Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivo: analizar y comprender las principales amenazas de la ciberseguridad a las que están expuestas las
organizaciones y familiarizarse con los principales conceptos que intervienen en el diseño e implementación de la
seguridad de los sistemas informáticos (STIC)
Objetivos:
- Comprender cuáles son las principales dimensiones de la ciberseguridad
- Explicar por qué la seguridad de la información debe considerarse como un proceso y no como un producto.
- Enunciar y explicar los aspectos económicos fundamentales de la seguridad de la información
- Describir y dar ejemplo de los diferentes tipos de amenaza y controles para la seguridad física.
- Describir la importancia y el papel de la gestión de riesgos en la seguridad de la información.
- Diferenciar y dar ejemplos de las diferentes herramientas de gestión para la seguridad de la información.
- Describir la importancia del factor humano en la seguridad de la información.
Factores más comunes que se dan en los ataques son los siguientes:
Dimensiones de la ciberseguridad
- Identificar: a las personas que acceden a la información manejada por un sistema o a los recursos de este
mediante un identificador y su información asociada.
- Autenticar: a las personas que acceden a la información manejada por un sistema o a los recursos de este
mediante credenciales.
- Autorizar: controlando el acceso de los usuarios a la información manejada por un sistema o a los recursos de
este.
- Proporcional confidencialidad a la información manejada por un sistema en almacenamiento o en tránsito
mediante el uso de la criptografía.
- Proporcionar integridad a la información manejada por un sistema o a los recursos de este, usando las
propiedades de la firma digital avanzada.
- Mantener la disponibilidad de la información manejada por un sistema o de los recursos de este. El suso de
sistemas redundantes y la gestión de activo de backup son fundamentales.
- Proporcionar la prueba de que una determinada transmisión o recepción ha sido realizada, sin que su
receptor/transmisor pueda negar que se haya producido, usando las propiedades de la firma digital avanzada.
(No repudio).
- Proporcionar los controles que determinen que en todo momento se podrá demostrar quién hizo qué y en qué
momento. ES necesario un correcto diseño de logging o registro que permita una trazabilidad eficaz y eficiente.
La ciberseguridad es un proceso:
Política general de seguridad
- Esta es una política general de alto nivel y de carácter estratégico; de ella derivan las demás. Típicamente,
contiene lo siguiente:
o Una declaración de la importancia de los recursos de información en la empresa
o Una declaración de compromiso de la dirección clara con la seguridad de la información.
o Un compromiso de delegación a las políticas derivadas de la mencionada política general.
Políticas funcionales
- También son de alto nivel, por lo que indican qué debe hacerse, pero no detallan el cómo (esto vendrá detallado
concretamente en los procedimientos)
- Típicamente estás políticas afectan a un área funcional o a un determinado tipo de aplicación, como puede ser la
política de uso del correo electrónico.
Estándares:
- Los estándares, directrices y procedimientos son medios para implementar las políticas.
- Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme
- Son obligatorios y, en ocasiones, implican determinados compromisos con ciertos sistemas operativos o
fabricantes de software.
Directrices:
- Son similares a los estándares, pero son solo recomendaciones, no son de obligado cumplimiento
- Son un mecanismo más flexible que los estándares y pueden utilizarse para determinarlos.
Procedimientos:
- Son descripciones detalladas de los pasos para llevar a cabo una determinada tarea por los usuarios sin dudas.
Líneas base:
- Son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de
manera uniforme en toda la organización.
La ciberseguridad implica la gestión de riesgos. Al conjunto de procesos de análisis, evaluación y planificación del riesgo
se lo denomina “gestión de riesgos”
- Asumir el riesgo
- Tratar el riesgo
- Externalizar el riesgo.
Es importante entender que el factor humano es un elementos más del sistema de información y , como tal, las políticas
y las herramientas que se implementen deben tenerlos en cuenta.
Objetivo: conocer las principales normas para gestión de la ciberseguridad. Conocer los principales aspectos gestor de
ciberseguridad y las certificaciones disponibles para una adecuada formación y concienciación en materia de gestión de
ciberseguridad.
