Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ELABORACIÓN
VALIDACIÓN
EQUIPO DE DESARROLLO
Welearn
AÑO
2023
Tabla de contenidos
Aprendizaje esperado ............................................................................................................................. 5
Introducción............................................................................................................................................ 6
4.2 Directrices................................................................................................................................ 24
8. Gestión de parches........................................................................................................................ 30
Cierre .................................................................................................................................................... 31
En esta semana conoceremos qué es un riesgo, cuáles son las causas de su origen, los factores,
impactos, estándares internacionales y las políticas de seguridad asociadas al riesgo. Por lo
que revisaremos la normativa 27001 que se encuentra basada en un enfoque de riesgos y los
tipos de vectores de ataque en ciberseguridad. Todo lo expuesto, nos servirá para evaluar los
tipos de controles que implementaremos en un programa de SGSI, también conocido como
sistema de gestión de seguridad de la información.
6
1. Riesgos en ciberseguridad
Si bien la mayoría de las personas tienen una comprensión inherente de la palabra riesgo, es
importante comprender el riesgo en el contexto de la ciberseguridad, lo que significa saber
cómo identificar, medir y mitigar el riesgo de manera efectiva. Es por ello que la
responsabilidad principal de la ciberseguridad se centra en identificar, mitigar y gestionar los
riesgos cibernéticos para los activos digitales de una empresa u organización. (Information
Systems Audit and Control Association, 2015).
La norma ISO 31000 es un estándar internacional que brinda diversos lineamientos para
cualquier tipo de organización, donde se considera la evaluación y tratamiento del riesgo
como un elemento que genera valor para la organización. Para resumir los objetivos de
esta normativa, revisaremos lo que plantea Ávila (2014):
La Norma ISO 31000, nos habla sobre la gestión del riesgo y brinda los lineamientos e
instrucciones aplicables para cualquier sector empresarial, riesgo, ya sea que genere
efectos positivos o negativos. Está diseñada para fomentar la proactividad, mejorar la
información financiera y la confianza de los grupos de trabajo entre otros aspectos.
Cita que, para que la gestión del riesgo sea eficaz en una organización, se necesita
cumplir ciertos requisitos o principios en todos sus niveles organizacionales como
contribuir al alcance de los objetivos y mejoras de las condiciones, debe estar ligada a
las responsabilidades de la administración y en todos los procesos realizados, ayudar a
tomar las mejores decisiones a los encargados, estar bien estructurada, tomar en cuenta
todos los factores del individuo ya sean internos o externos, incluir a todas las partes
involucradas en dicha gestión, debe adaptarse a cualquier cambio producido y
mejorarse continuamente. Para que se cumpla lo anterior mencionado, se necesita de
un marco de referencia eficaz, que garantiza que la información acerca del riesgo,
generada por la gestión del riesgo se reporte de manera óptima y se utilice como base
para la toma de decisiones en todos los niveles organizacionales.
7
Antes de diseñar y poner en funcionamiento el marco de referencia, se necesita analizar
los diferentes contextos que intervienen en la organización, tanto externos como el
ambiente social, cultural y político, etc., e internos como estructura organizacional,
funciones y obligaciones, capacidades y relaciones internas. Luego, en el marco de
referencia, se procede a la instauración de una política para la gestión del riesgo, que
debe justificar la gestión de los riesgos, vincular los objetivos de la gestión con los de la
organización, determinar responsabilidades y obligaciones, y la manera en cómo tratar
conflictos, etc.
• Establecimiento de un contexto
8
• Valoración del riesgo: consiste en:
• Tratamiento del riesgo: la selección de una o más opciones para modificar los
riesgos.
La gestión de riesgos, como todo proceso en una organización, está sujeta a mejora
continua, que se realizará con base a los resultados obtenidos de las revisiones y el
monitoreo realizado al marco de referencia, la política y la gestión de riesgo para
implementar acciones que ayuden a ser más eficiente y eficaz.
