Documentos de Académico
Documentos de Profesional
Documentos de Cultura
E-book de Ciberseguridad 1
Contenido
1. Fundamentos y principios de seguridad…………………………………………… 3
2. Políticas, lineamientos y procedimientos…………………………………………. 12
3. Gestión de riesgos…………………………………………………………………….. 26
4. Estándares y marcos de referencia de seguridad………………………………... 31
5. Capas y prácticas de control de acceso…………………………………………… 37
6. Control de acceso y gestión de la identidad………………………………………. 41
7. Herramientas y amenazas de control de acceso…………………………………. 54
8. Seguridad y dispositivos de red…………………………………………………….. 61
9. Telecomunicaciones, Moldeo OSI y Modelo TCP/IP……………………………...73
10. Cloud computing, VPN, Seguridad de internet…………………………………….88
11. Detección de virus y spam…………………………………………………………...104
12. Amenazas de Ciberseguridad (Malware)....……………………………………….110
E-book de Ciberseguridad 2
1. PRINCIPIOS FUNDAMENTALES DE SEGURIDAD
E-book de Ciberseguridad 3
Disponibilidad
Protección que garantiza el acceso oportuno y confiable de los datos y recursos a las
personas autorizadas. Los dispositivos de red, ordenadores y aplicaciones deben
proporcionar una funcionalidad adecuada para garantizar la disponibilidad de la información
con un nivel de rendimiento aceptable. Estos deben ser capaces de recuperarse de
interrupciones de forma segura y rápida, de esta manera la productividad no es afectada
negativamente. Los mecanismos de protección necesarios deben ser implementados
contra amenazas internas y externas que pueden afectar la disponibilidad y productividad
de los componentes del negocio.
Integridad
Confidencialidad
E-book de Ciberseguridad 4
** Términos Clave **
• Disponibilidad acceso confiable y oportuno a la información y los recursos que es
permitido a los individuos autorizados (aseguramiento de la información, sin
modificaciones).
• Integridad Confiablidad y exactitud en la información que es entregada y cualquier
modificación no autorizada es prevenida (aseguramiento de la información evitar
modificaciones).
• Confidencialidad Hacer cumplir el nivel de secreto necesario de la información y prevenir
la divulgación no autorizada (información solo para quien lo necesite).
SEGURIDAD BALANCEADA
E-book de Ciberseguridad 5
continuación se muestra una pequeña lista de algunos controles y la forma en que se
asignan a los componentes de la tríada de seguridad AIC:
Disponibilidad
• Arreglo redundante de discos económicos (RAID)
• Clustering
• Balanceo de carga
• Líneas de datos y de alimentación electrica redundantes
• Software de datos y copias de seguridad
• Disk shadowing
• Colocación e instalaciones adicionales fuera de las principales
• Funciones de Roll Back
• Configuraciones de fail over
Integridad
• Hashing (integridad de los datos)
• Gestión de la configuración (la integridad del sistema)
• Control de cambios (integridad del proceso)
• Control de acceso (físico y técnico)
• Firma de software digital
Confidencialidad
• Cifrado de datos en reposo (disco, base de datos)
• Cifrado de datos en tránsito (IPSec, SSL, PPTP, SSH)
• Control de acceso (físico y técnico)
E-book de Ciberseguridad 6
DEFINICIONES DE SEGURIDAD
Vulnerabilidad
Es una debilidad o falta de un control o una medida. Puede ser software, hardware,
procedimental o una debilidad humana que puede ser explotada. Una vulnerabilidad puede
ser un servicio que se ejecuta en el servidor, las aplicaciones o sistemas operativos sin
parches, un punto de acceso inalámbrico sin restricciones, un puerto abierto en un servidor
de seguridad, seguridad física laxa que permite que cualquiera pueda entrar en una sala de
servidores, o la gestión de contraseñas que no es ejecutada en servidores y estaciones de
trabajo.
Amenaza
E-book de Ciberseguridad 7
Riesgo
Una exposición es una instancia de estar expuesto a pérdidas. Una vulnerabilidad expone
a una organización a posibles daños. Si la administración de contraseñas es laxa y las
reglas no se hacen cumplir, la empresa se expone a la posibilidad de tener contraseñas
capturadas y usadas de manera no autorizada. Si una empresa no tiene su cableado
inspeccionado y no pone medidas de prevención contra incendios proactivas en su lugar,
se expone a sí mismo a que los incendios sean potencialmente devastadores.