Política de seguridad
Concepto:
- Define el comportamiento apropiado para cada caso
- Establece que herramientas y qué procedimientos son necesarios
- Sirve para comunicar un consenso del uso de datos y aplicaciones dentro de la organización
- Proporciona una base para la demostración del uso inapropiado de recursos por parte de empleado o de
externos.
Principios:
- Principio de mínimos privilegios
- Principio de profundidad en la defensa
- Principio de diversidad en la defensa
- Identificación de puntos débiles
- Centralización de la gestión de la seguridad
- Principio de simplicidad
Fases:
- Implementación: medidas básicas, cortafuegos, redes privadas virtuales, etc.
- Monitorización: auditorias, sistemas de detección de intrusiones
- Análisis de vulnerabilidades: analizadores y pruebas.
Normas:
- SGSI: Sistema de Gestión de Seguridad de la Información
- Ciclo de vida de desarrollo seguro de software
- Normas de acceso remoto
- Normas de protección de la información
- Normas sobre la seguridad perimetral
- Normas básicas de seguridad física
- Normas sobre respuestas a incidentes
- Encriptación aceptable
- Proveedores de conexión a internet aceptables
- Laboratorios de prueba de problemas de seguridad
- Antivirus
- Seguridad de encaminadores y conmutadores
- Comunicaciones Wireless
- Cortafuegos
Diseño:
De acuerdo con la guía CCN-STIC-805 del Centro Criptológico Nacional (CNN) (2011), las secciones típicas de una política
de seguridad de la información son:
Herramientas:
- Normas de seguridad. Estandarizan el uso de aspectos específico del sistema. Indican un uso correcto y
responsabilidad del usuario y son obligatorias. Normas sobre gestión de contraseñas.
- Guías de seguridad. Destinada a ayudar a los usuarios a aplicar las medidas de seguridad correctamente al
proporcionar un razonamiento donde no se dispone de los procedimientos. Guías de configuración segura
Firefox.
- Procedimientos de seguridad: se ocupan de tareas específicas, mostrando cada paro que se debe realizar. Son
muy útiles en tareas que son repetitivas, como puede ser un procedimiento de Backup y recuperación.
SGSI: Sistema de Gestión de Seguridad de la Información
- Plan: planificar. Es una fase de diseño del SGSI en la que se realiza la evaluación de riegos de seguridad de la
información y la selección de controles adecuados
- Do: Hacer: es una fase que envuelve la implantación y operación de los controles.
- Check: Controlar: es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del
SGSI.
- Act: Actuar: en esta fase se realizan cambios, cuando sea necesario, para llevar de vuelta el SGSI al máximo
rendimiento.
Normas: ISO 27001 (última versión 2022), NIST SP 800-53 Rev5. Esquema de seguridad nacional de España.
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de
la información, así como de los sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la
evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de
una organización.
Descripción de la arquitectura. Mission Business Processes, FEA Modelos de referencia, Segmentos y arquitecturas de
soluciones.
Entradas de la organización: Leyes, directivas, políticas, Guías. Metas estratégicas y objetivos. Requerimientos de la
seguridad de la información. Prioridades y recursos habilitados.
El profesional de la ciberseguridad
Existe la titulación de carrera de grado en ciberseguridad. El cuerpo de conocimiento (body of Knowledge, BOK) del
consorcio internacional de certificación de seguridad de sistemas informáticos o ISC2 es un ejemplo de recopilación de
requisitos en el área que puede considerarse como definitorio de qué debe ser un profesional de la seguridad de la
información.
También el ISC2 incluye en sus requisitos un código ético al que los certificados por la organización deben adherirse. El
reconocimiento de la profesión por la comunidad y los clientes parece más evidente por la existencia de consultoras y
empresas especializadas.
Certificaciones de la ciberseguridad
CAP: Es una certificación asociada a los procesos de autorización y certificación, no tan amplia como la CISSP.
CISM de ISACA: Ofrece el Certified Information Scurity Manager (CISM o Gestor Certificado en Seguridad de la
Información), dirigido específicamente al área de gestión en el contexto de la seguridad.
