CENTRO NACIONAL DE SEGURIDAD DIGITAL

Fundamentos de Ciberseguridad basado

en la ISO 27032
Ing. Ximena Cuzcano Chávez
xcuzcano@cnsd.gob.pe

CENTRO NACIONAL DE SEGURIDAD DIGITAL 2

 Unidad 1

Introducción a la
ciberseguridad y
conceptos
relacionados

CENTRO NACIONAL DE SEGURIDAD DIGITAL

 Unidad 1 Introducción a la ciberseguridad y
conceptos relacionados
1.1 Conceptos básicos.
1.2 Naturaleza del ciberespacio y la ciberseguridad.
1.3 Modelo de ciberseguridad.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 4

 Centro Nacional de Seguridad Digital

1.1 Conceptos básicos.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 5

 Ciberseguridad

• Cuando se habla de ciberseguridad,

generalmente se asocia a las
ciberamenazas y al cibercrimen.
• Ciberseguridad también es el implementar
buenas prácticas para proteger la
información, prevenir y/o detectar ataques
cibernéticos a los que está expuesta
cualquier persona u organización.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 6

 ISO 27032

• La norma (ISO/IEC 27032) proporciona un marco seguro para el

intercambio de información, el manejo de incidentes y la
coordinación para hacer más seguros los procesos.
• Facilita la colaboración segura y fiable para proteger la privacidad
de las personas en todo el mundo. De esta manera, puede ayudar
a prepararse, detectar, monitorizar y responder a los ataques.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 7

 Términos y definiciones
❑Adware: Aplicaciones que durante su
funcionamiento despliegan publicidad no
deseada a los usuarios o colectan
información sobre sus movimientos o
conducta en línea.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Aplicación: Solución de TI, incluyendo
programas de aplicación, datos de
aplicaciones y procedimientos diseñados para
ayudar a los usuarios a realizar tareas
específicas, automatizando un proceso o
función del negocio.
[ISO/IEC 27034-1:2011]
8
 Términos y definiciones
❑Proveedor de servicios de aplicaciones:
Operador que proporciona una solución
de software alojado que brinda servicios
de aplicaciones, a través de una página
web o modelo cliente-servidor.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Servicios de aplicaciones: Software con
funcionalidad entregada bajo demanda a los
suscriptores a través de un modelo en línea,
que incluye aplicaciones basadas en páginas
web o cliente servidor.
9
 Términos y definiciones
❑Software de aplicación: Software diseñado ❑Activo: Algo que tenga valor para un
para ayudar a los usuarios a realizar tareas individuo, una organización o un gobierno.
específicas o lidiar con tipos específicos de
problemas de TI.
[ISO/IEC 18019]

CENTRO NACIONAL DE SEGURIDAD DIGITAL 10

 Términos y definiciones
❑Avatar: Representación de una persona que
participa en el Ciberespacio, también llamado
usuario.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Ataque: Intento de destruir, exponer, alterar,
deshabilitar, robar o lograr acceso no
autorizado o hacer uso no autorizado de un
activo.
[ISO/IEC 27000:2009]
11
 Términos y definiciones
❑Potencial de ataque: Percepción de las ❑Vector de ataque: Rutas o medios por los
posibilidades de éxito de un ataque, en caso cuales un atacante puede ganar acceso a un
de que sea lanzado, expresado en términos computador o al servidor de una red, para
de la pericia, recursos y motivación de un implementar un resultado malicioso.
atacante.
[ISO/IEC 15408-1:2005]

CENTRO NACIONAL DE SEGURIDAD DIGITAL 12

 Términos y definiciones
❑Ataque combinado: Ataque que busca ❑Bot, Robot: Software automatizado utilizado
maximizar la severidad del daño y la para llevar a cabo tareas específicas.
velocidad del contagio, mediante la
combinación de múltiples métodos de
ataque.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 13

 Términos y definiciones
❑Botnet: Colección de bots maliciosos que se
ejecutan de manera automática en
computadoras comprometidas, para actuar
como software de control remoto.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Cookie:
Control de acceso: Capacidad o ticket en un
sistema de control de acceso.
Ipsec: Datos intercambiados por ISAKMP para
evitar ciertos ataques de denegación de servicio.
HTTP: Intercambio de datos entre el servidor
HTTP y el navegador, para almacenar la
información de estado del cliente y recuperarlo
después para el uso del servidor.
14
 Términos y definiciones
❑Control, Contramedida: Las medidas de
gestión de riesgos que incluyen políticas,
procedimientos, directrices, prácticas, o
estructuras organizativas, que pueden ser de
carácter administrativo, técnico, de gestión o
legal.
[ISO/IEC 27000:2009]
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Delito informático (Cibercrimen): Actividad
delictiva donde se utilizan los servicios o
aplicaciones en el ciberespacio para un
delito, o donde el ciberespacio es la fuente,
herramienta, blanco o el lugar de un delito.
15
 Términos y definiciones
❑Ciberprotección: Condición de estar ❑Ciberseguridad, Cyberspace security:
protegido contra consecuencias físicas, Preservación de la confidencialidad,
sociales, espirituales, políticas, emocionales, integridad y disponibilidad de la información
laborales, psicológicas, educacionales u otro en el ciberespacio.
tipo de consecuencias por falla, daño, error,
accidente, o cualquier evento no deseable
en el ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 16

