o ataques más severos.
    DEFENSA EN EXPANSIÓN O AMPLIADA
    Definición

    Un conjunto de actividades multidisciplinarias


    sistemáticas y planificadas que buscan identificar,
    gestionar y reducir el riesgo de explotación de
    vulnerabilidades en cada escenario de los
    sistemas, redes o ciclo de vida de sus
    componentes (sistemas, redes, o diseño y
    desarrollo de productos, manufacturado,
    embasado, ensamblado, sistema de integración,
    distribución, operaciones, mantenimiento y retiro)

    Fuente: National Institute of Standars and Technoloy NIST


    DEFENSA AMPLIADA

    Diferencia entre riesgo y seguridad

    ▪ Seguridad de la Información
    ➢ La protección de la información y sus sistemas del acceso no autorizado,
    uso, divulgación, interrupción, modificación o destrucción, en función de
    mantener la confidencialidad, integridad y disponibilidad.

    ▪ Riesgo
    ➢ Medir el alcance de compromiso de una entidad cuando se vea
    amenazado por una circunstancia o evento potencial, generalmente en
    función de: los impactos adversos que surgirían si se produce dicho
    acontecimiento, y la probabilidad de ocurrencia del mismo.

    Fuente: National Institute of Standars and Technoloy NIST


    DEFENSA AMPLIADA
    RISK EXECUTIVE FUNCTION
    Organization-wide Risk Governance and Oversight

    Core Missions / Business Processes


    Security Requirements

    Ongoing Authorization Decisions


    Ongoing Authorization Decisions
    Policy Guidance
    Security Security
    Plan Plan
    Gestión de Gestión de
    INFORMATIO INFORMATIO
    riesgos Security N SYSTEM N SYSTEM Security
    riesgos de alto
    estratégicos Assessment
    System-specific System-specific
    Assessment nivel
    Report Report
    Enfocar Controls Controls Información de
    Plan of Action Plan of Action estrategia
    and Milestones and Milestones

    Hybrid Controls

    Hybrid Controls
    RISK
    MANAGEMENT
    FRAMEWORK
    (RMF)

    Enfoque de
    gestión de COMMON CONTROLS
    Elementos
    riesgos tácticos Security Controls Inherited by Organizational Information Systems operativos en
    toda la empresa

    Security
    Security Plan of Action and
    Assessment
    Plan Milestones
    Report

    Ongoing Authorization Decisions

    Fuente: National Institute of Standars and Technoloy NIST


    ANÁLISIS DE RIESGOS
    ELEMENTOS DE ESTUDIO
    AMENAZAS
    CIBERSEGURIDAD Y RESILIENCIA

    Problemática: La Panacea de la Seguridad TI 100%

    ▪ Todas las organizaciones han sufrido algún tipo de compromiso o brecha de seguridad; aún con
    un alto nivel de control y protección (FBI, NASA, CIA, Hacking Team, etc.).

    ▪ Las nuevas tecnologías y su rápida evolución (dispositivos móviles, servicios en la nube, etc.)
    ponen en jaque los métodos tradicionales de Ciberseguridad (Defensa Perimetral y Defensa en
    Profundidad), perdiendo su alto grado de efectividad.

    ▪ Para afrontar estos nuevos desafíos es necesario incorporar un nuevo enfoque de la


    Ciberseguridad y para ello nos apoyamos en el marco de trabajo denominado “Resiliencia”.

    18
    CIBERSEGURIDAD Y RESILIENCIA

    Desafíos

    ▪ Que las organizaciones cuenten con un alto nivel de resistencia frente a una amplia gama de amenazas
    existentes, desconocidas o aún no desarrolladas.

    ▪ Comunicar dentro de las organizaciones la necesidad de comprender los ciclos de “resiliencia” para que
    colaboren con las Gerencias de Auditoría y Seguridad Informática en la mejora de la experiencia de respuesta
    ante amenazas.

    ▪ Mejorar los tiempos de aprendizaje y adaptación ante amenazas de ciberseguridad.

    19
    CIBERSEGURIDAD Y RESILIENCIA

    Resiliencia

    ▪ La resiliencia de una organización es la capacidad de resistir, reaccionar, recuperarnos y


    adaptarnos; ante un factor perturbador como un ciberataque o una brecha de seguridad.