Análisis de riesgos: El análisis de riesgos es un proceso importante para una organización porque ayuda a evaluar y
controlar los riesgos a los que se enfrenta, protegiendo sus datos y otros activos. Se identifican los recursos y amenazas
a los que se enfrenta la organización y se toman medidas preventivas para evitar riesgos imprevistos costosos. Es
fundamental en la gestión de la seguridad de la información en cualquier organización o sistema tecnológico y se
recomienda realizar antes de implementar un servicio. Además, es la base del proceso de valoración, certificación y
acreditación que formaliza la confiabilidad de un sistema de información.
Objetivos:
- Estudiar los principios y buenas prácticas que deben regir la fase de análisis de riesgos de un sistema y un marco
para su gestión.
- Conocer las principales metodologías de análisis y gestión de riesgos
- Explicar cómo planificar un proyecto de análisis y gestión de riesgos
- Definir y explicar los aspectos fundamentales de la metodología de análisis y gestión de riesgos Magerit
- Explicar cómo usar la herramienta de análisis y gestión del riesgo.
Principales metodologías y herramientas
El análisis de riesgos tiene como objetivo evaluar los riesgos que enfrenta una organización y determinar cómo
manejarlos. Existen varios métodos de análisis de riesgos, cada uno con características específicas, etapas, cálculos
cuantitativos y cualitativos, informes de cumplimiento y ventajas e inconvenientes. Los principales métodos incluyen
Magerit, Octave, CRAMM, Mehari, NIST SP 800-30, ISO/IEC 27005:2018, IRAM, FAIR, Octave y STRIDE.
Magerit:
Es una metodología implementada por el Consejo Superior de Administración Electrónica (CSAE) para llevar a cabo el
análisis y la gestión de los riesgos activos de una organización, apoyándose en la terminología de la norma ISO 31000.
Conocer las características de cada método permitirá seleccionar el que mejor se adapte a las necesidades y nivel de
conocimientos de cada organización.
La metodología Magerit es implementada por el Consejo Superior de Administración Electrónica para analizar y
gestionar los riesgos activos de una organización. Magerit establece un marco que permite a los órganos de gobierno
tomar decisiones y gestionar los riesgos derivados del uso del sistema de información. La metodología tiene dos libros y
un manual técnico que explican la estructura del modelo y cómo desarrollar el análisis. Puede utilizarse tanto para el
enfoque cuantitativo como el cualitativo. Las guías y herramientas son gratuitas, accesibles y están disponibles en varios
idiomas.
Octave:
Operational Threat Asset and Vulnerability Assessment (Octave) es una metodología que fue desarrollada originalmente
por el Software Institute of Carnegie Mellon en colaboración con el Centro de Investigación de Tecnología Avanzada y
Telemedicina (TATRC) con el objetivo de facilitar el cumplimiento del Departamento de Defensa de los Estados Unidos
con las disposiciones de la ley de responsabilidad y aprovisionamiento de seguros de salud (HIPAA).
Octave se enfoca en el proceso de análisis de riesgos y en la planificación de las consecuencias de las acciones de
tratamiento para reducir los riesgos considerados inaceptables. Esta metodología considera tanto aspectos operativos
tecnológicos como de seguridad de la información, lo cual permite una toma de decisiones mejorada para proteger
activos claves.
Se dispone de tres variantes de Octave: Octave-S, Octave y Octave Allegro, cada una ajustándose a las necesidades
específicas de la organización. Octave-S está dirigida para las denominadas pymes, mientras que Octave está centrado
en grandes empresas que emplean a más de trescientos empleados y Octave Allegro tiene un enfoque orientado a los
activos de información.
- Flexibilidad, ya que puede ajustarse a entidades de diferentes tamaños e independientemente del entorno
operativo, ya que está basada en los riesgos, la capacidad de recuperación y en el conocimiento y experiencia de
cada estrato de la organización.
- Alcance completo, ya que incluye la identificación y valoración de los riesgos, la planificación de acciones de
mitigación y persigue el aseguramiento de la continuidad del negocio.
- Aproximación completa, cuyo modelo involucra activos, interfaces, procesos, recursos, vulnerabilidades,
amenazas, medidas de seguridad, etc.
- Metodología auto dirigida, es decir, la organización gestiona y dirige la evaluación de sus riesgos, bien a través
de un equipo multidisciplinar o a nivel individual (Octave Allegro).
