Material para Estudiante CSFPC™ (V062022A) SP

¿Quién es CertiProf®?
CertiProf® es un Instituto examinador fundado en los Estados Unidos en el año 2015 y que se
encuentra actualmente localizado en Sunrise, Florida.
Nuestra filosofía se basa en la creación de conocimiento en comunidad y para ello su red colaborativa
está conformada por:
• Los candidatos a la certificación CLL (CertiProf Lifelong Learners) se identifican como Aprendices
Continuos, lo que demuestra su compromiso inquebrantable con el aprendizaje permanente, que es
de vital importancia en el mundo digital en constante cambio y expansión de hoy. Independientemente
de si ganan o no el examen
• Las universidades, centros de formación y facilitadores de ATP (Accredited Trainer Partners) en
todo el mundo conforman nuestra red de socios
• Los autores (co-creadores) son expertos de la industria o practicantes que, con su conocimiento,
desarrollan contenidos para la creación de nuevas certificaciones que respondan a las necesidades
de la industria.
• Personal Interno: Nuestro equipo distribuido con operaciones en India, Brasil, Colombia y Estados
Unidos está a cargo de superar obstáculos, encontrar soluciones y entregar resultados excepcionales
Nuestras Acreditaciones y Afiliaciones

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM
2
Agile Alliance
CertiProf® es un miembro corporativo de Agile

Alliance.
Al unirnos al programa corporativo Agile Alliance,

continuamos empoderando a las personas
ayudándolas a alcanzar su potencial a través de la
educación. Cada día, brindamos más herramientas
y recursos que permiten a nuestros socios formar
profesionales que buscan mejorar su desarrollo
profesional y sus habilidades.
https://www.agilealliance.org/organizations/
certiprof/
IT Certification Council - ITCC

CertiProf® es un miembro activo de ITCC.
El propósito fundamental del ITCC es apoyar a

la industria y sus empresas miembros mediante

la comercialización del valor de la certificación,
la promoción de la seguridad de los exámenes,
el fomento de la innovación y el establecimiento
y el intercambio de las mejores prácticas de la
industria.
Credly
CertiProf® es socio de Credly.
Esta alianza permite que las personas y empresas

certificadas o acreditadas con CertiProf® cuenten
con una distinción a nivel mundial a través de un
distintivo digital.
Credly es el depósito de insignias más grande

del mundo y empresas líderes en tecnología
como IBM, Microsoft, PMI, Scrum.org, Nokia, la
Universidad de Stanford, entre otras, emiten sus
insignias con Credly.
3
Insignia
https://www.credly.com/org/certiprof/badge/cyber-security-foundation-professional-certificate-
csfpc
Lifelong Learning
Los portadores de esta insignia en particular

han demostrado su compromiso inquebrantable
con el aprendizaje permanente, que es de vital
importancia en el mundo digital actual, en
constante cambio y expansión. También identifica
las cualidades de una mente abierta, disciplinada
y en constante evolución, capaz de utilizar y
contribuir con sus conocimientos al desarrollo de
un mundo más igualitario y mejor.
Criterios de Adquisición:
• Ser candidato a la certificación CertiProf
• Ser un aprendiz continuo y enfocado
• Identificarse con el concepto de aprendizaje
permanente
• Creer e identificarse realmente con el concepto
de que el conocimiento y la educación pueden
y deben cambiar el mundo
• Quiere impulsar su crecimiento profesional
4
¿Quién debe asistir a este taller de certificación?
• Todos
• Usuarios Finales
• Gerentes
CSFPC™
• Duración: 12 horas
• Idioma: Español
• Formatos de la Clase:
• Instructor-guiada
• Autoestudio
• Prerrequisitos:
• Ninguno — Nivel Inicial
• Exámenes Aplicables:
• CertiProf Certified Cyber Security Foundation
Presentación

Nombre
Compañía
Cargo
Experiencia
Expectativas
5
Metodología del Curso
Presentación Videos
Ejemplos
Actividades
Programa de Cyber Seguridad basado en CyBOK

• Cyber Security Foundation CSFPC
Contenido
• Módulo 0: NIST - Ciberseguridad para Negocios Pequeños
• Módulo 1: CyBOK – Fundamentos de la Ciberseguridad
• Módulo 2: Gestión de Riesgos
• Módulo 3: Leyes/Reglamentación
• Módulo 4: Factores Humanos
• Módulo 5: Privacidad & Derechos en Línea
• Módulo 6: Malware(programas malignos) & Tecnologías de Ataque
• Módulo 7: Conductas Adversas
• Módulo 8: Operaciones de Seguridad y Gestión de Incidentes
• Módulo 9: Examen de Certificación
6
Objetivos de Aprendizaje
• Entender la importancia de la Ciberseguridad

• Comprender los conceptos clave relacionados con la seguridad cibernética
• Comprender los conceptos relacionados con los aspectos humanos, organizativos y normativos.
• Comprender los conceptos relacionados con Ataques y Defensas
7
8
AGENDA
Módulo 0: NIST - Ciberseguridad para Negocios Pequeños 16

Ciberseguridad para Pequeños Negocios 17
La Complejidad de un Pequeño Negocio Moderno 17
Objetivos de Ciberseguridad 18
Confidencialidad 18
Integridad 19
Disponibilidad 19
Pequeño Negocio, Alto Impacto 20
Recursos Básicos de Ciberseguridad 20
Amenazas a la Ciberseguridad 21
Ataques de Phishing (Suplantación de Identidad) 21
Ransomware 21
Hacking 22
Estafas Realizadas por Impostores 22
Amenazas Naturales 22
Elementos de Riesgo 23
Impacto de un Incidente 23
¿Qué está protegiendo? 24
1. Identifique los Activos de su Negocio 25

2. Identifique los Valores de los Activos 25
3. Documente el Impacto en su Negocio por la Pérdida/Daño a los Activos 26
4. Identifique la Probabilidad de Pérdida o Daño al Activo 27
5. Identifique Prioridades y Soluciones Potenciales 27
Marco de Trabajo de la Ciberseguridad NIST 29
Funciones del Marco de Trabajo de la Ciberseguridad 30
Objetivos de Aprendizaje 31
El Núcleo del Marco de Trabajo 31
Un Extracto del Núcleo del Marco de Trabajo 32
Identificar 32
Muestra de Actividades de Identificación 33
Proteger 33
Muestra de Actividades de Protección 34
Detectar 34
Muestras de Actividades de Detección 35
Responder 35
Muestra de Actividades de Respuesta 36
9
Recuperar 36
Muestra de Actividades de Recuperación 37
Marco de Trabajo 37
Tips Cotidianos 38
Recursos 38
Módulo 1: CyBOK – Fundamentos de Ciberseguridad 39
Definición de Ciberseguridad 40
Áreas de Conocimiento CyBOK 41
Cómo Desplegar Conocimiento CyBOK para Resolver Problemas de Protección (Security) 43
Funciones Dentro de un Sistema de Gestión de Protección (Security) 45
Principios 45
Tema Interdisciplinario 47
Ciberespacio 50
Módulo 2: Gestión de Riesgos 51
Temas a Tratar en esta Lección 52
¿Qué es el riesgo? 52
¿Por qué la evaluación y la gestión del riesgo son importantes? 53
¿Qué es la evaluación y gestión del riesgo cibernético? 55
Gobernanza de Riesgo 55
El Factor Humano y Comunicación del Riesgo 56
Cultura de Seguridad y Conciencia 57
Promulgación de la Política de Seguridad 57
Principios de Evaluación y Gestión de Riesgos 59

Elementos de Riesgo 59
Métodos de Evaluación y Gestión de Riesgos 60
Marcos de Gestión de Riesgos Cibernéticos Basados en Componentes 61
Métodos de Gestión de Riesgos Cibernéticos Impulsados por el Sistema 61
Evaluación y Gestión de Riesgos en Sistemas Ciberfísicos y Tecnología Operativa 62
Métricas de Seguridad 62
¿Qué constituye las métricas buenas y malas? 62
Continuidad del Negocio 63
ISO/IEC 27035-1:2016 63
NCSC- ISO/IEC 27035 64
Directrices para Mapear el Problema de Gestión de Riesgo 64
Conclusión 65
Módulo 3: Ley y Regulación 66
Introducción 67
Desafíos 67
Respuesta 68
10
Fuera del Alcance 68
Principios Introductorios de la Ley e Investigación Legal 69
“Para Probar” Algo 69
“Niveles” de Pruebas 70
Aplicando el Derecho al Ciberespacio y las Tecnologías de la Información 70
Distinguiendo el Derecho Penal y Civil 71
Jurisdicción 71
Una Taxonomía de Jurisdicción 72
Jurisdicción Legislativa (Prescriptiva) 72
Jurisdicción de Ejecución 72
El Problema de la Soberanía de los Datos 73
Leyes de Privacidad en General e Interceptación Electrónica 73
Interceptación Estatal (Acceso Legal) 74
Interceptación No Estatal 74
Protección de Datos 75
Los “Jugadores” 75
¿Qué se regula? 76
“Datos Personales” vs “PII” 76
Puntos Destacados de la Protección de Datos 77
Delitos Informáticos 77
Crímenes en Contra de los Sistemas de Información 78
Desafíos Recurrentes 78

Contrato 78
Contrato como un Medio para Incentivar Conductas de Protección (Security) 79
Límites de Influencia 79
Influencia Relacionada con el Contrato Sobre Comportamiento de Protección (Security) 80
Incumplimiento de Contrato y Recursos 80
Delito 81
Ejemplos de Delito 81
Negligencia (Responsabilidad Culposa) 82
Responsabilidad del Producto (Responsabilidad Rigurosa) 82
Cuantía de Pérdida (Q) 83
Asignación e Imputación de Responsabilidad 83
Propiedad Intelectual 84
Ingeniería Inversa 84
Blindaje de los Intermediarios de Internet de los Procedimientos de Responsabilidad y
xxxxxxxRemoción (Bajar el Contenido) 85
Desmaterialización de los Documentos y de los Servicios Fiduciarios Electrónicos 85
Emergen Cambios Legales 86
11
Otras Cuestiones Normativas 86
Ley Pública Internacional 87
Atribución Estatal 87
Operaciones de un Único Lugar 87
Ética 88
Códigos de Conducta 88
Pruebas de Vulnerabilidad y Divulgación 89
Gestión del Riesgo Legal 89
Módulo 4: Factores Humanos 90
Introducción 91
Factores Humanos 91
La Protección (Security) Debe Ser Utilizable 91
Adaptar la Tarea al Ser Humano 92
Capacidades y Limitaciones Humanas 92
STM Y One-time password (OTPs) 93
Capacidades y Limitaciones Humanas Generales 93
CAPTCHA 93
Metas y Tareas 94
Capacidades y Limitaciones del Dispositivo 94
Error Humano 95
Condiciones de Diseño Latentes 95
Conciencia y Educación 95
Sensibilización y Educación 96
¿Qué problemas de utilización enfrentan los desarrolladores? 97
¡Los Desarrolladores no son el Enemigo! La Necesidad de APIs de Protección (Security) xxxxxxx
xxxxxxxUtilizables 97
La Utilización Huele: Un Análisis de la Lucha de los Desarrolladores con las Bibliotecas
xxxxxxx Criptográficas 98
Módulo 5: Privacidad y Derechos en Línea 99
Introducción 100
Visión General 100
Privacidad como Confidencialidad 100
¿Cuál es el problema? 101
¿Qué es la privacidad? 101
Definiendo la Privacidad 102
Privacidad como… 102
Privacidad como Transparencia 102
Privacidad como Control 102
Límites del Control y Transparencia 103
12
Panorama de Amenazas a la Privacidad 103
Enfoque Formal para el Control de Inferencia 103
Confidencialidad de Datos 104
Confidencialidad de Metadatos 107
Privacidad como Control 108
Privacidad como Transparencia 108
Tecnologías de Privacidad 108
Ingeniería de la Privacidad 109
Evaluación de la Privacidad 110
Conclusiones 110
Módulo 6: Malware y Tecnologías de Ataque 111
Introducción 112
Malware 112
Taxonomía del Malware 112
Taxonomía del Malware: Dimensiones 113
Taxonomía: Ejemplos 113
Programas Potencialmente No Deseados (PUPs) 114
Actividades Maliciosas del Malware 114
El Modelo Cyber Kill Chain 115
Ecosistema Clandestino 116

Objetivos de Acción 116
¿Por qué analizar el Malware? 117
Adquiriendo la Información del Malware 117
Análisis Estático 117
Análisis Dinámico 118
Otras Técnicas de Análisis 118
Entorno de Análisis 119
Entornos Comunes 119
Seguridad y Entornos Vivos 120
Técnicas de Anti-Análisis y Evasión 120
Objetivo de la Detección de Malware 121
Evasión y Contramedidas 121
Detección de Ataque de Malware 122
Análisis de Seguridad Basado en ML 122
Detección de Malware Basada en ML 123
Evasión de la Detección de Malware Basada en ML 123
Deriva Conceptual 124
13
Respuesta del Malware 124
Interrupción de las Operaciones de Malware 125
Atribución 125
Evasión y Contramedidas 126
Conclusión 126
Módulo 7: Comportamiento Adverso 128
Introducción 129
Una Caracterización de Adversarios 129
Agresores Interpersonales 130
Delincuentes Organizados Cibernéticos 130
Hacktivistas 131
Actores Estatales 131
Los Elementos de una Operación Maliciosa 132
Servicios Especializados 132
Servicios Humanos 133
Métodos de Pago 133
Modelos para Entender las Operaciones Maliciosas 133
Árboles de Ataque: Ejemplo de un Ataque 134
Cyber Kill Chain 134
Criminología Ambiental 135
Atribución de Ataque 136
Módulo 8 : Operaciones de Seguridad y Gestión de Incidentes 137
Introducción 138
¿De qué se trata? 138
Cronología y Alcance 138
Blucle MAPE-K General 139
Componentes de MAPE-K Supervisar-Analizar-Planificar-Ejecutar 139
Despliegues de las Tecnologías SOIM 140
Principios de Arquitectura - Arquitectura Típica 140
Detección de Intrusos y Sistemas de Prevención 141
MONITOR: Fuentes de Datos 141
Fuentes de Datos de Red: Posibles Detecciones 142
Fuentes de Datos de Aplicación 142
Fuentes de Datos del Sistema 142
Syslog 143
Problemas Frecuentes de Fuentes de Datos 143
Análisis de Rastros 143
Del Evento al Incidente 144
Detección de Uso Indebido 144
14
Detección de Anomalías 145
Problemas Generales en la Detección de Intrusos 145
Arquitectura Típica Información de Seguridad y Gestión de Eventos 145
Recolección de Datos en SIEM 146
Correlación de Alerta 146
Mitigación y Contramedidas Herramientas y Técnicas 147
Inteligencia y Análisis 147
Ciclo de Vida de la Gestión de Incidentes 148
Conclusión 148
Módulo 9: Examen de Certificación 149
Insignia 150
Condiciones del Examen 150
15
Módulo 0: NIST -
Ciberseguridad para
Negocios Pequeños
Ciberseguridad para Pequeños Negocios
¿Por qué la Ciberseguridad es Importante para su

pequeño negocio?
Más
Informe Entre Agencias NIST 7621, revisión 1
Seguridad de la Información de un Negocio Pequeño : Los Fundamentos
Sección 1: Panorama General: ¿Qué es Seguridad de Información y
Ciberseguridad?
https://doi.org/10.6028/NIST.IR.7621r1
La Complejidad de un Pequeño Negocio Moderno

• Correo Electrónico
• Dispositivos móviles
• Sitio corporativo en la red
• Medios sociales
• Sistemas de comercio electrónico
• Banca en línea
• Trae tu propio dispositivo (BYOD, por sus
siglas en inglés) y política de oficina
• Administración de la red de trabajo
• Respaldo y acceso remoto
17
Objetivos de Ciberseguridad
A D Más
I A LID Publicación
C
FI DEN Especial de NIST
CON
800-12, revisión 1
INT Una introducción a la
EG R
IDA Protección (security)
D de Información
Sección 1.4
ID AD
IBIL
P O N
DIS
Confidencialidad
Ejemplo:
El criminal roba los nombres
de usuarios, contraseñas o la
información de las tarjetas de

crédito de los clientes.
A D
I A LID
I D ENC
F
CON
Cómo proteger información de accesos y divulgaciones no autorizadas.
18
Integridad
Ejemplo:
Alguien altera la información
de la nómina o de un diseño
de producto propuesto.
INT
EG R
IDA
D
Cómo proteger la información de una modificación no autorizada.
Disponibilidad
Ejemplo:

Sus clientes no pueden
acceder a sus servicios en
línea.
ID AD
IBIL
PO N
DIS
Cómo prevenir interrupción en la forma en que se accede a la información.
19
Pequeño Negocio, Alto Impacto
¿Por qué poner sus recursos ya limitados en la preparación y la protección en

contra de ataques a la ciberseguridad?
Vulnerabilidad Costos al Negocio Reputación
Los atacantes pueden Los ataques pueden ser Los clientes y los
ver a los negocios extremadamente costosos empleados esperan y
pequeños como y amenazar la viabilidad creen en usted para
objetivos fáciles. de su negocio. mantener su
información segura.
Recursos Básicos de Ciberseguridad

20
Amenazas a la Ciberseguridad
• Ataques de Phishing (suplantación de

identidad)
• Hackeo
• Estafas realizadas por impostores
• Eventos ambientales
Ataques de Phishing (Suplantación de Identidad)

Ataque de ingeniería social que involucra engaños

•
• Se diseñó para obtener acceso a los sistemas o robar datos
• Phishing dirigido se conoce como “spear phishing”
• Variantes incluidos “vishing” – ataques por teléfono y “smishing” aquellos que usan SMS o texto
Ejemplo:
Un correo electrónico sobre un envío atrasado hace que usted haga click a un enlace y descargue un
malware a su red.
Ransomware
• Tipo de software con una intención maliciosa y una amenaza de hacer daño a sus datos
• El autor o el distribuidor solicita un rescate para deshacer el daño
• El pago del rescate no garantiza que funcionará
• El rescate a menudo se necesita pagar en cripto-moneda
Ejemplo:
WannaCry fue uno de los ataques de ransomware más devastadores en la historia, afectó a varios
cientos de miles de máquinas y bancos paralizados, organismos policiales, y otras infraestructuras.
21
Hacking
• Acceso no autorizado a sistemas e información

• Ataque a sitio en la red tales como el DDOS
• Acceso denegado a usuarios autorizados
• Robo de fondos o de propiedad intelectual
Ejemplo:
Se hackeó el sistema de punto de ventas del kiosco para diarios; se instaló malware. La información de
las tarjetas de crédito de cada cliente se envió a criminales.
Estafas Realizadas por Impostores

• Llamadas o correos electrónicos ”oficiales” de alguien para reportar una situación de crisis
• Representan el Servicio de Rentas Internas (IRS, por sus siglas en inglés), un banco, la lotería o
soporte técnico
• Existe un sentido de urgencia o apremiante sanción o pérdida si no actúa
Ejemplo:
Estafas del Servicios de Rentas Internas (IRS, por sus siglas en inglés) – Recibe una llamada telefónica
asegurando ser el IRS, reportando que usted debe dinero y que debe pagar de lo contrario recibirá una
multa.
Amenazas Naturales
• Amenazas naturales tales como incendios, sismos, inundaciones que pueden causar daños a
computadoras o interrumpir el acceso al negocio
• Los esfuerzos de recuperación atraen estafas tales como fraudes financieros
• Los tiempos de paro pueden provocar pérdidas de compradores, clientes que no pueden esperar
Ejemplo:
La inundación de la ciudad de Ellicott barrió con los negocios y sus computadoras.
22
Elementos de Riesgo
• ¿Cuáles son las amenazas?

