Lic.

López Lio, Rodrigo

FUNDAMENTOS DE CIBERSEGURIDAD y PROTECCIÓN de las

INFRAESTRUCTURAS CRÍTICIAS
Módulo 1
Introducción a la ciberseguridad
Aspectos generales de la materia
Sobre la cursada

Equipo docente

Programa / Cronograma

Actividades y Evaluaciones

TPO
Sobre la cursada
Módulo 1 – Fundamentos de Ciberseguridad

Unidad 01 - Seguridad y Gestión de riesgos

Unidad 02 - Seguridad de Activos
Unidad 03 - Arquitecturas de Seguridad e Ingeniería
Unidad 04 - Redes y comunicaciones
Unidad 05 - Control de accesos
Unidad 06 - Evaluaciones de seguridad
Unidad 07 - Desarrollo de software
Programa
Estructurado en
dos módulos

Módulo 2 – Protección de Infraestructuras

Críticas

Unidad 08 – Operaciones
Unidad 09 – Leyes y ética
Unidad 10 – Ciberespacio
Sobre la cursada

Cronograma
Introducción a la ciberseguridad
Ciberseguridad… ¿De qué se ocupa? ¿Qué es?
Preguntas previas

• ¿Qué es?

• ¿Es necesaria?

• ¿Cuál es el objetivo?

• ¿Qué características tiene?

• ¿De quien depende?

• ¿Es responsabilidad de quien?

 Definiciones

¿Ciberseguridad?

Es la preservación de la confidencialidad, integridad y disponibilidad de la

información en el ciberespacio.1

1. ISO/IEC 27032: 2012

• Confidencialidad (Confidentiality)

Entendida como la propiedad de la información por la que se garantiza que sea

accesible únicamente por el personal autorizado a acceder a dicha información.

• Integridad (integrity)

Propiedad de la información por la que se garantiza la exactitud de los datos

transportados o almacenados, asegurando que no se ha producido su alteración.

• Disponibilidad (Availability)

Capacidad de un sistema, servicio o información de ser accesible y utilizable por los

usuarios o procesos autorizados, cuando estos lo requieran.

Triada de seguridad (CIA)
• Confidencialidad (Confidentiality)

• Evita la divulgación o acceso no autorizada.

• Ataques de revelación.

• Integridad (integrity)

• Información o dato libre de modificaciones no autorizadas.

• Ataques de alteración.

• Disponibilidad (Availability)

• Acceso a la información, dato, sistema cuando se lo requiera.

• Ataques de Denegación/Destrucción.
Puntos clave

• La seguridad no es un conjunto de medidas que se toman por única vez. Es un

proceso dinámico que involucra a todos los actores.

• La seguridad debe abarcar a la Gente, los Procesos y la Tecnología. (PPT)

• El gerente/director/jefe/responsable de seguridad debe conocer el negocio. La

seguridad NO define el negocio.

Otros conceptos importantes
• Privacidad
• Determina el nivel de confidencialidad y protección que se le brinda a un usuario
dentro de un sistema.
• Se refiere a la protección de datos personales.

• Responsabilidad
• Habilidad para determinar las acciones individuales de un usuario dentro de un
sistema, y para identificar a dicho usuario.

• Autenticación
• Refiere a la comprobación de las credenciales recibidas con el objetivo de
determinar si el usuario es quien dice ser.

• No repudio
• La utilización de elementos de información única permite validar la autenticidad
de una persona (ej; rasgos fisiológicos)
Caso de Ejemplo #1
• Separación de tareas
• Se logra mediante la difusión de tareas y los privilegios asociados a un proceso.
• Quien Controla NO ejecuta.
Separar:
• Desarrollo de Producción
• Seguridad de Auditoria
• Cuentas a cobrar de cuentas a pagar
Conocimiento distribuido
• Claves de cifrado en dos componentes.

• Mínimo privilegio
• Cualquier objeto (usuario, administrador, programa, sistema) debe tener el
mínimo privilegio necesario (y posible) para realizar sus tareas.
• Limita la exposición de ataques.
Amenazas y vulnerabilidades
• Activo
Recurso, producto, proceso, dato, todo aquello que tenga un valor para el negocio de la
organización.

