Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Taxonomia Ciberseguridad 2015
Taxonomia Ciberseguridad 2015
Taxonomia Ciberseguridad 2015
de ciberseguridad
INDICE
1 PRÓLOGO ................................................................................................8
2 PRESENTACIÓN ........................................................................................9
PERSONAS ........................................................................................................ 13
INFORMACION ................................................................................................. 14
INFRAESTRUCTURA........................................................................................... 14
NEGOCIO .......................................................................................................... 14
RECOMENDACIONES ........................................................................................ 21
4.2 ANTI-MALWARE...................................................................................................... 22
RECOMENDACIONES ........................................................................................ 23
RECOMENDACIONES ........................................................................................ 25
RECOMENDACIONES ........................................................................................ 26
RECOMENDACIONES ........................................................................................ 28
RECOMENDACIONES ........................................................................................ 30
RECOMENDACIONES ........................................................................................ 32
RECOMENDACIONES ........................................................................................ 35
RECOMENDACIONES ........................................................................................ 38
RECOMENDACIONES ........................................................................................ 39
7 REFERENCIAS ......................................................................................... 58
En la actualidad este enfoque está evolucionando hacia la gestión de los riesgos del
ciberespacio (Information Assurance, IA), donde la ciberseguridad consiste en un
proceso continuo de análisis y gestión de los riesgos asociados al ciberespacio.
Todos los cambios que se han producido en estos últimos años, han puesto a
prueba la taxonomía y han hecho necesaria su revisión, de forma que esta asimile
la evolución que se está produciendo en las soluciones de seguridad y pueda hacer
frente con garantías al futuro inmediato de un mercado en constante cambio.
Las tecnologías móviles, junto con el enorme crecimiento de las redes sociales y de
otros servicios, como la mensajería instantánea y la computación en la nube han
Todos los cambios que se han producido en estos últimos años, han puesto a prueba
la taxonomía y han hecho necesaria su revisión, de forma que esta asimile la
evolución que se está produciendo en las soluciones de seguridad y pueda hacer
frente con garantías al futuro inmediato de un mercado en constante cambio.
3.1 Metodología
Todo esto ha permitido establecer una metodología de trabajo muy completa que,
como veremos más adelante, se materializará en una taxonomía más depurada, con
mayor sencillez y lo que se pretendía, ajustada al a evolución del mercado de la
ciberseguridad.
Personas.
Información.
Infraestructura.
Negocio.
Estos mecanismos son los responsables de establecer los permisos y vigilar los
accesos a los sistemas y aplicaciones locales o remotas, de asignar, mantener y
controlar los perfiles de los usuarios.
Partimos de que nuestros recursos básicos están a salvo, de que solo puede acceder
quién está autorizado para ello y de que trabajamos en un entorno seguro. El
usuario necesita aplicar las tecnologías de seguridad a los datos y a las aplicaciones
con los que trabaja.
SEGURIDAD EN LA RED
PERSONAS
INFRAESTRUCTURA
NEGOCIO
Bajo este alcance están los servicios que facilitan los cambios organizativos
necesarios para la adecuación de los planes y políticas de seguridad dentro de las
organizaciones, las normativas y los requisitos legales aplicables.
Microempresa / autónomos.
Gran empresa.
Infraestructuras críticas.
MICROEMPRESA / AUTONOMOS
En este ámbito se encuentran las empresas que tienen entre 10 y 250 empleados y
un volumen de negocio medio. Tienen su propio equipo técnico y un responsable
de seguridad, siendo además los encargados de implantar las soluciones de
protección que necesitan en cada momento.
GRAN EMPRESA
Las grandes empresas son aquellas cuya estructura organizativa tiene más de 250
empleados, tienen instalaciones propias y su volumen de negocio es muy elevado.
Tienen departamentos especializados de seguridad.
Las soluciones de seguridad para este ámbito de aplicación van desde la auditoría,
protección, detección y reacción ante incidentes de seguridad. Soluciones de
aplicación de medidas de seguridad organizativas, cumplimiento normativo con la
legislación, así como la adecuación e implantación de políticas de seguridad
corporativas.
INFRAESTRUCTURAS CRÍTICAS
Dentro de este ámbito se encuentran las infraestructuras críticas que son los activos
esenciales para el funcionamiento de la sociedad y la economía. Centrales y redes
de energía, servicios de transporte, servicios financieros, etc. Estas empresas tienen
áreas específicas de ciberseguridad y están protegidas por los organismos públicos.
DEPENDENCIA BAJA
Se utiliza la red de área local o WiFi para compartir recursos (impresoras, discos,
acceso a Internet…), pudiendo disponer de un servidor de ficheros.
DEPENDENCIA MEDIA
DEPENDENCIA ALTA
3.4.1 Taxonomía
Todos los elementos que hemos descrito en los apartados anteriores dan como
resultado de su combinación el cuadro final que presentamos a continuación, y que
contiene el modelo final de la taxonomía de soluciones de ciberseguridad.