• ¿Cuáles son las vulnerabilidades?
• ¿Cuál es la probabilidad de que una amenaza
haga explotar una vulnerabilidad?
• ¿Cuál sería el impacto de esto en su negocio?
Impacto de un Incidente
• Daño a la información o a los sistemas de información

• Multas reglamentarias y sanciones /cuotas legales
• Disminución de la productividad
• Pérdida de la información crítica para llevar el negocio
• Una mala reputación o pérdida de confianza de los clientes
• Daño a su crédito e incapacidad de obtener préstamos bancarios
• Pérdida de ingresos comerciales
23
Amenazas Vulnerabilidades
Ambiental
Debilidades en las protecciones
Recursos de Negocios
de seguridad (security)
Hackers/Criminales
Probabilidad – posibilidad de que la amenaza afecte el negocio
Incidencia con base en la historia/estadísticas de la industria

Para amenazas adversas: capacidad e intención
Impacto – daño potencial al negocio

El robo o divulgación de información sensible para el negocio
Información del negocio o sistemas que se han modificado
La pérdida de información o disponibilidad del negocio
RIESGO
Figura 2: Cómo se determina el riesgo de las Amenazas, Vulnerabilidades, Probabilidades e Impacto
¿Qué está protegiendo?
Para practicar la gestión de riesgo de la

ciberseguridad, puede empezar con estos pasos:
Amenaza Activo
1. Identificar los activos de su negocio
2. Identificar el valor de estos activos
3. Documentar el impacto a su negocio por la Riesgo
Vulnerabilidad
pérdida o daño a los activos
4. Identificar la probabilidad de pérdida o daño
5. Priorizar sus actividades de mitigación de
forma correspondiente
24
1. Identifique los Activos de su Negocio
Liste los tipos de información, procesos, personas importantes y tecnología de los que dependa su
negocio.
Información del
Empleados clave
cliente También considere los
procesos de negocios
Información bancaria Proceso de fabricación críticos como las
ventas y el
presupuesto.
Tecnología patentada
Identifique los activos de su negocio en la hoja de Activo

cálculo.
• En la columna 1 de la hoja de cálculo, liste los
Información de la salud del
activos (Ej., información, personas, procesos, o paciente
tecnología) que son los más importantes para
Dispositivos que almacenan
su negocio
información del paciente
• Añada más filas, en caso de ser necesario (laptops, servidor en closet,
dispositivos móviles)

Procesamiento de reclamos de
los pacientes al seguro
Recepción de pagos del seguro y

de pacientes
Proveedor de correo electrónico

de un tercero
2. Identifique los Valores de los Activos
• ¿Qué le pasaría a mi negocio si este activo se hiciera

público?
Revise cada tipo de activo que
• ¿Qué le pasaría a mi negocio si este activo estuviese
haya identificado y haga estas
dañado o fuera inexacto?
preguntas:
• ¿Qué le pasaría a mi negocio si yo/mis clientes no
pudieran tener acceso a este activo?
25
Identifique los valores de los activos en la hoja de
Activo Valor de los Activos
cálculo.
• Seleccione una escala de valor para el activo
que le funcione a usted (Ej., bajo, medio, alto o Información sobre la Alto, debido a las
salud del paciente regulaciones
un rango numérico como 1-5)
Dispositivos que
almacenan información
del paciente (laptops, Medio
servidores en closet,
Procesamiento de
reclamos de los pacientes Alto
para el seguro
Recepción de pagos del

Alto
seguro y de los pacientes
Proveedor de correo
electrónico por parte de Medio
un tercero
3. Documente el Impacto en su Negocio por la Pérdida/Daño a los Activos

• Considere el impacto a su negocio si cada activo se perdiera, dañara, o redujera en valor (Ej.,
propiedad intelectual divulgada a la competencia)
• Este impacto pudiese diferir del valor de activo determinado en el paso 2

• Seleccione una escala de valor de impacto que le funcione a usted (Ej., bajo, medio, alto)
• Considere si alguno de los procesos del negocio cuenta con métodos manuales de respaldo
Impacto por la pérdida /

Activo Valor de los Activos
Daño a los Activos
Información de la salud Alta, debido a las

Alto
del paciente regulaciones
Dispositivos que
del paciente (laptops, Medio Alto
Procesamiento de Medio (puede instituir
reclamos de los pacientes Alto procesos manuales de
para el seguro forma temporal)
Recepción de pagos del

Alto Alto
seguro y de los pacientes
Proveedor de correo
electrónico por parte de Medio Medio
un tercero
26
4. Identifique la Probabilidad de Pérdida o Daño al Activo
• Liste las amenazas a cada activo del negocio

• Evalúe la probabilidad de que el activo se pueda perder o dañar debido a la(s) amenaza(s)
Impacto por la pérdida / Probabilidad de pérdida

Activo Valor de los Activos Amenazas a los activos
Daño a los Activos /daño a los activos
Información de la salud del Alto, debido a las
Alto Hackers, ransomware Media
paciente regulaciones
Dispositivos que
Ladrones, malware,
del paciente (laptops, Medio Alto Baja
phishing
Negación del servicio,
reclamos de los pacientes Alto procesos manuales de Baja
hackers
Recepción de pagos del Negación del servicio,

Alto Alto Baja
seguro y de los pacientes hackers
Proveedor de correo
electrónico por parte de Medio Medio Phising, malware Media
un tercero
5. Identifique Prioridades y Soluciones Potenciales

• Compare sus calificaciones de impacto y de
probabilidad. Los activos con calificaciones
Muestra de una
de impacto y/o probabilidad altas se deben
asignar como prioridades más importantes
Estructura de
• Identifique sus prioridades Prioridades
• Identifique las soluciones potenciales
• Desarrolle un plan, incluyendo fondos, para
implementar las soluciones
Alta: Implemente una
solución inmediata.
Media: Programe una
solución.
Baja: Programe una
solución.
27
Matriz de Riesgos
Alto Medio Alto Alto
Medio Bajo Medio Alto
Impacto Bajo Bajo Bajo Medio
Baja Media Alta
Probabilidad
Priorizar la Protección de los Activos

Impacto de la pérdida / Probabilidad de Priorización de la

Activo Valor de los Activos Amenazas a los activos
daño a los activos pérdida/daño al activo protección del activo
Información de la salud del Alta, debido a
Alto Hackers, ransomware Media Alta
paciente reglamentación
Dispositivos que
almacenan información del
Ladrones, malware,
paciente (laptops, Medio Alto Baja Baja
phishing
Negación del servicio,
reclamos de los pacientes Alto procesos manuales de Baja Baja
hackers
Recepción de pagos del Negación del servicio,

Alto Alto Baja Baja
seguro y de los pacientes hackers
Proveedor de correo
electrónico por parte de Medio Medio Phising, malware Media Media
un tercero
28
Marco de Trabajo de la Ciberseguridad NIST
Marco de trabajo para mejorar infraestructura crítica para la ciberseguridad.
Para organizaciones de
Proporciona un proceso cualquier tamaño, en
continuo para la gestión cualquier sector, ya sea Ha probado ser útil para
del riesgo de la que ya tienen un programa una variedad de públicos
ciberseguridad de gestión de riesgo
cibernético o no
Más
Marco de trabajo para Mejorar Infraestructura Crítica para la Ciberseguridad versión 1.1
29
Funciones del Marco de
Trabajo de la Ciberseguridad
Objetivos de Aprendizaje
• Conceptos fundamentales de la
ciberseguridad NIST 1.1 (Marco de Trabajo de
la ciberseguridad)
• Introducción al Marco de Trabajo de la
ciberseguridad.
• Gestión del riesgo y marco de trabajo de la
ciberseguridad
• Implementación del marco de trabajo de la
ciberseguridad
• Establecer o mejorar la ciberseguridad
comunicativa
• Metodología para proteger la privacidad y las
libertades civiles CertiProf® Lead Cybersecurity Professional Certificate – LCSPC™
• Auto evaluación del riesgo de la ciberseguridad
con el marco de trabajo
El Núcleo del Marco de Trabajo

Función
Identificar

Proteger Establece un Lenguaje Común.
• Describe los resultados deseados

• Todo mundo lo entiende
Detectar • Aplica a cualquier tipo de gestión de riesgo
• Define toda la envergadura de la ciberseguridad
• Abarcar tanto prevención como reacción
Responder
Recuperar
31
Un Extracto del Núcleo del Marco de Trabajo
Función Categoría Subcategoría Referencias Informativas
PROTEGER (PR) Gestión de identidad, PR.AC--6: Las identidades son

Autenticación y Control de probadas y sujetas a credenciales e
Acceso (PR.AC): El Acceso a impuestas en las interacciones
activos físicos y lógicos e
instalaciones asociadas está
limitado a usuarios, procesos
y dispositivos autorizados, y
se gestiona de forma
consistente con el riesgo
evaluado de un acceso no
autorizado para actividades y
transacciones autorizadas. PR.AC--7: Los usuarios, dispositivos
y otros activos se autentican (Ej. De
factor único, multi-factor)
proporcional con el riesgo de la
transacción (Ej. Seguridad de los
individuos y riesgos de privacidad y
otros riesgos organizacionales)
5 Funciones 23 Categorías 108 Subcategorías 6 Referencias Informativas
Identificar
Desarrollar conocimiento de la organización

para gestionar el riesgo de la ciberseguridad en
los sistemas, activos, datos y capacidades.
32
Muestra de Actividades de Identificación
Ambiente de Administración
• Identifica los procesos críticos del negocio
Negocios de Activos
• Documenta los flujos de información
[ID.BE] [ID.AM]
• Establece políticas para la ciberseguridad que
incluyen roles y responsabilidades
• Mantiene un inventario de hardware y
software
Evaluación de
Gobernanza • Identifica contratos con socios externos
Riesgos
[ID.GV] • Identifica los procesos de la Gestión de Riesgos
[ID.RA]
Proteger
52
Desarrollar e implementar las salvaguardas
correspondientes para asegurar la entrega de
servicios.
33
Muestra de Actividades de Protección
Protección de
información de
Mantenimiento procesos y • Gestión del acceso a activos e información
[PR.MA] procedimientos • Realizar respaldos regulares
Sensibilización [PR.IP]
y
• Proteger los datos sensibles
Entrenamiento • Reparar (colocar parches) a sistemas
Gestión de [PR.AT]
identidad y Seguridad de operativos y aplicaciones
Control de los datos • Crear respuestas y planes de recuperación
Acceso [PR.DS] • Proteger su red
[PR.IP] Tecnología
de • Entrenar a sus empleados
Protección
[PR.PT]
Detectar
Desarrollar e implementar las actividades

adecuadas para identificar la incidencia de un
evento de ciberseguridad.
34
Muestras de Actividades de Detección
Anomalías y
Eventos
[DE.AE] • Instalar y actualizar el antivirus y otro
software de detección de malware
• Saber cuáles son los flujos de datos esperados
para su negocios
Mantener y monitorear registros
Monitoreo •
Continuo
[DE.CM]
Responder

adecuadas para tomar acciones en relación con
un evento detectado de ciberseguridad.
35
Muestra de Actividades de Respuesta
Ordenación
de la
Respuesta
[RS.RP] • Coordinar con las partes interesadas
internas y externas
• Asegurar que los planes de respuesta se
prueben
• Asegurar que los planes de respuesta estén
Comunicaciones actualizados
[RS.CO]
Recuperar

adecuadas para mantener planes de resiliencia
y para restaurar cualquier capacidad o servicio

afectado por un evento de ciberseguridad.
36
Muestra de Actividades de Recuperación
Ordenación de
la
• Administrar relaciones públicas y la
Recuperación
reputación de la compañía
[RC.RP]
• Comunicarse con las partes interesadas
internas y externas
• Asegurar que los planes de recuperación
estén actualizados
• Considerar un seguro cibernético
Comunicaciones
[RC.CO]
Marco de Trabajo

Procesos y
procedimientos de
protección de
información
[PR.IP]
Mantenimiento Comunicaciones
[PR.MA] [RS.CO]
Gestión de
Gestión de Identidad y
Anomalías y Ordenación de
Activos Control de
Eventos Recuperación
[ID.AM] Acceso
[PR.IP] [DE.AE] [RC.RP]
Sensibilización
Gobernanza y Ordenación de
[ID.GV] Entrenamiento Respuesta
[PR.AT] [RS.RP]
Evaluación de
Tecnología de Monitoreo
Riesgos Comunicaciones
Protección Continuo
[ID.RA] [RC.CO]
[PR.PT] [DE.CM]
Ambiente de
Seguridad de
Negocios
Datos
[ID.BE]
[PR.DS]
37
Tips Cotidianos
• Tenga cuidado con los archivos adjuntos en el correo electrónico, los enlaces (vínculos) de la red y
llamadas de voz de números desconocidos
• No haga click en un enlace ni abra los archivos adjuntos que no espera
• Use computadoras, dispositivos móviles, y cuentas separadas, unos para cuestiones personales y
otros para negocios
• Donde sea posible utilice autenticación multi-factorial
• No descargue el software de una página de internet desconocida
• Nunca comparta su nombre de usuario o contraseña
• Considere utilizar una aplicación de administración de contraseñas para almacenar sus contraseñas
Más
Informe Interinstitucional NIST 7621, revisión 1
Seguridad de la Información para Negocios Pequeños: Los Fundamentos,
sección 4
Recursos
NIST Small Business Cybersecurity Corner
https://www.nist.gov/itl/smallbusinesscyber
CyberSecure My Business | National Cyber Security Alliance

https://staysafeonline.org/cybersecure-business/
NIST Interagency Report 7621, revision 1 | Small Business Information Security: The Fundamentals
https://doi.org/10.6028/NIST.IR.7621r1
38
Módulo 1: CyBOK
– Fundamentos de
Ciberseguridad
Definición de Ciberseguridad
• La Ciberseguridad se ha convertido en un término integral, como lo ilustra nuestra definición

práctica:
• Definición: La Ciberseguridad se refiere a la protección de los sistemas de información
(hardware, software y la infraestructura asociada), los datos en éstos, y los servicios que estos
proporcionan, desde un acceso no autorizado, daño o mal uso. Esto incluye el daño provocado
intencionalmente por el operador del sistema, o de forma accidental, como el resultado de no
haber seguido los procedimientos de seguridad
Estrategia Nacional de Ciberseguridad del Reino Unido
• Un gran contribuidor a la noción de la Ciberseguridad es la Protección (Security) de la Información,

ampliamente reconocida por estar compuesta de tres elementos principales:
• Definición: Protección (Security) de la Información. Preservación de la confidencialidad,
integridad y disponibilidad de la información. Además de contar con otras propiedades, tales
como la autenticidad, la rendición de cuentas, el no rechazo, y la confiabilidad también pueden
estar involucradas
Definición de la ISO 27000
Figura 1.1: Las 19 Áreas del Conocimiento (KAs) en el Alcance CyBOK
40
Áreas de Conocimiento CyBOK
Aspectos Humanos, Organizacionales, y Regulatorios.
Gestión de Riesgo y Gobernanza

• Sistemas de gestión de seguridad y controles de seguridad organizacionales, incluyendo estándares,
mejores prácticas, y enfoques para realizar la evaluación y mitigación de riesgo
Ley y Regulación
• Requisitos reglamentarios y regulatorios de orden internacional y nacional, obligaciones de
cumplimiento, y ética de seguridad, incluyendo la protección de datos y el desarrollo de doctrinas
en armas cibernéticas (cyberwarfare)
Factores Humanos
• Seguridad utilizable, factores sociales y conductuales que impactan la seguridad, cultura de
seguridad y la sensibilización, así como el impacto de los controles de seguridad en las conductas de
los usuarios
Privacidad & Derechos en Línea

• Técnicas de protección de la información personal, incluyendo comunicaciones, aplicaciones, e
inferencias de las bases de datos y procesamiento de datos. También incluye otros sistemas que
soportan los derechos en línea que se refieren a censura y circunvención, secrecía, elecciones

electrónicas, y privacidad en pagos y sistemas de identidad
Ataques y Defensas
Malware y Tecnologías de Ataque
• Los detalles técnicos de vulnerabilidades de seguridad y sistemas maliciosos distribuidos, junto con
el descubrimiento asociado y enfoques de análisis
Conductas Adversas
• Las motivaciones, conductas y métodos utilizados por atacantes, incluyendo las cadenas de
suministro de malware, vectores de ataques, y transferencias de dinero
Operaciones de Seguridad y Gestión de Incidentes

• La configuración, operación y mantenimiento de sistemas seguros incluyendo la detección de y
respuesta a incidentes de seguridad y la recopilación y uso de inteligencia sobre amenazas
Investigación Forense
• La recopilación, el análisis y el reporte de evidencia digital en apoyo de incidentes o eventos
criminales
41
Protección (security) de Sistemas
Criptografía
• Primitivos nucleares de criptografía como actualmente se práctica y algoritmos emergentes,
técnicas parta el análisis de éstos, y los protocolos para usarlos
Sistemas Operativos y Seguridad de la Virtualización

• Mecanismos de protección de los sistemas de operación, implementación de la abstracción
segura de hardware, y el compartir recursos, incluyendo el aislamiento en sistemas multiusuarios,
virtualización segura, y la seguridad en los sistemas de bases de datos
Seguridad de los Sistemas Distribuidos

• Mecanismos de seguridad relacionados con sistemas distribuidos coordinados a gran escala,
incluyendo aspectos tales como el consenso seguro, hora, sistemas de evento, sistemas uno a uno,
nubes, centros de datos multiusuarios, y libros mayores distribuidos
Autenticación, Autorización y Rendición de Cuentas

• Todos los aspectos de la gestión de identidad y de las tecnologías de identidad, y las arquitecturas
y herramientas para apoyar la autorización y la rendición de cuentas tanto en los sistemas aislados
como distribuidos
Protección (Security) de Software y de Plataforma

Protección (Security) del Software

• Categorías conocidas de errores de programación que dan como resultado problemas de
programación en protección (security), y técnicas para evitar estos errores—ambos a través de la
práctica de codificación y del diseño de lenguaje mejorado—y herramientas, técnicas, y métodos
para la detección de dichos errores en los sistemas existentes
Protección (Security) en la Red y Móvil

• Problemas relacionados con las aplicaciones de la red y servicios distribuidos a través de dispositivos
y marcos de trabajo, incluyendo diversos paradigmas de programación y modelos de protección
Ciclo de Vida Seguro del Software

• La aplicación de técnicas de ingeniería de software de seguridad en todo el ciclo de vida de desarrollo
de los sistemas que van como resultado software que es seguro de manera predeterminada
42
Seguridad de la Infraestructura
Protección (Security) de la Red

• Security aspects of networking & telecommunication protocols, including the security of routing,
network security elements, and specific cryptographic protocols used for network security
Protección (Security) de Hardware

• Protección (security) en el diseño, implementación y despliegue del propósito general y hardware
de especialidad, incluyendo las tecnologías de computación y fuentes de carácter aleatorio fiables
Protección (Security) de los Sistemas Físicos Cibernéticos

• Desafíos de seguridad en sistemas físicos cibernéticos, tales como el Internet de las Cosas y los
sistemas de control industriales, modelos del atacante, diseños seguros y confiables, y seguridad de
infraestructuras a gran escala
Capa Física y Seguridad de Telecomunicaciones

• Preocupaciones de protección (security) y limitaciones de la capa física incluyendo aspectos de
codificaciones de radio-frecuencia y técnicas de transmisión, radiación no intencional, e interferencia
Cómo Desplegar Conocimiento CyBOK para Resolver Problemas de Protección

(Security)

Medios y objetivos de la ciberseguridad
• La ciberseguridad a menudo se expresa en términos de instituir diversos controles que afectan

personas, procesos y tecnología
• Algunos de estos se enfocarán en la prevención de malos resultados, mientras otros se solucionan
mejor a través de det(detective)
• La protección (security) requiere un análisis de vulnerabilidades dentro del sistema bajo
consideración:
• Un Sistema (hipotético) sin vulnerabilidades sería inmune a todas las amenazas; un sistema
altamente vulnerable colocado en circunstancias totalmente benignas (sin amenazas) no tendría
incidentes de protección (security), tampoco
43
Fallas e Incidentes
• Cuando los adversarios logran su meta (por completo o de forma parcial)—cuando los ataques tienen
éxito—se puede decir que el conjunto de controles de protección (security) ha fallado
• Un tema recurrente en el análisis de protección (security) es que no es suficiente como para
proporcionar buenos controles de protección (security) solamente dentro de una abstracción
particular o marco de referencia: también es necesario considerar qué pasará si un adversario opta
por ignorar dicha abstracción o marco
• Las teorías matemáticas de refinación (y los contratos de desarrollo de software) exploran la relación
de una expresión de ‘abstracto’ de un algoritmo y una versión más ‘concreta’ que se implementa: sin
embargo, las propiedades de protección (security) probadas para uno podrían no ser aplicables para
otro
• El ‘Black-box testing’ (pruebas de caja negra) depende del mismo concepto y como no puede
probar cada dato de entrada, fácilmente pudiese pasar por alto la combinación de circunstancias
que — por accidente o diseño — destruyen la protección (security) del programa
• Estos — y un arreglo sin fin de otros — problemas de protección (security) surgen porque es necesario
pensar (y diseñar sistemas) mediante abstracciones
Riesgos
• No hay límite en el principio de la cantidad de esfuerzo o dinero que se pudiese gastar en controles
de protección (security)
• Para poder equilibrarlos con los recursos disponibles y riesgos y oportunidades que pudiesen surgir
de las amenazas emergentes a la protección (security), un enfoque común general para el análisis de
protección (security) es un proceso de Evaluación de Riesgo — y selección de controles, un proceso
de Gestión de Riesgos
• Cualquier proceso de la gestión de riesgos, un cálculo clave se relaciona con el impacto esperado, que
se calcula a partir de cierto estimado de probabilidad de eventos que pudiesen llevar al impacto, y
un estimado del impacto que pudiese surgir de dichos eventos. La probabilidad tiene dos elementos:
1. La presencia de vulnerabilidades (conocida o desconocida—la última no siempre es capaz de
poder mitigarse)
2. La naturaleza de la amenaza
44
Funciones Dentro de un Sistema de Gestión de Protección (Security)
• Las funciones dentro de un sistema de gestión de seguridad se pueden agrupar en Físicas, del
Personal, de Sistemas de Información y Gestión de Incidentes y son una mezcla de funciones de
gestión del sistema de tecnología de información estándar y aquellas que son específicas de la
ciberseguridad
• La protección (security) física incluye la protección del sistema, incluyendo el control de acceso,
la gestión de activos y el manejo y protección de los medios de comunicación de almacenamiento
de los datos. Estos aspectos están fuera del alcance del CyBOK
• La protección (security) del personal se ocupa de un amplio rango del uso y del modelado de
conducta, incluyendo la educación y la capacitación (vea el Área de Conocimiento de los Factores
Humanos)
• La gestión de sistema de información incluye gestión del acceso (vea la Autenticación,
Autorización y Rendición de Cuentas (AAA, por sus siglas en inglés) el el Área de Conocimiento
y cómo conectarse al sistema
• Las funciones de gestión de incidentes son específicas de la ciberseguridad e incluyen el
monitoreo de la protección (security), detección y respuesta a incidentes
Principios
Principios de Saltzer y Schroeder. Los ocho principios que enumeran son los siguientes:

1. Economía del mecanismo. El diseño de los controles de seguridad debería permanecer lo más sencillo
posible para asegurar un alto grado de aseguramiento
2. Valores por omisión a salvo de fallas. Los controles de seguridad necesitan denegar (¿probar?) y
habilitar operaciones que de forma positiva se puedan identificar como aquellas que cumplen con la
política de protección (security) y rechazar a todas las otras
3. Completar mediación. Todas las operaciones sobre todos los objetos en un sistema se deberían
revisar con el fin de asegurarse que cumplen con la política de protección (security)
4. Diseño Abierto. La protección (security) del control no debe depender de la secrecía de cómo opera,
sino solo de los secretos bien especificados o contraseñas
5. Separación de privilegio. Los controles de protección (security) que dependen de múltiples sujetos
para autorizar una operación, proporcionan un aseguramiento más alto que aquellos que dependen
de un sujeto único
6. Menos privilegios. Los temas y las operaciones que ellos realizan en un sistema se deben realizar
utilizando los menos privilegios posibles
7. Menos mecanismos comunes. Es preferible minimizar el compartir recursos y mecanismos de
sistemas entre las diferentes partes
8. Aceptación Sicológica. El control de protección (security) debe ser utilizable naturalmente para que
los usuarios de forma ‘rutinaria y automática’ apliquen la protección
45
Principios NIST
• En NIST se enumeran los principios más contemporáneos en el diseño de sistemas. Incorporan y
extienden los principios de Saltzer y Schroeder
• Están categorizados dentro de tres amplias familias que se relacionan con:
• ‘Arquitectura y Diseño de Arquitectura’ (Ej., organización, estructura e interfaces)
• ‘Capacidad de Protección (security) y Conductas Intrínsecas ‘ (Ej. De qué se tratan las protecciones)
• ‘Protección (security) del Ciclo de Vida’ (Ej. Aquellos que se relacionan con el proceso y la gestión)
NIST también resalta tres estrategias clave de la arquitectura de seguridad.