 Términos y definiciones
❑Ciberespacio: Entorno complejo que resulta ❑Servicios de aplicación en el Ciberespacio:
de la interacción de personas, software y Servicios de aplicación proporcionados en
servicios a través de internet, por medio de el ciberespacio.
dispositivos tecnológicos y redes conectadas
al mismo.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 17

 Términos y definiciones
❑Ciberintruso: Personas u organizaciones
que registran dominios con nombres
semejantes a otras organizaciones en el
ciberespacio, con la intención de
revenderlos a un precio excesivo.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Software engañoso: Software que realiza
actividades en la computadora de un usuario,
sin notificar al usuario lo que el software hará
exactamente en el equipo, o sin pedir su
consentimiento para estas acciones.
18
 Términos y definiciones
❑Piratería informática: Acceso intencional a ❑Hacktivismo: Realizar piratería informática
un sistema informático sin la autorización con un propósito de motivación política o
del usuario o el propietario. social.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 19

 Términos y definiciones
❑Activos de la información: Conocimiento o ❑Internet, Interconexión de redes: Red
datos que tienen valor para la persona o la interconectada. Una colección de redes
organización. interconectadas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 20

 Términos y definiciones
❑Internet: Sistema global de redes
interconectadas de dominio público.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Delincuencia en internet: Actividad delictiva
donde se utilizan los servicios o aplicaciones
en internet para un delito, o cuando internet
es la fuente, herramienta, blanco, o el lugar
de un delito.
21
 Términos y definiciones
❑Aseguramiento en internet: Es el estado de ❑Seguridad en internet: Preservación de la
estar protegido contra consecuencias físicas, confidencialidad, integridad y disponibilidad
sociales, espirituales, financieras, políticas, de la información en internet.
emocionales, laborales, psicológicas,
educacionales u otro tipo de consecuencias
por falla, daño, error, accidente, o cualquier
otro evento no deseable en internet.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 22

 Términos y definiciones
❑Servicios de internet: Servicios prestados ❑Proveedor de servicios de internet:
a un usuario para permitirle el acceso a Organización que presta servicios de internet
internet a través de una dirección IP a un usuario y permite a sus clientes acceder
asignada, que suelen incluir servicios de a internet.
autenticación, autorización y nombre de
dominio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 23

 Términos y definiciones
❑Malware: Software malicioso que ❑Contenidos maliciosos: Aplicaciones,
potencialmente pueden causar daño documentos, archivos, datos u otros recursos
directamente o indirectamente al usuario que tienen malware incrustado, disfrazado o
y/o al sistema informático del usuario. escondido en ellos.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 24

 Términos y definiciones
❑Organización: Grupo de personas e ❑Phishing: Proceso fraudulento o intento de
instalaciones con una disposición de adquirir información privada o confidencial
responsabilidades, autoridades y de manera enmascarada haciéndose pasar
relaciones. por una entidad confiable en una
comunicación electrónica.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 25

 Términos y definiciones
❑Activos físicos: Activo que tiene una
existencia tangible o material.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Software potencialmente no deseado:
Software engañoso, incluyendo el malware,
que exhibe las características de software
engañoso.
26
 Términos y definiciones
❑Estafa: Fraude que utiliza un engaño para
producir error en otro, induciéndolo a
realizar un acto de disposición en perjuicio
propio o ajeno.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Spam: Correo basura. Abuso de los sistemas
de mensajería electrónica para enviar
indiscriminadamente mensajes masivos no
solicitados.
27
 Términos y definiciones
❑Spyware: Software engañoso que recopila
información privada o confidencial de un
usuario.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Parte interesada:
Gestión de riesgos: Persona u organización que
puede afectar, verse afectada por, o percibirse
a sí misma como afectada por una decisión o
actividad.
Sistema: Individuo u organización que tiene un
derecho, participación o interés en un sistema o
en su posesión de características que satisfagan
sus necesidades y expectativas.
28
 Términos y definiciones
❑Amenaza: Causa potencial de un incidente no ❑Troyano: Software malintencionado que
deseado, que puede resultar en un daño a un disfraza su verdadera intención y aparece
sistema, persona u organización. para realizar una función no deseable.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 29

