Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ponlo en Practica-Modulo 2
Ponlo en Practica-Modulo 2
TABLA DE CONTENIDO
Pág.
II. MODULO 2 3
ESCALAR INCIDENTES 3
1. ESCALAMIENTO EN CIBERSEGURIDAD 4
1.1 Te damos la bienvenida a la semana 2 4
1.2 La importancia del escalamiento 4
1.3 Escala con un propósito 7
2. ESCALAR O NO ESCALAR 10
2.1 Prepárate para escalar a través del reconocimiento de la seguridad 10
2.2 Reconoce los roles y las responsabilidades durante el escalamiento 11
2.3 Identificar: Analiza los incidentes de ciberseguridad y su impacto 13
2.4 Pon a prueba tus conocimientos: Escalar o no escalar 14
3. EL TIEMPO LO ES TODO 15
3.1 De una simple actividad a una grave filtración de datos 15
3.2 Cuándo y cómo escalar un incidente de seguridad 17
3.3 Tiempo de escalamiento 17
3.4 La historia de Juliana: Atención al detalle 19
3.5 Pon a prueba tus conocimientos: El tiempo lo es todo 21
4. REVISIÓN: ESCALA INCIDENTES 23
4.1 Resumen 23
4.2 Términos de glosario de la semana 2 23
4.3 Desafío semanal 2 24
Página 2 de 25
II. MODULO 2
ESCALAR INCIDENTES
Explorarás la importancia de priorizar y escalar incidentes. Aprenderás cómo las decisiones que
toman los profesionales de seguridad desempeñan un rol fundamental en la preservación de la
seguridad de las operaciones comerciales.
Objetivos de aprendizaje
• Reconoce el impacto que los distintos incidentes de seguridad tienen en las operaciones
comerciales.
Página 3 de 25
1. ESCALAMIENTO EN CIBERSEGURIDAD
¡Qué bueno verte! Aprendiste sobre la importancia de diversos tipos de activos. También, sobre la
relación entre incidentes y eventos. Ahora, veremos cómo escalar incidentes y eventos a las
personas adecuadas. Proteger los datos y activos es el objetivo principal de un equipo de seguridad.
Tus decisiones diarias son importantes para ayudar a que el equipo lo logre. Reconocer cuándo y
cómo escalar incidentes de seguridad es crucial. Garantiza que los problemas simples de una
organización no se hagan grandes. Debes familiarizarte con el término “escalamiento”. Es probable
que lo escuches con frecuencia a lo largo de tu carrera en seguridad. Aquí veremos el escalamiento
de incidentes desde la perspectiva de nivel inicial. Luego, veremos diversos tipos de clasificación de
incidentes y los impactos que pueden tener en las operaciones comerciales. Por último,
compartiremos pautas generales para escalar incidentes. A continuación, empezaremos con el
escalamiento de incidentes y cómo se usa para evitar que un problema pequeño se convierta en
uno grande. ¡Empecemos!
Los analistas de seguridad protegen activos y datos de la empresa, y deben saber cuándo y cómo
escalar incidentes de seguridad. Aquí definiremos qué es el escalamiento de incidentes y veremos
tu rol en la toma de decisiones para proteger los datos y activos de la organización. ¿Qué es el
escalamiento de incidentes? ¿Por qué es tan importante para la seguridad? El escalamiento de
incidentes consiste en identificar un posible incidente, clasificarlo y, si corresponde, derivarlo a un
miembro del equipo con más experiencia. Ten en cuenta que no todos los incidentes necesitan
escalarse. Aquí veremos qué tipos de incidentes deben escalarse. Como analista de nivel inicial, es
poco probable que respondas a incidentes por tu cuenta.
Página 4 de 25
Pero debes saber cómo evaluar y escalar incidentes a la persona o equipo adecuado se ser necesario.