Un control o medida se pone en marcha para mitigar (reducir) el riesgo potencial. Una
medida puede ser una configuración de software, hardware o un procedimiento que elimina
una vulnerabilidad o que reduce la probabilidad de que un agente amenaza sea capaz de
explotar una vulnerabilidad. Ejemplos de contramedidas incluyen una fuerte gestión de
contraseñas, cortafuegos, guardias de seguridad, mecanismos de control de acceso,
cifrado y capacitación en seguridad, etc.
E-book de Ciberseguridad 8
** Términos Clave **
Vulnerabilidad Debilidad o la falta de un control o medida.
Amenaza Entidad o agente que puede explotar una vulnerabilidad.
Amenaza Peligro que un agente amenaza pueda explotar una vulnerabilidad.
Riesgo Probabilidad de que un agente amenaza explote una vulnerabilidad y el
impacto asociado con el negocio.
Control o medida Control que se pone en marcha para reducir el riesgo, también
llamado contramedida.
Exposición Presencia de una vulnerabilidad que expone a la organización a una
amenaza.
TIPOS DE CONTROLES
A continuación se abordarán los tipos de control que pueden ser implementados y las
funcionalidades asociadas. Los controles se ponen en marcha para reducir el riesgo al que
una organización se enfrenta, estos controles se clasifican en tres partes: administrativos,
técnicos y físicos.
E-book de Ciberseguridad 9
Controles administrativos
• Sistema de gestión de seguridad
• Creación y documentación de procesos
• Control de cambios
• Procesos de capacitación
Controles físicos
• Vallas, muros, cercas
• Puertas exteriores e interiores con cerradura
• Circuito cerrado de televisión
• Guardias de seguridad
• Sala de servidores con restricción de acceso
• Computadores asegurados físicamente (cerraduras de cable)
Controles técnicos
• Firewalls (cortafuegos)
• Sistema de detección de intrusos (IDS)
• Sistemas de prevención de intrusiones (IPS)
• Antimalware - Antivirus
• Control de acceso
• Encriptación
E-book de Ciberseguridad 10
Las diferentes funcionalidades de los controles de seguridad son:
- Prevenir Intenta evitar que un accidente ocurra
- Detectar Ayuda a identificar las actividades relacionadas con un incidente y
potencializa a un intruso
- Corregir Arregla o restaura componentes luego de que un incidente ha ocurrido
- Disuadir Intenta persuadir a un potencial atacante
- Recuperar Intenta traer de vuelta el ambiente a las operaciones regulares
- Compensar Provee medidas alternativas de control
E-book de Ciberseguridad 11
2. POLITICAS, LINEAMIENTOS Y PROCEDIMIENTOS
Computadores y la información procesada en estos suelen tener una relación directa con
los objetivos y la misión de la empresa, debido a este nivel de importancia la alta dirección
debe tomar la protección de estos elementos como una alta prioridad y proporcionar el
apoyo, fondos, tiempo y recursos necesarios para garantizar el aseguramiento de los
sistemas, las redes y la información. Esta protección debe establecerse de manera eficiente
y lo más rentable posible, de esta manera un enfoque de gestión integral debe desarrollarse
para lograr estos objetivos con éxito.
Todas las personas dentro de una organización pueden aportar al desarrollo y cumplimiento
de la seguridad. Es importante asegurar que todos dentro de la organización de acuerdo a
su nivel jerárquico ayuden al cumplimiento de lo determinado en las leyes, reglamentos,
políticas, requisitos y objetivos del negocio.
Un programa de seguridad contiene las piezas necesarias para proporcionar una protección
integral en una empresa y establece una estrategia de seguridad a largo plazo. La
documentación de un programa de seguridad debe estar compuesta por las políticas de
seguridad, procedimientos, normas y directrices. Diferentes áreas de las empresas como
recursos humanos, departamento jurídico, entre otros; deben participar en el desarrollo y
aplicación de las normas y requisitos establecidos en los documentos
E-book de Ciberseguridad 12
POLÍTICA DE SEGURIDAD
Es una declaración general producida por la alta dirección o un comité que habla del rol y
el papel que juega la seguridad en la organización. Una política de seguridad puede ser
generada de manera general a nivel organizacional o particular a nivel de un tema
específico como un sistema. En la política organizacional se definen los parámetros para
establecer un programa de seguridad, establecer las metas del programa,
responsabilidades, describe el valor estratégico y táctico de la seguridad, ademas describe
como debe llevarse a cabo. La política de seguridad de la organización proporciona el
alcance y la dirección de todas las futuras actividades de seguridad dentro de la
organización.
