Impacto Financiero

25/8/22, 18:30 Fundamentos de ciberseguridad
Fundamentos de ciberseguridad
Ciberseguridad- Sobre la defensa
Impacto financiero
10 Minutos
Visión general del módulo
Ya conoce los aspectos básicos de la ciberseguridad y los distintos tipos de amenaza a los que se enfrenta una organización. Este módulo se
centra en el aspecto "defensivo" de la ciberseguridad, es decir, las organizaciones y sus técnicas y herramientas. Cómo detectan, se protegen y
responden a los ataques. Se incluyen los siguientes temas:
• Impacto financiero de la ciberdelincuencia en las organizaciones
• Madurez de la seguridad
• Un enfoque de estrategia de seguridad que las organizaciones pueden utilizar para defenderse de ciberataques utilizando los 10 pasos de
seguridad del Centro de Ciberseguridad Nacional
• Métodos comunes que utilizan las organizaciones para:
• Evitar ciberataques
• Detectar ciberataques
• Responder y recuperarse de ciberataques
• Propiedades clave de la comunicación segura
• Criptografía simétrica y asimétrica
• Fuentes de información sobre amenazas y ventajas para las organizaciones
Coste de las infracciones de datos

En primer lugar, vamos a ver lo perjudiciales que pueden ser los ciberataques para las organizaciones y cuál puede ser su coste. El coste de los ciberdelitos
para las organizaciones puede ser muy gravoso y difícil de pronosticar.
En el informe anual sobre el Coste de las infracciones de datos (https://www.ibm.com/security/data-breach), realizado por Ponemon Institute y patrocinado
por IBM Security, se analizan los costes de las infracciones de datos aportados por cientos de organizaciones de todo el mundo y todas las industrias. Según
el informe de 2021,el coste medio total global de una infracción de datos es de 4,24 millones de $. El coste de una infracción de datos ha aumentado un
11,9 % desde 2015. Revise este diagrama para conocer más datos importantes sobre los costes de las infracciones de datos. Los importes son en USD.
Preferencias sobre cookies
https://bundles.yourlearning.ibm.com/skills/cybersecurity-fundamentals/#RKEJYNVENXMY15VW/print 1/20
Fuente: Informe sobre el coste de una infracción de datos 2021 (https://www.ibm.com/downloads/cas/OJDVQGRY), IBM Security, estudio realizado por
Ponemon Institute
Las infracciones de datos pueden provocar terribles pérdidas financieras y afectar a la reputación de una organización durante años. La máxima contribución
a estos costes era la pérdida de negocios. Es algo que puede perdurar durante años después de un ataque. Asimismo, hay sanciones por incumplimiento y
costes de remediación que pueden afectar a la organización.
EJEMPLO
En Europa, la reciente introducción del Reglamento General de Protección de Datos (GDPR) ha complicado significativamente la labor de las
organizaciones. El límite máximo de las sanciones para las organizaciones negligentes es considerablemente mayor que en la legislación anterior. En julio
de 2019, el Comisionado de Información del Reino Unido intento sancionar a British Airways con 183,39 millones de libras (aproximadamente, 240
millones USD) por una infracción de datos de 2018. Esta es la mayor sanción propuesta hasta la fecha y constituye una referencia para las próximas
incidencias.
Estos elevados costes debidos al impacto directo y a las sanciones actúan como un factor clave en la industria de la ciberseguridad. En los próximos años,
cuando otras partes del mundo adopten estándares de datos igual de estrictos que en Europa, es probable que el número de casos de alto impacto aumente
significativamente.
Cómo enfrentarse al reto del aumento de ataques

Hiscox es una aseguradora especializada global. El informe Hiscox Cyber Readiness Report 2021
(https://www.hiscox.com/sites/default/files/content/documents/Hiscox-Cyber-Readiness-Report-2021.pdf) evalúa el nivel de preparación de las
empresas para combatir los ciberataques. El informe anual encuestó a más de 6.000 profesionales de ocho países que son responsables de la ciberseguridad
de sus empresas. Estimó que el coste y el número de ataques son cada vez mayores. Estas son algunas de las conclusiones principales:
• Laproporción de empresas que declararon haber sufrido ataques aumentó del 38 % en 2020 al 43 % en 2021, y muchas de ellas sufrieron varios ataques.
• Los objetivos favoritos de los hackers fueron los sectores de tecnología, medios y telecomunicaciones (TMT), servicios financieros y energía.
• Las empresas han reorientado radicalmente sus presupuestos en IT. Una empresa media dedica actualmente más de una quinta parte (21 %) de su
presupuesto en TI a la ciberseguridad.
• El 16 % de las empresas que declararon haber sufrido ciberataques se enfrentaron a una demanda de ransomware y solo algo más de la mitad (58 %)
pagaron un rescate, ya fuera para recuperar sus datos o para evitar la publicación de información confidencial.
Pueden ver que los ciberataques son un coste inevitable de hacer negocios hoy día. Las organizaciones todavía tienen que hacer algunos progresos antes de
estar ciberpreparadas y también deben desarrollar estrategias de seguridad.
Una buena metáfora de un ciberataque es el de un contaminante del medio ambiente. La acumulación de ataques es algo que todos debemos gestionar, no
se pueden ignorar para siempre y el problema empeora con la inacción.
© Copyright IBM Corporation 2022.
Estrategia de seguridad
10 Minutos
Para combatir los ciberataques y protegerse, las organizaciones deben diseñar e implementar una estrategia de seguridad. Son dos caras de la misma
moneda: ¿cómo puede la organización mitigar las amenazas y aumentar su preparación frente a una infracción de seguridad? En esta lección, analizaremos la
madurez de la seguridad, diez pasos que se deben implementar como parte de la estrategia de seguridad de una organización, y consideraciones adicionales.
La evolución de la madurez de seguridad

Como las personas, las organizaciones cambian con el tiempo. Esto se refleja en la ciberseguridad como el nivel de madurez o experiencia. Para una
organización, es importante saber dónde se encuentra actualmente y dónde desea estar estratégicamente en el futuro en términos de su evolución de
madurez de seguridad.
Determinadas organizaciones puede que no se hayan centrado en la ciberseguridad y que sean más inmaduras desde el punto de vista del sistema. También
hay organizaciones maduras que están más "curtidas en la batalla" porque han dado prioridad a la ciberseguridad desde hace más tiempo.
En la tabla siguiente, se proporcionan varios ejemplos para entender el grado de madurez de la seguridad de una organización a partir de varias métricas.
Área Signo de menos madurez Signo de más madurez