Por último, todas aquellas actividades y todo lo realizado en la gestión del riesgo deberá
registrarse, ya que estos brindan una base para la mejora de la metodología y las
herramientas, como también de todo el proceso en sí.
9
• Indisponibilidad de software y/o aplicaciones
• Procesamiento incorrecto de los datos en los sistemas informáticos
• Paralización total o parcial de las operaciones
Para entender toda la gestión de riesgos, es importante conocer los diversos conceptos para
evitar ambigüedades en su interpretación:
10
• Riesgo: es la combinación de la probabilidad de un evento y sus consecuencias
(Organización Internacional de Normalización / Comisión Electrotécnica Internacional
[ISO / IEC] 73). El riesgo se mitiga a través del uso de controles o salvaguardas.
• Amenaza: cualquier cosa (por ejemplo: objeto, sustancia, humano) que es capaz de
actuar en contra de un activo de manera que puede resultar en daño. ISO / IEC 13335
define una amenaza en términos generales como una posible causa de un incidente no
deseado. Algunas organizaciones hacen una distinción entre una fuente de amenaza y
un evento de amenaza, clasificando una fuente de amenaza como el proceso real o el
agente que intenta causar daño, y un evento de amenaza como el resultado de la
actividad maliciosa de un agente de amenaza.
• Activos: algo de valor ya sea tangible o intangible que vale la pena proteger,
incluyendo a las personas, la información, la infraestructura, las finanzas y la reputación.
11
• Eventos de seguridad de la información: corresponde a una situación previa
desconocida que logra ser importante a partir de la perspectiva de la estabilidad reconocida
en un sistema o en un servicio de red.
• Riesgo residual: el riesgo que existe, a pesar del análisis de riesgo e impacto donde el
negocio comprende que puede ser afectado por una amenaza a la seguridad, pero aun así
lo mantiene.
• Valoración de riesgo: corresponde a todos los procesos que se realizan para analizar y
evaluar los riesgos.
• Evaluación de riesgo: se refiere al proceso de equiparar los peligros estimados contra los
criterios de peligro establecidos, para decidir el nivel de importancia del peligro.
En conclusión, podemos decir que la administración del riesgo: corresponde a las actividades
coordinadas para guiar y mantener el control de las medidas primordiales para la observación
del peligro en la organización.
12
Figura 1. Marco de gestión de riesgo.
Fuente: National Institute of Standards and Technology (2017)
13
ciberataque es un ataque bien definido, avanzado y dirigido que es sigiloso y tiene como
misión seguir intentando perpetrar el ataque hasta que sea identificado y mitigado o tenga
éxito. (Information Systems Audit and Control Association, 2015).
En relación con los atributos del ataque, Information Systems Audit and Control Association
(2015) señala que:
14
Mientras que el riesgo se mide por su daño potencial, un ataque es la ocurrencia real de
una amenaza. Más específicamente, un ataque es una actividad realizada por un agente
de amenaza (o adversario) contra un activo. Desde el punto de vista de un atacante, el
activo es un objetivo, y el camino o ruta utilizada para acceder a la meta (activo) se
conoce como un vector de ataque. Hay dos tipos de vectores de ataque: de entrada y de
salida (también conocido como exfiltración de datos). (p. 27)
15
Búsqueda (sniffing) o escaneo del perímetro de la red.
B. Crear herramientas de ataque: el adversario diseña las herramientas necesarias para llevar a
cabo un futuro ataque, que pueden incluir:
C. Entrega de funciones maliciosas: el adversario inserta o instala lo que sea necesario para
llevar a cabo el ataque, lo cual puede incluir las siguientes tácticas:
16
Abuso de la capacidad multiusuario en un entorno de nube.
H. Coordinar una operación: un adversario que coordine una operación contra la organización
puede incluir aquí las siguientes medidas:
17
Ataques en varias etapas.
Aunque una gran parte de los ataques ocurren debido a un esfuerzo coordinado, existen
otros incidentes que pueden originar diversos riesgos para una organización u empresa.