Veamos las habilidades esenciales para escalar incidentes correctamente. Hay dos habilidades
esenciales para saber qué incidentes deben escalarse: atención al detalle y seguir las pautas o
procesos de escalamiento de una empresa. Con la atención al detalle identificarás rápidamente
cuándo algo no parece estar bien en la red o los sistemas de la empresa. Seguir las pautas o procesos
de escalamiento te ayuda a saber cómo escalar el problema que identificaste. Los equipos de
seguridad grandes tienen muchos niveles. Cada nivel o miembro desempeña un rol principal para
proteger los activos y datos de la empresa. Sin embargo, los equipos pequeños y medianos solo
tienen una o dos personas responsables de la seguridad en la empresa. Por ahora, nos centraremos
Página 5 de 25
en las funciones en equipos grandes. Del director de Seguridad de la Información, o CISO, hasta el
equipo de ingeniería, relaciones públicas y legal, cada miembro del equipo de seguridad es
importante. El rol de cada miembro depende de la naturaleza y alcance del incidente. Estos roles se
destacan dentro del proceso de escalamiento de la empresa. Incluso el incidente más pequeño
puede convertirse en uno muy grande si no se soluciona.
¡Y ahí es donde entras tú! Imagina que estás trabajando y notas un incidente menor, pero decides
tomarte un descanso antes de abordarlo o escalarlo. Esta decisión podría tener grandes
consecuencias.
Página 6 de 25
Si un problema pequeño no se escala durante mucho tiempo, podría convertirse en uno grande que
le cueste dinero a la compañía, exponga datos confidenciales del cliente o dañe la reputación de la
empresa. Pero, con un alto nivel de atención al detalle, y siguiendo las pautas y procesos de
escalamiento de la empresa, puede ser posible evitar exponer al negocio y a sus clientes a
incidentes. Como analista de nivel inicial, desempeñas un papel importante. Identificas problemas
dentro de la red y los sistemas, y notificas a la persona adecuada del equipo cuando ocurren
incidentes. Es como una línea de montaje. ¿El paso final de la línea se vería afectado si el primero
se hizo mal? ¡Claro que sí! Cada decisión que tomas ayuda a todo el equipo a proteger los activos y
datos de una empresa. Saber cuándo y cómo escalar incidentes es una de muchas decisiones
importantes que deberás tomar a diario. Más adelante, veremos los diversos niveles de incidentes.
Conocerlos te ayudará a determinar el nivel de urgencia que se necesita para escalar distintos tipos
de incidentes.
Escalamiento de incidentes
El escalamiento de incidentes de seguridad implica identificar posibles amenazas a la seguridad. En
este proceso, los incidentes potenciales se remiten a un miembro del equipo o departamento con
mayor experiencia. Como analista de seguridad, deberás detectar posibles problemas, como cuando
un empleado ingresa de manera repetida credenciales incorrectas en su cuenta, e informarlos a la
persona pertinente. Al incorporarte a una nueva organización, te familiarizarás con los
procedimientos y protocolos específicos para escalar incidentes.
Notificación de intrusiones
Muchos países cuentan con leyes de notificación de intrusiones, por lo que es importante que te
familiarices con las leyes aplicables en el área en la que opera tu empresa. Estas leyes exigen a las
empresas y entidades gubernamentales que informen a las personas acerca de violaciones de
Página 7 de 25
seguridad que involucren información de identificación personal (PII). La PII abarca números de
identificación (por ejemplo, números de la Seguridad Social, números de licencia de conducir, etc.),
historiales médicos personales y direcciones, así como otro tipo de información sensible. Como
analista de seguridad de nivel inicial, es importante que estés al tanto de las diversas leyes de
seguridad, sobre todo porque se actualizan con regularidad.
El proceso de escalamiento
Cada empresa cuenta con protocolos y procedimientos diferentes, incluidas políticas de
escalamiento particulares. Estas políticas detallan a quién se debe notificar cuando se recibe una
alerta de seguridad y a quién se debe contactar si esta primera persona no se encuentra disponible.