1. El Concepto de Monitor de Referencia es un control abstracto que es suficiente para hacer cumplir
con las propiedades de protección (security) de un sistema
2. Defensa en Profundidad describe una arquitectura de seguridad compuesta de múltiples controles
que se traslapan
3. El aislamiento es una estrategia por medio de la cual diferentes componentes están física o
lógicamente separados para minimizar la interferencia o fuga de información
Condiciones Latentes de Diseño

• En el contexto de la ciberseguridad, las condiciones latentes de diseño surgen de decisiones basadas
sobre un sistema (o sistemas)
• A menudo permanecen ocultas (o no consideradas) y solo salen a flote cuando ciertos eventos o
configuraciones se alinean
• En el caso de que se hayan expuesto las vulnerabilidades de la seguridad de los sistemas físicos
cibernéticos conforme éstos se conectan a otros sistemas o al internet

• El punto clave que debemos observar es que ya no podemos considerar la pérdida de información
como una consecuencia potencial de las violaciones de la ciberseguridad — pero siempre debe
también considerar implicaciones de seguridad (safety)
El Principio Cautelar
• El Principio Cautelar — al reflexionar sobre el efecto dañino potencial de las opciones de diseño
ante las innovaciones tecnológicas se implantan en un despliegue a gran escala— lo cual también es
pertinente
• Desviación de uso: cuando el sistema evoluciona sobre su tiempo de vida y su impacto en general
en la sociedad también se deben considerar
46
Tema Interdisciplinario
Economía de la Seguridad
• La economía de la seguridad de la información es una síntesis entre la ciencia cibernética y la ciencia

social
• Combina la teoría microeconómica, y a un grado menor la teoría del juego, con la seguridad
de información para obtener un entendimiento a profundidad de los truques e incentivos no
alineados en el diseño y en el despliegue de las políticas y mecanismos de seguridad cibernética
técnica
• La economía de la seguridad es, por tanto, de alta importancia a través de diferentes ataques y
contramedidas planteadas en de diferentes KAs dentro de CyBOK
• También juega un papel clave en la comprensión del costo de protección (security) para legitimar
usuarios del sistema y para cibercriminales
• La fortaleza de dicho enfoque socio-técnico es su reconocimiento de que la protección (security)
es en gran medida un problema humano, y el costo contra los beneficios de los trueques son
claves para aumentar nuestro entendimiento de las decisiones de los defensores y atacantes
tanto para asegurar sus sistemas como para optimizar los ataques, respectivamente
Verificación y Métodos Formales

• La verificación y la validación de los sistemas del software involucran pruebas — en términos de
consistencia, conducta uniforme/ pronosticada, y cumplimiento con las especificaciones
• Los Métodos Formales son enfoques para modelar y verificar con base en:
• El uso de lenguajes formales
• Lógica y matemáticas para expresar especificaciones del sistema y el software
• Para modelar diseños de protocolos y sistemas
Modelado Formal (Ejemplos)
• El modelo Bell-LaPadula proporciona un modelo abstracto de las reglas que determinan si cierta
autorización de protección (security) debería tener un tipo particular de acceso a un objeto con
cierta clasificación de protección (security)
• El propósito de este modelo es prevenir la desclasificación de los datos; un trabajo posterior
generalizó esto en métodos para prevenir ciertos flujos de información
• Se han propuesto otros modelos de control de acceso con el fin de lograr otras propiedades, tales
como integridad (Ej. El modelo Biba, o el modelo Clark-Wilson)
• Los métodos formales habilitan propiedades clave de protección (security) para expresarse y
probarse en el modelo formal
47
Enfoques para el Modelado Formal. Hay dos enfoques principales del modelaje formal:
Modelaje Cibernético:
• Este enfoque se acerca al sistema real:
• Es una metodología formal a un nivel matemático más fundamental, en donde los mensajes son
cadenas binarias, funciones criptográficas que se definen como funciones en cadenas binarias,
los participantes del sistema son por lo general máquinas Turing interactivas, y los parámetros de
seguridad proporcionan métricos asintomáticos para esta metodología :
• La longitud de las llaves, la complejidad de los algoritmos o la medición de probabilidades
• Varían con los parámetros de seguridad
Modelado Simbólico:
• Este enfoque es más abstracto que el enfoque cibernético, y se ha aplicado en varios “sabores” al
modelado y al análisis de los protocolos de protección (security)
• Las secuencias de interacciones entre representantes para lograr una meta de seguridad como
medio de autenticación o intercambio de llave
• Los enfoques con base en lógica tales como el BAN logic
• Enfoques basados en lenguajes tales como Applied Pi
¿Funciona la combinación de los enfoques simbólicos y cibernéticos?
• La verificación que utiliza los enfoques de modelado cibernético han sido más matemáticos en su
naturaleza, aunque ahora se han desarrollado herramientas tales como CryptoVerif y EasyCrypt
para dar soporte a pruebas cibernéticas
• Los enfoques simbólicos y cibernéticos se pueden usar juntos:
• Un ataque en un modelo simbólico típicamente dará origen a un ataque en el modelo cibernético,
así que es valioso realizar primero un análisis simbólico de un sistema con el fin de verificar y
diseñar de forma exclusiva para cualquier ataque identificado
• Una vez que se verifica un modelo simbólico, entonces algo adicional se necesita para establecer
la seguridad en el modelo cibernético
• Esto se puede realizar de forma directa, o a través de la aplicación de técnicas generales tales
como la solidez cibernética que proporciona las condiciones de los resultados simbólicos para
aplicarlos al modelo cibernético
48
Arquitectura de Seguridad y Ciclo de Vida
• La palabra ‘arquitectura’ se utiliza a todos los niveles de detalle dentro de un sistema;

• Un diseño de alto nivel de un sistema desde una perspectiva de protección (security)
• Los controles primarios de protección (security) se motivan y posicionan dentro del sistema
• Esto, a su vez, está intrínsecamente ligado con la comprensión del ciclo de vida de los sistemas, desde
la concepción hasta la retirada de servicio. Dentro de esto, es crucial el ciclo de vida del software
La decisión de diseño fundamental es:

• ¿Cómo está compartimentado un sistema?
• ¿Cómo los usuarios, los datos y los servicios se organizan para asegurar que se protejan las
interacciones potenciales de más alto riesgo por medio de los mecanismos más sencillos y más
auto-contenidos de protección (security)?
• Esta amplia consideración de la arquitectura y del ciclo de vida se ha capturado dentro de los
conceptos de ‘protección (security) por diseño’, y ‘protección (security) por omisión’
• De forma más general, la consideración a través de todo el ciclo de vida, incluyendo en la configuración
por omisión de ‘fuera de la caja’ (aunque no muchos softwares se entregan en cajas estos días),
de forma comprobable lleva a menos falta de protección (security)/inseguridad en los sistemas
desplegados
49
Ciberespacio
El ciberespacio se entiende mejor como un ‘lugar’ en el que se realiza el negocio, en donde se realizan
comunicaciones humanas, en donde se hace y se disfruta el arte, en donde se forman y desarrollan
relaciones, y más.
50
Módulo 2: Gestión de
Riesgos
Temas a Tratar en esta Lección
• ¿Qué es el riesgo?
• ¿Por qué la evaluación y la gestión del riesgo son importantes?
• ¿Qué es la evaluación y gestión del riesgo cibernético?
• Gobernanza de Riesgo
• ¿Qué es la Gobernanza de Riesgo y por qué es imprescindible?
• El Factor Humano y Comunicación del Riesgo
• Cultura y conciencia de seguridad
• Promulgación de la política de seguridad
• Principios de evaluación y gestión de riesgos

• Perspectivas de componentes frente a sistemas
• Elementos de Riesgo
• Métodos de evaluación y gestión de riesgos
• Evaluación y gestión de riesgos en sistemas ciberfísicos y tecnología operativa
• Métricas de seguridad
• Continuidad del negocio: respuesta a incidentes y planificación de la recuperación
¿Qué es el riesgo?
• La definición práctica de Renn del riesgo es la posibilidad de que las acciones humanas o eventos
llevan a consecuencias que tienen un impacto sobre lo que el humano valora
• La definición práctica del impacto sobre valores genera otra pregunta sobre cómo definir el valor y
capturar indicadores que se pueden utilizar para medir y gestionar el riesgo
• Renn define tres elementos abstractos básicos que se requieren para esto:
1. Los resultados que tienen un impacto sobre lo que los humanos valoran
2. La posibilidad de ocurrencias (incertidumbre)
3. Una fórmula para combinar ambos elementos
• Estos elementos son el núcleo de la mayoría de los métodos de evaluación de riesgos
52
Un desafío clave en la evaluación y gestión del riesgo es realizar suposiciones explicitas y encontrar el
equilibrio entre las percepciones subjetivas de riesgo y la evidencia objetiva
• La evaluación de riesgo, por tanto, es un proceso de cotejo de observaciones y percepciones del

mundo que se pueden justificar por medio del razonamiento lógico o por medio de comparaciones
con resultados reales
• La Gestión del Riesgo, por otra parte, es el proceso de desarrollar y evaluar opciones para solucionar
los riesgos en una forma que sea compatible con las personas cuyos valores pudiesen ser impactados,
tenga en mente que el acordar cómo solucionar el riesgo pudiese involucrar un espectro de (in)
tolerancia – desde aceptación hasta rechazo
• La Gobernanza del Riesgo es un conjunto general de procesos y principios en marcha que tiene
como objetivo asegurar una sensibilización y educación de los riesgos enfrentados cuando ciertas
acciones ocurren, y para inculcar un sentido de responsabilidad y de rendición de cuentas en todos
los involucrados al manejarlo
¿Por qué la evaluación y la gestión del riesgo son importantes?
• La evaluación del riesgo involucra tres (3) componentes clave:
– Identificación y, si es posible, estimación del peligro (eventos y fuerza de salir)

– Evaluación de exposición (aspectos abiertos a la amenaza, p. personas, dispositivos, bases de
datos) y/o vulnerabilidad (atributos de aspectos que podrían ser atacados p.ej. susceptibilidad al

engaño, fallas de hardware, vulnerabilidades de software)
– Estimación de riesgo, combinación de probabilidad y gravedad (impacto de los resultados p.ej.
cuantitativo o cualitativo)
• Evaluación de riesgos
• Es usar procesos analíticos y estructurados para capturar información, percepciones y evidencia
que relacione lo que está en juego, el potencial de eventos deseables e indeseables, y una medida
de los posibles resultados e impacto
El proceso de gestión de riesgos implica revisar la información recopilada como parte de la evaluación
de riesgos y conduce a una de (3) tres decisiones posibles:
1. Intolerable: El aspecto del sistema en riesgo necesita ser abandonado o reemplazado, o si no es

posible, las vulnerabilidades deben ser reducidas y la exposición limitada.
2. Tolerable: Los riesgos se han reducido con métodos razonables y apropiados a un nivel tan bajo como
sea razonablemente posible (ALARP) o tan bajo como sea razonablemente permisible (ALARA). Una
variedad de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá
del apetito de los administradores de riesgos (y de la empresa en general) por asumir riesgos.
53
3. Aceptable: La reducción del riesgo no es necesaria y puede proceder sin intervención. Además,
el riesgo también se puede utilizar para buscar oportunidades (también conocido como "riesgo al
alza"), por lo que el resultado puede ser aceptar y aceptar el riesgo en lugar de reducirlo.
Más allá de este marco de trabajo de decisiones, Renn define cuatro tipos de riesgo que requieren
diferentes planes de gestión de riesgo. Estos incluyen:
1. Riesgos de rutina: Estos siguen un proceso normal de toma de decisiones para la gerencia. Se
proporcionan estadísticas y datos relevantes, se definen los resultados deseables y los límites de
aceptabilidad, y se implantan y se hacen cumplir las medidas de reducción de riesgos
2. Riesgos Complejos: En donde los riesgos son menos claros, pudiese existir la necesidad de incluir una
evidencia más amplia y considerar un enfoque comparativo tal como el análisis de costo-beneficio o
efectividad de costos. La discrepancia científica tal como los efectos de un tratamiento medico o el
cambio climático son ejemplos de esto
3. Riesgos Indeterminados: En donde existe una falta de predictibilidad, factores tales como la
reversibilidad, persistencia y ubicuidad se convierten en consideraciones útiles. Un método
preventivo se debe tomar con un enfoque continuo y administrado para el desarrollo del sistema en
donde los efectos secundarios negativos se puedan contener y retraer. La resiliencia ante resultados
indeterminados es clave aquí
4. Riesgos ambiguos: En donde las partes involucradas más en general, tales como el personal
operacional o la sociedad civil, interpretan el riesgo de forma diferente (Ej. Existen diferentes puntos
de vista o falta de acuerdo en los controles de la gestión), la gestión del riesgo deberá afrontar las
causas para diferentes puntos de vista
• Las opciones de gestión, por lo tanto, incluyen:
• Un enfoque de gestión basado en el riesgo (análisis riesgo-beneficio u opciones comparativas)

• Un enfoque basado en la resiliencia (donde se acepta que el riesgo probablemente permanecerá
pero debe ser contenido, ej. utilizando los principios ALARA/ALARP)
• Un enfoque basado en el discurso (incluida la comunicación de riesgos y la resolución de conflictos
para hacer frente a las ambigüedades)
• Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo
adecuado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y
probablemente provoque una mayor propagación de los resultados no deseados
• El propósito de la evaluación y gestión de riesgos es comunicar estos valores y garantizar que se
tomen decisiones para minimizar los riesgos a un conjunto acordado de valores al gestionarlos
adecuadamente mientras se maximiza la “aceptación” del proceso de gestión de riesgos
54
• La evaluación y la gestión de riesgos también consisten en presentar información de manera
transparente, comprensible y de fácil interpretación para diferentes audiencias, de modo que
las partes interesadas responsables estén al tanto de los riesgos, cómo se gestionan, quién es
responsable de gestionarlos y estén de acuerdo. sobre cuál es el límite aceptable de exposición al
riesgo
Uno de los principales impulsores de la evaluación y gestión de riesgos es demostrar el cumplimiento.

Esto puede ser el resultado de la necesidad de:
• Tener la aprobación de cumplimiento auditado de organismos internacionales de normalización

para obtener contratos comerciales
• Para cumplir con las exigencias legales o reglamentarias
• Para mejorar la comerciabilidad de una empresa a través de mejoras percibidas en la confianza
pública si se obtiene la certificación
Esto a veces puede conducir a una evaluación de riesgos de

"marcar casillas" en la que el resultado se centra menos en la
gestión del riesgo y más en lograr el cumplimiento.
¿Qué es la evaluación y gestión del riesgo cibernético?

La evaluación y gestión de riesgos de seguridad cibernética es, por lo tanto, un caso especial fundamental que

todos los que viven y trabajan en el dominio digital deben comprender y participar en él.
Gobernanza de Riesgo
La evaluación del riesgo y el desarrollo de principios de mitigación para gestionar el riesgo solo
Ninguna es correcta o incorrecta.

pueden ser efectivos cuando se implementa una política de gobernanza coordinada y bien
comunicada dentro del sistema que se gestiona.
Millstone propuso (3) tres modelos de gobernanza:
1. Tecnocrático: Donde la política está directamente informada por la ciencia y la evidencia de

la experiencia en el dominio
2. Decisorio: Donde la evaluación de riesgos y la política se desarrollan utilizando insumos más
allá de la ciencia. Por ejemplo, la incorporación de impulsores sociales y económicos
3. Transparente (inclusivo): Donde el contexto para la evaluación de riesgos se considera
desde el principio con aportes de la ciencia, la política, la economía y la sociedad civil. Esto
desarrolla un modelo de 'evaluación previa', que incluye las opiniones de partes interesadas
más amplias, que da forma a la evaluación de riesgos y la política de gestión posterior
55
Cuatro (4) elementos influyen en la percepción del riesgo:
1. Juicio intuitivo asociado a probabilidades y daños

2. Factores contextuales que rodean las características percibidas del riesgo (p. ej., Familiaridad) y la
situación de riesgo (p. ej., Control personal)
3. Asociaciones semánticas vinculadas a la fuente del riesgo, personas asociadas con el riesgo y
circunstancias de la situación de riesgo
4. Confianza y credibilidad de los actores involucrados en el debate de riesgo
El enfoque de Gobernanza de Riesgo Cibernético es clave para esta adopción cultural
El Factor Humano y Comunicación del Riesgo

• Sasse y Flechais identificaron factores humanos que pueden afectar la gobernanza de la seguridad,
incluidas las personas:
1. Tener problemas para usar las herramientas de seguridad correctamente

2. No comprender la importancia de los datos, el software y los sistemas para su organización
3. No creer que los activos están en riesgo (es decir, que serían atacados)
4. O no entender que su comportamiento pone en riesgo el sistema de ser atacado)
• Esto destaca que el riesgo no se puede mitigar solo con tecnología, y que la evaluación de
preocupaciones es importante
• Educar a las personas dentro de una organización es vital para garantizar la adopción cultural de los
principios definidos en el plan de gestión de riesgos y la política de gobierno de seguridad asociada
• Las personas no siguen el comportamiento de seguridad requerido por una de dos razones (Sasse y
Flechais):
1. Son incapaces de comportarse como se requiere

2. No quieren comportarse de dicho modo
Weirich y Sasse estudiaron Cumplimiento de las reglas de contraseña como un ejemplo de cumplimiento de la política
de seguridad y descubrieron que la falta de cumplimiento estaba asociada con personas que no creían que estaban
personalmente en riesgo o que serían responsables por no seguir las reglas de seguridad.
56
La comunicación de riesgos, por lo tanto, juega un papel importante en la gobernanza, incluidos aspectos
como:
• Educación: Particularmente en torno a la conciencia del riesgo
• Capacitación e inducción al cambio de comportamiento: Tomando la conciencia que brinda la
educación y cambiando prácticas y procesos internos
• Creación de confianza: Tanto en torno a la gestión de riesgos organizacionales como en individuos
clave
• Implicación: Particularmente en el proceso de toma de decisiones de riesgo
Cultura de Seguridad y Conciencia

• Es importante que las personas se sientan capaces de reportar problemas e inquietudes
• Especialmente si creen que pueden tener la culpa. La rendición de cuentas debe ser
• Intrínsecamente vinculado a ayudar a la organización, sin temor a ser estigmatizado y sancionado
• Si las personas son conscientes de los caminos y los resultados que siguen a las violaciones de
seguridad, se reducirá la ansiedad sobre lo que sucederá y, por lo tanto, se generará una cultura de
seguridad más abierta
Algunas preguntas que pueden considerarse indicadores útiles para mejorar la cultura de seguridad:
¿Los empleados están ¿Los miembros del

reconociendo sus ¿Los empleados reciben personal de seguridad

responsabilidades de capacitación a intervalos poseen suficientes
seguridad como usuarios consistentes con las habilidades y
de los sistemas de políticas de la empresa? certificaciones
información? profesionales?
¿Los miembros del ¿Los esfuerzos de

personal de seguridad capacitación y
están adquiriendo nuevas concientización sobre
habilidades a un ritmo seguridad están
consistente con los generando resultados
objetivos de gestión? medibles?
Promulgación de la Política de Seguridad

• La presentación de la información de evaluación de riesgos en este contexto es importante. A
menudo se utilizan mapas de calor y matrices de riesgo para visualizar los riesgos
• Sin embargo, la investigación ha identificado limitaciones en el concepto de combinar múltiples
medidas de riesgo (como la probabilidad y el impacto) en una sola matriz y mapa de calor
• Por lo tanto, se debe prestar atención al propósito de la visualización y la precisión de la evidencia
que representa para el objetivo de desarrollar decisiones de política de seguridad
57
Parte de los resultados finales de la evaluación y gestión de riesgos debe ser una lista de riesgos
aceptados con los propietarios asociados que supervisan los objetivos y activos de la organización que
sustentan los procesos en riesgo.
Pre-evaluación
Aspectos transversales
Administración Comunicación Valoración

Contexto del Skateholder
Caracterización
y evaluación
Decidir Entender
Figura 2.1: Marco de trabajo de una Gobernanza de Riesgo de IRGC – tomada de [66]
El factor humano y la cultura de seguridad son fundamentales a la promulgación de la política de seguridad.