Algunos de los incidentes de amenaza sin confrontación más frecuentes son:
Malware, también llamado código malicioso, es el software diseñado para tener acceso a
sistemas informáticos específicos, robar información o interrumpir las operaciones
informáticas. Hay varios tipos de malware, siendo los más importantes los virus
informáticos, gusanos y troyanos, que se diferencian por la forma en que operan o se
extienden.
18
•Network Worm o gusano de red: una variante de un virus informático, esencialmente
una pieza autorreplicante de código diseñada para propagarse a través de redes. No
se requiere intervención ni ejecución para duplicarlo.
•Troyano: otro tipo de malware es un troyano, que es una pieza de malware que
obtiene acceso al sistema de destino ocultándose en una aplicación real. Los troyanos
generalmente se dividen en categorías que reflejan sus propósitos.
•Una botnet (una red de bots): una red de bots (un término derivado de "red de bots")
es una red grande, automatizada y distribuida de computadoras previamente
comprometidas que se pueden controlar simultáneamente para lanzar ataques a gran
escala como denegación de ataque servicio (DoS). Las computadoras previamente
comprometidas se pueden controlar simultáneamente para lanzar ataques a gran
escala como de denegación de servicio (DoS).
Como ejemplo podemos mencionar al gusano Informático conocido como Stuxnet que
tuvo como objetivo interrumpir los sistemas de control de monitor y de adquisición de
datos (SCADA), también los controladores lógicos programables (PLC), por lo general
usados para automatizar los procesos mecánicos en las fábricas o plantas de energía.
Descubierto en 2010, Stuxnet se usó para piratear el software y los sistemas del programa
nuclear de Irán. Tiene tres componentes: Un gusano que ejecuta los procesos asociados
con la carga útil, un archivo vinculador que distribuye copias del gusano y un rootkit que
oculta procesos maliciosos para evitar su detección.
También se utilizan varios otros términos para describir tipos más específicos de malware,
caracterizados por sus efectos. Estos incluyen:
•Spyware: un tipo de software malicioso que recopila información sobre una persona u
organización sin el conocimiento de la persona u organización.
19
•Sistema de anuncios (adware): diseñado para mostrar publicidad (generalmente no
deseada) a los usuarios.
•Ransomware: un tipo de ransomware que bloquea o cifra datos o funciones y requiere
un pago para desbloquearlos.
•Software Keylogger: una clase de malware que registra en secreto las pulsaciones de
teclas del usuario y, en casos, el contenido de la pantalla.
•Rootkit: una clase de malware que oculta la existencia de otro malware modificando el
sistema operativo subyacente.
20
Dado que los búferes están hechos para contener una cantidad limitada de datos, la
información adicional que debe ir a alguna parte puede desbordar los búferes
adyacentes, corrompiendo o sobrescribiendo cualquier dato válido que contengan.
Aunque puede ocurrir accidentalmente debido a un error de programación, el
desbordamiento de búfer es un tipo cada vez más común de ataque a la seguridad de
la integridad de los datos. En los ataques de desbordamiento de búfer, los datos
adicionales pueden contener códigos de tipo de ataque de seguridad de integridad de
datos.
•Crosssite scripting (XSS): un tipo de inyección en el que se inyectan scripts maliciosos
en sitios web confiables y benignos. Los ataques XSS ocurren cuando un atacante usa
una aplicación web para enviar un código malicioso, generalmente en forma de
secuencia de comandos desde un navegador, a un usuario final. Las vulnerabilidades
permiten que estos ataques tengan éxito.
•Ataque de denegación de servicio (DoS): un ataque a un servicio de fuente única, que
hace que tenga tantas solicitudes que se ve abrumado y se apaga por completo o se
ejecuta a una velocidad significativamente reducida.
•Ataque de "hombre en el medio" o MITM: una estrategia de ataque en la que el atacante
intercepta el flujo de comunicación entre dos partes del sistema de la víctima, luego
reemplaza el tráfico entre los componentes del con el suyo propio, y eventualmente toma
el control de la comunicación.
