Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Lectura Sesion2

    Cargado por

    Paginas Web Administrables
    5 vistas8 páginas

    Título original

    Lectura-Sesion2

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas8 páginas

    Lectura Sesion2

    Cargado por

    Paginas Web Administrables

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    Tipos de evaluaciones de seguridad

    Ethical
    Hacking y
    Ciberseguridad

    ¿Qué tipo de prueba utilizar?


    ¡Hola!

    Te damos la bienvenida a esta lectura titulada: ¿Qué tipo de prueba utilizar? La cual introdu-
    cirá términos y conceptos necesarios para tu experiencia de aprendizaje en esta sesión. Se
    recomienda leer con detenimiento este PDF, ya que será de vital importancia para concluir de
    forma exitosa las evaluaciones de esta sesión.

    ¡Sigue avanzando!
    Tipos de evaluaciones de seguridad

    ¿Qué tipo de prueba utilizar?

    La respuesta a la pregunta ¿Qué tipo de prueba utilizar? Dependerá de la reali-


    dad de cada organización, por tanto, no existe una fórmula única para realizar
    las evaluaciones de ciberseguridad que tengan el mismo impacto para todas las
    organizaciones.

    Sí es posible describir una secuencia de pasos o método general que


    puedas aplicar a todas las organizaciones para preparar y responder
    ante ataques de ciberseguridad y su efectividad podrá medirse según
    el diseño y prueba continua de los controles que se implementen en la
    organización.

    El método general de preparación ante ataques de ciberseguridad que usaremos está


    basado en respuesta a los ataques cibernéticos dirigidos, propuesto por ISACA (Asocia-
    ción de Auditoría y Control de Sistemas de Información), el cual se compone de 6 pasos:

    Construir un equipo, hacer un plan.

    Establecer relaciones clave.

    Determinar autoridades.

    Inventario de tecnologías existentes.

    Estandarizar el proceso de investigación.

    Capacitación y gobierno.

    Establecer las capacidades críticas.

    ·2·
    Tipos de evaluaciones de seguridad

    Construir un equipo, hacer un plan:

    • A las empresas que invierten tiempo y recursos en prepararse para una brecha de
    seguridad les irá mucho mejor en sus esfuerzos de respuesta y erradicación.
    • El objetivo es establecer las personas, el plan y las capacidades para enfrentar un
    incidente de ciberseguridad y erradicar la brecha de seguridad.
    • Puede ser difícil convencer a la dirección de la empresa de la necesidad de tener
    la capacidad de investigación de la brecha de ciberseguridad bien pensada y
    practicada.
    • No hay seguridad perfecta, no importa la solidez de las defensas de la empresa,
    los atacantes sofisticados con capacidades avanzadas (APT) pueden lograr cierto
    grado de éxito.
    • La preparación previa a un ataque cibernético, con la perspectiva de que el ataque
    tendrá éxito, permite a una empresa ser eficiente e integral en sus actividades de
    investigación y erradicación.

    Establecer las relaciones clave:

    • A las empresas que invierten tiempo y recursos en prepararse para una brecha de
    seguridad les irá mucho mejor en sus esfuerzos de respuesta y erradicación.
    • Las empresas que no establecen estas relaciones antes de los ataques tendrán difi-
    cultades para conseguir que las compañías y profesionales de seguridad adecua-
    dos les ayuden a responder rápidamente una vez que ha ocurrido una brecha de
    seguridad.
    • En cambio, las empresas que establecen estas relaciones con anticipación y
    mantienen a terceros contratados para tiempos de necesidad, pueden dedicarse
    mucho más fácilmente y por completo a la investigación y erradicación de una bre-
    cha de seguridad.
    • El tamaño de una empresa y la madurez de sus operaciones de seguridad juegan un
    rol importante al determinar el nivel de participación de terceros durante un evento
    de investigación y erradicación de la brecha de seguridad.
    • Se deben considerar muchas posibles relaciones con terceros antes de un ataque,
    entre ellos:

    ·3·
    Tipos de evaluaciones de seguridad

    • Equipos de investigación de brechas de seguridad.


    • Gestión de servicios de monitorización de la seguridad.
    • Servicios de respuesta de denegación de servicio (DOS).
    • Apoyo al análisis de software malintencionado (malware).
    • Apoyo forense.
    • Equipos de erradicación del evento.