- De carácter público, gratuita y, por tanto, puede ser utilizada en todas las organizaciones.
La metodología de análisis armonizado de riesgo (Mehari) fue creada por el Club de la Sécurité de l’Information Français
(CLUSIF) en 1998 con el propósito de proporcionar un método gratuito y conforme a los requerimientos de la norma
ISO/IEC 27005:2018 para el análisis y gestión de riesgos de la información, considerando las tres dimensiones básicas de
seguridad: confidencialidad, integridad y disponibilidad.
Entre las ventajas de Mehari, se destacan que es gratuito, de código abierto desde 2007, y utiliza un modelo de análisis
de riesgos cualitativo y cuantitativo alineado con la norma ISO/IEC 27005:2018.
Por otro lado, entre las desventajas se encuentran que la estructura del proceso difiere enormemente respecto a otras
metodologías, lo que puede hacer más difícil su aplicación, y que la recomendación de controles y la estimación del
impacto están asociados a la parte de gestión, no de análisis de riesgos.
CRAMM
La metodología CRAMM es desarrollada por la CCTA para el análisis y gestión de riesgos de la información, combinando
enfoques cuantitativos y cualitativos. Tiene ventajas como ser un enfoque estructurado y completo, permitir la
identificación adecuada de activos y su nivel de exposición, tener una amplia base de datos de contramedidas, entre
otras. Las desventajas son que requiere personal cualificado, las revisiones completas requieren tiempo, pueden haber
demoras entre las fases de análisis y aplicación, y algunas herramientas son de pago.
NIST SP 800-30
NIST SP 800-30 es una metodología desarrollada por el National Institute of Standards and Technology (NIST) para
realizar el análisis y gestión de riesgos de los sistemas de información de una organización. Las ventajas de esta
metodología incluyen ser una de las primeras normas de evaluación de riesgos, la identificación de datos críticos y la
sensibilidad de los mismos, y la capacidad de mapear vulnerabilidades. Sin embargo, sus desventajas incluyen no poder
ser utilizada para la evaluación de riesgos de la organización en su conjunto, no identificar activos y ser muy prescriptiva.
Planificación de un proyecto de análisis de riesgos
La aplicación de la metodología Magerit es un proceso que se enmarca en un proyecto que consta de las siguientes
etapas y actividades:
El comité de dirección inicia y promueve proyectos, incluyendo análisis de riesgos de sistemas. Designan un equipo de
proyecto y un director para coordinar el trabajo, y un comité de seguimiento para monitorear el progreso del proyecto.
El flujo de información comienza con la presentación del análisis técnico al comité de seguimiento por parte del director
del proyecto. El comité de seguimiento realiza una evaluación de negocio y la presenta al comité de dirección. El comité
de dirección toma las decisiones finales y se crea el plan de seguridad para gestionar el riesgo del sistema.
El promotor del comité de dirección elabora un informe preliminar para el proyecto y el director del proyecto trabaja
con el comité de seguimiento para determinar su alcance. Es importante que el alcance del proyecto esté claramente
definido para que el equipo pueda desarrollar un plan detallado y enfocarse en las tareas críticas para el éxito del
proyecto.
- Objetivos.
- Dominio y límites.
- Entorno y restricciones
- Dimensiones y coste.
El lanzamiento del proyecto es responsabilidad conjunta del equipo de proyecto y del comité director.
- Preparación de cuestionarios.
- Elaboración de criterios de valoración.
- Determinación de los recursos necesarios.
- Preocupación por la sensibilización.
Análisis de riesgos
El equipo de proyecto y los grupos de interlocutores identifican y valoran activos, amenazas y salvaguardas del sistema.
Se utiliza tanto un análisis cuantitativo como cualitativo, utilizando técnicas como diagramas de flujo y árboles de
ataque. A partir de la valoración de estos factores se obtiene un modelo de valor, un informe de amenazas, una
declaración de aplicabilidad, informe de evaluación de las salvaguardas e informes de insuficiencias. Finalmente, se
estiman el impacto y el riesgo potenciales y residuales para interpretar el estado del riesgo.