La política también establecerá cómo se debe escalar específicamente un incidente, ya sea a través
Página 8 de 25
del departamento de TI, una herramienta de gestión de incidentes o mediante la comunicación
directa entre miembros del equipo de seguridad.
Conclusiones clave
El escalamiento de incidentes es esencial para proteger los datos de una empresa. Cada organización
puede tener una forma diferente de hacerlo. Es por ello que cada analista de seguridad debe conocer
los protocolos de escalamiento que existen en la compañía para la que trabaja. Tanto los pequeños
como los grandes problemas de seguridad deben escalarse al equipo o miembro del equipo
apropiado.
Página 9 de 25
2. ESCALAR O NO ESCALAR
Definimos qué significa escalar un incidente. También, hablamos sobre las habilidades para
hacerlo correctamente. Aquí, exploraremos algunas clasificaciones de incidentes que debes
conocer: infección por malware, acceso no autorizado y uso indebido. Una infección por malware
ocurre cuando un software malicioso diseñado para dañar se infiltra en las computadoras o redes
de una empresa. Como vimos antes, las infecciones de malware pueden adoptar muchas formas.
Algunas son simples y otra son más complejas. Un ejemplo es el intento de phishing. Esta es una
infección relativamente simple. Otro ejemplo es un ataque de ransomware, que es mucho más
complejo. Las infecciones de malware pueden ralentizar la red de un sistema. Los atacantes
pueden incluso impedir que la empresa vea datos críticos y pedirle que pague un rescate para
desbloquearlos. Este tipo de incidente afecta mucho a la empresa por la cantidad de datos
sensibles almacenados en su red y computadoras. Escalar infecciones de malware es un aspecto
importante de la protección de la organización para la que trabajas. Pero hay más. El segundo tipo
de incidente que veremos es el acceso no autorizado. Este ocurre cuando una persona accede de
forma digital o física a un sistema o aplicación sin permiso. Recordarás que hablamos de los
ataques de fuerza bruta, que usan prueba y error para comprometer contraseñas, credenciales de
inicio de sesión, y claves de cifrado. Estos ataques suelen usarse para acceder sin permiso a los
sistemas o aplicaciones de la empresa. Los incidentes de acceso no autorizado se deben escalar.
Pero la urgencia de hacerlo depende de qué tan crítico sea el sistema para las operaciones
comerciales. Exploraremos esta idea en detalle más adelante.
El tercer incidente que veremos es el uso indebido. Este ocurre cuando un empleado de una
empresa viola las políticas de uso aceptable. Este puede ser un poco complicado. Hay casos en que
el uso indebido no es intencional. Por ejemplo, un empleado intenta acceder a licencias de
software para uso personal, o usar el sistema para ver datos de un amigo o compañero.
Quizá no conocía la política que violaba o bien la política no se definió ni comunicó bien a los
empleados. Pero hay momentos en que el uso indebido es un acto intencional. ¿Cómo se sabe si
un uso indebido es accidental o intencional? Puede ser algo difícil de determinar. Por ello, estos
incidentes siempre se deben escalar a un supervisor. Al estar en el equipo de seguridad,
posiblemente verás varios incidentes en el trabajo. Es importante saber qué son y cómo escalarlos.
Página 10 de 25
2.2 Reconoce los roles y las responsabilidades durante el escalamiento
Anteriormente, aprendiste sobre diversos tipos de clasificación de incidentes y cómo estos pueden
afectar a una organización.
Esta lectura abordará los roles de los distintos miembros del equipo que forman parte del proceso
de escalamiento de incidentes. Ten en cuenta que no todas las organizaciones son iguales, y que
algunas funciones y responsabilidades pueden identificarse utilizando terminología y definiciones
diferentes.