Las personas deben estar capacitadas para operar de manera segura y no ser objeto de una cultura de la
culpa cuando las cosas fallan. Es muy probable que haya brechas de seguridad, pero la mayoría de ellas
no serán intencionales.
Por lo tanto, la política de seguridad debe ser reflexiva y reactiva a los problemas, responder a la agenda
de Cultura Justa y crear una política de rendición de cuentas para el aprendizaje, y usar los errores para
refinar la política de seguridad y los procesos de apoyo, no culpar ni penalizar a las personas.
La educación en seguridad debe ser una parte formal de todos los empleados desarrollo profesional
continuo.
Los principios del riesgo de comunicación son un aspecto importante del factor humano en la educación
en seguridad.
Comunicación frecuente, adaptar el mensaje a la audiencia, probar previamente el mensaje y considerar

las percepciones de riesgo existentes que deberían ser parte de la planificación en torno a la educación
en seguridad.
58
Principios de Evaluación y Gestión de Riesgos
• La guía del NCSC del Reino Unido desglosa la gestión de riesgos en:
1. Gestión de riesgos basada en componentes, que se centra en los componentes técnicos y las
amenazas y vulnerabilidades a las que se enfrentan
2. Gestión de riesgos impulsada por el sistema, que analiza los sistemas como un todo
Propósito Funcional Metas o propósitos del sistema

CONCEPTUAL
Adecuado para
Propósito Abstracto Saldos, flujos, principios de gobierno Evaluaciones de
Riesgo Con Base en
Función General Procesos, interacción de componentes Sistemas
Adecuado para
Función Física Capacidades, equipo y componentes
Evaluaciones de Riesgo
Con Base en
Forma Física Dimensiones, ubicación, propiedades físicas
Componentes
Figura 2.2: Jerarquía de Jens Rasmussen.

Elementos de Riesgo
Hay cuatro conceptos que son centrales para una evaluación de riesgo en la mayoría de los modelos.
1. Vulnerabilidad: Una Vulnerabilidad es algo abierto que se puede atacar o mal utilizar que podría
llevar a un resultado indeseado
2. Amenaza: Una Amenaza es un evento o acción individual que tiene la capacidad de explotar
(vulnerar) una vulnerabilidad de protección (security). Las amenazas también son socio-técnicas
y pudiesen incluir hackers, empleados descontentos o empleados capacitados deficientemente,
software diseñado pobremente, un proceso operacional mal expresado o comprendido, etc.
3. Probabilidad: La probabilidad representa una medida que captura el grado de posibilidad de que una
amenaza hará explotar (vulnerar) una vulnerabilidad, y por tanto producirá un resultado indeseable
que afectará los valores en el núcleo del sistema
4. Impacto: Impacto es el resultado de que una amenaza explote (vulnere) una vulnerabilidad, lo cual
tiene un impacto negativo en el éxito de los objetivos para los cuales estamos evaluando el riesgo
59
Métodos de Evaluación y Gestión de Riesgos
Las pautas del NIST del gobierno de EE. UU. capturan los elementos de vulnerabilidad, amenazas,
probabilidad e impacto dentro de la prueba (evaluación previa), conducción (evaluación y caracterizar),
comunicación (transversal) y manutención (gestión) del ciclo.
Paso 1: Preparar la evaluación

derivada del marco de riesgos de la organización
Paso 2: Evaluación de la conducta

vista ampliada de la tarea
Paso 3: Comunicar los resultados
Identificar las fuentes de amenaza y los eventos
Paso 4: Mantener la evaluación

Identificar las vulnerabilidades y las
condiciones predisponentes
Determinar la probabilidad de ocurrencia
Determinar la magnitud del impacto
Determinar el riesgo
La Preparación implica identificar el propósito (p. ej., establecer una línea base de riesgo o identificar
vulnerabilidades, amenazas, probabilidad e impacto) y el alcance (p. ej., ¿qué partes de un sistema/
organización deben incluirse en la evaluación de riesgos?; ¿qué decisiones informan los resultados?).
La Conducción es la fase en la que se identifican las amenazas, las vulnerabilidades, la probabilidad

y el impacto. Hay una variedad de formas en que esto puede llevarse a cabo, y esto variará según la
naturaleza del sistema que se está evaluando el riesgo y los resultados de la etapa de preparación.
La Comunicación es una de las fases más importantes y, a menudo, se pasa por alto. La realización
de la evaluación de riesgos le brinda a uno los datos para poder informar acciones que mejorarán la
seguridad del sistema.
Mantenimiento es una fase continua que es esencial para actualizar continuamente la evaluación de
riesgos a la luz de los cambios en el entorno y la configuración del sistema.
60
Marcos de Gestión de Riesgos Cibernéticos Basados en Componentes
Establecer el contexto
Valoración de riesgo
Control y revisión de riesgos

Análisis del riesgo • ISO/IEC 27005:2018
Comunicación de riesgos
Identificación del riesgo

• NIST SP800-30/39
Estimación del riesgo • The Information Security Forum (ISF)
• FAIR
Evaluación de riesgo
• Octave Allegro
• STRIDE
Decisión de riesgo Punto 1
¿Evaluación satisfactoria? • Attack trees
Tratamiento de riesgo
Decisión de riesgo Punto 2

¿Acepta los riesgos?
Aceptación de riesgo
Métodos de Gestión de Riesgos Cibernéticos Impulsados por el Sistema

El objetivo principal de estos métodos es capturar las interacciones y los aspectos interdependientes del

•
sistema y, por lo tanto, requiere una amplia participación de los propietarios del proceso y la búsqueda
de las personas "adecuadas" con conocimiento de los subsistemas
• Proceso y modelo de accidentes teóricos de sistemas (STAMP) es un conjunto de métodos utilizados

para modelar la causalidad de accidentes y peligros, desarrollado en el MIT
• El Marco Arquitectónico de Grupo Abierto (TOGAF) es un estándar de arquitectura empresarial
que admite enfoques basados en componentes y sistemas para gestionar el riesgo
• Modelado de dependencia. El Open Group también desarrolló el Marco de Modelado de
Dependencia Abierta (O-DM) para el modelado de riesgo orientado a objetivos en un método de
arriba hacia abajo
• SABSA es otro enfoque basado en la arquitectura. Incluye cuatro fases
61
Evaluación y Gestión de Riesgos en Sistemas Ciberfísicos y Tecnología Operativa
• Mientras la seguridad TI tradicional (por ejemplo, computadoras, dispositivos y servidores)

generalmente pueden adoptar una perspectiva de evaluación de riesgos centrada en minimizar el
acceso (confidencialidad), la modificación (integridad) y el tiempo de inactividad (disponibilidad)
dentro de los componentes y sistemas, el mundo de los sistemas ciberfísicos y la tecnología operativa
(TO) típicamente tiene un mayor enfoque en la seguridad
• Tecnología como Supervisory Control and Data Acquisition (SCADA) proporciona la capacidad de
monitorear y controlar continuamente TO, pero debe estar diseñado adecuadamente para evitar
que los riesgos de TI afecten a TO
Métricas de Seguridad
• A menudo es difícil cuantificar, con confianza, qué tan segura es o podría ser una organización
• Las representaciones cualitativas como bajo, medio, alto o rojo, ámbar, verde se utilizan normalmente
en ausencia de datos cuantitativos confiables, pero a menudo existe la preocupación de que dichos
valores sean subjetivos y signifiquen diferentes cosas para diferentes partes interesadas
¿Qué constituye las métricas buenas y malas?

Buenas métricas deberían ser:
• Medida consistentemente, sin criterios subjetivos

• Sencilla de recopilar, preferiblemente de forma automatizada
• Expresado como número cardinal o porcentaje, no con etiquetas cualitativas como "alto", "medio" y
"bajo"
• Expresada utilizando al menos una unidad de medida, como "defectos", "horas" o "dólares"
• Contextualmente específica y lo suficientemente relevante para los tomadores de decisiones para
que puedan actuar. Si la respuesta a una métrica es un encogimiento de hombros y un "¿y qué?", no
vale la pena recopilarla
Malas métricas
• Se miden de manera inconsistente, generalmente porque se basan en juicios subjetivos que varían
de persona a persona
• No se puede recopilar a bajo costo, como es típico de las encuestas que requieren mucha mano de
obra y las hojas de cálculo únicas
• No expresa los resultados con números cardinales y unidades de medida. En su lugar, se basan en
calificaciones cualitativas altas/medias/bajas, semáforos y calificaciones con letras
62
Continuidad del Negocio
• Respuesta a incidentes y planificación de la recuperación
• Una parte esencial del proceso de evaluación, gestión y gobierno de riesgos incluye la consideración
y planificación del proceso de gestión de incidentes y respuesta rápida al ciberataque
• El objetivo es comprender el impacto en el sistema y minimizarlo, desarrollar e implementar un
plan de remediación y utilizar esta comprensión para mejorar las defensas para proteger mejor
contra la explotación exitosa de vulnerabilidades en el futuro (bucle de retroalimentación)
• Por lo general, las organizaciones prefieren mantener anónima la información sobre las infracciones
de seguridad cibernética para evitar daños a la reputación y encubrir fallas en la seguridad
• Sin embargo, es probable que otras organizaciones puedan beneficiarse del conocimiento previo
del incidente ocurrido
• Ciertas industrias, como los sectores financiero y farmacéutico, tienen acuerdos para compartir
dicha inteligencia
ISO/IEC 27035-1:2016
ISO/IEC 27035-1:2016 es un estándar internacional que define los principios para la gestión de

incidentes. Se expande en el modelo ISO/IEC 27005 e incluye pasos para la respuesta a incidentes,
incluyendo:
• Planificar y preparar
• Detección y Reporte
• Evaluación y Decisión
• Respuesta
• Aprendizaje
63
NCSC- ISO/IEC 27035
El NCSC también proporciona diez (10) pasos para ayudar a guiar el proceso de gestión de incidentes
que, en términos generales, se relacionan con las fases Planificar, Detectar, Evaluar, Responder y
Aprender de ISO/IEC 27035. En resumen, los pasos incluyen:
1. Establecer la capacidad de respuesta a incidentes

2. Capacitación
3. Roles
4. Recuperación
5. Prueba
6. Reporte
7. Reunir evidencias
8. Desarrollo
9. Conciencia
10. Reporte
Directrices para Mapear el Problema de Gestión de Riesgo

Tipos para Métodos Basados en Componentes o en Sistemas
Métodos basados en Componentes

•
• Analizar los riesgos enfrentados por los componentes técnicos individuales
• Descomponer en menos sistemas complejos, con conexiones bien comprendidas entre las partes
interesadas de los componentes
• Trabajar a niveles de abstracción en donde la función física del sistema ya se ha acordado entre
las partes involucradas
• Métodos basados en sistemas
• Explorar las violaciones a la protección (security) que surgen de la interacción compleja de
muchas partes de su sistema
• Establecer requisitos de protección (security) del sistema antes de que usted decida en el diseño
físico exacto del sistema
• Conjugar múltiples visiones de las partes involucradas de lo que debería y no debería hacer el
sistema (Ej. Seguridad (safety) y protección (security), puntos de vista legales)
• Analizar las violaciones a la protección (security) que no se pueden rastrear de regreso a un solo
punto de falla
64
Conclusión
• Definición práctica de la posibilidad de que las acciones o eventos humanos puedan tener
consecuencias que tengan un impacto en el valor de los humanos y colocarlo en el contexto de la
gestión y gobernanza del riesgo cibernético
• La Gobernanza de Riesgo es el conjunto general de procesos y principios en curso que sustentan
la toma colectiva de decisiones y abarca tanto la evaluación como la gestión de riesgos, incluida la
consideración de los contextos legal, social, organizacional y económico en los que se evalúa el riesgo
• Un aspecto importante del riesgo es la percepción humana y la tolerancia al riesgo y las hemos
enmarcado en la literatura existente para argumentar su importancia en la Gobernanza de Riesgo
alineada con varios tipos de riesgo: rutinario, complejo, incierto y ambiguo
• La Gobernanza de Riesgo es un proceso cíclico e iterativo, y no algo que se puede realizar una vez
• Los aspectos interdisciplinarios de la comunicación, la participación de las partes interesadas y
el contexto vinculan los procesos de evaluación y gestión de riesgos y son fundamentales para la
reflexión y revisión continuas de las prácticas de la Gobernanza de Riesgo
• Los incidentes, cuando ocurren, deben informar la política de gestión de riesgos para mejorar
la seguridad cibernética en el futuro, y debemos aceptar que probablemente nunca estaremos
completamente seguros
• Inculcar el desarrollo profesional continuo a través de la educación y la cultura justa donde se
pueden aprender lecciones y mejorar los métodos de gobierno
65
66
Módulo 3: Ley y Regulación
Introducción
• Principios introductorios del derecho y la investigación jurídica

• Jurisdicción
• Leyes de privacidad en general e interceptación electrónica
• Protección de Datos
• Crimen informático
• Contrato
• Propiedad intelectual
• intermediarios de internet
• Desmaterialización de documentos y servicios electrónicos de confianza
• Ley internacional pública
• Ética
Desafíos
Universalidad
• CyBOK se presenta ante los practicantes de la industria

globalmente
• La ciencia y las matemáticas son universales
• PERO… las leyes y regulaciones son locales; difieren entre
lugar y lugar
Alcance
• Un amplio alcance de actividades identificadas como práctica
de “protección (security)" lleva a un amplio alcance de
problemas legales
Accesibilidad
• Hacer accesible el tema en cuestión a los practicantes de la

industria en seguridad que no son abogados
67
Respuesta
Revisión de alto nivel
• Revisar las ramas del derecho que incluyen la responsabilidad,

responsabilidad y grados de libertad del tecnócrata
• Identificar algunas normas legales generalizables
• Introducir problemas de responsabilidad profesional y ética
Metas
• Marco de trabajo para pensar sobre la ley

• Ayudar a identificar problemas que preocupan
• Proporcionar una guía en la búsqueda de respuestas
• Describir la ley “como es”, no “como la gente desearía que
fuese”
Fuera del Alcance

Temas que son difíciles de generalizar globalmente.
Ejemplos:
• Reglas de evidencia
• Reglas de procedimiento civil
• Reglas de procedimiento penal
• Leyes de contenido penal
68
Principios Introductorios de la Ley e Investigación Legal
Principios Básicos
Dinámica
• La ley influencia la sociedad

• La sociedad influencia la ley
Grado de Incertidumbre
• Encontrar un enunciado definitivo de “la ley” es una

tarea de búsqueda difícil
• Fuentes y métodos de interpretación que difieren
Ciber ambiente
• La ley es (en su mayoría) sobre abordar la

responsabilidad de personas, y la disposición de
propiedad
• La ley es territorial; es un reflejo de la sociedad
• Las leyes no reconocen AI como una persona
“Para Probar” Algo

Matemáticas Ley
• Establecer, como una necesidad lógica, • Utilizar evidencia permisible, persuadir un
irrefutable tribunal de rectitud de una cuestión refutada
• Establecer una verdad incuestionable • Cierta incertidumbre es inevitable
“[¿El coronel Jessup ordenó el ‘Código Rojo’?]

¡Es maravilloso! … ¿Y por supuesto usted tiene
prueba de ello? … ¡No importa lo que yo piense!
Solo importa lo que yo pueda probar [ante un
Jurado]!”– LTJG Kaffee, A Few Good Men (Unos
Cuantos Hombres Buenos) (1992).
69
“Niveles” de Pruebas
Más allá de
duda
Evidencia razonable
clara y
convincente
Preponderancia de
evidencia; equilibrio de
probabilidades
Causa
Sospecha Probable
razonable
Grado de “certidumbre” del investigador después de

examinar la evidencia admisible
Aplicando el Derecho al Ciberespacio y las Tecnologías de la Información

El nacimiento del ciberespacio generó mucha inquietud en cuanto a la aplicación de leyes y reglamentos
a este nuevo dominio.
Surgieron dos escuelas de pensamiento predominantes.
• La primera escuela postuló que el ciberespacio es tan radicalmente diferente de cualquier cosa
en la experiencia humana, que las leyes antiguas no eran adecuadas y deberían ser ampliamente
inaplicables a las acciones realizadas utilizando este nuevo dominio
• La segunda escuela sostenía, en cambio, que Internet es, como tantas herramientas desarrolladas en
la historia humana, simplemente un instrumento de la acción humana. Como tal, las leyes podrían, y
tal vez deberían, continuar aplicándose a las personas que usan el ciberespacio en la mayoría de los
aspectos tal como se aplicaban antes de que existiera
70
Distinguiendo el Derecho Penal y Civil
• Derecho Penal
El derecho penal es el cuerpo de leyes que prohíbe comportamientos generalmente aborrecidos por la
sociedad.
Términos como 'culpable' e 'inocente' normalmente se reservan como descripciones de veredictos
(resultados) en un caso penal.
• Derecho Civil (No Penal)
El derecho civil es el área del derecho que regula las relaciones privadas entre las personas. Los ejemplos
incluyen las leyes de contrato y negligencia.
• Una ley: dos tipos de responsabilidad y dos tribunales
Un solo acto o una serie de actos conexos pueden generar responsabilidad simultáneamente tanto en
el derecho penal como en el civil.
Jurisdicción
Ambiente Multinacional
Acuerdo de contacto multinacional

• El internet permite contactos rutinarios sin
precedentes entre personas en diferentes estados
Prioridades estatales
• Cada estado está interesado en aplicar sus propias leyes para
el beneficio de sus residentes y nacionales
Desencadena tres temas legales
• Jurisdicción: alcance de la autoridad estatal (s.2)

• Ley privada internacional, también conocida como conflicto
de leyes: qué ley(es) estatal(es) aplicarán cuando las partes
están conectadas a diferentes estados (ss. 6, 7,8, 10)
• Ley pública internacional: acciones reglamentarias entre
estados en momentos de paz y durante conflictos armados
(s.12)
71
Una Taxonomía de Jurisdicción
Jurisdicción Legislativa(prescriptiva) Autoridad impuesta por los

legisladores para regular la
actividad
Jurisdicción Jurídica Autoridad impuesta por un tribunal

para decidir una disputa
Jurisdicción (fuero) competente Autoridad de un estado para ejercer
su voluntad – su habilidad de proyectar
Jurisdicción Legislativa (Prescriptiva)

• Extraterritorial
• Los legisladores de forma rutinaria adoptan leyes que aplican a personas y actividades fuera del
territorio de su estado
• Varias teorías adoptadas por los tribunales para respaldar (Ej. Doctrina de los efectos)
• Los ejemplos incluyen leyes que aplican a:

• Contenido deslocalizado (fuera del país) visible dentro del territorio
• Hackers deslocalizados (fuera del país) que atacan sistemas en el territorio

• Controladores de datos deslocalizados (fuera del país) que procesan datos del personal
relacionados con los temas de datos del adentro del territorio
Jurisdicción de Ejecución
• Incautación y decomiso de activos internos

• Incautación y confiscación interna de servidores y nombres de dominio
• “Ubicación” de una cuenta bancaria
• Ejecución extranjera de sentencias civiles nacionales
• Arresto mientras está presente en el estado
• Extradición de un estado extranjero
• Medios tecnológicos para filtrar contenidos geográficamente
• Órdenes dirigidas a personas domésticas para producir datos (dondequiera que se encuentren) bajo
su control
• Asistencia jurídica internacional
72
El Problema de la Soberanía de los Datos
La nube proporciona “un sentido de”

independencia de ubicación –
no es una independencia real de
ubicación
Los estados cada vez más ejecutan la

Jurisdicción Jurídica (ejecución) en
relación con la ubicación de la
infraestructura de los datos
Muchos estados imponen una amplia

variedad de requisitos de localización
de datos
Leyes de Privacidad en General e Interceptación Electrónica

Acuerdo internacional sólido
Conceptos básicos de privacidad
La privacidad es un derecho humano
Alcance: incluye espacio físico privado y comunicación
electrónica
El derecho a la privacidad es condicional, no absoluto
Falta de acuerdos internacionales

Alcance: ¿dónde/cuándo/cómo debería esperar privacidad y en qué
medida?
¿Qué condiciones justifican una invasión de la privacidad que
normalmente se puede esperar?
¿Qué proceso se utiliza para decidir cuándo y cómo se cumplen esas
condiciones?
¿Qué diferencias, si las hay, se aplican a las intrusiones del estado (p.
ej., policía, servicios de seguridad) y de actores no estatales (p. ej.,
empleadores, padres, proveedores de servicios)?
73
Interceptación Estatal (Acceso Legal)
Ciertos acuerdos
Sistemas legales
internacionales
heterogéneos
sobre normas técnicas
Los proveedores de
El estado sigue su acceso servicio típicamente
de gobierno legal (En los requieren invertir en
EE.UU. es complicado instalaciones y
debido al Sistema Federal) proporcionar ayuda
técnica
Varios grados de
secrecía
Interceptación No Estatal
• Sistemas legales heterogéneos
• Las restricciones a veces varían con la relación con el objetivo
• A la mayoría de las personas se le prohíbe interceptar mensajes en un servicio de
telecomunicaciones público (ver también las leyes de anti-intromisión informática)
• Las personas que operan un sistema privado (empleadores, etc.) normalmente se les brinda
cierta flexibilidad de interceptar tráfico, sujeto a una variedad de reglas legales
74
Protección de Datos
Protección de Datos en ¿Qué es?