• Política organizacional
• Política de uso aceptable
• Política de gestión del riesgo
• Política de manejo de vulnerabilidades
E-book de Ciberseguridad 13
• Política de protección de datos
• Política de control de acceso
• Política de continuidad del negocio
• Política de auditoria
• Política de seguridad personal
• Política de seguridad física
• Política de desarrollo de aplicaciones seguras
• Política de control de cambios
• Política de correo electrónico
• Política de respuesta de incidentes
Tipos de políticas
Reguladora: Este tipo de política asegura que la organización está siguiendo los
estándares definidos por regulaciones específicas de la industria (HIPAA, GLBA, SOX, PCI-
DSS, etc.). Esta está bien detallada y especificada de acuerdo al tipo de industria, esta es
usada por instituciones financieras, instituciones del sector de la salud, entidades públicas
y otras industrias gubernamentalmente reguladas.
Consultiva: Este tipo de política asesora empleados acerca del tipo de actividades y
comportamientos que deben y no deben tener lugar dentro de la organización. Esta también
da un esquema de las posibles acciones a tomar si los empleados no cumplen con lo
establecido; este tipo de política puede ser usada por ejemplo para describir cómo manejar
información médica o financiera.
Informativa: Este tipo de política informa a los empleados acerca de ciertos temas. Esta
no es una política ejecutable si no que enseña a los individuos acerca de temas de interés
para la empresa, además puede explicar cómo interactúa la empresa con socios de
negocio, los objetivos, la misión y una estructura general de información de la misma en
diferentes situaciones.
E-book de Ciberseguridad 14
Implementación
E-book de Ciberseguridad 15
LINEAMIENTOS, DIRECTRICES Y PROCEDIMIENTOS
Se refieren a las actividades, acciones o normas obligatorias. Las normas pueden apoyar y
reforzar una política. Los estándares de seguridad organizacionales pueden especificar
cómo los productos de hardware y software van a ser utilizados, también pueden ser
utilizados para indicar el comportamiento esperado del usuario. Estos proporcionan un
medio para asegurar que determinadas tecnologías, aplicaciones, parámetros y
procedimientos se implementen de forma adecuada en toda la organización.
E-book de Ciberseguridad 16
Un estándar organizacional puede requerir que todos los empleados usen sus tarjetas de
identificación dentro de la empresa en todo momento, para permitir identificar individuos
desconocidos dentro de la organización y descubrir el propósito que tienen los mismos en
las diferentes áreas que visitan. Estas reglas son obligatorias dentro de una empresa y
deben hacerse cumplir para que sean eficaces.
El termino base se refiera a un punto en el tiempo que es usado con una comparación para
cambios futuros. Una vez un riesgo es mitigado y la seguridad puesta en marcha, una línea
base es revisada formalmente para realizaran comparaciones y mediciones contra este
procedimiento. Una línea base es un punto de referencia constante.
Los lineamientos base también se utilizan para definir el nivel mínimo de protección
requerido, en seguridad pueden definirse según el tipo de sistema para indicar los ajustes
necesarios y el nivel de protección. Por ejemplo una empresa puede definir que todos los
sistemas contables deben cumplir con un nivel de evaluación específico, para que solo los
sistemas que han superado por el proceso de evaluación definido pueden ser utilizados en
el departamento.
Directrices (Guidelines)
Son las acciones y guías operacionales recomendadas para los usuarios, el personal de TI,
personal de operaciones y los demás cuando una norma específica no es aplicada. Las
directrices pueden hacer frente a las metodologías tecnológicas, el personal o la seguridad
física. Los estándares son reglas específicas obligatorias, las directrices son enfoques
generales que proporcionan la flexibilidad necesaria para circunstancias imprevistas.
Una política podría afirmar que el acceso a datos confidenciales debe auditarse, una
directriz de apoyo podría explicar con más detalle que las auditorías deben contener
información suficiente para permitir la conciliación con las revisiones anteriores.