Procesos Los procesos pueden ser ad hoc o no se describen Los procesos se describen, revisan, miden y prueban.
formalmente.
Liderazgo No se han configurado formalmente roles de ciberseguridad o Descripciones de trabajo claras y liderazgo de arriba a abajo
muy pocos. Los empleados pueden tener la ciberseguridad para dar soporte a la estrategia de ciberseguridad.
como una consideración secundaria aparte de su rol principal.
Existe muy poco liderazgo formal.
HerramientasExiste muy poca inversión en herramientas. Pueden utilizarse Las herramientas de ciberseguridad se aprovisionan con el
algunas herramientas de ciberseguridad si son gratis o están resto del software y como parte de un presupuesto
incluidas en otros paquetes de software. estructurado.
Cultura Muy poca gente piensa en la ciberseguridad. La ciberseguridad es una parte clave de la cultura de una
organización.
Nota: en lugar del obvio sí o no, es importante resaltar que la madurez en ciberseguridad es una escala. Una organización puede mostrar desarrollo en un
área y no ser madura en otra. Preferencias sobre cookies
¡COMPRUÉBELO!
Si desea obtener más información, a continuación se describen los cinco niveles de madurez de seguridad que ofrecen la Revisión del Programa de Asistencia
de Seguridad de la Información (PRISMA) de NIST.
 Niveles de madurez de seguridad: Revisión del Programa de Asistencia de Seguridad de la Información (PRISMA)
(https://csrc.nist.gov/Projects/Program-Review-for-Information-Security-Assistance/Security-Maturity-Levels)
Punto de partida para las organizaciones

Puede ser difícil para las organizaciones decidir dónde empezar con la ciberseguridad y dónde centrar los recursos disponibles, por ejemplo, los empleados,
el capital y el tiempo. Una solución consiste en seguir los 10 pasos para abordar la ciberseguridad (https://www.ncsc.gov.uk/collection/10-steps) que
propone el Centro Nacional de Ciberseguridad (https://www.ncsc.gov.uk/) del Reino Unido. El objetivo de esta guía es ayudar a las empresas a gestionar sus
riesgos de ciberseguridad, desglosando la tarea de proteger la empresa en 10 pasos. La adopción de estas medidas de seguridad reduce la probabilidad de
que se produzcan ciberataques y minimiza la repercusión de las incidencias en la organización.
Comienza con el establecimiento de un método de gestión de riesgos. En el siguiente diagrama se muestra este primer paso y los otros nueve. En este
módulo encontrará más información sobre un par de estos pasos, como la supervisión y la gestión de incidencias.
Aumente o descargue el diagrama y dedique un par de minutos a revisar los 10 pasos para obtener una visión general.
Los 10 pasos para la seguridad cibernética son:
• Gestión de riesgos
• Compromiso y formación
• Gestión de activos
• Arquitectura y configuración
• Gestión de vulnerabilidades
•
Gestión de identidad y acceso
• Seguridad de datos
• Registro y supervisión
• Gestión de incidencias
• Seguridad de la cadena de suministro
 Descargar el diagrama (https://www.ncsc.gov.uk/files/2021-10-steps-to-cyber-security-infographic.pdf)
 Revisar la guía en línea sobre los 10 pasos para abordar la ciberseguridad (https://www.ncsc.gov.uk/collection/10-steps)
Mercado del sector de la seguridad

Otra consideración para las organizaciones que inician una estrategia de ciberseguridad es que es improbable que deban empezar desde cero o trabajar de
manera aislada para lograr sus objetivos. Es mucho lo que se ha creado y desarrollado ya. Hay un amplio mercado en el sector de productos y servicios de
seguridad. La mayoría de grandes empresas tienen productos de varios proveedores de ciberseguridad. Por ejemplo, pueden adquirir a un proveedor un
sistema de prevención de pérdida de datos en una base de datos para evitar el robo de información y adquirir un cortafuegos a otro. Estas distintas
compañías pueden contribuir cada una a formar un vibrante ecosistema soportado por una amplia gama de autoridades estándar, organizaciones benéficas y
entidades gubernamentales.
Protección ante ataques