    Determinar autoridades:

    • Resultará muy valioso saber quién tiene la autoridad para desconectar los sistemas
    y a los usuarios o de otra manera, degradar las operaciones en cada departamento.
    • No hay nada más confuso o frustrante para las personas dentro de una empresa que
    está bajo un ataque que no saber quién es responsable de qué y quién tiene la auto-
    ridad para tomar las decisiones necesarias durante la investigación y erradicación.
    • Una vez que estos individuos han sido identificados, se les debe notificar que pueden
    ser contactados por los líderes del equipo de seguridad para tomar una decisión
    rápida de contención.
    • Se debe crear una Matriz de Asignación de Responsabilidades (RACI, por sus
    siglas en inglés), que ayuda a definir correctamente los roles, responsabilidades y
    autoridades.

    Inventario de tecnologías existentes:

    • Un inventario de tecnologías y activos existentes, accesible y bien actualizado, ayuda


    en la realización eficaz de un evento de investigación y erradicación.
    • En un ataque avanzado, tener un inventario de todos los dispositivos (con sus atribu-
    tos principales) permite al equipo de investigación seguir cada una de las posibles
    pistas (logs) y examinar detenidamente cada indicador de compromiso o IOC (por
    sus siglas en inglés “indicator of compromise”).
    • Cada uno de los siguientes atributos es importante y debe ser explorado
    completamente:

    ·4·
    Tipos de evaluaciones de seguridad

    Fecha/hora.

    Dirección de Protocolo de Internet (IP) (interna o externa).

    Puerto (origen o destino).

    Dominio.

    Archivo (por ejemplo, .exe, .dll).

    Sistema (proveedor de hardware, S.O., aplicaciones, propósito, ubicación).

    Estandarizar el proceso de investigación:

    • Mientras que cada situación de la red es única, hay aspectos comunes que permi-
    ten que una empresa pueda implementar proactivamente un plan estandarizado y
    adaptarlo según sea necesario.
    • El plan debe ser lo suficientemente completo y ágil para cubrir y adaptarse a muchos
    escenarios diferentes.
    • Determinar que ha ocurrido un incidente: determinar si un evento comunicado consti-
    tuye un incidente de seguridad, una violación no maliciosa de una política u otro evento
    no malicioso.
    • Analizar y categorizar el incidente: asignar una categoría y subcategoría potencial
    a un incidente para hacer referencia a las acciones de respuesta preestablecidas
    adecuadas.
    • Calificar y priorizar el incidente: analizar el impacto real o anticipado del incidente
    para determinar la prioridad de las acciones de respuesta y asignar un nivel de
    gravedad.

    ·5·
    Tipos de evaluaciones de seguridad

    • Realizar el seguimiento del incidente: asignar un identificador único al incidente


    en el sistema de seguimiento que gestionará el incidente durante la resolución, las
    comunicaciones, la recuperación y las lecciones aprendidas.

    Capacitación y gobierno:

    • Es en esta etapa donde debes elegir los tipos de pruebas de penetración que
    debe realizar tu organización y delimitar su alcance según el entorno y recursos
    particulares.
    • Un ejercicio integral debe involucrar todos los factores claves: comunicaciones, coordi-
    nación, disponibilidad de recursos y respuesta.
    • La gerencia debe estar involucrada en todas las fases, desde la planificación y ejecu-
    ción hasta las lecciones aprendidas y la mejora de la postura política y de seguridad.

    Establecer las capacidades críticas:

    • Simular ataques de ciberseguridad, analizar vulnerabilidades y brechas de seguridad,


    detectar y responder ante incidentes de ciberseguridad requiere de un determinado
    conjunto de capacidades y de personas especializadas
    • Como parte de las actividades de preparación para responder ante incidentes,
    es importante realizar un análisis de las carencias en las capacidades existentes y
    desarrollar un plan para subsanarlas, de forma que la empresa pueda gestionar
    mejor una brecha de seguridad cuando se presente.

    ·6·
    Tipos de evaluaciones de seguridad

    Bibliografía:

    IPSpecialist LTD. (2018). Certified Ethical Hacker v10. https://ipspecialist.net/

    ISACA. (2015). Guía de Estudio de Fundamentos de la Ciberseguridad. ISBN


    978-1-60420-663-0.

    NIST .(2018). Marco para la mejora de la seguridad cibernética en infraestructuras


    críticas. Versión 1.1. Recuperado de: https://www.nist.gov/system/files/docu-
    ments/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf

    Sagar, R. (2016). Certified Ethical Hacker (CEH) Foundation Guide. ISBN-13


    978-1-4842-2324-6.

    ·7·
    Ethical Hacking y
    Ciberseguridad
    Tipos de evaluaciones de seguridad

    ¿Qué tipo de prueba utilizar?

    También podría gustarte