El esquema de la Figura 11 explica las relaciones entre los artefactos anteriormente expuestos que utiliza la metodología
Magerit:
Gestión de riesgos
En esta etapa se abordan los riesgos identificados y se elabora un plan de seguridad para remediarlos. Este plan se
incorpora a un conjunto de programas de seguridad que son planificados periódicamente para reducir el riesgo a un
nivel aceptable. El proceso incluye:
- la toma de decisiones
- plan de seguridad
- ejecución del plan de seguridad.
Toma de decisiones: En la actividad de toma de decisiones, se utilizan las conclusiones técnicas del proceso anterior
para tomar decisiones concretas de actuación.
Calificación de los riesgos: Se tiene como resultado de la fase 2 el estado del riesgo del sistema. ¿Qué se puede hacer
con él?
Las preguntas que hay que hacerse antes de tomar una decisión son: ¿hay datos suficientes para tomar decisiones? ¿De
qué margen de incertidumbre adolecen los datos? Los elementos que valorar para responderlas, por su parte, son:
- Microciclos:
o Hasta estado que se considera necesario.
o Hasta satisfacer leyes, reglamentos, acuerdos, contratos, etc.
o Hasta tener el certificado de acreditación correspondiente.
o Mientras el coste compense el riesgo.
- Macrociclos:
o De acuerdo con la política de certificación o acreditación.
o Siguiendo incidentes propios y ajenos.
o Siguiendo cambios en el alcance
En la Figura 13, se observa un esquema que representa los ciclos que tienen lugar en la gestión de riesgos cuando se
trata de la implantación de un sistema nuevo o tiene lugar un incidente o un cambio en el sistema.
Plan de seguridad
La actividad descrita se refiere a la ejecución del plan de seguridad y las tareas específicas que se realizan en esta etapa
incluyen:
- Programas de seguridad.
- Plan de ejecución.
Programas de seguridad
Se llevan a cabo dos pasos para traducir las decisiones de actuación en acciones concretas:
- primero, se identifican todos los escenarios críticos o graves de impacto y riesgo a partir de la evaluación de
riesgos realizada previamente.
- Luego, se elabora un conjunto de programas de seguridad que aborden cada uno de estos escenarios, teniendo
en cuenta que un mismo programa puede aplicarse a diferentes escenarios y que un escenario determinado
puede requerir la implementación de diferentes programas.
El objetivo de esta actividad es la implementación o mejora de medidas de seguridad para reducir los riesgos a niveles
asumidos por la dirección. Para ello se agrupan tareas en programas de seguridad que abordan diferentes escenarios y
se especifican las acciones necesarias para llevar a cabo cada programa. Los programas de seguridad pueden tener
diferentes objetivos comunes o competir a una única unidad de acción. Cada programa debe detallar las tareas
necesarias para lograr los objetivos específicos.
- Su objetivo genérico.
- Las salvaguardas concretas por implantar o mejorar, detallando sus objetivos de calidad, eficacia y eficiencia.
La relación de escenarios de impacto o riesgo que afronta: activos afectados, tipos de activos, amenazas
afrontadas, valoración de activos y amenazas y niveles de impacto y riesgo.
- La unidad responsable de su ejecución.
- Una estimación de costes, tanto económicos como de esfuerzo de realización, teniendo en cuenta:
o Costes de adquisición (de productos), de contratación (de servicios) o de desarrollo (de soluciones llave
en mano), por los que puede ser necesario evaluar diferentes alternativas.
o Costes de implantación inicial y mantenimiento en el tiempo.
o Costes de formación, tanto de los operadores como de los usuarios, según convenga al caso.
o Costes de explotación.
o Impacto en la productividad de la organización.
- Una relación de subtareas que afrontar, teniendo en cuenta:
o Cambios en la normativa y desarrollo de procedimientos.
o Solución técnica: programas, equipos, comunicaciones e instalaciones.
o Plan de despliegue.
o Plan de formación.
o Una estimación del tiempo de ejecución desde su arranque hasta su puesta en operación.
Una estimación del estado de riesgo (impacto y riesgo residual a su compleción).
o Un sistema de indicadores de eficacia y eficiencia que permitan conocer en cada momento la calidad del
desempeño de la función de seguridad que se desea y su evolución temporal