15 Minutos
El primer interés de una organización respecto a la ciberseguridad es evitar que un ataque tenga éxito. En esta lección, veremos cómo puede conseguirse en
la práctica y analizaremos algunos enfoques comunes que siguen las organizaciones.
¿Cuál es el objetivo?
Una seguridad absoluta en el mundo real, donde sea imposible realizar un ataque, desgraciadamente es poco factible. Aunque se puede garantizar el perfecto
funcionamiento de programas pequeños o sencillos, un sistema interconectado realista es mucho más complejo. Por lo tanto, el énfasis se pone en dificultar
al máximo los ciberataques. Si un responsable de defensa sabe que se necesitan 100.000 USD de recursos para poner en peligro un sistema que solo vale
80.000 USD para un atacante, no es probable que se produzca el ataque y la defensa puede "funcionar" a pesar de sus imperfecciones.
El objetivo en ciberseguridad es reducir el riesgo operativo a un nivel aceptable mediante la introducción de la combinación correcta de personas,
procesos y tecnologías.
Teniendo en cuenta este objetivo, vamos a examinar algunas estrategias generales con las que las organizaciones pueden evitar los ciberataques.
Examinar el perímetro
Uno de los primeros conceptos a tener en cuenta es el de la superficie de ataque. En ciberseguridad, este término hace referencia a la suma total de la
infraestructura de una organización y el entorno de software expuesto donde el atacante puede decidir atacar. La protección de la superficie de ataque era
mucho menos complicada cuando las organizaciones tenían un "perímetro" definido que separaba claramente sus activos del mundo exterior. Actualmente,
mantener la superficie de ataque lo más pequeña posible es una medida de seguridad básica. Esto puede hacerse limitando qué servicios son
extremadamente accesibles, qué dispositivos pueden conectarse, etc.
EJEMPLO
Supongamos que una organización tiene un sistema de registro de pagos. Desea que los empleados puedan acceder a él desde un pequeño número de
oficinas. Una buena estrategia de seguridad sería restringir el acceso a un número fijo de puntos de acceso que son necesarios. El tráfico externo, por
ejemplo, el de la Internet más amplia puede ignorarse en el perímetro. Esta regla simple reduce drásticamente el alcance de los atacantes. En lugar de
tener miles de millones de direcciones de Protocolo Internet (IP) desde las que lanzar un ataque, el atacante se verá obligado a poner en peligro un
dispositivo de confianza y utilizarlo para realizar los ataques. Esto aumenta la dificultad para el atacante.
En los últimos años, las organizaciones han aumentado su complejidad con métodos de acceso remoto, WiFi de invitado, políticas de Traiga su propio
dispositivo (BYOD), etc. Es difícil conseguir tener un perímetro seguro. Como mínimo, las organizaciones deben considerar su perímetro y supervisarlo como
parte de una estrategia de ciberseguridad mayor y más completa.
Segregación de red
Un enfoque importante cuando se diseña un sistema más seguro es utilizar una zona desmilitarizada (DMZ). Este término proviene del lenguaje militar. En
una red, se utiliza para hacer referencia al área intermedia en la red que se controla y gestiona parcialmente. Los servidores de la DMZ pueden ser utilizados
por aplicaciones internas y externas.
La arquitectura a menudo se configura para que una parte externa pueda acceder a los datos en la DMZ, pero no al área de red confidencial. Por ejemplo, un
cliente externo puede realizar pedidos en un sistema de pago digital o acceder al correo, pero no a la información confidencial de la compañía.
Si un área de una organización se ve afectada durante un ataque, este no se propaga inmediatamente a los otros sistemas más confidenciales. Un atacante
que pone en peligro un servidor en la DMZ necesitará un segundo ataque con éxito para avanzar en la organización.
Este diagrama muestra que un usuario externo legítimo puede acceder a las aplicaciones y los servidores de color azul verdoso, pero no a las aplicaciones y
los servidores de color azul, que son más confidenciales.
Menor privilegio
Para las organizaciones, es importante decidir los niveles de permiso de las aplicaciones y las personas dentro de una organización. Para ello, un elemento
clave es introducir el concepto de menor privilegio. Esto significa que se otorgan los menores permisos para poder completar un rol.
EJEMPLO
Una organización configura su base de datos de recursos humanos (HR) de forma que los gestores tienen acceso de solo lectura a los datos para los roles
de trabajo que gestionan. Si un atacante roba las credenciales de un determinado gestor, el atacante solo podrá poner en peligro la confidencialidad de
esos registros específicos. El atacante no podrá modificarlos, ya que son de solo lectura. Tampoco podrán acceder a las aplicaciones de otras áreas del
negocio.
Al introducir este control, la organización reduce las consecuencias de un ataque con éxito cuando se compara con un sistema menos restringido. En
términos de riesgo, reducimos las consecuencias en este ejemplo. También puede que oiga el término militar "radio de explosión" aplicado en este contexto,
donde el radio indica el área de efecto de un ataque. La reducción de permisos es una buena forma de limitar el "radio de explosión".
Gestión de parches y vulnerabilidades

Gestión de parches es el proceso de actualizar el software y gestión de vulnerabilidades es el proceso de identificar los errores en el software. Con el tiempo,
puede que se descubran vulnerabilidades en el software más antiguo. Las organizaciones que ejecutan un software obsoleto son vulnerables a exploits
antiguos. Asimismo, las nuevas versiones del software pueden introducir nuevas vulnerabilidades. En general, la actualización del software y las aplicaciones
a la versión más reciente reduce significativamente la probabilidad de que el ataque tenga éxito.
Cuando el software llega al final de su vida y ya no está soportado, su gestión se convierte en un problema para los empleados de seguridad. Si se descubre
una vulnerabilidad, el proveedor de software puede que no emita un parche de remediación.
Para evaluar qué software es vulnerable a un ataque específico, una organización puede utilizar un escáner de vulnerabilidades. Es un software que evalúa si
hay vulnerabilidades en un servidor o una aplicación. Los escáneres de vulnerabilidades pueden basarse en la red para examinar las vulnerabilidades
mediante pruebas activas, o bien pueden escanear el código fuente estático en busca de posibles errores. Ambos escáneres generan información útil para
identificar los puntos débiles antes que el atacante.
En relación con la idea de gestión de vulnerabilidades, también existen controles compensatorios. Si se identifica una vulnerabilidad para la que no hay
disponible un parche, puede buscarse una solución temporal. Incluye la opción de revertir una aplicación a una versión anterior o inhabilitar una
característica.
Defensa en profundidad
Una consideración clave final de defensa es que las organizaciones utilicen un método por capas. El término defensa en profundidad proviene originalmente
del ejército y hace referencia a no utilizar una única forma de defensa, sino disponerlas en capas. En TI, esto significa que una organización puede aplicar
defensas de red como, por ejemplo, cortafuegos; defensas de dispositivos como, por ejemplo, escáneres de malware; y controles en datos clave mediante el
uso del cifrado.
Para que un ataque tuviera éxito, deberían burlarse todas las capas de la defensa, lo cual es bastante difícil.
Este diagrama muestra el concepto de capas de la defensa en profundidad.
Este es el final de la lección. Asegúrese de seleccionar el recuadro "Actividad finalizada" para realizar un minicuestionario y demostrar los conocimientos que
ha adquirido en esta lección. Se mostrarán tres preguntas. Esto es necesario para terminar la lección.
Detección de ataques
10 Minutos
Si las defensas de una organización no consiguen evitar con éxito un ciberataque, la siguiente prioridad de la organización será detectarlo. Esto se realiza
idealmente mientras el ataque está en curso o, en el mejor de los casos, cuando la infracción no se ha producido todavía. En esta lección, examinaremos los
conceptos básicos de la detección de ataques.
Registro
Lo más importante que debe establecer una organización para detectar un ataque es alguna forma de registro. El registro es el proceso por el que las
acciones se registran con precisión en una ubicación segura. Los registros deben estar a prueba de manipulaciones y actuar como un registro permanente de
lo que ha ocurrido en una red. Este proceso de registro puede realizarse en aplicaciones o máquinas individuales.
Aunque una entrada de registro individual puede que no sea muy útil de manera aislada, la organización puede utilizar una mayor recopilación para realizar
un seguimiento de los usuarios legítimos y los atacantes.
EJEMPLO
Este es un ejemplo de un formato de registro utilizado por los servidores web Apache:
9.12.156.2 - bob [11/Jan/2020:14:16:34 -0700] "GET /index.html HTTP/1.0" 200 4066
Puede ver que esta entrada de registro describe a un usuario llamado "bob" que accede a una determinada página web con una anotación del estado y la
hora.
Supervisión de red
Además de registrar los sucesos que ocurren en los servidores, las organizaciones también pueden supervisar las comunicaciones en su red. Este enfoque se
conoce como análisis de tráfico. El análisis de tráfico puede utilizase para identificar qué se está haciendo en una red, incluso de manera pasiva, mientras se
utiliza el cifrado.
Determinados tipos de software malicioso que cambian de un dispositivo a otro a menudo se detectan en una buena solución de supervisión de red porque
son demasiado obvios.
EJEMPLO
Si un dispositivo se está utilizando para transmitir vídeo, tendrá un elevado consumo de ancho de banda en un periodo largo.
En comparación, si un dispositivo está descargando un archivo grande, se observará un gran pico de demanda y después poco o nada.
Herramientas de Gestión de sucesos e información de seguridad (SIEM)