Términos Generales
• Las restricciones sobre recopilación, divulgación y uso de
“datos” personales
• La ley de la Unión Europea (GDPR) actualmente es el ejemplo
más influenciable
Más que “privacidad”
• La ley de protección de datos trata de otorgar cierta medida

de control en las manos del “sujeto de datos” viviente sobre la
manera en que “sus” datos personales se utilizan.
Opinión
• La ley de protección de datos es una reacción al nacimiento y

crecimiento de la empresa administrativa estatal y moderna a
lo largo de todo el estado
Los “Jugadores”

Jugador Definición
La persona natural (viva) con la que se

Sujeto de Datos
relacionan esos datos
Una persona (física o jurídica(moral)) quien

Controlador de Datos controla la diseminación de los datos
personales
Una persona (física o jurídica(moral)) quien

Procesador de Datos solo procesa los datos personales bajo las
instrucciones de un Controlador de Datos
75
¿Qué se regula?
“Procesamiento”
• Cualquier operación…que se realiza sobre datos personales…,

tal como una recopilación, registro, organización,
estructuración, almacenamiento, adaptación o alteración,
recuperación, consulta, uso, divulgación, por medio de
transmisión, diseminación o de otra forma hacer disponible,
alineación o combinación, restricción, borrado o destrucción”.
-- GDPR Art4(2) (casi idéntico a la Directiva 95/46)
“Datos Personales”
• Datos relacionados con individuo vivo

• Incluye datos que son capaces de ser atribuidos a un individuo vivo
por cualquier persona, aún si esa personas es desconocidos para
usted (Ej. Datos de seudónimos, datos encriptados, datos a los que
se les puede retirar el anonimato, etc.)
“Datos Personales” vs “PII”
“Datos personales” /Ley de los EE.UU y otros; GDPR)
“Información Identificable De Forma Personal” (“PII”) (ISO 29100)
“PII” (varias definiciones bajo las leyes de los EE.UU)
Definición que nosotros mismos nos persuadimos para creer

que es correcto después de múltiples juntas de comité
76
Puntos Destacados de la Protección de Datos
PRINCIPIOS INVESTIGACIÓN Y MEDIDAS DE EVALUACCIÓN Y DISEÑO

DE LA PROTECCIÓN PREVENCIÓN DEL SEGURIDAD DE LOS SISTEMAS DE
DE DATOS NUCLEARES CRIMEN ADECUADAS PROCESAMIENTO
TRANSFERENCIA NOTIFICACIÓN DE APLICACIÓN Y MULTAS—

INTERNACIONAL DE DATOS VIOLACIÓN DE DATOS EN ESPECIAL
GDPR
Delitos Informáticos
Taxonomía de un crimen informático

Instrumentalidad [fuera del alcance]
• Internet es simplemente el medio utilizado para

cometer delitos
• Por ejemplo, fraude financiero, conspiración
Contenido [fuera del alcance]
• El delito se basa en el contenido del mensaje

• Por ejemplo, pornografía, incitación al odio
Delitos contra los sistemas de

información
• El delito se dirige a la infraestructura misma
• Por ejemplo, acceso no autorizado a una computadora
77
Crímenes en Contra de los Sistemas de Información
INTERFERENCIA INTERFERENCIA INTERCEPCIÓN

ACCESO INDEBIDO PRODUCCIÓN DE
INDEBIDO INADEBIDO INADEBIDA
AL SISTEMA HERRAMIENTAS
CON LOS DATOS CON LOS SISTEMAS DE LA COMUNICACIÓN DE HACKEO CON INTENCIONES
INADEBIDAS
Desafíos Recurrentes
La aplicación y las sanciones de los delitos contra los sistemas de información
• [ Falta de universalidad]
• [Extradición]
• Las excepciones mínimas y medición del daño
• Intercepción estatal garantizada
• (También ley pública internacional)
• Investigación y desarrollo por personas no el estado
• Análisis técnico remoto no invitado
• Análisis de amenazas encubierto
• Auto-ayuda
• Candados de software
• Re-hackear (re-piratear)
Contrato
Es una relación legal

entre personas
NO es un pedazo de
papel
Principio de Relatividad
(sistemas de derecho
común)
78
Contrato como un Medio para Incentivar Conductas de Protección (Security)
¿De quién es la conducta?
• Cadena de suministro
• Participantes en los sistemas comerciales/pago
Mecanismos Típicos
• Promesas de cumplir con los normas de protección (security)

(ISO 27001, PCI DSS, etc.)
• Prometer notificar a las contra-partes de los incidentes
• Prometer otorgar derechos de auditoría
¿Qué está en riesgo?
• Alto: pérdida del valor de comercialización/pago

• Medio/bajo: pérdida de la relación, acción legal por violar el
contrato
Límites de Influencia

Costo de la violación
• Cuantía baja de pérdida probable (Q) baja el costo del

riesgo ponderado de violar el contrato (R)
• La parte decepcionada no está dispuesta a perseguir
influencias de acción legal (X), disminuye (R)
• Problema de principio de relatividad, “flujo descendente”
de responsabilidad
• Parte decepcionada que no está dispuesta a terminar la
relación
Ejemplos
• La parte no puede probar que la violación de seguridad

provocó una pérdida financiera
• Limitaciones de responsabilidad: pérdidas no
consignables, limitaciones y exclusiones impuestas por
medio de cláusulas del contrato, etc.
• No hay una fuente creíble alternativa de suministro
79
Influencia Relacionada con el Contrato Sobre Comportamiento de Protección
(Security)
Fuerte Influencia
• La protección (security) es un cimiento para reducir
parte de la mayoría del más grande riesgo comercial
de la parte actuante
• Un contrato soportado por la regulación externa
• Ej. Sistemas de pago
Influencia Media
• La protección (security) es el tema de bienes o

servicios suministrados por la parte conductora
• Ej., dispositivos y servicios relacionados con la
seguridad
Influencia Baja (débil)
• La protección (seguridad) es una característica

motivada, pero no es central para la parte conductora
• Ej. Suministro de software, hardware, SaaS, Iaas,
otros bienes y servicios de rutina, etc.
Incumplimiento de Contrato y Recursos
También es importante considerar las consecuencias legales del incumplimiento de un contrato.
En el caso de un incumplimiento de contrato, varios recursos proporcionados por los tribunales a las
partes que no incumplen generalmente se clasifican en las siguientes categorías:
• Daños y perjuicios
• recisión
• Declarar que el contrato ha llegado a su fin y excusar a la parte incumplidora de seguir cumpliendo
• Desempeño específico
• Remedios estipulados contractualmente
80
Delito
Ilícito civil diferente a violación del contrato
Con base en los principios de responsabilidad social;

la relación entre las partes puede ser involuntaria
Requiere que la persona que se compromete a cometer

el delito (autor del daño) compense a la víctima
Ejemplos de Delito

Responsabilidad Objetiva Infracción a la Propiedad
Negligencia
por Producto Defectuoso Intelectual (s.8)
Violación de los derechos del

Muchas Otras
sujeto de datos bajo
(fuera del alcance)
la ley de protección de datos
81
Negligencia (Responsabilidad Culposa)
Obligación de Diligencia
• ¿Bajo qué circunstancias somos responsables ante otros?
• Concepto nuclear: previsibilidad
• Ejemplos de ciberseguridad en la Tabla
Incumplimiento del Deber

• ¿Qué significa actuar “de forma irrazonable”?
• ¿Qué pasa si el ambiente cambia?
“La práctica común no es lo mismo que práctica razonable”
Marco Estático, resultados dinámicos
• La previsibilidad se aumenta con la experiencia

• “Razonable” se ancla en las expectativas de la Sociedad
• Estos cambian con el tiempo
• Estos difieren entre sociedades
• Advertencia: Al autor del daño pudiese sujetarse a las normas del
territorio en donde se localiza la víctima
Responsabilidad del Producto (Responsabilidad Rigurosa)
Idea Central
• Los fabricantes de producto (y/o los socios de la cadena de suministro pertinentes) deberían compensar a las
víctimas que sufren una muerte o lesión personal provocada por defectos del producto
• El enfoque de la ”falla” se traslada de la persona al producto
Aumento de la Importancia
• El IoT (Internet de las cosas) está creando más casos de uso en donde las fallas de
ciberseguridad pueden llevar a lesiones personales o la pérdida de la vida (desde automóviles
que se auto conducen hasta termostatos de control remoto)
Limitado a los “productos”
• Esta norma no aplicaría a los socios de la cadena de suministro que suministran un componente
defectuosos solamente de software
82
Cuantía de Pérdida (Q)
Relación causal de las pérdidas comprobables de la víctima
• En especial las que cuestionan a la víctimas de eventos de pérdida de datos

• Dificultad para realizar una valoración de la privacidad
Programación estatutaria (establecida) de los daños
• Los legisladores imponen cantidades fijas
Daños punitivos /ejemplares

• Tiene el propósito de castigar en especial a las conductas imprudentes o a la
indiferencia ante el sufrimiento humano (la mayoría en los EE.UU.)
Asignación e Imputación de Responsabilidad
Responsabilidad Indirecta

• Caso de los “Morrison Supermarkets” (2018)
recientemente fue revocado por la Suprema Corte
de Justicia de los EE.UU (Abril 1, 2020)
• SÍ, la responsabilidad indirecta puede aplicar a la

ley de protección de datos PERO, este empleado
de Morrison estaba de descanso, de “fiesta”, y
no estaba actuando dentro del alcance del
empleo
Responsabilidad Conjunta y Solidaria
• Un pequeño % de la responsabilidad conjunta

puede llevar a un 100% de responsabilidad
83
Propiedad Intelectual
• Derechos negativos
• Cada derecho de PI (propiedad intelectual) es un tipo de “tarjeta roja” que está diciendo deje de
hacer una acción definida
• Ser propietario de PI no garantiza la libertad de actuar
• Catálogo resumido
• Derechos de autor
• Patentes
• Marcas registradas
• Secretos comerciales
Ingeniería Inversa
Tradicionalmente aceptada como una conducta normal
• No invalida la patente o la protección del derecho de autor

• Destruye el secreto comercial
Desafíos de la ley del derecho de autor
• Una anti-circunvención de la tecnología de protección de derecho de autor
Prueba del método de seguridad del secreto comercial
• Caso de Megamos Crypto

• Intersección con la “divulgación del responsable”
84
Blindaje de los Intermediarios de Internet de los Procedimientos de
Responsabilidad y Remoción (Bajar el Contenido)
Blindajes de responsabilidad del intermediario.
• Básicos
• Blinda a una persona calificada que de lo contrario sería responsable por el contenido ofensivo
de un mensaje
• Originalmente diseñado para proteger ISPs y telcos
• Cada vez más polémico (Ej., US FOSTA-SESTA)
• Debate actual sobre los medios de re-comunicación y plataformas de búsqueda
• Remoción / bloqueo
• Como una de las condiciones de la protección de blindaje a algunas personas que califican se les
requiere retirar (bajar) el contenido ofensivo de forma “expedita” después de la notificación de
la persona que emite la queja
• Otros que no son sujetos a la notificación de remoción se les pudiese ordenar estatalmente (de
forma judicial o ejecutiva) bloquear o filtrar el tráfico
Desmaterialización de los Documentos y de los Servicios Fiduciarios Electrónicos

Antecedentes: Asegurar autenticidad e integridad
Formas tangibles Desmaterialización Respuestas
Siglos de experiencia con Documentos electrónicos Intermediarios de confianza

velum, papel, firmas, sellos, que desestabilizan la (EDI)
huellas digitales, testigos comprensión de la
sociedad de cómo probar
la autenticidad e
Técnicas forenses para integridad Una amplia gama de
detector falsificaciones soluciones tecnológicas
(PKI)
85
Emergen Cambios Legales
ADMISIBILIDAD REQUISITOS DE FIRMA SERVICIOS

DENTRO DE LA FORMATO ELECTRÓNICA FIDUCIARIOS DE
EVIDENCIA IDENTIDAD
Otras Cuestiones Normativas
Cuestión sujeta a regulación
Productos del consumidor

Normas específicas de la industria

• Normas
• Ej. Servicios financieros, • Ej. Acta de Ciberseguridad de la
profesiones, servicios públicos UE, FTC de los EE.UU
regulados • Normas
• Directiva NIS • Ej. ETSI TS 103 645, IoT (el
Internet de las cosas)
Restricciones dobles del uso del

producto Secretos de estado
• Exportar/importar • Se aplica a los

restricciones, informantes(infiltrados) de
restricciones de uso estado
• Libre expresión • Se impone a otros
Junger v Daly (USA 6th Cir, 2000)
86
Ley Pública Internacional
Existe entre los estados

Principios de la ley internacional. (incluyendo a los IGOs (organización
intergubernamental))
• Fuentes: Tratados, costumbres, normas, decisiones de

tribunales internacionales
• Aplicación: Los estados a menudo la aplican mediante el uso
de la auto-ayuda (Ej. Contra-medidas)
Aplicación a operaciones cibernéticas
• La mayoría de los estados reconoce que la ley internacional

aplica a las operaciones cibernéticas, pero éstas no
necesariamente se ponen de acuerdo en el cómo
• Tallin Manual 2.0: Fuente líder mundial de análisis experto
sobre la aplicación de la ley internacional al la cibernética
• Principio territorial
Atribución Estatal
• Norma legal (substancia)
• Acto de un agente del estado
• El Estado insta o dirige el acto a través de un no-agente
• No ejerce “la debida diligencia”

• Proceso forense (proceso)
• Recopilación y presentación de evidencia para su uso al realizar un análisis de atribución legal
Operaciones de un Único Lugar
• Prohibiciones
• Violación de soberanía
• Uso de la fuerza
• Ataque armado
• Contra-medidas
• Debe ser proporcional
• Cibernético o no cibernético
• Ley del conflicto armado
• Necesidad militar
• Humanidad
• Distinción
• Proporcionalidad
87
Ética
Posición de confianza
Fuera de la vista del escrutinio público
El caso para los códigos de conducta Conocimiento y destrezas especiales
Poder asimétrico en la relación con el cliente
Potencial de dañar a los integrantes del público
Códigos de Conducta
Códigos de Conducta
¿Qué hace un buen código?
• Guía detallada de cómo interpretar y aplicar los

principios
• Aborda las relaciones entre el profesional y el
cliente, entre el profesional y la sociedad, y cómo
equilibrar estos
• Adopción y soporte por medio de una comunidad
bien definida de profesionales
Ejemplos que valen la pena estudiarlos

• Código de Ética y Conducta Profesional ACM (2018)
• Código de Conducta CREST
88
Pruebas de Vulnerabilidad y Divulgación
Pruebas de Vulnerabilidad
y Divulgación Realización de Pruebas
• Falta de consenso sobre la diferencia entre
“investigación” y “crimen cibernético”
Divulgación
• Falta de consenso de los practicantes de la industria
en el proceso de divulgación “responsable”, y un
potencial de retraso indefinido para la publicación
• Debate en marcha de los organismos de seguridad
estatal (que equilibran equidades, liberación
responsable, etc.)
Acción del Proveedor
• Cierto consenso sobre lo que se debe hacer (Ej. ISO

29147, ISO 30111)
• Pero falta de implementación generalizada
Gestión del Riesgo Legal

Cuando piense en las operaciones futuras considere:
𝑅𝑅 = 𝑓𝑓 (𝑃𝑃, 𝐷𝐷, 𝑄𝑄, 𝑋𝑋)
• Las áreas del tema en cuestión de mayor riesgo

• Impacto sobre la vida humana
• Diligencia debida alineada con el riesgo
• Límites prácticos sobre la jurisdicción jurídica (de aplicación)
• Costos de obligación por violación (no-criminal)
• Riesgo de libertad personal, seguridad(safety) y reputación
• Probabilidad de aplicación
• Desafíos de preservar lo recopilado y presentar evidencia
• Responsabilidad indirecta
• Localización de la actividad riesgosa en personas legales separadas
• Riesgos externos al sistema legal jurídico
• Cambios en la ley o política probables de que surjan
89
90
Humanos
Módulo 4: Factores
Introducción
• Seguridad utilizable
• Adaptar la tarea al ser humano
• Error humano
• Concientización y educación en seguridad cibernética
• Seguridad Positiva
• Participación de los interesados
Factores Humanos
• ¡Menos del 0.1 % del correo electrónico está encriptado de principio a fin!
• ¡Los usuarios no son el Enemigo!
Ajuste el humano a la tarea

Ajuste la tarea al humano
• A. Whitten and J. D. Tygar, "Why johnny can't encrypt: A usability evaluation of pgp 5.0." in USENIX

Security Symposium, vol. 348, 1999.
• A. Adams and M. A. Sasse, "Users are not the enemy," Communications of the ACM, vol. 42, no. 12,
pp. 40-46, 1999.
La Protección (Security) Debe Ser Utilizable

CONTEXTO FÍSICO
• Efectividad: ¿Los usuarios pueden lograr sus MEMORIA

CAPACIDADES Y LIMITACIONES HUMANAS
METAS
metas?
EP
ESE
ISÓ
LOGRALO
M
ÁN
ICD
TIC
O
• Eficiencia: ¿En qué recursos se invierte para

MODELOS MENTALES
TOMA DE PERCEPCIÓN
DECISIONES
hacerlo? DESTREZAS
MOTRICES LLEVAR A CABO
TAREAS
Satisfacción: ¿Cuál es el nivel de confort y la

FACULTADES
•
ALT
COGNITIVAS
ERA
aceptabilidad de los usuarios?
A)
OVECH
TA(APR
EXPLO
CONTEXTO SOCIAL ADVERSARIO

ORGANIZACIÓN, COLEGAS
91
Adaptar la Tarea al Ser Humano
Elementos clave:
1. Las capacidades y limitaciones de los usuarios objetivo

2. Los objetivos que tienen esos usuarios y las tareas que realizan para alcanzarlos
3. El contexto físico y social de uso
4. Las capacidades y limitaciones del dispositivo en el que se utiliza el mecanismo de seguridad
Capacidades y Limitaciones Humanas
Hay capacidades y limitaciones generales -físicas y mentales- que se aplican a la mayoría de los seres humanos.
Fatiga por Alarmas STM vs. LTM Medidores de CAPTCHA

Fortaleza
• Con los dispositivos informáticos generales de hoy en día, la capacidad física que pueden superar
las tareas de seguridad es probablemente la capacidad de detectar señales: muchos sistemas de
seguridad proporcionan mensajes de estado, recordatorios o advertencias
• Los seres humanos solo pueden centrar su atención principalmente en una tarea en un momento
dado
VS.
Fatiga por cumplimiento
92
STM Y One-time password (OTPs)
STM y One-time passwords (OTP)
El uso de PIN o contraseñas de un solo uso (OTP) en seguridad ha aumentado a medida que la
autenticación de dos factores (2FA) se ha vuelto más común.
Enfocamos nuestra atención en el número que se muestra y lo repetimos (mentalmente o en voz alta).
Capacidades y Limitaciones Humanas Generales

Un criterio de seguridad importante para la autenticación basada en el conocimiento es que una
credencial debe ser difícil de adivinar. Sin embargo, debido a las características físicas y mentales del ser
humano, la selección de credenciales suele estar sesgada hacia las familiares o aquellas que se pueden
distinguir más fácilmente de otras.
1. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo,
aquellas que tienen significado para ellos, como nombres o fechas memorables
2. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas
fuertes a otros más difusos.
3. Cuando se trate de imágenes de seres humanos, elegirán imágenes de personas 'más atractivas' y de
personas de su propio origen étnico
4. Cuando la credencial es una ubicación particular dentro de una imagen, las personas prefieren las

características que se destacan
5. Con los sistemas basados en la ubicación, las personas eligen ubicaciones memorables, por ejemplo,
cuando eligen ubicaciones para un PIN de 4 dígitos en una cuadrícula de números de 5 x 5, buscan
ubicaciones conectadas, ancladas en un borde o esquina de la cuadrícula
6. El orden de los elementos de una credencial es predecible porque existe una fuerte preferencia
cultural, por ejemplo, las personas que hablan idiomas que se leen de izquierda a derecha elegirán
ese orden
7. Con las contraseñas de deslizar el dedo en los teléfonos Android, las personas eligen entre un
número muy limitado de formas
CAPTCHA
Algunos trabajos sobre las Completely Automated Public Turing test to tell Computers and Humans
Aparts (CAPTCHA) por ejemplo, han investigado el apoyo a los usuarios con discapacidades sensoriales.
Sin embargo, se debe tener en cuenta que los CAPTCHA agregan más esfuerzo para el usuario legítimo, lo que
impide el logro del objetivo previsto, es decir, el acceso. Deben tenerse en cuenta las limitaciones de uso de estos
mecanismos que tienen como objetivo "verificar" a los usuarios humanos legítimos, y su contribución a la fatiga
de la seguridad.
93
Metas y Tareas
La usabilidad de los mecanismos de seguridad puede verse afectada por las siguientes características
físicas:
1. Luz: Con mucha luz, las pantallas pueden ser difíciles de ver, lo que puede afectar la autenticación
gráfica en particular. Los sistemas biométricos, como el iris y el reconocimiento facial, dependen de
la entrada de las cámaras. La luz brillante puede provocar deslumbramiento, lo que significa que las
imágenes capturadas no son lo suficientemente buenas para ser procesadas
2. Es evidente que el ruido interferirá con el rendimiento de los sistemas de reconocimiento de voz.
Pero los altos niveles de ruido también afectan el desempeño humano en general debido a un mayor
estrés y, a su vez, a una mayor probabilidad de error. Los ruidos fuertes inesperados desencadenan
una respuesta de sobresalto humano, que desvía la atención de la tarea
3. La temperatura ambiente puede afectar el desempeño tanto de la tecnología como de los humanos.
Los sensores de huellas dactilares pueden dejar de funcionar cuando hace frío, y los humanos son
más lentos para señalar y seleccionar. Es posible que también necesiten usar ropa protectora, como
guantes, que imposibiliten o dificulten las operaciones físicas de las pantallas táctiles. Del mismo
modo, un ambiente demasiado caluroso puede provocar molestias y el sudor puede interferir con
los sensores
4. La contaminación puede afectar los equipos que funcionan al aire libre. Esta es una preocupación
particular para los sensores de huellas dactilares y las pantallas táctiles. Los lípidos que quedan
se combinan con las partículas y la grasa oscura resultante puede obstruir los sensores o dejar un
patrón claramente visible en la pantalla táctil
Capacidades y Limitaciones del Dispositivo
Algunas características del dispositivo pueden hacer que los mecanismos de seguridad resulten difíciles
de utilizar en cualquier circunstancia.
Introducir contraseñas largas y complejas en los teclados virtuales de un teléfono móvil lleva mucho
más tiempo y es más propenso a errores que en un teclado normal. Y aunque con el uso frecuente de
un teclado, la mayoría de las personas pueden llegar a ser muy hábiles para ingresar una contraseña
compleja, el rendimiento no mejora cuando los humanos se encuentran con una limitación básica.
Lo que es particularmente preocupante desde el punto de vista de la seguridad es que (sin colusión)
una población de usuarios comienza a converger en una pequeña cantidad de contraseñas que son más
fáciles de ingresar con la cantidad mínima de alternancias, lo que facilita que los atacantes adivinen una
contraseña válida.
94
Error Humano
Cuatro tipos de fallas latentes que tienen más probabilidades de hacer que las personas cometan
errores.
1. Los factores individuales incluyen la fatiga, pero también la inexperiencia y una actitud de asunción
de riesgos
2. Los factores humanos incluyen las limitaciones de la memoria pero también los hábitos comunes y
las suposiciones ampliamente compartidas
3. Los factores de la tarea incluyen la presión del tiempo, la alta carga de trabajo y múltiples tareas, pero
la monotonía y el aburrimiento son igualmente inductores de errores porque las personas desvían
su atención hacia las distracciones. La incertidumbre acerca de los roles, las responsabilidades y las
reglas también conduce a elecciones incorrectas
4. Los factores del entorno de trabajo incluyen interrupciones en las tareas y equipos e información
deficientes. Las personas también son particularmente propensas a cometer errores cuando
cambian las reglas y los procedimientos
Condiciones de Diseño Latentes

"Nunca de una orden que no se pueda obedecer " -
General MacArthur.
Nunca emita una política de seguridad que no se

AMENAZA pueda seguir.