Procedimientos de apoyo podrían dar una idea de los pasos necesarios para configurar,
implementar y mantener este tipo de auditoría.
E-book de Ciberseguridad 17
Procedimientos
Son tareas detalladas paso a paso que se deben realizar para alcanzar un determinado
objetivo. Estos pasos se pueden aplicar a los usuarios, el personal de TI, personal de
operaciones, miembros de la seguridad y otros que necesiten llevar a cabo tareas
específicas. Muchas organizaciones han escrito procedimientos acerca de cómo instalar
sistemas operativos, configurar los mecanismos de seguridad, implementar listas de control
de acceso, crear nuevas cuentas de usuario, asignar privilegios en los equipos, actividades
de auditoría, destrucción de material, informes de incidentes y mucho más. Los
procedimientos se consideran el nivel más bajo en la cadena de documentación, ya que
son los más cercanos a los equipos y usuarios (en comparación con las políticas) y
proporcionan pasos detallados para problemas de configuración e instalación.
E-book de Ciberseguridad 18
CLASIFICACION DE LA INFORMACION
Niveles de Clasificación
No hay reglas en los niveles de clasificación que una organización debe utilizar, hay algunos
establecidos en estándares y marcos de referencia, sin embargo, las empresas pueden
optar por utilizar niveles de clasificación personalizados
Los siguientes niveles de sensibilidad se muestran del más alto al más bajo en términos
empresariales:
• Confidencial
• Privado
• Sensitivo
• Publico
Los siguientes niveles de sensibilidad se muestran del más alto al más bajo en propósitos
militares:
• Ultra secreto
• Secreto
E-book de Ciberseguridad 19
• Confidencial
• Sensitivo pero desclasificado
• Desclasificado
Clasificación
Definición Ejemplos
Corporativa
Clasificación
Definición Ejemplos
Militar
Información de reclutamiento,
No Clasificada La información no es sensible
servicios públicos
Secretos menores, si la información Información del personal,
Sensitiva pero no
es divulgada no se causa mayor información médica, resultados de
clasificada
daño estudios
E-book de Ciberseguridad 20
Una vez que el plan se decide, la organización debe desarrollar los criterios que utilizará
para decidir qué información ira en cada nivel de clasificación. La siguiente lista muestra
algunos parámetros que una organización puede utilizar para determinar la sensibilidad de
los datos.
Administrador de Seguridad
El administrador de seguridad es responsable de la implementación y el mantenimiento de
los dispositivos de seguridad de red y software. Estos controles suelen incluir firewalls, IDS,
IPS, antimalware, proxies de seguridad, prevención de pérdida de datos, control de acceso,
etc. Es común que haya delimitación entre el administrador de seguridad y el administrador
de la red. El administrador de seguridad tiene el objetivo principal de mantener la red segura
y el administrador de la red tiene el objetivo de mantener las cosas en marcha y
funcionando.
Analista de Seguridad
El papel analista de seguridad se desarrolla en un nivel más alto, más estratégico. Ayuda a
desarrollar las políticas, normas y lineamientos establecidos. Un analista de seguridad
ayuda a definir los elementos del programa de seguridad y hace seguimiento a través de
diferentes elementos para asegurar que los procedimientos se están llevando a cabo
correctamente. Esta persona trabaja más a nivel de diseño que en un nivel de ejecución u
operacional.
E-book de Ciberseguridad 21
Dueño de aplicación
Son personas encargadas de algunas aplicaciones específicas del negocio, por ejemplo, el
sistema de información del departamento de contabilidad. Por lo general los directores de
los diferentes departamentos o los dueños de aplicaciones son los responsables de decidir
quiénes pueden acceder a sus aplicaciones, sujeto a las políticas y los procedimientos
establecidos.
Supervisor
El supervisor es el responsable de toda la actividad de los usuarios y todos los recursos
creados para los usuarios. Es el responsable en materia de seguridad de que un número
de empleados entiendan sus responsabilidades y las políticas establecidas, además de
reportar cualquier novedad sobre la suspensión, transferencia o despido de algún
empleado. El supervisor debe informar al administrador de seguridad todos los cambios
presentados en los usuarios para que se habilite o deshabilite el acceso a los recursos
corporativos.