•Ingeniería social: cualquier intento de explotar vulnerabilidades sociales para
obtener acceso a información y/o sistemas. Es una "estafa" que engaña a otros para
que divulguen información o abran software o programa malicioso.
•Phishing: un tipo de ataque de correo electrónico que intenta convencer a los
usuarios de que la fuente es genuina, pero con el objetivo de obtener información para
su uso en ingeniería social.
21
•Ingeniería social (Spear Phishing): un ataque que utiliza técnicas de ingeniería social
para hacerse pasar por una entidad de confianza para obtener información
importante, como contraseñas de una víctima.
•Suplantación de identidad: falsificación de la dirección de envío de una transmisión con
el fin de infiltrarse ilegalmente en un sistema seguro.
•Inyección de SQL: según MITRE, la inyección de SQL es el resultado de la incapacidad
de una aplicación para autenticar correctamente la importación de destino. Cuando la
entrada del usuario se enmarca como parte de la sintaxis SQL y se usa sin la validación
adecuada como parte de las consultas SQL, la información se puede recuperar de la
base de datos de diferentes maneras, no para el diseño de la aplicación.
•Exploit de día cero: una vulnerabilidad explotada antes de que el creador/proveedor del
software supiera de su existencia.
Los cibercriminales siempre están buscando nuevas formas de entregar una carga
malintencionada o ingresar a nuestros dispositivos utilizando falla en la configuración,
vulnerabilidades en los sistemas informáticos o errores humanos. Por ejemplo: el envio
de una url maliciosa. A este modo de llegar a nuestros dispositivos se conoce como vector
de ataque o también conocido como argot. A continuación, mencionaremos los más
importantes:
• Correo electrónico
• SMS
• Navegación por la web
• Endpoints
• Sitios web
• Softwares vulnerables
• Redes sociales
22
• Insiders
• Contraseñas por defecto
• Usuarios descontentos
4. Políticas y procedimientos
Podemos indicar que la política de seguridad es una manifestación de manera formal de
las directivas, reglas y prácticas que se deben efectuar en una organización. Por otro lado,
tenemos el procedimiento, que son diversas acciones que tienen una sola finalidad.
Revisión, en esta etapa se valida que la política este alineada a los objetivos de la
organización, brindado retroalimentación.
23
Aprobación, en esta etapa se lleva a cabo la revisión y si el contenido es el correcto, se
aprueba la política.
Actualización, esta etapa sirve como un ciclo de mejora continua, donde la política
puede sufrir cambios relevantes o menores.
4.2 Directrices
Information Systems Audit and Control Association (2015) señala que hay varios atributos
o directrices que políticas que se deben considerar:
24
marcos de políticas simples o relativamente complejos. (Information Systems Audit and Control
Association, 2015).
Tipo Descripción
Directrices
Proporciona una guía general en asuntos tales como qué hacer en
situaciones específicas. No deben cumplirse al pie de la letra, pero son
muy recomendados.
25
5. Controles de ciberseguridad:
5.1 Gestión de identidades
La gestión de identidades, también conocida como IAM, se encarga de garantizar que solamente
las personas autorizadas tengan acceso a los recursos tecnológicos necesarios para su trabajo.
Este proceso abarca toda la organización e implica políticas y tecnologías que permiten
identificar, autenticar y autorizar adecuadamente a personas, grupos de personas o aplicaciones
de software, basándose en sus derechos de acceso y restricciones basadas en sus identidades.
Al implementar un sistema de gestión de identidades, se puede prevenir el acceso no autorizado
a sistemas y recursos, así como el robo de datos empresariales o protegidos. Además, las
soluciones de gestión de identidades protegen no solo el acceso a software y datos, sino también
los recursos de hardware de una empresa, como servidores, redes y dispositivos de
almacenamiento.
26
En términos generales, el proceso de aprovisionamiento de cuentas de usuario se inicia
cuando un nuevo usuario se une a una organización o empresa. En este punto, el
administrador de la aplicación o sistema debe crear una cuenta de usuario para el nuevo
empleado, lo que incluye asignarle un nombre de usuario y contraseña, así como
establecer los roles y permisos de acceso correspondientes a sus necesidades laborales.