Un propietario de los datos, o data owner, es la persona que decide quién puede acceder, editar,
utilizar o eliminar su información. Los propietarios de datos tienen el control administrativo sobre
el hardware o software de información específica y son responsables de la clasificación, protección,
acceso y uso de los datos de la empresa. Por ejemplo, imagina que un empleado obtiene acceso no
autorizado a un software que no necesita usar para su trabajo. Este tipo de incidente de seguridad
debería escalarse al propietario de datos de ese software.
Los encargados del tratamiento de los datos, o data processors, reportan directamente al
responsable del tratamiento y se encargan de procesar los datos en nombre de este. Estos suelen
ser proveedores y, con frecuencia, tienen la tarea de instalar medidas de seguridad para ayudar a
proteger los datos. Los problemas de procesamiento de datos suelen ser escalados a la persona que
supervisa a la organización externa responsable de dicho proceso.
Página 11 de 25
Custodios de datos (data custodians)
Los custodios de datos asignan y quitan acceso al software o hardware. Están a cargo de
implementar controles de seguridad para los datos de los que son responsables, otorgando y
revocando acceso a estos, creando políticas sobre cómo se almacenan y transmiten, asesorando
acerca de posibles amenazas a esos datos y monitoreándolos. Se notifica a los custodios de datos
cuando es necesario reforzar o se han comprometido los controles de seguridad.
Los delegados de protección de datos, o DPO, por sus siglas en inglés, son responsables de
monitorear el cumplimiento interno de los procedimientos de protección de datos de una
organización. Estas personas asesoran al equipo de seguridad sobre las obligaciones requeridas por
los estándares y procedimientos de protección de datos de la empresa. También realizan
evaluaciones para determinar si las medidas de seguridad implementadas están protegiendo
adecuadamente los datos según sea necesario. Los DPO son notificados cuando se infringen los
estándares o protocolos establecidos.
Conclusiones clave
Página 12 de 25
2.3 Identificar: Analiza los incidentes de ciberseguridad y su impacto
Página 13 de 25
2.4 Pon a prueba tus conocimientos: Escalar o no escalar
Página 14 de 25
3. EL TIEMPO LO ES TODO
De repente, observas que ha habido actividad inusual en el regitro de una aplicación que fue
prohibida recientemente en la organización. Tomas nota para mencionar esta actividad en la
siguiente reunión con tu supervisor. Pero te olvidas y nunca la mencionas. En este mismo
escenario, avancemos una semana. Te reúnes de nuevo con tu supervisor. Pero ahora te indica
que ocurrió una violación de datos.
Página 15 de 25
Esta violación afectó a una fábrica de la empresa. Ahora todas sus operaciones están frenadas.
Esto hace que la empresa pierda dinero y tiempo. Días después, el equipo de seguridad descubre
que la violación de datos empezó con actividad sospechosa en la aplicación que se prohibió hace
poco. La moraleja es que un incidente simple puede generar un problema mucho más grande si
no se escala correctamente. La importancia del incidente también se debe tener en cuenta.
Inicialmente, un incidente se puede escalar con un nivel de criticidad medio si el analista no tiene
suficiente información para determinar la cantidad de daño causado a la empresa. Tras la revisión
de un responsable de gestión de incidentes, el nivel de criticidad puede aumentarse o reducirse.
Cada incidente de seguridad que encuentres es importante para la empresa, pero algunos
ciertamente son más urgentes que otros. ¿Cuál es la mejor forma de determinar la urgencia de un
incidente de seguridad? Depende del activo o los activos a los que afecta el incidente. Por ejemplo,
si un empleado olvida la contraseña de su computadora, puede surgir un incidente de bajo nivel si
intentó iniciar sesión de forma repetida.
Este incidente se debe abordar, pero su impacto probablemente sea mínimo. En otros casos, los
activos son críticos para las operaciones comerciales, como una fábrica o base de datos que
almacena información personal, o PII. Estos activos se deben proteger con un mayor nivel de
urgencia. El acceso no autorizado de un atacante a una aplicación de fabricación o PII es mucho
mayor que una contraseña olvidada, pues el atacante puede interferir en la fabricación o exponer
datos privados del cliente. Espero que con este video entiendas la importancia de conocer la
relación entre los activos y los incidentes de seguridad. Más adelante, veremos conceptos nuevos
relacionados con tiempos de escalamiento y por qué tu trabajo en ese proceso es tan importante.
