CENTRO NACIONAL DE SEGURIDAD DIGITAL

Fundamentos de Ciberseguridad basado

en la ISO 27032
Ing. Ximena Cuzcano Chávez
xcuzcano@cnsd.gob.pe

CENTRO NACIONAL DE SEGURIDAD DIGITAL 2

 Unidad 2

El Ciberespacio

CENTRO NACIONAL DE SEGURIDAD DIGITAL

 Unidad 2 El Ciberespacio

2.1 Partes interesadas en el ciberespacio.

2.2 Activos en el ciberespacio.
2.3 Amenazas contra la protección del ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 4

 Centro Nacional de Seguridad Digital

2.1 Partes interesadas en el ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 5

 Partes interesadas dentro del Ciberespacio
● El Ciberespacio no pertenece a nadie, todo el mundo puede participar y tiene una
participación en el mismo.

● Para los fines de esta norma nacional, las partes interesadas en el Ciberespacio se clasifican
en los siguientes grupos:

● Los consumidores, incluyendo a:

○ Personas, y
○ Organizaciones privadas y públicas.

● Los proveedores, incluyendo, pero sin limitarse a:

○ Proveedores de servicios de Internet, y
○ Proveedores de servicio de aplicaciones.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 6

 Partes interesadas dentro del Ciberespacio

● Los consumidores se refieren tanto a usuarios

individuales como a organizaciones privadas y
públicas. Entre las organizaciones privadas
están las pequeñas y medianas empresas
(PYMEs), así como las grandes empresas.

● El gobierno y otros organismos públicos se

conocen colectivamente como las
organizaciones públicas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 7

 Partes interesadas dentro del Ciberespacio

● Un individuo o una organización se convierten

en consumidor cuando accede al Ciberespacio o
a cualquiera de los servicios disponibles en el
Ciberespacio.

● Un consumidor también puede ser un

proveedor si a su vez proporciona un servicio
en el Ciberespacio o permite a otro consumidor
acceder al Ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 8

 Partes interesadas dentro del Ciberespacio

● Los proveedores se refieren a los prestadores de

servicios en el Ciberespacio, así como los proveedores
de servicios de internet que permiten a los
consumidores acceder al Ciberespacio y a los diversos
servicios disponibles en el Ciberespacio.

● Los proveedores también pueden ser entendidos

como operadores o mayoristas, en relación a los
distribuidores y minoristas de servicios de acceso.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 9

 Partes interesadas dentro del Ciberespacio

● Esta distinción es importante desde la perspectiva de la

seguridad y del cumplimiento de la ley, ya que si un
distribuidor o vendedor no puede proporcionar la
seguridad adecuada o acceso lícito, los servicios de
soporte recaerán de nuevo en la operadora o
mayorista.

● La comprensión de la naturaleza de un proveedor de

servicio dado es un elemento útil en la gestión de
riesgos del Ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 10

 Partes interesadas dentro del Ciberespacio
● Los proveedores de servicios de aplicaciones ponen a disposición de los consumidores los
servicios a través de su software.

● Estos servicios adoptan muchas formas e incluyen combinaciones, como las de la siguiente
lista:
○ Edición, almacenamiento, distribución de documentos,
○ Entornos virtuales en línea para el entretenimiento, comunicación e interacción con
otros usuarios,
○ Repositorios de medios digitales en línea con agregación, indexación, búsqueda,
portada del negocio, catálogo, carrito de compras y servicios de pago, y
○ Funciones de gestión de recursos de la empresa, tales como recursos humanos,
finanzas y nómina, gestión de la cadena de suministro, relaciones con los clientes,
facturación.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 11

 Centro Nacional de Seguridad Digital

2.2 Activos en el ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 12

 Activos en el Ciberespacio

Un activo es algo que tiene valor para un

individuo u organización.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 13

 Activos en el Ciberespacio
Hay muchos tipos de activos, incluyendo, pero sin limitarse a:

Software (ej: programa

Información Físico (ej: computadora)
informático)

Las personas, sus

Activos intangibles (ej:
Servicios cualificaciones,
reputación e imagen)
habilidades y experiencia

CENTRO NACIONAL DE SEGURIDAD DIGITAL 14

 Activos en el Ciberespacio
Para los fines de esta norma, los activos en el Ciberespacio se
clasifican en las siguientes clases:
• Personal, y
• Organizacional

Para ambas clases, un activo también puede ser clasificado como:

• Un activo físico, cuya forma existe en el mundo real, o
• un activo virtual, que solo existe en el Ciberespacio y no se
puede ver o tocar en el mundo real.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 15

 Activos en el Ciberespacio
❑Activos Personales
Uno de los activos virtuales clave es la identidad en línea
de un consumidor y su información de crédito en línea.
La identidad en línea se considera un activo, ya que es el
identificador clave para cualquier consumidor individual
en el ciberespacio.
Otros activos virtuales individuales de los consumidores
incluyen referencias en los mundos virtuales. Ejemplo: Algunos bancos operan
en mundos virtuales y reconocen el
dinero del mundo virtual como
moneda oficial.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 16

 Activos en el Ciberespacio
❑Activos Organizacionales
Un aspecto clave del Ciberespacio es la infraestructura
que lo hace posible.
Es una malla de redes interconectadas, servidores y
aplicaciones que pertenecen a muchos proveedores de
servicios.
La fiabilidad y la disponibilidad de esta infraestructura son
cruciales para asegurar que los servicios del ciberespacio y
aplicaciones estén disponibles para cualquier persona en
el ciberespacio. Ejemplo: La información del
sitio web y la URL de una
Además de los activos físicos, los activos organizacionales
organización son activos.
virtuales se están convirtiendo cada vez más en algo
valioso.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 17

 Centro Nacional de Seguridad Digital

2.3 Amenazas contra la protección del ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 18

 Amenazas contra la seguridad en el Ciberespacio

● Las amenazas que existen en el ciberespacio se

abordan en relación a los activos en el
ciberespacio.