• Agente
Individuo/grupo que puede llevar a cabo una amenaza.

• Amenaza
Presencia de un evento que pueda impactar en forma negativa en la organización.

• Vulnerabilidad
Ausencia o debilidad de un control.

• Riesgo
Probabilidad de que la amenaza explote una vulnerabilidad causando perdidas y daños
a los activos e impactos en el negocio.

• Control
Su función es reducir el riesgo asociado con una amenaza o grupo de amenazas.
• Los controles de seguridad
Reducción de los efectos producidos por las amenazas de seguridad y vulnerabilidades
a un nivel tolerable por la organización.

 Preventivos/Detectivos/Correctivos
 Físicos/Técnicos/Administrativos
 Eleva una
Agente

Amenaza Explota una

Produce un
Vulnerabilidad

Afecta directamente
al
Riesgo

Activo
Puede dañar un
Exposición
Causa una
Control
Puede ser
controlada con un

Adaptado de Shon Harris, (2013). CISSP All in one

Y entonces?? De que se ocupa?
 • Diseño de seguridad
• Marcos de trabajo
• Ciclo de Desarrollo • Políticas
• Revisión de código • Evaluaciones de riesgos y gestión
Desarrollo de
Software Seguridad y
Gestión de riesgos

• Clasificación
• Continuidad del negocio • Privacidad
• Respuesta a incidentes • Dueños
• Control de cambios Operaciones • Respaldos
Seguridad de Activos • Nube

Evaluaciones de Arquitectura de
seguridad y pruebas Seguridad e ingenieria

• Modelos de Arquitectura
• Ingeniería de sistemas
• Pentesting • SCADA - ICS
• Auditoria y cumplimiento • Criptografía
• Monitoreo y eventos de seguridad Redes y
Control de accesos Comunicaciones

• Gestión de identidades • Diseño de redes seguras

• Categorías y tipos • Dispositivos de seguridad en redes
• Roles y atributos • Telefonía
Adaptado de (ISC)2
Roles y Responsabilidades
 Directorio

UAI

Sistemas Gerencia / Gerencia /

LEGALES RRHH
/ IT Departamento #1 Departamento #1

Seguridad
Informática
Organización

Dominio
Worms
 Directorio

UAI
Seguridad de la
Información

Sistemas Gerencia / Gerencia /

LEGALES RRHH
/ IT Departamento #1 Departamento #1

Organización
 Directorio

Seguridad de la
UAI
Información

Sistemas Gerencia / Gerencia /

LEGALES RRHH
/ IT Departamento #1 Departamento #1

Organización
Otros términos comunes

• Gerencia General / Directorio

Responsable final por la seguridad de la organización.

• CISO (Chief Information Security Officer)

Responsable funcional por la seguridad de la organización.

• CSO (Chief Security Officer)

Responsable último de la seguridad de la organización.

• COO

• CTO

• CIO

• CEO

• BISO
Algunos más

• Dueño (owner)
Determina el nivel de Clasificación de la información.

• Custodio
Preserva la Confidencialidad, Integridad y Disponibilidad de la información.

• Auditor
Evalúa los controles de seguridad y presenta recomendaciones a la Gerencia General/Alta
Gerencia/Directorio.

• Usuario
Actividad 1:
 Identificar la posición (organigrama) del área de seguridad en la organización en la que trabajan / o seleccionar alguna
organización.
 Identificar ventajas y desventajas de dicha ubicación.
 Identificar cantidad aproximada de personas dentro del área y tipo de perfiles

Actividad 2:
¿Por qué resulta de vital importancia contar con el apoyo del directorio de una organización para el área de seguridad?
¿Si tuviera que crear un área de seguridad, que perfiles consideraría incorporar?
¿Qué principio de la triada se ve comprometido en caso de una infección con el ransomware Petya?
Aspecto Integrador:
 Unidad 01 - Seguridad y Gestión de riesgos.

Material de lectura complementario:

 Bowen P, Hash J, Wilson M. (2006). Information Security Handbook
 ISACA, (2012). COBIT 5 - Framework, ISACA Madrid chapter.
 Shon Harris, (2013). CISSP All in one - Sixth Edition - McGrawHill. ISBN: 978-0-07-178173-2