Con toda la información recopilada, la correlación se convierte en una tarea muy difícil y beneficiosa para las organizaciones. Un producto de Gestión de
sucesos e información de seguridad (SIEM) recopila toda la información a través de las infraestructuras de tecnología de la organización, y la agrega para que
el equipo de ciberseguridad pueda identificar sucesos y patrones de posibles ataques, así como analizarlos.
Esta es una captura de pantalla de un servicio SIEM denominado IBM QRadar on Cloud (https://www.ibm.com/products/hosted-security-intelligence). Es
un software de análisis e información de seguridad de red para supervisar amenazas y ataques internos.
EJEMPLO
Un equipo de ciberseguridad que utiliza un producto SIEM puede decidir que desea detectar un intento de inicio de sesión de fuerza bruta para una
determinada cuenta. Pueden definir un umbral de cinco inicios de sesión fallidos por minuto. Si un atacante intenta comprometer una cuenta del sistema
probando millones de combinaciones de nombre de usuario y contraseña, el atacante excederá el umbral y desencadenará una alerta en SIEM, que avisa
al equipo de ciberseguridad.
Centro de operaciones de seguridad (SOC)

A menudo, el grupo responsable de proteger la seguridad de una organización forma parte de un centro de operaciones de seguridad (SOC). Uno de los
objetivos clave del SOC es detectar ataques en curso utilizando SIEM y otras herramientas de supervisión.
Los analistas de seguridad forman el equipo de personas responsable de evaluar la seguridad de una organización en el SOC. Si se detecta un ataque o
posible ataque, los analistas de seguridad decidirán cómo responder a la situación siguiendo procedimientos de la organización.
Esta fotografía muestra el Centro de operaciones de ciberdefensa de Microsoft. Opera 24×7 para defenderse de ciberamenazas.
Fuente: Microsoft’s Cyber Defense Operations Center shares best practices (https://www.microsoft.com/security/blog/2017/01/17/microsofts-cyber-
defense-operations-center-shares-best-practices/), Microsoft Secure Blog Staff, enero de 2017
Falsas alarmas
Uno de los equilibrios más difíciles en un SOC es ajustar la confidencialidad de distintos umbrales. Hay casos en los que puede desencadenarse una alerta
aunque la acción sea legítima. Esto se denomina un falso positivo, en el que se registra un suceso como malicioso cuando no lo es.
Confirmar si una alerta es un falso positivo es responsabilidad del analista de seguridad. Si una alerta desencadena demasiados falsos positivos, deberán
ajustarse los umbrales en valores más altos.
EJEMPLO
Puede provocarse un falso positivo cuando una empleada vuelve al trabajo de sus vacaciones y olvida su contraseña. Si la empleada intenta adivinar su
contraseña incorrectamente, sus repetidos intentos pueden exceder el umbral y desencadenar una alerta.
Actividad
En esta actividad, puede ponerse el sombrero de detective para revisar atentamente el siguiente conjunto de datos. La tabla muestra un registro de los
archivos de una organización que se modifican en un periodo de tiempo fijo, desde las 12 de la medianoche. Por su experiencia, sabe que esta actividad es
bastante predecible con elevados niveles de automatización. ¿Puede identificar un intervalo de tiempo en el que se haya producido una gran cantidad de
actividad de manera inesperada? Una inusual cantidad de cambios puede indicar una actividad desconocida o no autorizada.
Número de archivos
Hora
actualizados
01:00 AM 12
02:00 AM 23
03:00 AM 33
04:00 AM 47
05:00 AM 62
06:00 AM 75
07:00 AM 92
08:00 AM 104
09:00 AM 114
10:00 AM 128
11:00 AM 173
12:00 PM 207
13:00 PM 220
14:00 PM 232
15:00 PM 243

Cuando haya terminado, pulse aquí para ver la respuesta correcta.


En este conjunto de datos, hay una gran cantidad de actividad inesperada entre las 10:00 AM y las 12:00 PM. Podrá observar la tendencia más fácilmente en
esta representación visual:
Respuesta a los ataques

15 Minutos
Incluso aunque dispongan de las mejores defensas, es inevitable que todas las organizaciones deban responder a un ataque cibernético en algún momento.
Diseñar unos sistemas resistentes a través de preparación y procesos bien definidos resulta una parte fundamental de la planificación de la seguridad. En
esta lección, presentaremos los conceptos básicos de respuesta a incidencias.
Presentación de la respuesta a incidencias

El SANS Institute (https://www.sans.org/) ofrece muchos cursos, eventos y recursos de formación disponibles en línea. Uno de los documentos que
produjeron es el Incident Handler’s Handbook (https://www.sans.org/reading-room/whitepapers/incident/paper/33901) de Patrick Kral, que proporciona
un buen marco para la gestión de incidencias. Repasaremos brevemente las seis fases que los profesionales de ciberseguridad pueden utilizar de forma
conjunta para responder a una incidencia.
1. Preparación
• En esta fase, una organización debe comenzar a planificar qué hará en caso de producirse una incidencia.
• Los pasos típicos pueden implicar la preparación de recursos y procedimientos de prueba.
2. Identificación
• El primer paso para responder a una incidencia es detectarlo.
• Una vez que se ha confirmado una incidencia, el proceso continúa a la siguiente fase.
3. Contención
• Tan pronto como se detecta una incidencia, la prioridad es evitar que la situación empeore.
• Los pasos pueden incluir segregar redes o cerrar rutas de acceso o determinados sistemas.
4. Erradicación
• Al igual que una enfermedad en el cuerpo humano, determinados tipos de malware o atacantes deben
eliminarse por completo para mantener la seguridad.
• Durante el paso de erradicación, los dispositivos se pueden borrar o restaurar a estados seguros.
• Hay innumerables ejemplos en los que la erradicación incompleta provoca la reaparición de malware, por lo
que ser exhaustivo resulta fundamental.
5. Recuperación
• Una vez que se resuelva la incidencia, se requiere volver al funcionamiento normal.
• Esto puede implicar la eliminación de arreglos temporales o la restauración de determinados servicios.
6. Reflexión
• Después de la incidencia, es importante tener la oportunidad de reflexionar no solo sobre aquello que ha
causado la incidencia, sino el nivel de efectividad de la respuesta.
• Comúnmente, esta fase puede denominarse fase de las "Lecciones aprendidas". Sin embargo, "Lecciones
identificadas" puede ser un título más adecuado si no se realizan cambios.
Puede ver que este marco de incidencias proporciona un buen punto de partida para empezar a crear una estructura. Ciertas formas de ataque o incidencias
pueden requerir la ampliación de determinadas etapas. Por ejemplo, un evento de infracción de datos desde un dispositivo de almacenamiento perdido
puede no tener muchos pasos de erradicación, pero el proceso de recuperación pude ser más largo, con un mayor número de partes interesadas implicadas.
Preparación frente a incidencias