E-book de Ciberseguridad 22
Integrantes Comité de Control de Cambios
Dado a la gran presencia de cambios en el ambiente y las configuraciones, alguien debe
asegurarse que los cambios se apliquen de forma segura. Los integrantes del comité de
control de cambios son responsables de aprobar o rechazar las solicitudes para realizar
cambios en la red, sistemas o servicios. Deben asegurarse que los cambios aprobados no
generaran ninguna indisponibilidad ni vulnerabilidad en la operación dela empresa. El
comité de cambios debe tener el conocimiento y la experiencia necesaria para entender
cómo los cambios pueden afectar la seguridad, operatividad y productividad del negocio.
Usuario
Un usuario es cualquier individuo que utiliza de forma rutinaria la información y los recursos
corporativos para desarrollar las tareas y actividades relacionadas con su trabajo. El usuario
debe tener un nivel de acceso necesario a los datos para realizar las actividades
relacionadas con sus funciones, además es responsable de seguir las políticas y normas
establecidas para garantizar la integridad, confiabilidad y disponibilidad de la información
para el mismo y los demás usuarios.
Auditor
La función del auditor se realiza periódicamente para asegurar que todo lo estipulado se
esté haciendo correctamente, se asegura que los controles y procedimientos adecuados
estén en su lugar y se mantengan de forma segura. El objetivo del auditor es asegurarse
que la organización cumpla con sus propias políticas, normas y reglamentos establecidos.
Las organizaciones pueden tener auditores internos y/o externos, los auditores internos son
personas que trabajan dentro de la organización y se capacitan para verificar todos los
procedimientos y controles se estén cumpliendo; los auditores externos suelen trabajar en
nombre de un organismo regulador que se encarga de verificar al igual que todo este
marchando en orden. CobiT es un modelo que la mayoría de los auditores de seguridad de
información siguen en la evaluación de un programa de seguridad.
E-book de Ciberseguridad 23
GOBERNABILIDAD DE SEGURIDAD
Una organización puede estar siguiendo muchos de los pasos descritos anteriormente: la
construcción de un programa de seguridad, integración con la arquitectura empresarial,
desarrollo de un programa de gestión de riesgos, documentación de los diferentes aspectos
del programa de seguridad, realización de protección de datos y la capacitación del
personal. Pero, ¿cómo sabemos que se está haciendo todo correctamente y de manera
permanente?, Aquí es donde el gobierno de la seguridad entra en juego. Este permite que
los objetivos de seguridad se establezcan en una organización, se apoyen por la alta
dirección y se comuniquen a través de los diferentes niveles de la organización. Además
permite establecer las medidas necesarias para implementar y reforzar la seguridad y
verificar su desempeño.
Para que los administradores, jefes de área y la dirección general se enteren de lo que esté
sucediendo con la integración de la seguridad se deben desarrollar mecanismos de
supervisión que integren adecuadamente todos los niveles de la organización, de manera
que todas las personas encargadas del proceso y los usuarios finales estén actualizados
sobre el rendimiento de la seguridad a través de los canales de comunicación, reportes y
métricas establecidas.
E-book de Ciberseguridad 24
Empresa A Empresa B
Los miembros de la junta directiva
entienden que la seguridad de la Los miembros de la junta no
información es algo crítico para la entienden la importancia de la
empresa y requieren estar al tanto de seguridad de la información, sus
las actualización en seguridad, responsabilidades en el proceso
rendimiento y amenazas
E-book de Ciberseguridad 25
3. GESTION DE RIESGOS
La seguridad informática es un tema complejo incluso para los profesionales en esta área,
ya que los mecanismos y controles implementados podrían no ser los adecuados para
garantizar el cumplimiento de los objetivos de seguridad, además es posible gastar mucho
dinero en el proceso de implementación el cual al final podría no cumplir con los objetivos
propuestos inicialmente.
El análisis del riesgo ayuda a las empresas priorizar sus riesgos y permite realizar una
adecuada gestión de la cantidad de recursos que deben ser utilizados para aplicar la
protección necesaria a los mismos.
E-book de Ciberseguridad 26
El análisis del riesgo tiene cuatro objetivos principales:
• Identificar los activos y su valor para la organización.
• Identificar las vulnerabilidades y amenazas.
• Cuantificar la probabilidad de ocurrencia y el impacto del negocio para las amenazas
potenciales.