Versión de seguridad del modelo 'Swiss Cheese' de
Reason. Los agujeros son fallas latentes y activas.
Cuando una amenaza encuentra uno en capas
INCIDENTE
sucesivas, la amenaza tiene éxito. Las 'rebanadas de
queso' son defensas proporcionadas por políticas y
mecanismos de seguridad.
Conciencia y Educación
En la práctica, los tres términos: concientización, educación y capacitación, a menudo se usan
indistintamente, pero son elementos diferentes que se complementan entre sí:
Conciencia de seguridad. El propósito de la conciencia de seguridad es captar la atención de las personas

y convencerlas de que vale la pena comprometerse con la seguridad.
Educación en seguridad.
Capacitación en seguridad. La capacitación ayuda a las personas a adquirir habilidades, por ejemplo,
cómo usar correctamente un mecanismo de seguridad en particular y cómo reconocer y responder a
un ataque de ingeniería social.
95
Las simulaciones y los juegos se utilizan cada vez más, tanto para hacer que la conciencia sobre la seguridad
sea más atractiva como para ayudar con medidas educativas más complejas y cambios de comportamiento.
Las simulaciones antiphishing diseñadas para enseñar a los empleados a no hacer clic en enlaces
sospechosos son probablemente las más utilizadas en las organizaciones hoy en día.
Nuevos enfoques para apoyar la conciencia de seguridad y el cambio de comportamiento
Modelo de
Alto Comportamiento Fogg
BehaviorModel.org
B=MAPA
El modelo de comportamiento de Fogg tiene Al mismo tiempo
tres factores: Motivación, capacidad y factores
Motivación
Indica
desencadenantes Triunfo aquí
Lí
ne
a
de
https:// behaviormodel.org
Ac
ci
ón
Indica
Fallo aquí
Bajo
Difícil de hacer Habilidad Fácil de hacer
Sensibilización y Educación
Conducta segura
Cubierto por
Aceptación un compromiso
extra de la
Implementación (destrezas / habilidades)
compañía
Compromiso Personal
Convicción (percepción / actitud positiva)
Comprensión/Conocimiento
Cubierto por ISO 27001: A.7.2.2.

Sensibilizar Sensibilización, educación y
capacitación de la protección
Información de información.
Inversión (Tiempo, presupuesto, recursos humanos)
96
¿Qué problemas de utilización enfrentan los desarrolladores?
¿Debería utilizar esto? Falta
Documentación
¿Cómo podría utilizar Problemas de Uso
esto? Buscar el Código Información
Ejemplo
Problema de
faltante
Construcción Claridad de la
Problemas del Documentación
Desempeño
Sistema
Problema de Abstracción
Pasar el balón
¿Qué salió mal aquí?
La
No saber Qué programación es
Falta de Conocimiento
Hacer difícil
Mal Uso de la API
Características no
Problema de
soportadas
Compatibilidad Problemas a
No saber si lo
través de
Modelos Mentales puede
Prestados
Característica Obsoleta tiempo y
hacer
espacio
N. Patnaik, J. Hallet y A. Rashid, “Usability smell: an analysis of developers’ struggle with crypto libraries” (La Utilización Huele: un
análisis de la lucha de los desarrolladores con las cripto-bibliotecas), en el Decimoquinto Simposio sobre Privacidad y Protección
(Security) Utilizable (SOUPS, por sus siglas en inglés), Santa Clara, EE.UU, Asociación USENIX, 2019
¡Los Desarrolladores no son el Enemigo! La Necesidad de APIs de Protección

(Security) Utilizables

Principios de Utilización de las Crypto-APls
• Abstracta: Integrar la funcionalidad criptográfica dentro de la Norma APIs para que, para empezar,
los desarrolladores regulares no tengan que interactuar con APIs criptográficas
• Poderosa: Suficientemente poderoso para satisfacer tanto los requisitos de protección (security)
como los de no protección
• Entendible: Fácil de aprender, aún sin experiencia técnica criptográfica
• Ergonómica: No rompe el paradigma de los desarrolladores. Intuitiva: Fácil de utilizar, aún sin
documentación
• Fallo: Difícil de usar mal. El uso incorrecto debería llevar a errores visibles
• Segura(safe): Los valores por omisión deberían ser seguros y nunca ambiguos
• Comprobable “Testable”: Modo de prueba. Si los desarrolladores necesitan correr pruebas ellos
pueden reducir la protección por conveniencia
• Legible: Fácil de leer y mantener el código que lo utiliza/Actualizable
• Explicada: Ayuda con /maneja la interacción con el usuario final, y proporciona mensajes de error
en donde es posible
Matthew Green and Matthew Smith IEEE Security & Privacy 14(5), Sept.-Oct. 2016.
97
La Utilización Huele: Un Análisis de la Lucha de los Desarrolladores con las
Bibliotecas Criptográficas
Cirugía de Escopeta de Fowler
Clase B Clase C Clase D Clase E
“Uno se las huele cuando cada vez que usted hace

un medio cambio, usted tiene que realizar muchos
pequeños cambios a muchas diferentes clases.
Cuando los cambios están por todos lados, son Clase F Clase G Clase H Clase I
difíciles de encontrar, y es fácil pasar por alto un
cambio importante”
– Definición de Cirugía de Escopeta.
Nikhil Patnaik, Joseph Hallett and Awais Rashid

Clase A
Proceedings of 15th lnternational Symposium on
Usable Privacy and Security (SOUPS) 2019.
Necesita un súper-sabueso Reina la Confusión

Usted huele esto cuando falta Uno se las puede oler cuando los
documentación, es poco clara, desarrolladores están diseñando

o falta un ejemplo de código y creando los prototipos de sus
pertinente de cómo usar la programas –tratan de decidir si
biblioteca está es la biblioteca correcta que
deben utilizar y cómo deben
empezar a utilizarla
Se necesita un post-mortem No Funciona Bien con Otros

El desarrollador ha utilizado la Este olor aparecer cuando la
biblioteca, pero algo ha salido biblioteca no se aprovecha, no
mal. Ya sea que han utilizado la se integrará con otras
biblioteca de forma incorrecta o bibliotecas, ni construirá
están batallando tratando de sistemas, y es un acaparador de
descifrar si es un problema con recursos sin proporcionar una
la misma biblioteca explicación clara de porqué
98
Derechos en Línea
Módulo 5: Privacidad y
99
Introducción
• El objetivo de esta área de conocimiento es introducir a los diseñadores de sistemas a los conceptos
y tecnologías que se utilizan para diseñar sistemas que protegen inherentemente la privacidad de
los usuarios
• La privacidad es reconocida como un derecho humano fundamental
• “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honor y reputación”
Visión General
• Privacidad como Confidencialidad

• Confidencialidad de datos
• Confidencialidad de metadatos
• Privacidad como control
• Soporte para la configuración de la configuración de privacidad
• Soporte para la negociación de políticas de privacidad
• Soporte para la interpretabilidad de la política de privacidad
• Privacidad como transparencia
• Transparencia basada en comentarios
• Transparencia basada en auditoría
• Tecnologías de privacidad y valores democráticos
• Las tecnologías de privacidad como apoyo a los sistemas políticos democráticos

• Resistencia a la censura y libertad de expresión
• Ingeniería de privacidad
Privacidad como Confidencialidad
En una reinterpretación técnica de la definición de privacidad del "derecho a que lo dejen en paz",
una conceptualización común de la privacidad es evitar que la información personal sea accesible a
cualquier entidad, en particular a un público más amplio.
Bajo esta definición, el objetivo de las tecnologías de privacidad es permitir el uso de servicios mientras
se minimiza la cantidad de información expuesta. Aquí, la información se refiere tanto a los datos
intercambiados explícitamente con el servicio como a la información implícitamente disponible en los
Metadatos asociados con estos intercambios (p. ej., la identidad de los usuarios o la frecuencia de uso).
100
¿Cuál es el problema?
• Intercambio de Datos
• Llenar un cuestionario de salud en el consultorio médico
• Revelar la ubicación y la hora de la gran fiesta que harás en casa a tus amigos cercanos
• Contextual: La misma información en otro entorno puede ser una fuga de privacidad
• Probablemente a sabiendas del alcance y las partes involucradas
• Recolección de datos
• Como consecuencia de una actividad o
interacción
• Navegando en una cafetería

• Dirección MAC registrada para la creación
de perfiles en las visitas a la tienda
• Información DNS sobre las visitas al sitio
web
• Café o refrigerios pagados (nombre e
información financiera)

• Es probable que desconozca o no esté
informado sobre el alcance o las partes
involucradas
¿Qué es la privacidad?
• Sobre las Personas
• Identificando información que conduce a una persona física
• Vincular a las personas con sus

• Creencias
• Circunstancias
• Asociaciones
• Comportamientos y más
101
Definiendo la Privacidad
• La Privacidad como un Derecho Humano

“Nadie será sometido a una interferencia de forma arbitraria con su intimidad, familia, domicilio o
correspondencia, ni a ataques a su honor y reputación”
-Artículo 12, Declaración de las Naciones Unidas sobre los Derechos Humanos Universales.
• Más Artículos:
• “Autodeterminación de la información”
• “El derecho a estar solo”
• “La libertad de restricciones irrazonables en la construcción de la propia identidad”
Privacidad como…
• Transparencia
• Control
• Confidencialidad
Privacidad como Transparencia

• Informe
• Lo que se recolecta y
• Para que fines

• Por quién
• Por cuánto tiempo
• Y así sucesivamente
• Políticas de Privacidad
• Reportes de Transparencia
Privacidad como Control
• Control
• Si los datos pueden ser usados/compartidos
• Qué tipo de acceso se otorga
• Qué tipo de procesamiento se puede hacer
• Formulario de Consentimiento
102
Límites del Control y Transparencia
• No hay forma de prevenir (controlar) lo que se revela

• Direcciones IP en el tráfico de red
• No debe haber posibilidad de enumerar una lista explícita de información (transparencia)
• Unir dos o más fuentes de datos para formar un perfil más completo
• Rastreadores de anuncios
• Información correlacionada y recolectada forma inesperada en la colección
• Datos genómicos de los miembros de la familia

• Ocultando tu información
• Encripción
• Clave secreta requerida
• Ofuscación
• Sin secretos criptográficos
• Sepa dónde buscar y cómo deshacer la ofuscación
Panorama de Amenazas a la Privacidad

• Datos (en reposo, en tránsito o en proceso)
• Publicaciones, actualizaciones de estado, tweets, imágenes, registros
• Genómico
• Ubicación (registros, mapas)
• Meta-datos
• Tiempo, duración de los mensajes, direcciones IP
• Huellas digitales de dispositivos/aplicaciones
Enfoque Formal para el Control de Inferencia
• Dos variantes
• Local: El ruido se agrega antes de que se agregue a la base de datos
• Global: Se agrega ruido a la respuesta de la consulta y hay un controlador de solicitud de base
de datos que media entre el solicitante de la consulta y la base de datos
• Compare el caso en el que la base de datos se desinfecta y luego se publica públicamente,
como antes
103
Confidencialidad de datos
Control de acceso basado en criptografía
Protección de datos durante el transito
• Protección de datos durante el procesamiento

• Verificación en el dominio encriptado
• Verificación privada de entrada de cómputo
• Autenticación privada
• Pagos privados
• Control de inferencia basado en ofuscación
• Anonimato
• Generalización
• Supresión
• Perturbación
• Nos gustaría mantener nuestros datos privados (no compartidos), pero también usarlos para realizar
cálculos útiles en colaboración con otros
• ¿Es eso posible?
• Cómputo multipartes seguro

• Cifrado homomórfico
Confidencialidad de Datos
• Existen cuatro técnicas principales para ofuscar datos, como se describe a continuación. Observamos
que estas técnicas están mayormente orientadas a ofuscar campos numéricos o categóricos. Ocultar
contenido más complejo, como el texto libre, es una tarea mucho más difícil debido a las correlaciones
que son difíciles de eliminar de manera sistemática
Tabla 1: Base de datos de ejemplo
104
Anonimización:
Una técnica común utilizada para permitir el procesamiento de datos sin riesgo para las personas es la
anonimización de datos. La anonimización, como su nombre indica, busca desvincular la identidad de la
información

Generalización:
Esta técnica consiste en reducir la precisión con la que se comparten los datos, con el objetivo de reducir la
precisión de las inferencias del adversario. La generalización se puede lograr a través de una reducción de
precisión directa de los valores compartidos, o una segmentación (es decir, un mapeo de valores a rangos)
antes de que se publiquen los datos


Supresión:
Esta técnica consiste en suprimir parte de la información antes de que sea puesta a disposición del
adversario. La razón detrás de la supresión es que cuantos menos datos se proporcionen al adversario, más
difícil le resultará hacer inferencias. La estrategia de supresión, que decide qué información ocultar, es clave
para el nivel de protección de la privacidad que dicho esquema puede brindar
105

Adición Ficticia:
Esta técnica consiste en añadir puntos de datos falsos, los llamados dummies, a los datos puestos a
disposición del adversario para ocultar cuáles son las muestras reales.
La idea es que, como el adversario considera puntos falsos al ejecutar el ataque, su inferencia tendrá errores.

Perturbación:
Las técnicas de perturbación inyectan ruido en los datos puestos a disposición del adversario.
El ruido tiene como objetivo reducir el rendimiento de inferencia del adversario.
De manera similar a las técnicas de supresión, la estrategia utilizada para introducir ruido juega un papel
crucial en el nivel de privacidad proporcionado
106
Confidencialidad de Metadatos
Hay tres tipos de metadatos que han demostrado ser extremadamente vulnerables a los ataques a la
privacidad: los metadatos de tráfico, asociados a la infraestructura de comunicación; metadatos del
dispositivo, asociados con la plataforma que genera los datos, y metadatos de ubicación, asociados con
la ubicación física desde la que se generan los datos.
Tráfico de metadatos
La información de la capa de red, como las identidades de los participantes en la comunicación
(direcciones IP), la cantidad y el tiempo de los datos transferidos o la duración de la conexión, es

accesible para los observadores incluso si las comunicaciones están encriptadas u ofuscadas. Esta
información, comúnmente conocida como datos de tráfico, puede explotarse para deducir información
privada potencialmente sensible sobre la comunicación.
Metadatos del dispositivo

En los servicios de Internet optimizados de hoy, las características concretas de los dispositivos de los
usuarios se envían con frecuencia junto con sus solicitudes de datos para optimizar las respuestas de los
proveedores de servicios. Incluso si los usuarios son anónimos en la capa de red, estas características
pueden convertirse en un cuasi-identificador que permite a los proveedores de servicios rastrear a los
usuarios en la web.
Ubicación de metadatos
Finalmente, la ubicación geográfica de un usuario revelada a los servicios en línea se puede utilizar para
inferir información confidencial. Esta información puede revelarse de manera explícita, por ejemplo,
cuando el usuario realiza consultas a servicios basados en la ubicación para encontrar puntos de interés
cercanos o amigos; o implícitamente, por ejemplo, cuando se asocian coordenadas GPS a fotografías
o contenidos publicados en redes sociales, o se infieren del punto de acceso utilizado para acceder a
Internet.
107
Privacidad como Control
Soporte para la configuración de los ajustes de privacidad
La configuración de privacidad son esos controles en un servicio web que permiten a los usuarios
expresar sus preferencias con respecto a cómo los datos deben ser revelados a otros usuarios,
compartidos con terceros y procesados por los proveedores de servicios.
Soporte para la negociación de políticas de privacidad

Las tecnologías anteriores dan soporte a los usuarios a la hora de configurar sus ajustes de privacidad
en un servicio online. Una línea de trabajo ortogonal se dedica a automatizar la comunicación de las
preferencias de los usuarios al servicio, o entre servicios.
Soporte para la interpretabilidad de la política de privacidad

Para configurar los ajustes de privacidad de acuerdo con sus expectativas de cómo deben manejarse los
datos, los usuarios deben comprender las políticas de privacidad que describen los significados de estos
ajustes. Estas pólizas suelen ser largas, detalladas y contienen muchos términos legales; y a menudo
evolucionan con el tiempo. Por lo tanto, los usuarios los encuentran difíciles de entender.
Privacidad como Transparencia

A diferencia de las tecnologías que limitan la divulgación de datos o el uso de los datos divulgados,
los mecanismos de transparencia analizan las actividades en línea de los usuarios para brindarles
comentarios sobre las implicaciones de sus acciones o realizar auditorías para verificar que no haya
habido una violación de la privacidad.
Transparencia basada en comentarios.

Transparencia basada en auditorías.
Tecnologías de Privacidad
La protección de la privacidad es crucial para sustentar los valores que sustentan nuestras sociedades
democráticas.
Dos ejemplos que resaltan la importancia de las tecnologías de privacidad para apoyar la democracia
1. Las tecnologías de privacidad como apoyo a los sistemas políticos democráticos.

Voto electrónico (eVoting)
Peticiones anónimas
2. Resistencia a la censura y libertad de expresión.
Los sistemas de censura intentan imponer una distribución particular de contenido a través de un
sistema.
108
Resistencia a la censura en la publicación de datos.
Resistencia a la censura de acceso a datos.
Ingeniería de la Privacidad
La creciente preocupación por la privacidad en la sociedad ha hecho que el concepto de "privacidad por
diseño" sea muy popular entre los responsables políticos.
Este concepto aboga por el diseño y desarrollo de sistemas que integren valores de privacidad para
abordar las preocupaciones de los usuarios.
Los dos objetivos principales al diseñar sistemas de preservación de la privacidad son:

• Minimizar la confianza
• Minimizar el riesgo
Para minimizar tanto la confianza como el riesgo, los expertos en privacidad suelen diseñar sistemas de
acuerdo con las siguientes estrategias:
• Minimizar la recopilación: Siempre que sea posible, limitar la captura y el almacenamiento de

datos en el sistema
• Minimizar la divulgación: Siempre que sea posible, restringir el flujo de información a partes

distintas de la entidad con la que se relacionan los datos. Esto se refiere tanto a los flujos directos
entre emisores y receptores como a los flujos indirectos, por ejemplo, el uso de técnicas de
control para limitar la información disponible al publicar o consultar un conjunto de datos
• Minimizar la replicación: Siempre que sea posible, limitar el número de entidades donde los
datos se almacenan o procesan en claro
• Minimizar la centralización: Siempre que sea posible, evitar un punto único de falla con respecto
a las propiedades de privacidad en el sistema
• Minimice la vinculabilidad: Siempre que sea posible, limitar la capacidad del adversario para
vincular datos
• Minimice la retención: Siempre que sea posible, limitar la cantidad de tiempo que se almacena
la información
Las estrategias para minimizar la información innecesaria son :
• Mantener los datos locales: Realizar cualquier cálculo sobre datos confidenciales del lado del
usuario y solo transmitir el resultado de la operación. Puede ser necesaria información adicional,
como pruebas de conocimiento cero o compromisos, para garantizar la corrección de las operaciones
109
• Encriptar los datos: Cifrar los datos localmente y enviar solo la versión cifrada a otras entidades. Si
es necesario realizar alguna operación sobre los datos, consultar el siguiente punto
• Utilzar protocolos criptográficos que preserven la privacidad: Procesar datos localmente para
obtener entradas a un protocolo en el que, al interactuar con las entidades que no son de confianza
utilizando uno de los protocolos presentados en las secciones anteriores, el usuario puede obtener
o probar información mientras limita la información disponible para esas entidades
• Ofuscar los datos: Usar técnicas para controlar la inferencia para procesar los datos localmente y
solo envíe la versión perturbada a la entidad que no es de confianza
• Anonimizar los datos: Procesar los datos localmente para eliminar información identificable y
enviarla a la parte que no es de confianza a través de un canal anónimo
Evaluación de la Privacidad
Esta evaluación tiene como objetivo cuantificar el nivel de privacidad que la tecnología y,
respectivamente, el sistema, pueden proporcionar.
Para las tecnologías de privacidad basadas en primitivas criptográficas, la evaluación de la privacidad

generalmente cubre las pruebas criptográficas que aseguran que las operaciones solo filtren la
información deseada.
Por el contrario, para las técnicas de privacidad basadas en ofuscación, es necesario realizar un análisis
para validar que la combinación de técnicas proporciona el nivel de privacidad deseado.
Conclusiones
La protección de la privacidad no se limita a garantizar la confidencialidad de la información.