Como parte de las actividades empresariales estándar, muchas organizaciones realizarán varias actividades simuladas para evaluar su nivel de preparación.
Esta tabla explica tres modalidades de pruebas de este tipo.
Pruebas escritas Ejercicios de mesa Pruebas en directo

En esta prueba, se encuesta a los Este es un formato de prueba más La forma de prueba más
equipos de seguridad y se les hacen complicado. En esta prueba, se reúne a realista es realizar un ejercicio
preguntas sobre su nivel de varios miembros del personal clave y se dentro de los sistemas de
preparación. Esto puede suponer simula de principio a fin el proceso de trabajo real. Las
identificar al personal clave, respuesta a incidencias. Esta forma de organizaciones pueden
garantizar que se realicen copias de prueba permite a los equipos interactuar bloquear sus sistemas clave
seguridad y producir documentos entre sí y ver cómo se puede desarrollar el para probar errores diversos y
del proceso, bajo demanda. escenario más completo. ver cómo responden sus
equipos.

Continuidad del negocio y recuperación tras desastre

Vamos a examinar dos conceptos clave que debe conocer con respecto a la respuesta frente a incidencias.
1. Continuidad del negocio: se basa en la capacidad de una organización para continuar funcionando a pesar de una incidencia. Puede implicar tener sitios
de copia de seguridad para hacerse cargo de la prestación de servicios o una tecnología de copia de seguridad para asumir la responsabilidad si se
produce un error general.
2. Recuperación tras desastre: se basa en la capacidad de una organización para recuperarse en caso de producirse un desastre. Un desastre de
ciberseguridad puede suponer el borrado de todos los sistemas de una organización o la eliminación de bases de datos completas. En este proceso de
planificación de recuperación, las organizaciones deben estar preparadas para comenzar prácticamente sin nada.
Tanto los procesos de planificación de continuidad como los de recuperación tienen altos niveles de superposición con otras funciones de seguridad. Si bien
antiguamente las preocupaciones se centraban principalmente en desastres naturales, como inundaciones, terremotos o incendios, cada vez resulta más
evidente que los ataques cibernéticos pueden ser igual o más perjudiciales que los desastres naturales. Mientras que para una organización multinacional es
extremadamente improbable que todos sus sitios se vean afectados por un corte de energía simultáneamente, resulta mucho más plausible que se produzca
un ataque cibernético que apague los servicios globales clave, como los archivos compartidos de una organización o sus sistemas de administración de
dominio.
Ventajas de disponer de equipos de respuesta a incidencias

Las ventajas de disponer de equipos de respuesta a incidencias puede destacarse mediante el siguiente análisis extraído del informe 2019 Cost of a Data
Breach Report (https://www.ibm.com/account/reg/us-en/subscribe?formid=urx-42215) llevado a cabo por el Instituto Ponemon y patrocinado por IBM
Security.
Las empresas estudiaron que disponer de un equipo de respuesta a

incidencias y de pruebas exhaustivas de sus planes de respuesta
supuso un ahorro de más de 1,2 millones de USD.
La capacidad de una organización para responder eficazmente tras una infracción

de datos quedó reforzada por la presencia de un equipo de respuesta a incidencias
(IR) que seguía un plan de respuesta a incidencias. En la investigación de este año,
descubrimos que las organizaciones con un equipo de respuesta a incidencias
ampliaron sus ahorros de costes al realizar también pruebas exhaustivas de su plan
de IR, de modo que el efecto combinado del equipo de IR y las pruebas del plan de
IR produjo un mayor ahorro de costes que cualquier otro proceso de seguridad. Las
organizaciones que realizaron pruebas exhaustivas de un plan de IR tuvieron un
coste total promedio por infracciones de 1,23 millones de USD inferior al de las que
no tenían un equipo de respuesta a incidencias o probaron su plan de respuesta a
incidencias (3,51 millones de USD frente a 4,74 millones de USD). Probar el plan de
respuesta a incidencias, a través de ejercicios de mesa o simulaciones del plan en un
entorno como un recinto cibernético, ayudó a los equipos a responder más
rápidamente y a contener potencialmente la infracción con más anticipación.
Actividad
¡Es el momento de diseñar un plan personal de respuesta a incidencias! Seamos creativos y operativos. Imagine que su equipo portátil, sistema o tableta
tiene un error y ya no se enciende. ¿Cuál sería su proceso de respuesta?
Escriba su respuesta a cada pregunta en los cuadros. Sus respuestas son solo para usted y solo se guardan en este curso para usted. Asegúrese de hacer clic
en Guardar texto.
1. El primer paso podría ser identificar la situación. ¿Cómo diagnosticaría la causa del problema? ¿Intentaría hacer esto? ¿Con qué rapidez debería suceder?
Guardar texto Save Text Guardar texto

2. El paso siguiente podría ser determinar las acciones necesarias para responder. ¿Tiene planificado reemplazar el dispositivo? ¿Dispone de algún
dispositivo de recambio que pueda introducir rápidamente?
Guardar texto

3. Un último paso podría ser reflexionar. ¿Cómo podría minimizar el impacto de esta situación si volviera a ocurrir en el futuro?
Guardar texto
Introducción de la criptografía
15 Minutos
En esta lección, presentaremos el campo matemático de la criptografía. La criptografía es fundamental para comprender los conceptos vitales dentro de la
seguridad de la información y es algo que todos los profesionales de ciberseguridad deben dominar para tener éxito.
La criptografía se define como el arte de escribir y resolver códigos.
Al comienzo de este curso, ya expusimos que mantener la información como confidencial es una de los objetivos clave de la seguridad de la información.
Guardar y compartir secretos han sido retos que han existido durante miles de años. Si bien los métodos para lograrlo han cambiado significativamente a lo
largo de los años, los objetivos han seguido siendo prácticamente los mismos.
Definición de unas comunicaciones seguras