A medida que los empleados cambian de puesto o roles dentro de la empresa, o cuando
un empleado deja la organización, es necesario actualizar o deshabilitar sus cuentas de
usuario en el sistema. Esto se hace para garantizar que los usuarios solo tengan acceso a
los recursos que necesitan para realizar su trabajo de manera efectiva, y para evitar que
los usuarios no autorizados accedan a información confidencial.
5.3 Autorización
27
La autorización se puede basar en diferentes enfoques, incluyendo la autorización
basada en roles, el control de acceso discrecional (DAC) y el modelo de
autorización obligatoria. Con la autorización basada en roles, el administrador
asigna un conjunto de roles al usuario, lo que le permite acceder a partes
específicas de la aplicación. El control de acceso discrecional (DAC) permite al
propietario del objeto establecer los derechos de acceso a ese objeto para
usuarios individuales o grupos de usuarios. El modelo de autorización obligatoria
asigna un nivel de confidencialidad a cada elemento del sistema, y los usuarios
reciben un nivel de acceso que determina con qué objetos pueden interactuar.
Una Lista de Control de Acceso (ACL) es una lista de entradas de Control de Acceso
(ACE) que identifican a un usuario y especifican los derechos de acceso
concedidos, denegados o auditados para ese usuario. Hay dos tipos de ACL en un
descriptor de seguridad de un objeto protegible: una DACL y una SACL. La DACL
identifica a los administradores que se permiten o deniegan el acceso a un objeto,
mientras que la SACL permite a los administradores registrar intentos de acceso a
un objeto protegido. El sistema comprueba los ACE en secuencia hasta que se
permiten todos los derechos de acceso solicitados o se deniegan todos. Es
importante usar las funciones adecuadas para crear y manipular ACL y no trabajar
directamente con su contenido para asegurar que sean semánticamente
correctas. Las interfaces de servicio de Active Directory incluyen rutinas para crear
y modificar el contenido de estas ACL.
28
eliminar cuentas de usuarios y roles en una base de datos Oracle se considera un
usuario privilegiado.
Por lo general, los privilegios se otorgan a personas en las que se confía. Los usuarios
con privilegios de root, que pueden cambiar la configuración del sistema, instalar
software, modificar cuentas o acceder a datos protegidos, se asignan a usuarios de
confianza.
29
7. Gestión de la configuración
La gestión de la configuración es un proceso clave en la gestión de proyectos y de
sistemas, que tiene como objetivo identificar, organizar y controlar los cambios que se
realizan a lo largo del ciclo de vida de un producto o sistema. En este proceso se
establecen y mantienen los atributos de configuración, como la documentación, los
componentes de hardware y software, las versiones y revisiones, las relaciones y las
interdependencias entre ellos.
8. Gestión de parches
La gestión de parches es un proceso esencial para mantener la seguridad de los sistemas y
la productividad de una empresa. Sin la gestión de parches, los sistemas pueden ser
vulnerables a ataques de seguridad, lo que puede resultar en la pérdida de datos y la
interrupción del servicio. Los parches también pueden mejorar la estabilidad y el
rendimiento del sistema, corrigiendo errores y problemas conocidos. Por lo tanto, es
importante tener un plan de gestión de parches eficaz y aplicarlo regularmente en todos los
sistemas de la empresa.
30
Cierre
Por medio del siguiente organizador gráfico, se destacan las ideas clave de esta semana:
27000
27001 27002
Tipos y vectores
Riesgos en Políticas y su ciclo
comunes de
ciberseguridad. de vida.
ataque.
Directrices, marco de
Conceptos y tributos de un la política y
definiciones. ataque. documentos de
cumplimiento.
31
Referencias bibliográficas
Araujo (1 abril de 2021). Mantén la calma: esto es la ISO 27001 [Imagen].
https://blog.hackmetrix.com/manten-la-calma-esto-es-la-iso-27001/
32