También requiere medios para ayudar a los usuarios a comprender hasta qué punto su información está
disponible en línea y mecanismos que permitan a los usuarios ejercer control sobre esta información.
Preservar la privacidad y los derechos en línea no solo es importante para las personas, sino que es
esencial para apoyar las sociedades democráticas.
El despliegue de tecnologías de privacidad es clave para permitir a los usuarios el libre acceso al
contenido y la libertad de expresión.
110
Módulo 6: Malware y
Tecnologías de Ataque
111
Introducción
• Taxonomía del Malware

• Actividades Maliciosas por el Malware
• Análisis de Malware
• Análisis Ambiental
• Identificar el Análisis de Ambientes
• Anti-Análisis y Técnicas de Evasión
• Detección de Malware
• Respuesta del Malware
Malware
Malware es la abreviatura de 'software malicioso,
es decir, cualquier programa que realiza
actividades maliciosas. Usamos los términos
malware y código malicioso indistintamente.
El malware viene con una amplia gama de

formatos y formas, y con diferentes clasificaciones
en consecuencia, por ejemplo, virus, troyanos,
gusanos, spyware, malware de botnet,
ransomware, etc.
Taxonomía del Malware

• Muchos tipos de Malware
• Frecuentemente referidos como
“Programas Potencialmente” No Deseados
(PUPs)"
• Identificar características comunes
• Útil para desarrollar contramedidas generales
• Identificar las seis dimensiones principales
112
Taxonomía del Malware: Dimensiones
• (1) Autónomo vs Programa en Host

• ¿Es un programa independiente o es parte
de otro programa?
• (2) Persistente vs transitorio
• ¿Está en los archivos del sistema o solo en
la memoria?
• (3) Capas de la pila del sistema
• Firmware, sector de arranque, kernel del
sistema operativo, controladores, API,
aplicaciones de usuario
• (4) ¿Propagación automática?

• ¿Se propaga automáticamente o la infección Email
ocurre a través de las acciones del usuario?
(por ejemplo, correos electrónicos)
• (5) ¿Actualizaciones Dinámicas?
• Estático (una sola vez) vs actualizado
dinámicamente

• (6) ¿Coordinado?
• ¿Es parte de una red coordinada (por
ejemplo, botnets)?
Taxonomía: Ejemplos
¿Autopropagación?
dinámicamente
Pila de capas de
independiente
¿Coordinado?
Persistente o
Actualizable
anfitrión o
transitorio
Programa
sistemas
virus Programa anfitrión persistente Firmware y

extensiones de navegador aplicación superior
Programa anfitrión persistente
maliciosas
Malware de botnet ambos persistente Núcleo y superior
Malware alojado en Independiente transitorio Núcleo y superior

memoria
bristol.ac.uk
113
Programas Potencialmente No Deseados (PUPs)
Un programa potencialmente no deseado (PUP) suele ser un fragmento de código que forma parte de
un programa útil descargado por un usuario.
Por ejemplo, cuando un usuario descarga la versión gratuita de una aplicación de juego móvil, puede
incluir adware, una forma de PUP que muestra anuncios publicitarios en la ventana del juego.
A menudo, el adware también recopila datos del usuario (como ubicación geográfica, tiempo dedicado
al juego, amigos, etc.) sin el conocimiento y consentimiento del usuario, con el fin de mostrar anuncios
más dirigidos al usuario para mejorar la eficacia de la publicidad.
Los PUP están en un área gris porque, si bien el acuerdo de descarga a menudo contiene información
sobre estos comportamientos cuestionables, la mayoría de los usuarios tienden a no leer los detalles
más finos y, por lo tanto, no entienden exactamente lo que están descargando.
Actividades Maliciosas del Malware
• El malware codifica actividades maliciosas intencionadas por un atacante

• Los ataques de malware requieren un enfoque de varios pasos
• Ejemplo:
• Dispositivo USB dejada en el estacionamiento

• Alguien por curiosidad lo toma y lo mete en un pc
• La llave USB contiene malware de instalación automática
• Exfiltra información
• Modelo de Cyber Kill Chain
Confidencialidad: Puede robar datos valiosos, por ejemplo, información de autenticación del usuario
y datos financieros y de salud.
Integridad: Puede inyectar información falsificada (por ejemplo, enviar correos electrónicos no
deseados y de phishing, crear clics fraudulentos, etc.) o modificar datos.
Disponibilidad: Puede enviar tráfico como parte de un ataque de denegación de servicio distribuido
(DDoS), utilizar una gran cantidad de recursos informáticos (por ejemplo, para extraer criptomonedas)
o cifrar datos valiosos y exigir el pago de un rescate.
114
El Modelo Cyber Kill Chain
Reconocimiento Recopilación de información

Explotación Ejecuta el exploit en el sistema de la víctima
Armamento Instalación Se instala permanentemente en el sistema objetivo

Prepara exploits en cargas maliciosas
Command and Control

Entrega Se envía carga maliciosa (C&C) Establece conexión de comando remoto
Acción sobre objetivos
Paso Actividades
Reconocimiento Recolección de direcciones de correo electrónico,

identificar computadoras y cuentas vulnerables, etc.
Armamento Diseño de exploits en una carga útil entregable.
Entrega Entregar la carga útil del exploit a una víctima por correo electrónico,
Descarga web, etc.
Explotación Explotar una vulnerabilidad y
ejecutar código malicioso en el sistema de la víctima.
Instalación Instalar malware (adicional) en el sistema de la victima.

Comando y Control Establecimiento de un canal de comando y control para los atacantes
para controlar remotamente el sistema de la víctima.
Acciones sobre objetivos Llevar a cabo actividades maliciosas en el sistema y la red de la víctima.
115
Ecosistema Clandestino
• Cibercrimen Organizado
• Promueve todo el ciclo de vida del malware
• Desarrollo
• Despliegue
• Operaciones
• Monetización
• Roles Especializados
• Negación Plausible
• Malware más efectivo
• Desarrollo de 9 a 5 malwares
• Mercados Clandestinos
Objetivos de Acción
• Toolkits
• Herramientas automatizadas intuitivas (ej., keyloggers)
Campañas
•
• Ataques a gran escala (ej., botnet)
• De larga ejecución
• Amenazas Avanzadas Persistentes
• Organización específica al objetivo
• Bajo y lento
• Movimiento lateral y filtración de datos
116
¿Por qué analizar el Malware?
• Los beneficios incluyen:

• Comprender las actividades maliciosas
previstas
• Útil para la atribución
• Comprender y predecir tendencias/alcance
de los ataques de malware
• Tres fases típicas:
• Entender el Formato del Malware
• Análisis Estático
• Análisis Dinámico
Adquiriendo la Información del Malware
• Sensores de red/host en entorno protegido

• Capturar al Malware “vivo”
• Esfuerzos de Recopilación de Malware
• Ej. Investigadores

• Intercambio de Inteligencia sobre Amenazas
• Responsabilidades Éticas/Legales
• Evitar el daño
• Responsabilidad Compartida
Análisis Estático
• Examinar el código del Malware sin ejecutarlo
Análisis del
• Código Binario programa
• Código Intermedio(ej., código de bytes)
• Código fuente
• Pros
• Mejor cobertura de Comportamientos
• Seguro
• Limitantes
• Comportamientos sobreestimados
• Débil a la ofuscación
117
Análisis Dinámico
• Supervisa el comportamiento en tiempo de

ejecución del malware para identificar el
comportamiento malicioso
• Por lo general, de una capa de pila más baja
que la del propio malware.
• Pros
• Ves el comportamiento real
• (Relativamente) es independiente del
lenguaje
• Limitaciones
• Infravalorar el comportamiento (cobertura,
disparadores)
• Entornos vivos y seguros
Otras Técnicas de Análisis

• Fuzzing
• Entrada aleatoria a programas
• Para descubrir vulnerabilidades/errores/fallos
• También desencadenar comportamiento de malware
• Limitación: cobertura de código

• Ejecución Simbólica
• Trata variables y ecuaciones como símbolos y fórmulas que potencialmente pueden expresar
todas las rutas del programa
• Limitación: Convergencia (necesita ejecutar de extremo a extremo, uno a la vez)
• Ejecución Concólica
• Combina ejecuciones concretas y simbólicas
• Ejecución concólica en línea: bifurcación en todas las ramas posibles
118
Entorno de Análisis
• Ambientes Dedicados a Análisis Dinámicos Internet?

C&C
• Compensación de resultados/costo
Vivo?
• Costo
• Tiempo de Análisis
• Esfuerzo Humano Manual
• Otros Aspectos:
• Seguridad
• Entorno vivo
Entornos Comunes
• Emulador de Maquina
• Emulación de arquitectura basada en código
• Hipervisor Tipo 2
Facilidad de uso
• Ejecución en el sistema operativo anfitrión, proporciona
ility
Visib
un servicio de virtualización para el hardware
Hipervisor Tipo 1

•
• Se ejecuta directamente en el software del sistema
• Maquina de Metal
• Sin virtualización
Emulador de maquina Hipervisor tipo 2 Hipervisor tipo 1 Maquina Desnuda

Ejemplos Desventajas Ventajas Arquitectura
Se ejecuta en el sistema
Se ejecuta directamente Sin virtualización
operativo anfitrión,
Emulación de en el hardware del
proporciona servicio de
arquitectura basada en sistema
virtualización para
código hardware
Introspección de grano Transparencia media, Alta transparencia,
Introspección de grano
fino fácil de usar introspección de grano Sin artefactos de entorno
fino fácil de usar,
Poderoso control sobre fino, virtual
Potente control sobre el
el estado del sistema Baja sobrecarga para la
estado del sistema
interacción del hardware
Falta de introspección de
Baja transparencia, grano fino,
Artefactos de baja
Soporte en la falta de Menos control sobre el Problemas de
transparencia de la
fiabilidad de la estado del sistema escalabilidad y costes,
paravirtualización
semántica de la Más lento para restaurar
arquitectura. al estado limpio
119
Seguridad y Entornos Vivos
• Seguridad
• El malware puede realizar acciones Internet?
maliciosas. ¿Podemos permitirlo? C&C
Vivo?
• También Implicaciones Legales
• Entornos de Red virtualizados
• Entorno Vivo
• ¿Exhibe el malware comportamientos
maliciosos previstos?
• Conectividad de la red
• Usuarios Reales en la maquina
• C&C/servidores de actualización en
línea
Técnicas de Anti-Análisis y Evasión

• Evadiendo Métodos de Análisis
• Anti-desmontaje
• Ofuscación
• Empaquetado
• Ofuscación del Flujo de control
• Emulación de código
• Identificando los entornos de análisis
• Pruebas de pastillas rojas (p. ej.,
discrepancias en las instrucciones de la
CPU)
• Entorno Vivo
• Eventos de usuario, registros,
historial
• Aplicaciones instaladas
120
Objetivo de la Detección de Malware
Identificar la presencia de Malware
• Nivel de red (por ejemplo, distribución)

• A nivel de host (p. ej., almacenado/en memoria)
•
• Los AV o IDS pueden prevenirlo Indicadores de Compromiso(IoCs)
• Características y artefactos del malware
Firma
Evasión y Contramedidas
• El malware se distribuye comúnmente a través

de una descarga de Internet. Un programa
vulnerable orientado a Internet que se ejecuta
en una computadora puede explotarse para
descargar malware en la computadora
• Evasión de la detección de uso indebido
basado en firmas
• Empaquetado
• Polimorfismo
• Actualización Rutinaria
• Las heurísticas (p. ej., alta entropía) pueden dar
lugar a falsas alarmas
121
Detección de Ataque de Malware
• Solución: Enfocarse en detectar actividades

maliciosas a nivel general
• Detección de anomalías
• Monitoreo basado en redes
• Eventos en la red
• Nombres de Dominio
Prevenir infección
• Actividades Temporales o detectarla
• Monitoreo basado en Host durante la
ejecución
• Archivos del sistema
• Procesos
• Llamados del sistema Ejemplo: Ransomware
Operaciones de cifrado
anómalas
Para la detección de ransomware, los enfoques principales incluyen monitorear las actividades del
host involucradas en el cifrado. Si hay un proceso que realiza una gran cantidad de modificaciones
significativas en una gran cantidad de archivos, esto es indicativo de un ataque de ransomware [82]. Las
modificaciones "significativas" reflejan el hecho de que cifrar un archivo hará que su contenido cambie
drásticamente de su contenido original.
Dado que las redes de bots llevan a cabo muchas actividades maliciosas, es importante incluir métodos
de detección de redes de bots.
Los bots de la misma botnet están controlados por el mismo atacante y realizan actividades maliciosas
coordinadas.
Análisis de Seguridad Basado en ML
• Machine Learning
• Funciones estáticas y dinámicas
• Construir modelos a partir de datos
• Distinguir objetos benignos de maliciosos
122
Detección de Malware Basada en ML
• Carácterísticas estáticas y dinámicas

• Aplicaciones exitosas: Botnet
• Algoritmos de generación de dominio
(DGA)
• Operaciones de flujo rápido
• Comunicaciones del servidor C&C
• Limitantes del ML:

• Challenging Feature Engineering
• Adversarial attacks Aprendizaje profundo:
• Costly labeling for malware Poca explicabilidad
Evasión de la Detección de Malware Basada en ML

• Los atacantes son muy conscientes de los
métodos de detección que se han desarrollado
y están empleando técnicas de evasión para
que sus ataques sean difíciles de detectar
Contramedidas parciales

• Ataque de mimetismo
• Conjunto de modelos
• Evasión
• Optimización robusta
• Recreación de un comportamiento normal
• Descarte del aprendizaje
(ej., secuencia de llamados del sistema)
de muestras antiguas
• Ataque de combinación polimórfica del
(contra el envenenamiento
tráfico de red
• Inyección de ruido dirigida

• Envenenamiento: “basura entra, basura
sale”
123
Deriva Conceptual
Nuevo tipo de malware

(diferente distribución)
Tiempo
• El Malware Evoluciona Rápidamente
• Soluciones:
• Aprendizaje Activo
• Aprendizaje En Línea
Periodo de prueba (mes)
Respuesta del Malware

• Después de la detección y posible mitigación, ¿qué podemos hacer?
• Eliminar el malware y recuperar los datos y servicios de copias de seguridad seguras

• Actualizar las reglas correspondientes del sistema de detección de intrusos en la red y el Firewall,
para prevenir y detectar futuros ataques
• Intento de eliminar la infraestructura de comando y control (C&C) de malware
• Interrupción de las operaciones de malware
• Tumbar
• ‘Hundir' los dominios
• Partición de la botnet P2P en subredes aisladas
• El malware también se ha vuelto cada vez más resistente al incluir planes de contingencia
124
Interrupción de las Operaciones de Malware
• El malware suele ser resistente y tiene planes

de contingencia
• Identificar los mecanismos de C&C
Posibles
• Algoritmos DGA de ingeniería inversa
implicaciones legales
• Identificar la red de respaldo P2P
a verificar antes de
• Desmantelar la red tomando el control de la
proceder
infraestructura

Atribución
• Las fuerzas del orden quieren identificar a los
actores maliciosos reales
• Algunas pistas para la atribución :

• Registros WHOIS
• Estilo de codificación Dirección Correcta:
• Características lingüísticas Integrar múltiples flujos
• Gráficos de flujo de control y fuentes de datos y
evidencia.
• Limitaciones:
• Los registros de WHOIS a menudo se
anonimizan
• Las herramientas a menudo se reutilizan
• Falsas banderas para engañar a la atribución
125
• Identificación de los autores del malware
• Identificar al atacante virtual es un primer paso importante hacia este objetivo. Un atacante puede
tener estilos de codificación consistentes, reutilizar los mismos recursos o infraestructuras, o
usar prácticas de C&C similares
• Estilos de programación y calidad del código

• Secuencia de instrucciones y diagrama de flujo de registro
• Los dominios C&C de fraude publicitario de botnet TDSS/TDL4 desconocidos comparten la
misma infraestructura de IP con dominios conocidos, y están registrados por el mismo conjunto
de direcciones de correo electrónico y servidores de nombres
Evasión y Contramedidas
Muchos autores de malware reutilizan diferentes kits por la comodidad que ofrece el modelo de
negocio de la economía clandestina.
Los autores también pueden evadir la atribución colocando intencionalmente "señales falsas" en el
malware.
La información de registro de dominio, WHOIS, es una fuerte señal para la atribución de ataques. El
mismo atacante a menudo usa un nombre, dirección e información de la empresa falsos siguiendo un
patrón.
La interrogación de malware ayuda a recuperar más dominios de C&C utilizados por el mecanismo de
respaldo, lo que ofrece más oportunidades para la atribución.
Conclusión
• Los atacantes usan malware para llevar a cabo actividades maliciosas en su nombre
• Diferentes capas de la pila del sistema
• Posiblemente haya infraestructura de apoyo
• Botnets
• Buscan evitar la detección y atribución
• Análisis de detección de entorno
• Ofuscación
• Los defensores deben trabajar en

• Entornos de análisis transparentes al malware
• Algoritmos de análisis de programas especializados
126
• Técnicas basadas en ML
• Estrategias de respuesta al malware (p. ej., eliminación)
127
128
Adverso
Módulo 7: Comportamiento
Introducción
Una caracterización de los Crímenes de adversarios cibernéticos y ciberdependientes

• Delincuentes interpersonales
• Delincuentes organizados cibernéticos
• Delincuentes organizados ciberdependientes
• Hacktivistas
• Actores estatales
Los elementos de una operación maliciosa

• Programas de afiliados
• Vectores de infección
• Infraestructura
• Servicios especializados
• Servicios Humanos
• Métodos de pago
Modelos para comprender las operaciones maliciosas

• Árboles de ataque
• Criminología ambiental
• Atribución de ataque

El internet ha creado múltiples oportunidades para que los adversarios causen daño.
Esta lección brinda una descripción general de las actividades maliciosas que ocurren en Internet hoy
en día, centrándose en los elementos que necesitan los adversarios para tener éxito en sus operaciones.
Una Caracterización de Adversarios

Nuestra caracterización se basa en la motivación de los delincuentes y está impulsada por estudios de
casos analizados por investigadores en los últimos años.
Delitos Cibernéticos
Delitos que existían antes de Internet, pero que aumentaron en alcance y escala (por ejemplo, fraude).
Delitos cibernéticos dependientes
Crimenes que solo son posibles mediante el uso de las computadoras (ej., DDoS).
129
Agresores Interpersonales
Ciberbullying: Enviar o publicar material dañino o participar en otras formas de agresión social
utilizando Internet u otras tecnologías digitales.
Doxing: Un ataque en el que la información privada de la víctima se publica en línea.
Ciberacoso: La práctica de utilizar medios electrónicos para acechar a otra persona.
Sextorción: Atraer a las víctimas para que realicen actos sexuales frente a una cámara y amenazar con
publicarlos a menos que se pague un rescate.
Depredación de niños: Los delincuentes encuentran a sus víctimas a través de salas de chat, redes
sociales o plataformas de juegos en línea.
Delincuentes Organizados Cibernéticos

Cyber-enabled crimesDelitos cibernéticos cometidos por delincuentes profesionales.
Fraude de pago por adelantado: A la víctima se le promete una recompensa (económica o de otro tipo),
pero para obtenerla primero debe pagar una pequeña tarifa al estafador. Después de que se realiza
el pago, la víctima a menudo no vuelve a tener noticias del estafador. Las pérdidas pueden ascender a
240k USD.
Tráfico de Drogas: Gracias a las tecnologías de anonimización como Tor y las criptomonedas, han
surgido mercados en línea donde los usuarios consumidores de drogas pueden comprar sustancias
ilícitas y recibirlas directamente en sus hogares.
Delitos que tienen un objetivo financiero y se llevan a cabo a través de infraestructuras técnicas
complejas (por ejemplo, botnets).
Spam vía email: El correo electrónico masivo no solicitado ha estado al frente de operaciones criminales
muy exitosas, que han logrado monetizar la venta de productos farmacéuticos y productos falsificados
al llegar a miles de millones de clientes potenciales a través de mensajes maliciosos.
Phishing: Un tipo particular de spam es el phishing, donde los delincuentes envían correos electrónicos
que fingen ser de servicios genuinos (por ejemplo, banca en línea, sitios web de redes sociales)
Malware Financiero: Los delincuentes intentan instalar malware en las computadoras de sus víctimas y
robar credenciales financieras, como números de tarjetas de crédito y nombres de usuario y contraseñas
de banca en línea.
Click fraud: Los anuncios web son la forma principal en que se monetiza la web.
130
Minería no autorizada de criptodivisas. Con la creciente popularidad de las criptomonedas, se ha
abierto una nueva oportunidad para los delincuentes: usar computadoras infectadas para minar una
moneda.
Ransomware. La última tendencia en malware es Ransomware. Como parte de esta operación, los
delincuentes infectan los sistemas de sus víctimas con malware que encripta los archivos personales
del usuario (por ejemplo, documentos) y envía la clave de cifrado al delincuente, quien luego solicita un
rescate a cambio de que el usuario vuelva a tener acceso a sus datos.
Negación de servicio. Una característica que tienen todos los dispositivos conectados a Internet es la
conectividad de red. Un delincuente puede aprovechar el ancho de banda de un dispositivo infectado
para realizar un ataque de denegación de servicio distribuido (DDoS) contra un objetivo.
Hacktivistas
Definimos el acto de delito informático motivado por un fin político como hacktivismo.
Denegación de servicio: lanzamiento de ataques de denegación de servicio contra organizaciones que

van en contra de ciertos puntos de vista políticos (p. ej., Anonymous).
Fugas de datos: liberación de documentos robados al dominio público, por ejemplo, para crear
conciencia sobre los programas secretos de vigilancia de los gobiernos.