Imagine una situación con tres participantes: Alice, Bob y Eve. Estos tres personajes se han utilizado durante muchos años en el campo de la criptografía
para ilustrar conceptos. Alice y Bob quieren comunicarse de forma segura y Eve quiere espiar la conversación.
Hay tres propiedades clave que deben tenerse en cuenta para efectuar unas comunicaciones seguras de confianza.
Propiedad 1: Confidencialidad
Alice puede enviar un mensaje a Bob sin que Eve pueda entender su contenido. Esta propiedad significa que el mensaje es privado.
Propiedad 2: Autenticidad
Eve no puede enviar un mensaje a Bob haciéndose pasar por Alice. Esta propiedad se relaciona con el hecho de garantizar que la suplantación de identidad
sea imposible.
Propiedad 3: Integridad
Si Eve modifica un mensaje entre Alice y Bob, el receptor podrá identificar que el mensaje ha sido modificado. Es posible manipular los mensajes sin conocer
su contenido. Por ejemplo, las personas pueden hablar en voz alta para interrumpir una conversación presencial en un idioma que no entienden.
Estas tres propiedades se logran mediante una variedad de algoritmos matemáticos y otras técnicas. ¡Antiguamente, podrían ser cajas precintadas y sellos de
cera, pero para este curso, nos centraremos más en las opciones matemáticas!
Cifrado
El cifrado es el proceso mediante el cual un mensaje se convierte en algo que no se puede entender, excepto para quien tenga una clave de descifrado para
revertir el proceso. Cuando un mensaje se ha convertido a un estado ilegible, se dice que está cifrado. A nivel general, hay dos formas de cifrado en uso para
el mundo actual: simétrico y asimétrico.
Cifrado simétrico
En el cifrado simétrico, el algoritmo para cifrar la información utiliza la misma clave que el proceso de descifrado. El cifrado simétrico es rápido y fácil de
implementar. Se basa en que tanto el remitente como el receptor tienen acceso a la misma clave, como una contraseña o "secreto compartido", para
mantener un enlace de información privada.
EJEMPLO
Un ejemplo simple es el cifrado basado en la rotación, donde los caracteres aumentan o disminuyen en un número fijo de posiciones en el alfabeto. El
número de posiciones para avanzar y retroceder actúa como la clave. Si el remitente está usando una clave de +1, los caracteres rotan hacia adelante 1
posición y el receptor luego usa una rotación de -1 para recibir el mensaje original. En este cifrado, la palabra "FIESTA" se cifra mediante un
desplazamiento +1 en el alfabeto, para pasar a ser "GJFTUB".
Los algoritmos en uso actualmente que siguen los modelos simétricos incluyen versiones del Estándar de cifrado avanzado (AES). ¡Es lo que probablemente
usa su navegador para ver esta página de forma segura!
Cifrado asimétrico
En el cifrado asimétrico, el proceso para cifrar la información utiliza una clave distinta para descifrar la información. Estas claves se conocen como claves
públicas y claves privadas. Se generan de forma simultánea. Cuando se genera una clave pública, puede compartirse con cualquier usuario. Cualquier
persona que tenga una copia de la clave pública puede cifrar un mensaje, que solo el titular de la clave privada podrá descifrar.
EJEMPLO
En este diagrama, Alice es el remitente y Bob es el receptor. Representa el proceso de transmisión. Alice cifra un mensaje mediante la clave pública de
Bob. Cuando el mensaje está cifrado, solo puede descifrarse usando la clave privada de Bob. El mensaje cifrado se envía a Bob. Bob puede descifrar el
mensaje utilizando su clave privada. Resulta esencial que Bob no comparta su clave privada con nadie, ya que de lo contrario, podrían leer todos sus
mensajes entrantes.
La principal ventaja que ofrece el cifrado asimétrico es que las organizaciones pueden comunicarse de forma segura con una entidad con la que no han
intercambiado previamente una "clave". Además, puede garantizar que se está enviando un mensaje al destinatario correcto.
EJEMPLO
Una de las ventajas de la criptografía asimétrica puede ejemplificarse mediante las compras en línea. Los clientes pueden comprar productos en tiendas
sin tener que ir físicamente a la ubicación para crear una clave simétrica, única y compartida.
Si la criptografía simétrica fuera la única opción, la clave simétrica acordada debería usarse para cifrar y descifrar todas las transacciones futuras entre el
cliente y la tienda.
En comparación, usar la criptografía asimétrica es cómodo y ahorra tiempo, ya que no es necesario el encuentro presencial. Sin esta ventaja, sería
prácticamente imposible utilizar las compras en línea de manera segura.
Actividad
¡Una de las mejores maneras de aprender cosas acerca del cifrado es probarlo personalmente! La herramienta CyberChef
(https://gchq.github.io/CyberChef/) es un programa basado en la web escrito por la GCHQ (Central de Comunicación del Gobierno) del Reino Unido como
herramienta de ayuda en las operaciones de tratamiento de datos, como el cifrado. En CyberChef, un mensaje cifrado es el ingrediente para "hornear" una
receta, tras aplicar una serie de pasos. Siga estos pasos.
1. Vaya a CyberChef (https://gchq.github.io/CyberChef/).
2. Copie y pegue este mensaje cifrado en el campo Input: ftue ue m fqef eqzfqzoq
3. En las operaciones etiquetadas de la navegación de la izquierda, desplácese hacia abajo para buscar la sección Encryption / Encoding y expandirla.
4. Seleccione y arrastre ROT13 al espacio vacío del cuadro Recipe. Esto significa que la herramienta rotará los caracteres del alfabeto hacia adelante 13
posiciones. La opción Auto Bake está habilitada de manera predeterminada, por lo que observará que el campo Output ha cambiado.
5. Ahora, haga clic en las flechas hacia arriba y hacia abajo en el campo Amount para ver el cambio de mensaje en el campo Output. Desea descifrar el
mensaje. Deténgase cuando encuentre un mensaje Output que tenga sentido como oración corta en inglés.
¿Cuál es el mensaje descifrado? Escriba su respuesta en el cuadro. Su respuesta es solo para usted y solo se guarda en este curso para usted. Asegúrese de
hacer clic en Guardar texto.
Your text has been saved. Click "X" to continue. ×
Cuando esté listo, haga clic aquí para ver el mensaje descifrado.