    ▪ Cambio del foco asumiendo que el concepto de seguridad 100% no es real y modelar un
    ecosistema tecnológico resistente a las amenazas.

    ▪ Identificación de los procesos/datos críticos a través de los análisis de riesgo, enfocando en ellos
    los esfuerzos de ciberseguridad.

    20
    CIBERSEGURIDAD Y RESILIENCIA
    Factores claves

    ▪ Personas: desarrollando el capital humano.

    ▪ Procesos: procesos claros y dinámicos.

    ▪ Tecnología: inversión en herramientas de ciberseguridad.

    ▪ Gobierno de ciberseguridad: identificando “las joyas de la corona” de la información a proteger


    en función del análisis de riesgo.

    ▪ La interrelación de los puntos anteriormente citados.

    21
    CIBERSEGURIDAD Y RESILIENCIA
    Ciclo de Resiliencia

    ▪ Pre-disrupción: capacidad de detectar y resistir


    amenazas de seguridad mediante capacidades
    avanzadas de escaneo del ambiente Remodelar Detectar
    interno/externo.

    Post-disrupcción

    Pre-disrupcción
    ▪ Disrupción: rápida reacción ante eventos
    amenazantes liderando una respuesta efectiva
    Resistir
    que minimice el impacto. Adaptar

    ▪ Post-disrupción: absorber el impacto mientras


    se consigue continuar con los objetivos de
    seguridad, remodelando y reconstruyendo el Reacccionar
    ambiente operativo; de una forma que elimine
    la fuente de amenaza en el futuro.
    Disrupcción

    22

    Fuente: Ernst & Young


    CIBERAUDITORIA
    Ciberauditoria? Por qué?

    23
    CIBERAUDITORIA
    Sinergia Auditoria Interna y Seguridad Informática

    24

    Fuente: Instituto de Auditores Internos de España


    CIBERAUDITORIA
    Desafíos de Auditoria Interna
    ▪ Las tecnologías son
    oportunidades de negocios pero
    generan nuevos escenarios de
    riesgo
    ▪ El abordaje debe ser continuo
    ▪ Cambio en el perfil del auditor y
    de la Auditoria
    ▪ Capacitación constante
    ▪ Tendencias del mercado y Marco
    regulatorio que obligan a la
    utilización de nuevas tecnologías

    25

    Fuente: Encuesta realizada por Protiviti sobre Capacidades y Necesidades de la Auditoria Interna para 2016 -
    www.protiviti.com\IASurvey
    CIBERAUDITORIA
    Por qué utilizar un framework?

    Cybersecurity Framework

    ISO/IEC 27032:2012 Information technology -- Security


    techniques -- Guidelines for cybersecurity

    ISA/IEC 62443

    26
    Fuente: Encuesta Global sobre Seguridad de la Información realizada por PWC para 2016 - www.pwc.com/ar
    CIBERAUDITORIA
    NIST – Marco de referencia para
    ciberseguridad
    ▪ No depende de una tecnología
    en particular
    ▪ Es adaptable a distintos tipos
    de organización
    ▪ Es gratuito
    ▪ Si bien es un marco general,
    enuncia objetivos de control
    particulares que permiten
    medir el estado de situación

    27

    Fuente: https://www.nist.gov/cyberframework
    NIST- CIBERSEGURIDAD

    28

    Fuente: National Institute of Standars and Technoloy - NIST


    CONCLUSIONES

    ▪ Las nuevas tecnologías son cada vez más parte integrante de los procesos,
    aportando oportunidades para eficientizarlos pero a su vez introduciendo
    nuevos escenarios de riesgos que los auditores no pueden ignorar. Esto
    genera un cambio de perfil en el auditor y en la Auditoria en su conjunto…
    ▪ Migrar al concepto de ciberauditoria implica no solo ingresar en la evaluación
    continua de los riesgos que introducen las nuevas tecnologías sino también
    estar atentos a aquellos aspectos en nuestra labor en donde podamos aplicarlas
    para la mejora continua.
    ▪ En este nuevo escenario no es mejor quien no se cae nunca, sino quien mas
    rápido se levanta. Y en este sentido la convergencia e interacción entre las áreas
    de Seguridad Informática y la Auditoría Interna, son aspectos claves para
    brindar a las organizaciones mejores herramientas para prevenir y minimizar el
    impacto en el negocio de posibles incidentes.
    34
    Muchas gracias

    35

    También podría gustarte