Desfiguración web: los malhechores explotan las vulnerabilidades de los sitios web de las organizaciones
con las que no están de acuerdo y las utilizan para cambiar la página de inicio del sitio web por una con
contenido político.
Actores Estatales
En los últimos años, hemos observado una escalada en el uso de ataques informáticos por parte de
actores estatales para lograr sus objetivos.
Sabotaje: Se lanzan ataques (por ejemplo, malware) para sabotear la infraestructura crítica de un país.
Espionaje: Se utiliza malware sofisticado para infiltrarse en organizaciones y robar datos confidenciales.
Desinformación. En los últimos dos años, ha surgido evidencia de que actores patrocinados por el
estado han estado involucrados en la difusión de desinformación en las redes sociales. Esto se ha hecho
a través de cuentas troll que actuaron para polarizar la discusión en línea sobre temas delicados.
131
Los Elementos de una Operación Maliciosa
Las operaciones maliciosas a menudo necesitan infraestructuras complejas para operar.
• Estas operaciones deben ser lo más eficientes posible

• Estas operaciones deben ser lo más resistentes posible
Para garantizar que las necesidades de los delincuentes se satisfagan en este escenario, en los últimos
años hemos sido testigos de una especialización en el ecosistemade ciberdelincuentes, donde diferentes
actores se especializan en elementos específicos necesarios para que la operación tenga éxito.
Luego, los malhechores intercambian estos servicios entre sí en el mercado negro.
Programas de afiliados: Esquema en el que la organización principal proporciona una 'marca' y todos
los medios necesarios para realizar pedidos, envíos y pagos.
Vectores de infección: ¿Cómo infectar a las víctimas con malware?
• Archivos adjuntos maliciosos

• Optimización del motor de búsqueda Blackhat
• Ataques de descargas no autorizadas
Comprometer a los dispositivos conectados a Internet. (IoT)
Infraestructura: ¿Dónde alojar el contenido malicioso?

• Proveedores de servicios de alojamiento de alta resistencia
• Infraestructura de mando y control
Servicios Especializados
Servicios que ayudan a los delincuentes a establecer sus operaciones.
Exploit kits: Herramientas que recopilan una gran cantidad de vulnerabilidades y se venden en el
mercado negro para que las utilicen otros delincuentes.
Los clientes pueden enfocar a sus víctimas hacia él al comprometer sitios web o usar anuncios maliciosos.
Servicios de pago por instalación (PPI): los operadores de PPI son expertos en configurar una botnet
y hacer que funcione correctamente. Luego, otros delincuentes pueden pagar al operador de PPI para
que instale malware en las computadoras infectadas en su nombre.
132
Servicios Humanos
Se necesitan servicios auxiliares para que una operación cibercriminal de extremo a extremo tenga
éxito.
• Servicios de resolución de captchas
• Cuentas falsas
• Generación de contenido
• Mulas de dinero
Métodos de Pago
Como los delincuentes necesitan que se les transfiera dinero, pueden utilizar varios métodos de pago
diferentes, cada uno de los cuales conlleva un nivel de riesgo diferente y es más o menos familiar para
las víctimas.
• Procesadores de tarjetas de crédito

• PayPal
• Western union y otros servicios de transferencia de dinero (pagos "no rastreables")
• Criptodivisas
Modelos para Entender las Operaciones Maliciosas

• Attack trees
• Kill chains
• Marcos de trabajo de criminología ambiental
• Teoría de la actividad de rutina
• Teoría de la opción racional
• Teoría del patrón del crimen
• Prevención del crimen circunstancial
• Atribución de los ataques cibernéticos
133
Árboles de Ataque: Ejemplo de un Ataque
Entrar al servidor
Explotar la
Robar contraseña
vulnerabilidad
Desarrollar Hazaña de Instalar la Adivinar Extorsión del

la hazaña compra llave contraseña propietario
Figura 1: Ejemplo de un árbol de ataque que describe la acción de irrumpir en el servidor
Cyber Kill Chain

Fases de la intrusión Kill Chain

Investigación, identificación y selección de objetivos
Reconocimiento
Emparejamiento de malware de acceso remoto con exploit en una carga dañina entregable
(por ejemplo, archivos de Adobe PDF y Microsoft Office)
Armamento
Transmisión del arma al objetivo (por ejemplo, a través de archivos adjuntos de correo
Entrega electrónico, sitios web o unidades USB)
Una vez entregado, el código del arma se activa, explotando en aplicaciones o sistemas
Explotación vulnerables.
Instalación El arma instala una puerta trasera en el sistema de un objetivo que permite el acceso
persistente
Comando y
El servidor externo se comunica con las armas demostrando "acceso directo al teclado"
Control dentro de la red del objetivo.
Acciones sobre El atacante trabaja para lograr el objetivo de la intrusión, que puede incluir la exfiltración o
objetivos destrucción de datos, o la intrusión de otro objetivo.
134
Criminología Ambiental
La criminología ambiental, en particular, es una rama de la criminología que se enfoca en los patrones
delictivos en relación con el espacio donde se cometen y con las actividades de los actores involucrados
(víctimas, perpetradores y tutores)
Teoría de la actividad rutinaria.

La teoría de la actividad rutinaria es un concepto de uso común en la criminología ambiental, que
postula que la ocurrencia de un delito está influenciada principalmente por una oportunidad inmediata
para cometer un delito.
Teoría de la elección racional.
La teoría de la elección racional tiene como objetivo proporcionar un modelo de por qué los delincuentes
toman decisiones racionales para cometer un delito.
Teoría de patrones del crimen.
Otra teoría, llamada teoría del patrón del crimen, permite a los investigadores identificar varios lugares
que están relacionados con el crimen.
Prevención del situacional del crimen.

La prevención situacional del crimen comprende un conjunto de teorías y técnicas que tienen como
objetivo reducir el crimen al reducir las oportunidades para el crimen.

• Es mucho más probable que ocurra un crimen en ciertos lugares (puntos críticos). Los delincuentes
tienden a concentrar sus servidores maliciosos en proveedores de servicios de alojamiento a prueba
de balas, que les brindan garantías de que sus operaciones pueden continuar durante largos períodos
de tiempo
• El crimen se concentra en particular en los “productos en tendencia"
• Las víctimas reincidentes tienen más probabilidades de sufrir delitos en comparación con otras
personas
La prevención del delito propone cinco categorías de mitigaciones.
1. Incrementar el esfuerzo del ataque. Las mitigaciones aquí incluyen la implementación de firewalls
y la configuración de actualizaciones automáticas para el software instalado en las computadoras.
2. Aumentar el riesgo de delincuencia. Las mitigaciones aquí incluyen la reducción del anonimato de
pago (por ejemplo, solicitar una identificación cuando alguien cobra dinero de Western Union).
3. Reducir las recompensas. Las mitigaciones aquí incluyen el bloqueo de pagos o paquetes sospechosos
o la penalización de resultados de búsqueda maliciosos.
4. Reducir las provocaciones. Los ejemplos aquí incluyen la aplicación de presión de los pares a los ISP
135
y bancos deshonestos.
5. Eliminar las coartadas. Las mitigaciones típicas en esta categoría incluyen ejecutar campañas
educativas o configurar redireccionamientos automáticos para desviar a las víctimas que hayan
visto contenido malicioso, explicarles lo que sucedió e instarles a proteger sus sistemas.
Secuencias de commando del crimen.
Otra técnica útil que puede ayudar al análisis de actividades maliciosas en Internet desde el campo de la
criminología es la secuencia de comandos del crimen.
Atribución de Ataque
Las fuerzas del orden están interesadas en comprender qué delincuentes están detrás de una
determinada operación y, en particular, atribuir operaciones delictivas cibernéticas aparentemente no
relacionadas a los mismos actores podría ayudar a construir un caso legal contra ellos.
De manera similar, los gobiernos están interesados en identificar a los culpables de los ataques que
reciben. En particular, están interesados en encontrar qué estados-nación (es decir, países) están detrás
de estos ataques.
136
Módulo 8 : Operaciones
de Seguridad y Gestión de
Incidentes
137
Introducción
• Conceptos fundamentales
• Supervisar: Fuentes de datos
• Analizar: Métodos de análisis
• Plan: Seguridad de la información y gestión de eventos
• Ejecutar: Mitigación y contramedidas
• Conocimiento: Inteligencia y analítica
• Factores humanos: Gestión de incidentes
¿De qué se trata?

• Los sistemas de información son blancos de ataques
• Recursos
• Información
• La protección completa es imposible
• Límite de uso
• Costo
• Detectar los ataques lo antes posible es la próxima mejor opción
Cronología y Alcance
Conceptos de detección de intrusos

• Detección de uso indebido
Prototipos de detección de intrución
Grupo de trabajo de
detección de instrusos
Las necesidades han evolucionado para @IETF
Información de seguridad y
gestión de eventos
satisfacer la creciente complejidad de
los sistemas, servicios y ataques. Inteligencia de amenazas cibernéticas
Orquestación de
seguridad análisis e
informes
Operaciones de Seguridad y Gestión

de Incidentes
138
Blucle MAPE-K General
Or
qu
es
ta
c i ón
de
Informa se
ción de gu
segurid ri d
ad y ge ad
stión de ,a
eventos ná
. lis
is
yg
en
er
ac
i ón
de
i nf
or
m
es
tru res
e i n se nso
so s
Análisis
c i ó os /
ven ntrus
nd
i
ra n d e
Conocimiento
p re
ó
Monitoreo -Activos Ejecución

as e c c i
-Configuraciones
tem e det
-Firmas (IOC)
pa
-Inteligencia de amenazas
cibernéticas (CTI)
de as d
tem
si s
Si s
Confir.
Eventos De
Activos
Infraestructura/Sistema de Información y Comunicación

Intercambio
Ataques Servicios de
información

Observaciones (ataques, retrodispersión, etc.)
Foros nacionales, transnacionales o industriales (CERT, ISAC), reguladores, proveedores de tecnología y otras organizaciones de intercambio de información
Componentes de MAPE-K Supervisar-Analizar-Planificar-Ejecutar

• Sistemas de Detección de Intruso (IDS)
• Supervisar sistemas y redes para crear o recopilar seguimientos de ejecución
• Analizarlos (en tiempo real) para detectar problemas y proporcionar alertas
• Plataformas de gestión de eventos e información de seguridad (SIEM)
• Analizar eventos y alertas para clasificarlos según su impacto; identificar incidentes
• Plan: seleccionar posibles respuestas a incidentes
• Ejecución: enviar recomendaciones a los analistas de sistemas y redes
• Plataforma de orquestación de seguridad, análisis e informes (SOAR)
• Analizar más a fondo la información recopilada (eventos, alertas, incidentes)
• Plan: evaluar los planes de respuesta según el impacto comercial
• Ejecutar: automatizar parcialmente la implementación de planes de respuesta
139
Despliegues de las Tecnologías SOIM
• Segmentación de la red por zonas

• Sensibilidad
• Cantidad de intercambios
• Sensores y fuentes de registro implementadas para recopilar rastros y detectar comportamientos
maliciosos
• Red privada para recopilar fuentes de eventos y alertas
• Plataforma SIEM para la gestión de eventos, alertas e incidencias
• Soporte técnico del Centro Operativo de Seguridad (SOC)
Principios de Arquitectura - Arquitectura Típica
Zona delimitada
Red Privada (red de intercambio) Red Pública
Red de vigilancia de la seguridad Intrusión

Detector
Sensor
Archivo de
Centro Operativo de Seguridad (SOC) registro
140
Detección de Intrusos y Sistemas de Prevención
• Procesar rastros de ejecución

• Representante de la actividad de un « sistema »
• Habilitar la diferenciación entre actividad normal y maliciosa
• Separar la actividad apropiada de la maliciosa

• Justificación de la sospecha (qué)
• «Evidencia» de ser posible (por qué)
• Niveles de sospecha que se usan con frecuencia
• Alerta: Síntoma de mala conducta
MONITOR: Fuentes de Datos
Fuentes de datos
Red Anfitrión

Paquetes Agregados Infraestructura Sistema y
Solicitudes
de Red de la red de red Kernel
Registros del Archivos y

Encabezados Carga útil Enrutamiento Nombramiento
servidor web documentos
Data sources
Panorama landscape
de las fuentes de datos
141
Fuentes de Datos de Red: Posibles Detecciones
• Paquetes de red
• Portadores de ataques (ejemplo, malware en carga dañina)
• Síntomas de compromiso (ejemplo, conexión a la infraestructura Command & Control)
• Agregados de red
• Desviaciones en patrones de tráfico (puertos, conversaciones, volumen)
• Infraestructura de red
• Uso del Sistema de Nombres de Dominio (DNS) para comando y control
• Manipulación de la infraestructura de enrutamiento para redirigir el tráfico u ocultar actividad
maliciosa
Fuentes de Datos de Aplicación

• Seguimientos proporcionados por las aplicaciones relacionadas con su comportamiento en tiempo
de ejecución
• Servidores web en particular
• Representación de actividades específicas
• Usualmente recolectados a través de mecanismos del sistema.

• Unix: /var/log
• Syslog
• También se incluyen documentos

• Análisis complicado
Fuentes de Datos del Sistema

• Kernel logs
• Interceptado muy bajo en la ruta de ejecución (ensamblaje)
• Centrándose en la detección de malware
• Interés en el ecosistema Android

• Comprender las interacciones entre las aplicaciones y las bibliotecas de apoyo
• El mecanismo de devolución de llamada oculta las actividades maliciosas
142
Syslog
• Infraestructura de registro genérica

• Entrada compuesta por
• Marca de tiempo
• Nombre de host
• Proceso
• Prioridad
• PID
• Mensaje
• Extremadamente útil tanto para la gestión de eventos como de alertas
Problemas Frecuentes de Fuentes de Datos

• Normalización, canonización y etiquetado
• Sintaxis de los datos
• Semántica de los datos
• Transformación para satisfacer las necesidades de los algoritmos de detección
• Ej. transformar datos de texto en forma numérica
• Flujos de datos encriptados
• Acceso limitado a la parte externa de los datos

• Flujo de datos voluminosos
• Limita la transferencia y almacenaje
• Información de identificación personal (PII)
• Conflicto entre datos técnicos y PII: direcciones de red
Análisis de Rastros
• Objetivo: Generar incidentes a partir de alertas y eventos
• Sensores de detección de intrusión
• Desplegado en el campo
• Recolección de información del evento
• Producir alertas
• Técnicas de análisis
• Detección de uso indebido
143
Del Evento al Incidente
Evento Alerta Incidente
Rastreo
Alerta 1
Evento m
Evento n Adquisición
Alerta 2
Evento o
Actividad Análisis
del sistema Evento x
o de la red Alerta …
(paquetes, Adquisición
programa, Incidente
ejecución,
Rastreo 2
Análisis
…)
Evento i
Alerta 3
Evento j
Adquisición
Evento k
Análisis
Evento l
Análisis: Del evento al incidente
Detección de Uso Indebido

• Reunir conocimiento sobre los procesos de ataque

• Modelo de ocurrencia de ataque en rastros
• Firmas
• Detección de la presencia de tales ocurrencias en el rastro actual
• Ventajas
• Las alertas se califican por una causa raíz
• Inconveniente
• Gestión del conocimiento del proceso de ataque
• Experiencia y tiempo
144
Detección de Anomalías
• Recolección de conocimientos del proceso

• Comportamiento esperado (ej. Estándares y políticas)
• Comportamientos aprendidos a través de observación
• Machine learning
• Detección de la presencia de tales ocurrencias en el rastro actual
• Definir desviación de la norma
• Ventaja
• Los ataques de procesos desconocidos son detectados por sus efectos secundarios
• Desventajas
• Diagnostico de impacto de alerta
• Selección de modelo de comportamiento (muchas posibilidades)
• Entrenamiento libre de ataques (verdad en tierra firme)
Problemas Generales en la Detección de Intrusos

• Falsos negativos
• Falsos positivos
• Falacia de frecuencia de base
• Magnitud de la diferencia entre el volumen de ataques y el volumen de actividad normal en

rastros
• Métricas para pruebas y evaluación
Arquitectura Típica Información de Seguridad y Gestión de Eventos

Zona delimitada
Red Privada (red de intercambio) Red Pública
Red de vigilancia de la seguridad Intrusión

Detector
Sensor
Archivo de
Centro Operativo de Seguridad (SOC) registro
304
145
Recolección de Datos en SIEM
• Definición de
• Esquema: Estructura y semántica de los mensajes
• Codificación: Transformación de un mensaje en una cadena de bits
• Protocolo de transporte
Formato Propietario Transporte Codificado Estructura Número de

atributos
CEF HP/Arcsight Syslog Key/value Flat 117
LEEF IBM/QRadar Syslog Key/value Flat 50
CIM DMTF Any (XML) UML 58
CADF The Open Group Any (JSON) Clases 48
(NetIQ)
CEE MITRE (Syslog) JSON, XML Structured 56
IDMEF IETF IDXP XML UML
S ecurity Operations and Incident Management - ©Hervé Debar 201 9
166
Correlación de Alerta
• Objetivos
• Reduce el número de alertas a procesar

• Identifica automáticamente los falsos positivos
• Agrupa alertas en incidentes
• Propone remediaciones
• Técnicas de correlación
• Alertas que comparten las mismas características (direcciones, puertos, etc.)
• Alertas asociadas a información contextual
• Entorno
• Inteligencia de amenazas cibernéticas
• Intercambio de información
146
Mitigación y Contramedidas Herramientas y Técnicas
• Sistemas de prevención de intrusos

• Aplican inmediatamente la remediación al flujo de datos tras la detección
• Bloquean o terminan conexiones a nivel de red
• Cambian el contenido (también conocido como parcheo virtual)
• Gestión de tráfico para ataques de denegación de servicios
• Túneles dedicados
• Anycast
• Evaluación de impacto y riesgo
• Comprender el riesgo comercial asociado con el incidente
Inteligencia y Análisis
• Fuentes de conocimiento normalizadas relevantes

• Vulnerabilidades y exposiciones comunes
• Sistema común de puntuación de vulnerabilidad
• Enumeración de debilidades comunes
• Enumeración de patrones de ataque comunes y
• Clasificación
• Tácticas adversarias, técnicas y conocimiento común

• Honeypots y honeynets
• Inteligencia de amenazas cibernéticas
• Comprender la actividad maliciosa en Internet
• Identificar amenazas relevantes y desplegar medios de detección/protección
• Compartir información comprometida
• Centros de Análisis e Intercambio de Información
Modos de operación de los atacantes

CWE Vistas
Agregados que comparten
elementos comunes
Técnicas compartidas por los atacantes
CWE referencia
Descripción de la vulnerabilidad
CVE
CVSS
Producto software,
Impacto: Vector, puntaje
proveedor, versión
147
Ciclo de Vida de la Gestión de Incidentes
Preparar Manejar Seguimiento
Establecer políticas y Comunicar

Volver a la normalidad
procedimientos
Establecer las capacidades

Analizar Identificar e implementar
operativas (personas,
herramientas) lecciones aprendidas
Mitigar
Conclusión
• Operaciones de Seguridad y Gestión de Incidentes cada vez más relevantes

• Amplia gama de dispositivos conectados
• Sistemas dinámicos complejos
• DevOps
• Habilidades requeridas en el personal

• Automatización
• Apoyo en las decisiones
148
Certificación
Módulo 9: Examen de
149
Insignia
https://www.credly.com/org/certiprof/badge/cyber-security-foundation-professional-certificate-
csfpc
Condiciones del Examen
El formato del examen es el siguiente:
• Opción múltiple
• 40 preguntas
• 24 puntos necesarios para aprobar - 60%
• 60 minutos de duración
• A libro cerrado
Dispondrá de dos intentos en los 180 días naturales siguientes a la recepción del correo electrónico inicial de
bienvenida para superar la prueba sin coste alguno.
150
www.certiprof.com
151

Material para Estudiante CSFPC™ (V062022A) SP

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Material para Estudiante CSFPC™ (V062022A) SP

Cargado por

Copyright:

Formatos disponibles

¿Quién es CertiProf®?

Nuestras Acreditaciones y Afiliaciones

CertiProf® es un miembro corporativo de Agile

Al unirnos al programa corporativo Agile Alliance,

IT Certification Council - ITCC

El propósito fundamental del ITCC es apoyar a

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Esta alianza permite que las personas y empresas

Credly es el depósito de insignias más grande

Los portadores de esta insignia en particular

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Programa de Cyber Seguridad basado en CyBOK

• Cyber Security Foundation CSFPC

• Entender la importancia de la Ciberseguridad

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Módulo 0: NIST - Ciberseguridad para Negocios Pequeños 16

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Principios de Evaluación y Gestión de Riesgos 59

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

¿Por qué la Ciberseguridad es Importante para su

La Complejidad de un Pequeño Negocio Moderno

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

información de las tarjetas de

Cómo proteger información de accesos y divulgaciones no autorizadas.

Cómo proteger la información de una modificación no autorizada.

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Cómo prevenir interrupción en la forma en que se accede a la información.

¿Por qué poner sus recursos ya limitados en la preparación y la protección en

Vulnerabilidad Costos al Negocio Reputación

Recursos Básicos de Ciberseguridad

• Ataques de Phishing (suplantación de

Ataques de Phishing (Suplantación de Identidad)

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

• Acceso no autorizado a sistemas e información

Estafas Realizadas por Impostores

• ¿Cuáles son las amenazas?

• Daño a la información o a los sistemas de información

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Probabilidad – posibilidad de que la amenaza afecte el negocio

Incidencia con base en la historia/estadísticas de la industria

Impacto – daño potencial al negocio

¿Qué está protegiendo?

Para practicar la gestión de riesgo de la

Identifique los activos de su negocio en la hoja de Activo

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Recepción de pagos del seguro y

Proveedor de correo electrónico

2. Identifique los Valores de los Activos

• ¿Qué le pasaría a mi negocio si este activo se hiciera

Recepción de pagos del

3. Documente el Impacto en su Negocio por la Pérdida/Daño a los Activos

• Este impacto pudiese diferir del valor de activo determinado en el paso 2

Impacto por la pérdida /

Información de la salud Alta, debido a las

Recepción de pagos del

• Liste las amenazas a cada activo del negocio

Impacto por la pérdida / Probabilidad de pérdida

Recepción de pagos del Negación del servicio,

5. Identifique Prioridades y Soluciones Potenciales

CYBER SECURITY FOUNDATION PROFESSIONAL CERTIFICATE CSFPC TM

Medio Bajo Medio Alto