Visite esta página web de CyberChef
(https://gchq.github.io/CyberChef/#recipe=ROT13(true,true,true,14)&input=ZnR1ZSB1ZSBtIGZxZWYgZXF6ZnF6b3Eg) para comprobar su respuesta.
Presentación de la información de amenazas

15 Minutos
Tradicionalmente, en las operaciones militares, la inteligencia a menudo se percibe como un multiplicador de fuerza. Permite a un general usar los recursos
que tiene a su disposición para lograr su mayor impacto.
Si conoces al enemigo y te conoces a ti mismo,
no temas el resultado de cien batallas;
si te conoces a ti mismo, pero no conoces al enemigo,
por cada batalla ganada perderás otra.
— El arte de la guerra, Sun Tzu (https://en.wikiquote.org/wiki/Sun_Tzu)
En el mundo moderno de la ciberseguridad, conocer a tus enemigos es dominar la inteligencia de amenazas.
En esta lección, trataremos brevemente sobre cómo se benefician las organizaciones de estar al corriente de la inteligencia de amenazas y las fuentes que
usan comúnmente.
¿Qué es la inteligencia de amenazas?

Como concepto básico, el Ministerio de Defensa del Reino Unido define la inteligencia como “la adquisición y análisis dirigidos y coordinados de información
para evaluar capacidades, intenciones y oportunidades de explotación por parte de líderes en todos los niveles.”
Fuente: Joint Doctrine Publication (JDP) 2-00: Understanding and intelligence support to joint operations
(https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/311572/20110830_jdp2_00_ed3_with_change1.pdf),
tercera edición, agosto de 2011
Posteriormente, la inteligencia de amenazas cibernéticas son datos recopilados y analizados por una organización para comprender los motivos y el
comportamiento de los ciberatacantes. Este es un subconjunto del panorama de la inteligencia, que exploraremos más a fondo.
Dentro de la ciberseguridad, la inteligencia generalmente se centra en las tácticas, técnicas y procedimientos (TTP) del atacante u otros indicadores de
compromiso (IOCs). ¿Qué significan estos términos?
• Tácticas son el "por qué", que significa el objetivo táctico del adversario o el motivo para realizar una acción. Por ejemplo, un adversario puede querer
aumentar sus privilegios.
• Técnicas son el "cómo", es decir, las formas en que un adversario logra un objetivo táctico realizando una acción. Por ejemplo, un adversario puede omitir
los controles de acceso para aumentar sus privilegios.
• Procedimientos son la implementación específica que el adversario utiliza para las técnicas. Por ejemplo, un adversario puede usar una herramienta o un
programa específico para aumentar sus privilegios.
• Preferencias sobre cookies
Indicadores de compromiso (IOCs) son firmas relacionadas con la actividad del atacante. Por ejemplo, determinadas direcciones IP pueden estar
asociadas con grupos de amenazas o con ciertos archivos. La presencia de un IOC puede indicar que una organización ya ha quedado en riesgo en algún
momento, de ahí el nombre.
Ventajas de la inteligencia de amenazas

Las organizaciones pueden beneficiarse de la inteligencia de amenazas en las siguientes áreas amplias.
Provisión de una advertencia • Una ventaja clave de la inteligencia de amenazas es que permite a las organizaciones
prepararse para los ataques.
• Ciertos desarrollos geopolíticos o técnicos tienen el potencial de cambiar el perfil de riesgo

de una organización con bastante rapidez.
• Disponer de algún tipo de aviso previo para que las organizaciones puedan preparar mejor
sus defensas de cara a evitar que ocurra un ataque.
Provisión de indicadores de • La inteligencia de amenazas ayuda a las actividades de detección gracias a la provisión de
compromiso (IOCs) indicadores de compromiso.
• Pueden ser determinadas direcciones IP utilizadas por atacantes, hash de archivos o

dominios.
• Un defensor dentro de una organización puede buscar estos signos y agregar reglas de
detección para alertar cuando se detecten.
Provisión de contexto • Si una organización descubre que ha sido atacada desde una ubicación o un grupo
desconocido, la organización puede usar fuentes de inteligencia para empezar a conocer al
atacante.
• El contexto puede incluir información útil para colaborar en la atribución y la orientación

sobre qué debe esperarse a continuación.
Aprendizaje a partir de • Hay algunas cosas que se aprenden mejor a partir de otras experiencias.
experiencias similares
• Las organizaciones pueden compartir información sobre cómo han sido atacadas por sus
atacantes, cómo se han defendido y qué efectividad han tenido sus enfoques.
• Estas historias compartidas son un método excelente para fortalecer a toda a la industria.
Fuentes de inteligencia de amenazas

Recopilar y desarrollar inteligencia sobre amenazas puede ser una tarea compleja. Las organizaciones pueden participar en investigaciones principales en las
que se investigan a sí mismas o recopilan información secundaria de otra fuente. Estas son algunas fuentes comunes de inteligencia de amenazas que utilizan
las organizaciones.
Plataformas de intercambio de • Existen varias plataformas en línea que permiten a los profesionales de la ciberseguridad
amenazas acceder a bases de datos de información y análisis recopilados.
• Pueden variar desde plataformas gratuitas hasta otras que se proporcionan bajo un modelo
de suscripción o en grupos sectoriales cerrados.
• Un ejemplo es la plataforma IBM X-Force Exchange

(https://exchange.xforce.ibmcloud.com/).
Conferencias • Las conferencias son un buen método para que los profesionales de la seguridad
cibernética compartan los últimos avances en el sector.
• Algunos investigadores hacen públicos sus descubrimientos para obtener un mayor

impacto publicitario sobre un evento.
• También se generan oportunidades para recopilar información de conversaciones

informales en conferencias y redes.
• Entre las conferencias se incluyen eventos como Black Hat (https://www.blackhat.com/),