• Proporcionar un equilibrio económico entre el impacto de la amenaza identificada y el
costo de la medida definida.
El análisis del riesgo proporciona una comparación costo-beneficio, que compara el costo
anual de los controles de protección con el costo potencial de pérdida. En la mayoría de los
casos un control no debe aplicarse si el costo anualizado excede el valor del costo de
perdida; esto quiere decir que si una instalación de una empresa tiene un valor de 50
millones no tiene sentido gastar 70 millones para tratar de protegerla.
Existen muchos tipos de amenazas que pueden tomar ventaja de los diferentes tipos de
vulnerabilidades que pueden afrontar las organizaciones en los programas de gestión del
riesgo.
E-book de Ciberseguridad 27
Vulnerabilidad que puede
Amenaza Resultado de la amenaza
ser explotada
Malware Falta de software antivirus Infección de virus
Parámetros de seguridad no
Mal funcionamiento del
Usuarios configurados en el sistema
sistema operativo
operativo
Divulgación de
información confidencial,
Falta de entrenamiento o alteración de las entradas
Empleado
falta de auditoria y salidas en las
aplicaciones de entra y
salida de datos
La razón para que una empresa implemente medidas es para reducir el riesgo global hacia
un nivel aceptable. Es importante aclarar que ningún sistema o medio ambiente es 100%
seguro, lo que quiere decir que siempre habrá algún tipo de riesgo restante a enfrentar, esto
se conoce riesgo residual.
El riesgo total es diferente al riego residual, este es el riesgo al que se enfrenta una
empresa si decide no aplicar ningún tipo de medida o garantía. Una empresa puede optar
E-book de Ciberseguridad 28
por tomar el riesgo total si los resultados del análisis costo-beneficio indican que por su
valor esta es la mejor decisión. Por ejemplo, si hay una pequeña probabilidad de que los
servidores web de una empresa puedan verse comprometidos y las medidas necesarias
para dar un mayor nivel de protección van a costar más que la pérdida potencial, la empresa
optara por no aplicar la contramedida eligiendo no hacerle frente y aceptando el riesgo total.
Una vez que una empresa sabe la cantidad de riesgo total y residual que enfrenta debe
decidir cómo manejarlo. El riesgo puede ser tratado en cuatro formas: transferirlo, evitarlo,
reducirlo o aceptarlo.
Muchos seguros están disponibles para proteger los activos en las empresas, si una
empresa decide que el riesgo total es demasiado alto como para jugar con él y manejarlo,
puede adquirir un seguro con el cual podrá transferir el riesgo a la compañía de seguros.
Si una empresa decide poner fin a la actividad está causando el riesgo esto se conoce como
evitar el riesgo, por ejemplo, si una compañía permite o deniega el uso de la mensajería
instantánea (IM) en los empleados evita o mantiene muchos riesgos que rodean a esta
tecnología.
E-book de Ciberseguridad 29
Otro enfoque es la mitigación o reducción del riesgo, en el que el riesgo este se reduce a
un nivel que se considera lo suficientemente aceptable para continuar con normalidad en la
operación del negocio, por ejemplo, la implementación y capacitación de dispositivos de
seguridad como sistemas de protección/detección de intrusión, firewalls u otros tipos de
control representan tipos de esfuerzos para la mitigación de riesgos. El último enfoque es
aceptar el riesgo, lo que significa que la compañía entiende el nivel de riesgo al que se
enfrenta, el costo potencial del daño y decide vivir con el mismo sin implementar ninguna
contramedida. Muchas empresas aceptan el riesgo cuando analizan la relación costo-
beneficio y el costo de la contramedida es mayor al valor de la potencial pérdida.
** Términos Clave **
• Análisis del riesgo cuantitativo Asignar valores monetarios y numéricos a todos los
elementos de datos de una evaluación del riesgo.
• Análisis del riesgo cualitativo Método basado en el análisis del riesgo con el uso de
escenarios y valoraciones.