4.1 ANTI-FRAUDE
Las soluciones Anti-Fraude están destinadas a proteger a los usuarios de todo tipo
de ingeniería social. Uno de los objetivos de la Ingeniería Social es realizar
actividades fraudulentas en internet, como el robo de información personal o datos
bancarios, suplantación de identidad y otras. Todas ellas llevadas a cabo mediante
técnicas como el phishing, el correo electrónico no deseado (spam) o el malware
diseñado al efecto.
El fraude on-line es una amenaza de amplio espectro, puesto que hace uso de
múltiples técnicas, vías de entrada, servicios en internet o malware, pero sobre todo
se basa en explotar la confianza de los usuarios, en base a la dificultad que tienen
estos en diferenciar aquello que es legítimo de lo que no lo es.
SUBCATEGORÍAS - Tipos
Anti-phishing. Protegen del fraude iniciado a través del correo electrónico. Son
comunicaciones destinadas a engañas a un usuario para conectar a un servicio
fraudulento con el fin de obtener información de pago o credenciales de acceso
al servicio legítimo.
RECOMENDACIONES
Usar los certificados digitales que nuestra página web o tienda online utilice en
el protocolo HTTPS con un certificado emitido por una entidad de confianza.
Proteger las cuentas con contraseñas complejas. Cambiar las claves de manera
periódica.
El software malicioso o malware es una amenaza que tiene como objetivo dañar el
dispositivo para obtener un beneficio. El malware es una amenaza de amplio
espectro, puesto que hace uso de amplias técnicas y vías de entrada, como páginas
web, correos electrónicos, dispositivos de almacenamiento, etc. siendo elementos
utilizados para infectar y propagar el código malicioso.
SUBCATEGORÍAS - Tipos
Utilizar redes seguras para todas las comunicaciones con nuestros clientes. Y
emplear cifrado cuando la información intercambiada sea especialmente
sensible
Realizar copias periódicas de seguridad que incluyan los datos del cliente que
debamos proteger. También debemos tener procedimientos de restauración de
dichas copias.
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
En este grupo se incluyen las herramientas de Gestión de Riesgos, así como los
Sistemas de Gestión de Seguridad de la Información (SGSI), los planes y las políticas
de seguridad.
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
Desarrollar políticas de seguridad en las que se valoren los riesgos a los que
están expuestos los sistemas de información.
RECOMENDACIONES
Identificar los servicios y procesos críticos junto con los activos tecnológicos que
los sustentan y sus dependencias.
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
Utilizar redes seguras para todas las comunicaciones con nuestros clientes. Y
emplear cifrado cuando la información intercambiada sea especialmente
sensible.
Proteger las cuentas con contraseñas complejas. Cambiar las claves de manera
periódica.
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
Desarrollar políticas de seguridad en las que se valoren los riesgos a los que
están expuestos los sistemas de información que sustentan su negocio.
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
Proteger las cuentas con contraseñas complejas. Cambiar las claves de manera
periódica.
Identificar los usuarios autorizados y definir los privilegios para el uso de datos
y documentos confidenciales.
SUBCATEGORÍAS - Tipos
Redes privadas virtuales o VPN (Virtual Private Network). Son herramientas que
permiten crear una conexión segura con otra red a través de internet mediante
la creación de túneles cifrados, ofreciendo acceso inalámbrico seguro a los
recursos de la red corporativa.
RECOMENDACIONES
Utilizar redes seguras para todas las comunicaciones con nuestros clientes. Y
emplear cifrado cuando la información intercambiada sea especialmente
sensible.
SUBCATEGORÍAS - Tipos
RECOMENDACIONES
Establecer una política de uso del BYOD corporativa en la que se establezcan los
usos permitidos y las restricciones con respecto al uso de los dispositivos
personales.
Utilizar redes seguras para todas las comunicaciones con nuestros clientes. Y
emplear cifrado cuando la información intercambiada sea especialmente
sensible.
SUBCATEGORÍAS - Tipos
Diseño del plan de auditoría. Durante esta fase se determinan los objetivos, el
alcance de la auditoria, los recursos, plazos, etc.
SUBCATEGORÍAS - Tipos
Análisis de riesgos. Son servicios que tienen como finalidad detectar los activos
y procesos críticos y conocer sus vulnerabilidades, para implementar medidas
de detección, protección y recuperación de forma eficaz y efectiva.
Permiten que las empresas se puedan recuperar con rapidez y eficacia ante
interrupciones de su actividad, pérdida de recursos, etc.
Son servicios que ayudan a las empresas a cumplir con la legislación vigente en
materia de seguridad tecnológica o de seguridad de la información, como son la Ley
Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la
Información y el Comercio Electrónico (LSSICE), la Ley de Propiedad Intelectual (LPI)
y otras.
SUBCATEGORÍAS - Tipos
SUBCATEGORÍAS - Tipos
Entender y utilizar de manera eficiente todos los recursos que posee la empresa
para proteger sus sistemas y cumplir con la legalidad en materia de seguridad.
SUBCATEGORÍAS - Tipos
Investigación forense.
SUBCATEGORÍAS - Tipos
SUBCATEGORÍAS - Tipos
SUBCATEGORÍAS - Tipos
Revisar las subcategorías de cada categoría para identificar las soluciones que
mejor se adapten a cada necesidad.
7 Referencias