RSA Conference (https://www.rsaconference.com/) y CYBERUK
(https://www.ncsc.gov.uk/section/cyberuk/overview).
Artículos y noticias • Algunos medios de comunicación dedican esfuerzos considerables a cubrir los desarrollos
en el mundo de las TI. Un ejemplo es Security Intelligence
(https://securityintelligence.com/).
• A medida que ciertos problemas de seguridad se han vuelto más importantes, la cantidad
de cobertura ha aumentado significativamente.
• También existe una buena colección de sitios más pequeños, además de los medios
tradicionales, destinados a un público más especializado. Entre los ejemplos de blogs se
incluye Krebs on Security (https://krebsonsecurity.com/) y Graham Cluley
(https://www.grahamcluley.com/).
Proveedores de productos • Organizaciones como Microsoft, Google y Apple, que producen una gran cantidad de
software, con frecuencia generan avisos de seguridad periódicos relacionados con sus
productos.
• Estos avisos pueden incluir información muy importante y son lecturas esenciales para los
administradores de sistemas.
Roles profesionales
Dentro del mundo de la inteligencia de amenazas cibernéticas, los roles profesionales generalmente se pueden dividir en dos áreas: producción e
interpretación.
• En el lado de la producción, hay una variedad de roles profesionales implicados en la recopilación y el enriquecimiento de la información. Algunos de estos
roles tienen un enfoque técnico, como los relacionados con el desarrollo de analizadores o rastreadores web, o la realización de análisis de software. Otros
roles pueden implicar más subterfugios y la infiltración en mercados y bandas criminales. Finalmente, hay roles involucrados en la traducción, el análisis
lingüístico y la psicometría (la ciencia de medir las capacidades y los procesos mentales). Todos estos roles recopilan información y producen inteligencia a
partir de ella.
• En el lado de la interpretación, a menos que el desarrollo de la inteligencia se realice internamente o de forma comisionada, es muy raro que la inteligencia
les diga a los analistas todo lo que a ellos les gustaría. Los analistas de seguridad pueden recibir varias advertencias relacionadas con una variedad de
temas. Posteriormente, deben revisar los descubrimientos y decidir las mejores acciones recomendables para llevar a cabo. La interpretación debe tener
en cuenta atributos organizativos únicos, como los requisitos de eficacia de la información confidencial o propia. ¡No hay un modelo único global!
Información clave
A modo de conclusión, la inteligencia de amenazas permite a las organizaciones actuar de manera sistemática y planificada en lugar de utilizar estimaciones
o confiar en estándares. Esto significa que las defensas han sido diseñadas para afrontar los ataques que experimentarán en lugar de diseñarse para cumplir
con un estándar sectorial o normativo. Esto es especialmente importante para las organizaciones que operan de forma compleja o anómala, para las cuales
las normativas a menudo son una orientación insuficiente.
Actividad
Supongamos que está en un equipo de seguridad y se
le ha pedido que presente un informe de inteligencia
de amenazas para resumir lo que ha sucedido en las
últimas 24 horas. Pruebe y busque información sobre
la plataforma IBM X-Force Exchange
Escriba su respuesta en el cuadro. Su respuesta es solo

para usted y solo se guarda en este curso para usted.
Asegúrese de hacer clic en Guardar texto.
¿Qué información proporcionaría hoy? ¿Cuáles son las

últimas tendencias en inteligencia, avisos, actividades
de amenazas, etc.?
¡Consulte el mapa de actividad de amenazas en la

sección sobre Actividad de amenazas!
Ir a la plataforma IBM X-Force Exchange

Su texto se ha guardado. Pulse "X" para continuar. ×

Impacto Financiero

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Impacto Financiero

Cargado por

Copyright:

Formatos disponibles

25/8/22, 18:30 Fundamentos de ciberseguridad

Visión general del módulo

• Impacto financiero de la ciberdelincuencia en las organizaciones

• Métodos comunes que utilizan las organizaciones para:

• Responder y recuperarse de ciberataques

• Propiedades clave de la comunicación segura

• Criptografía simétrica y asimétrica

• Fuentes de información sobre amenazas y ventajas para las organizaciones

Coste de las infracciones de datos

Preferencias sobre cookies

Preferencias sobre cookies

Cómo enfrentarse al reto del aumento de ataques

© Copyright IBM Corporation 2022.

La evolución de la madurez de seguridad

Área Signo de menos madurez Signo de más madurez

Punto de partida para las organizaciones

Los 10 pasos para la seguridad cibernética son:

• Seguridad de la cadena de suministro

 Descargar el diagrama (https://www.ncsc.gov.uk/files/2021-10-steps-to-cyber-security-infographic.pdf)

Mercado del sector de la seguridad

Protección ante ataques

Gestión de parches y vulnerabilidades

Preferencias sobre cookies

Este diagrama muestra el concepto de capas de la defensa en profundidad.

Preferencias sobre cookies

9.12.156.2 - bob [11/Jan/2020:14:16:34 -0700] "GET /index.html HTTP/1.0" 200 4066

Herramientas de Gestión de sucesos e información de seguridad (SIEM)

Preferencias sobre cookies

Centro de operaciones de seguridad (SOC)

Preferencias sobre cookies

Cuando haya terminado, pulse aquí para ver la respuesta correcta.

Preferencias sobre cookies

Respuesta a los ataques

Presentación de la respuesta a incidencias

• Los pasos típicos pueden implicar la preparación de recursos y procedimientos de prueba.

Preferencias sobre cookies

• Esto puede implicar la eliminación de arreglos temporales o la restauración de determinados servicios.

Preparación frente a incidencias

Pruebas escritas Ejercicios de mesa Pruebas en directo

Continuidad del negocio y recuperación tras desastre

Ventajas de disponer de equipos de respuesta a incidencias

Preferencias sobre cookies

Las empresas estudiaron que disponer de un equipo de respuesta a

La capacidad de una organización para responder eficazmente tras una infracción

Guardar texto Save Text Guardar texto

Preferencias sobre cookies

La criptografía se define como el arte de escribir y resolver códigos.

Definición de unas comunicaciones seguras

Preferencias sobre cookies

1. Vaya a CyberChef (https://gchq.github.io/CyberChef/).

Preferencias sobre cookies

Your text has been saved. Click "X" to continue. ×

Presentación de la información de amenazas

Si conoces al enemigo y te conoces a ti mismo,

no temas el resultado de cien batallas;

si te conoces a ti mismo, pero no conoces al enemigo,

por cada batalla ganada perderás otra.

— El arte de la guerra, Sun Tzu (https://en.wikiquote.org/wiki/Sun_Tzu)

En el mundo moderno de la ciberseguridad, conocer a tus enemigos es dominar la inteligencia de amenazas.

¿Qué es la inteligencia de amenazas?

• Preferencias sobre cookies

Ventajas de la inteligencia de amenazas

• Ciertos desarrollos geopolíticos o técnicos tienen el potencial de cambiar el perfil de riesgo