● Las amenazas al Ciberespacio se pueden dividir

en dos áreas clave:
o Las amenazas a los activos personales;
o Las amenazas a los activos de la
organización.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 19

 Amenazas para los activos personales

Las amenazas a los bienes personales giran

principalmente en torno a cuestiones de identidad,
planteadas por la fuga o robo de información personal.

Ejemplo: La información de docuementos personales

se puede vender en el mercado negro, lo que puede
facilitar el robo de identidad en línea.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 20

 Amenazas para los activos personales
● Si la identidad en línea de una persona es robada o
utilizada como una máscara, esa persona puede ser
privada de acceso a los servicios esenciales y
aplicaciones.
● En escenarios más graves, las consecuencias
pueden ir desde financieras hasta incidentes a nivel
nacional.

● El acceso no autorizado a la información financiera

de una persona también abre la posibilidad de robo
del dinero de la persona y fraude.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 21

 Amenazas para los activos personales
● Otra amenaza es la posibilidad de que el punto de
acceso final sea un computador zombie o bot. Los
dispositivos informáticos personales pueden verse
comprometidos y así formar parte de una botnet
mayor.

● Otros bienes virtuales que están en la mira son los

bienes personales en los mundos virtuales y juegos
en línea. Los activos de un mundo virtual o en el
mundo de los juegos en línea son objeto de ataque
y exploits.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 22

 Amenazas para los activos personales

● Así como hay reglas y reglamentos para la

protección de los activos físicos, en relación con el
Ciberespacio, las relativas a los bienes virtuales son
pocas y en algunos casos, inexistentes.

● Un cuidado y precaución especiales deben ser

aplicados por parte de posibles participantes para
garantizar una protección adecuada de sus activos
virtuales.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 23

 Amenazas para los activos organizacionales

La presencia de las organizaciones en línea y los

negocios en línea a menudo son el objetivo de
malhechores cuya intención es más que una simple
travesura.

Ejemplo: Los grupos de Cibercrimen organizado a

menudo amenazan a organizaciones con que sus sitios
web desaparecerán, o que van a tener resultados
embarazosos a través de acciones tales como la
desfiguración de la página web.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 24

 Amenazas para los activos organizacionales
En el caso de un ataque exitoso, la información personal de
clientes, personal que labora, socios o proveedores podría
revelarse y dar lugar a sanciones contra las organizaciones,
si se comprueba que se ha administrado o protegido
insuficientemente, lo que contribuye a la pérdida.

Ejemplo: Si el dominio web de una organización es robada

por ciberdelincuentes y vendida a organizaciones que no
tienen relación con la organización en el mundo real, la
confianza en línea concedida a la organización puede
perderse.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 25

 Amenazas para los activos organizacionales
● Los gobiernos tienen información sobre seguridad
nacional, y asuntos estratégicos, militares, y de
inteligencia.

● También poseen una amplia gama de información

sobre individuos, organizaciones y la sociedad en
conjunto.

● Los gobiernos deben proteger su infraestructura e

información de un acceso y ataques indebidos.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 26

 Amenazas para los activos organizacionales

● A nivel nacional o internacional, el Ciberespacio es

una zona gris en la que el terrorismo progresa. Una
de las razones es la facilidad de comunicación
proporcionada por el Ciberespacio.

● Los grupos terroristas pueden comprar

aplicaciones, servicios y recursos que faciliten su
causa legítimamente, o pueden recurrir a medios
ilegales para evitar la detección y el rastreo.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 27

 Agentes de amenazas

● Un agente de amenaza es un individuo o grupo que

tienen algún rol en la ejecución o apoyo de un
ataque.

● Es fundamental comprender sus motivos

(religiosos, políticos, económicos, etc.),
capacidades (conocimientos, financiamiento,
tamaño, etc.) e intenciones (diversión, crimen,
espionaje, etc.) para evaluar las vulnerabilidades y
riesgos, así como en el desarrollo y aplicación de
controles.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 28

 Vulnerabilidades
● Una vulnerabilidad es una debilidad de un activo que
puede ser aprovechada por una amenaza.
● La evaluación de las vulnerabilidades debe ser una tarea
permanente. Mientras los sistemas reciben parches o
nuevos elementos, nuevas vulnerabilidades se pueden
introducir.
● Es importante mantener un inventario de las
vulnerabilidades conocidas.
● Las soluciones a las vulnerabilidades se deben buscar e
implementar y, cuando una solución no es posible o
factible, se deben colocar controles en su lugar. Este
enfoque debe aplicarse con carácter prioritario de modo
que las vulnerabilidades que presenten mayor riesgo se
abordarán primero.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 29

 ¡Muchas gracias!

CENTRO NACIONAL DE SEGURIDAD DIGITAL 30

CENTRO NACIONAL DE SEGURIDAD DIGITAL 31