 Términos y definiciones
❑Correo electrónico no solicitado: Correo ❑Activos virtuales: Representación de un
electrónico que no es bienvenido, o no se activo en el ciberespacio.
solicitó.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 30

 Términos y definiciones
❑Moneda virtual: Activos monetarios ❑Mundo virtual: Entorno simulado al cual
virtuales. tienen acceso múltiples usuarios a través de
una interfaz en línea.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 31

 Términos y definiciones
❑Vulnerabilidad: Debilidad de un activo o
control que puede ser aprovechado por
una amenaza.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
❑Computador zombie: Computador que
contiene software oculto que permite a la
máquina ser controlada de forma remota,
para llevar a cabo un ataque a otro equipo.
32
 Centro Nacional de Seguridad Digital

1.2 Naturaleza del ciberespacio y la ciberseguridad.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 33

 La naturaleza del Ciberespacio
• El Ciberespacio puede ser descrito como un
entorno virtual, que no existe en forma
física sino más bien como un entorno o
espacio complejo resultante de la aparición
de internet, además de las personas,
organizaciones y actividades de todo tipo de
dispositivos y redes tecnológicas que están
conectadas a él.

• La seguridad del Ciberespacio o

Ciberseguridad trata de la seguridad de este
mundo virtual.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 34

 La naturaleza del Ciberespacio
• Muchos mundos virtuales tienen una moneda virtual, como por ejemplo, los famosos
Bitcoins.

• Existe un valor en el mundo real asociado a la moneda virtual. Estos artículos virtuales se
negocian con frecuencia por dinero real en sitios de subastas en línea, y algunos juegos
incluso tienen un canal oficial con tipos de cambio virtuales o reales publicados para la
monetización de los objetos virtuales.

• Son a menudo estos canales de monetización los que hacen de estos mundos virtuales un
objetivo de ataque, por lo general mediante phishing u otras técnicas para robar la
información de la cuenta.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 35

 La naturaleza de la Ciberseguridad
• La ciberseguridad se refiere a las acciones que las partes interesadas deben aplicar para
establecer y mantener la seguridad en el Ciberespacio.

• La ciberseguridad se sustenta en la seguridad de la información, la seguridad de las

aplicaciones, la seguridad de la red y la seguridad de internet como pilares fundamentales.

• La ciberseguridad es una de las actividades necesarias para la protección de la infraestructura

crítica de la información (CIIP) y, al mismo tiempo, una protección adecuada de los servicios de
infraestructura crítica contribuye a las necesidades básicas de seguridad (fiabilidad y
disponibilidad de la infraestructura crítica) para el logro de los objetivos de la Ciberseguridad.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 36

 La naturaleza de la Ciberseguridad
• Ciberseguridad no es sinónimo de
seguridad de internet, seguridad de la
red, seguridad de las aplicaciones,
seguridad de la información o CIIP.

• Tiene un campo de aplicación único que

requiere que las partes interesadas
desempeñen un rol a fin de mantener y
mejorar la utilidad y confiabilidad del
Ciberespacio.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 37

 La naturaleza de la Ciberseguridad
A continuación, se hace diferencia entre la Ciberseguridad y los otros ámbitos de seguridad:

La seguridad de la información se refiere a la

protección de la confidencialidad, integridad y
disponibilidad de la información en general, para
servir a las necesidades del usuario de la
información pertinente.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 38

 La naturaleza de la Ciberseguridad
La seguridad de las aplicaciones es un proceso realizado
para aplicar los controles en las aplicaciones de una
organización con el fin de gestionar el riesgo de su uso.
Las medidas pueden ser aplicadas a la propia aplicación, a
sus datos, y para todas las tecnologías, procesos y actores
que participan en el ciclo de vida de la aplicación.

La seguridad de la red se refiere al diseño, implementación

y operación de redes para el logro de la seguridad de la
información en las redes dentro de las organizaciones,
entre las organizaciones, y entre organizaciones y
usuarios.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 39

 La naturaleza de la Ciberseguridad
La seguridad en internet es la protección de los servicios
relacionados con internet, los sistemas TIC y las redes como una
extensión de seguridad de red, en las organizaciones y en el
hogar. También se asegura de la disponibilidad y fiabilidad de
los servicios de internet.