• Funcionalidad versus efectividad del control Funcionalidad es lo que el control hace y
la efectividad es que también lo hace
• Riesgo total Es la cantidad total de riesgo existente antes de que un control sea
implementado, Amenazas x Vulnerabilidades x Activos = Riesgo total
• Riesgo residual El riesgo que permanece luego de la implementación de un control,
Amenazas x Vulnerabilidades x Activos x (brecha del control) = Riesgo residual
E-book de Ciberseguridad 30
4. MARCOS DE REFERENCIA, ESTÁNDARES Y MEJORES PRÁCTICAS DE
SEGURIDAD
Hasta este punto sabemos lo que necesitamos para llevar a cabo (disponibilidad, integridad
y confidencialidad), sabemos que las herramientas que podemos utilizar (controles
administrativos, técnicos y físicos), además de cómo hablar de este tema (vulnerabilidad,
amenaza, riesgo y control).
El concepto de seguridad por oscuridad (no recomendado) supone que los atacantes no
son tan inteligentes como usted y no pueden imaginar algo se piensa es muy difícil. Por
ejemplo, poner una llave adicional debajo de un tapete o encima de un marco en caso de
que la puerta de la casa se cierre o perdamos las llaves. Usted asume que nadie sabe el
lugar donde escondió la llave de repuesto, siempre y cuando los demás no se enteren de
esto se puede considerar seguro. La vulnerabilidad es que cualquier persona podría
acceder fácilmente a la casa si conoce el lugar donde se guardan las llaves.
E-book de Ciberseguridad 31
• ISO/IEC 27000 Información general y vocabulario
• ISO/IEC 27006 Guía para los organismos que realizan auditoria y certificación de sistemas
de gestión de seguridad de la información
Este grupo de normas se conoce como la serie ISO/IEC 27000 y sirve como mejores
prácticas de la industria para la gestión de los controles de seguridad de manera integral
dentro de las organizaciones de todo el mundo.
E-book de Ciberseguridad 32
Ciclo (PHVA)
ISO sigue el Planificar - Hacer - Verificar - Actuar, que es un proceso iterativo que se
utiliza comúnmente en los programas de control de calidad de procesos de negocio. El
componente Planificar hace referencia al establecimiento planes y objetivos, el
componente Hacer hace referencia a la ejecución de los planes, el componente Verificar
hace referencia a la medición de los resultados relacionado con el cumplimiento de los
objetivos y finalmente el componente Actuar proporciona orientación acerca de cómo
corregir y mejorar los planes para lograr un mayor éxito.
** Términos Clave **
El estándar ISO 27001 es el punto de partida para la implementación del sistema de
gestión de seguridad de la información (SGSI) en las organizaciones.
ISO/IEC 27001 es el estándar para el establecimiento, implementación, control y mejora
del sistema de gestión de seguridad de la información.
Un sistema de gestión de seguridad de la información (SGSI) es un conjunto coherente
de políticas, procesos y sistemas que permiten gestionar los riesgos de los activos de
información como se indica en la norma ISO\IEC 27001.
E-book de Ciberseguridad 33
NIST CYBERSECURITY FRAMEWORK
Los pasos o las funciones de este marco se enfocan en Identificar, proteger, detectar,
responder y recuperar. Cinco pilares, para llevar todo este ciclo y poder gestionar los
riesgos de forma adecuada. Enfrentar, manejar, mitigar y contener de buena manera las
ciber amenazas.
Proteger: Describe las medidas de seguridad indicadas para garantizar la entrega de servicios
o funcionalidad de las infraestructuras críticas. La capacidad de limitar o contener el impacto de
un potencial evento de ciberseguridad.
E-book de Ciberseguridad 34
Detectar: Identifica actividades necesarias para identificar el nivel de ocurrencia de un evento
de ciberseguridad, permitiendo el descubrimiento oportuno.
Recuperar: Planes para resistir y recuperar las capacidades y servicios, que hayan podido
afectar el incidente de ciberseguridad.
E-book de Ciberseguridad 35
• DoDAF Marco de referencia de arquitectura empresarial del departamento de defensa de
los Estados Unidos que garantiza interoperabilidad de los sistemas para cumplir los
objetivos militares
• MODAF Marco de referencia de arquitectura usado principalmente en apoyo de misiones
militares
Gestion de procesos
• ITIL Procesos para permitir la gestión de servicios de TI
• Six Sigma Estrategia de gestión de negocios que puede ser usada para realizar el
mejoramiento de procesos
• Capability Maturity Model Integration (CMMI) Desarrollo de procesos de mejoramiento
organizacional
Gobiernancia corporativa
• COSO Conjunto de controles corporativos para ayudar a reducir el riesgo de fraude
financiero
E-book de Ciberseguridad 36