CIIP se ocupa de la protección de los sistemas operados por

proveedores de infraestructura crítica, como la energía
eléctrica, telecomunicaciones y los servicios de agua. CIIP se
asegura de que dichos sistemas y redes estén protegidos y sean
resilientes ante los riesgos de seguridad de la información, de
seguridad de red, seguridad en internet, así como los riesgos de
la Ciberseguridad.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 40

 Relación entre la Ciberseguridad y otros ámbitos
de la seguridad

CENTRO NACIONAL DE SEGURIDAD DIGITAL 41

 Centro Nacional de Seguridad Digital

1.3 Modelo de ciberseguridad.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 42

 Modelo general

• El modelo general es utilizado a lo largo de

la norma, y habla sobre la seguridad
mediante un conjunto de conceptos y
terminología.
• La comprensión de estos conceptos es un
requisito previo para el uso efectivo de la
norma.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 43

 Contexto general de la seguridad

• La seguridad se ocupa de la protección de los

activos debido a las amenazas.

• Las amenazas se clasifican por el potencial de abuso

de los activos protegidos.

• En el ámbito de la seguridad se da mayor atención a

aquellas amenazas que están relacionadas con las
actividades malintencionadas u otras actividades
humanas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 44

 Conceptos de seguridad y sus relaciones

La figura es una adaptación de ISO/IEC 15408-1:2005. Tecnologías de la información – Técnicas de seguridad. Criterios de
evaluación de la seguridad para TI – Parte 1: Introducción y modelo general.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 45

 Conceptos de seguridad y sus relaciones

• La salvaguarda de los activos de interés es

responsabilidad de las partes interesadas que dan
valor de esos activos.

• Los agentes de amenazas reales o supuestos

también pueden dar valor a los activos y tratar de
abusar de los activos, de una manera contraria a los
intereses de las partes interesadas pertinentes.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 46

 Conceptos de seguridad y sus relaciones
● Las partes interesadas percibirán tales amenazas
como potenciales de deterioro de los activos, de
modo que el valor de estos activos se vería
reducido para las partes interesadas.

● El deterioro específico por la seguridad

generalmente incluye, pero no está limitado a la:
○ Divulgación perjudicial de los activos a receptores
no autorizados (pérdida de confidencialidad)
○ Daños a los activos mediante modificación no
autorizada (pérdida de integridad) o
○ Privación no autorizada de acceso al activo (pérdida
de disponibilidad)

CENTRO NACIONAL DE SEGURIDAD DIGITAL 47

 Conceptos de seguridad y sus relaciones
• Las partes interesadas evalúan los riesgos
teniendo en cuenta las amenazas que se
aplican a sus activos. Este análisis puede
ayudar en la selección de los controles para
contrarrestar los riesgos y reducirlos a un nivel
aceptable.

• Los controles se imponen para reducir las

vulnerabilidades o impactos, y para cumplir
con los requisitos de seguridad de las partes
interesadas (ya sea directa o indirectamente al
proporcionar dirección a otras partes).

CENTRO NACIONAL DE SEGURIDAD DIGITAL 48

 Conceptos de seguridad y sus relaciones
• Después de la aplicación de controles pueden
permanecer vulnerabilidades residuales. Estas
vulnerabilidades pueden ser explotadas por
agentes de amenaza que representan un nivel
residual de riesgo para los activos.

• Las partes interesadas tratarán de minimizar ese

riesgo dando otras restricciones.

• Las partes interesadas necesitarán tener la

certeza de que los controles son adecuados para
contrarrestar las amenazas antes de que
permitan la exposición de los activos a amenazas
concretas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 49

 Conceptos de seguridad y sus relaciones

Es posible que las partes interesadas no posean la

capacidad de juzgar todos los aspectos de los
controles, y pudieran, por lo tanto, solicitar una
evaluación de los controles utilizando organizaciones
externas.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 50

 Enfoque
• La guía se centra en proporcionar las mejores prácticas de la industria y de una amplia
educación de los ciudadanos y del personal en una organización para asistir a los interesados
en el Ciberespacio en desempeñar un rol activo para hacer frente a los retos de la
Ciberseguridad.

• Esta norma está destinada a ser utilizada por los proveedores de servicios en el Ciberespacio,
así como por las organizaciones que ofrecen educación relacionada con el Ciberespacio a los
usuarios.

CENTRO NACIONAL DE SEGURIDAD DIGITAL 51

 Visión general del Enfoque
Consumidores
Mejores prácticas
-Individuos
Personal -Preventivas
-Organizaciones
-Activos Físicos -Detectoras
-Privadas
- Activos Virtuales -Reactivas
-Públicas

Proveedores Organizacional Coordinación e Información

-Activos Físicos Compartida
-Proveedores de servicios de
internet. -Activos Virtuales
-Proveedores de servicios de
aplicaciones.

Partes interesadas Activos Medidas

CENTRO NACIONAL DE SEGURIDAD DIGITAL 52

 ¡Muchas gracias!

CENTRO NACIONAL DE SEGURIDAD DIGITAL 53

CENTRO NACIONAL DE SEGURIDAD DIGITAL 54