Página 16 de 25
3.2 Cuándo y cómo escalar un incidente de seguridad
Anteriormente, aprendiste sobre el posible impacto que incluso el incidente más pequeño puede
tener en una organización si no se escala adecuadamente. También, descubriste cuán importante
será tu rol como analista de nivel inicial para la eficacia del proceso de escalamiento de una
organización.
Esta lectura entrará en más detalle sobre el papel que desempeñarás en la protección de los datos
y activos de una organización cuando se trata del escalamiento de incidentes.
Página 17 de 25
Tus decisiones son importantes
Reconocer cuáles son los activos y datos más críticos para tu organización constituye una parte
fundamental del escalamiento. Puedes obtener esta información revisando los materiales y
documentos proporcionados durante el proceso de inducción, preguntando directamente a tu
supervisor acerca de los activos y datos prioritarios y examinando las políticas de seguridad de tu
empresa. Al contar con este tipo de conocimiento, estarás en condiciones de determinar cuándo
un incidente debe atenderse antes que otros. Previamente, aprendiste sobre los siguientes tipos
de clasificación de incidentes:
• Acceso no autorizado: Ocurre cuando una persona obtiene acceso digital o físico a un
sistema, datos o aplicación sin permiso.
• Uso indebido: Sucede cuando un empleado infringe las políticas de uso aceptable de la
organización para la que trabaja.
Página 18 de 25
Identificar un tipo específico de incidente te permite priorizar adecuadamente y escalarlo de
manera ágil. Recuerda que un incidente que afecte directamente a los activos fundamentales para
las operaciones del negocio debe ser atendido con prioridad sobre aquellos que no tienen un
impacto directo en estas operaciones. Por ejemplo, un incidente de acceso no autorizado a una
aplicación de fabricación debería ser priorizado sobre un incidente en que un sistema heredado se
haya visto comprometido por malware, pero sin afectar las operaciones comerciales. A medida
que adquieras experiencia en el campo de la ciberseguridad, aprenderás a evaluar rápidamente
los niveles de prioridad de los diferentes tipos de incidentes.
Una gran parte de tu función en ciberseguridad será determinar cuándo escalar un incidente de
seguridad. A continuación, tienes algunos consejos que podrán ayudarte:
• Pregunta.
Conclusiones clave
Esta es la segunda lectura relacionada al caso de Juliana Soto, una analista de ciberseguridad que
fue contratada recientemente por Right-On-Time Payment Solutions. En la lectura sobre la
protección de activos, Juliana identificó cuáles son los activos prioritarios para su organización y
desarrolló un plan para protegerlos. A continuación, examinarás cómo Juliana utilizó la política de
Página 19 de 25
escalamiento de su empresa y demostró su habilidad para analizar minuciosamente los problemas
de seguridad que encontró en el trabajo.
Mientras se prepara para ir a la oficina esta mañana, Juliana reflexiona sobre los logros del día
anterior:
→ Leyó la información de la empresa para entender cuáles eran los activos más importantes
que debía proteger.
→ Se enteró de que su empresa maneja los datos de PII de clientes.
→ Elaboró una estrategia del ciclo de vida de seguridad de la información para los datos de la
organización.
→ Comenzó a monitorear los sistemas de seguridad en su computadora portátil de trabajo.
¡Fue un gran primer día y lleno de nueva información para Juliana! Se pregunta qué le deparará el
día de hoy.
Juliana decide que la fuente desconocida que intenta comprometer el sistema que almacena la
información bancaria de los clientes es el incidente más urgente de los dos y debe abordarse de
Página 20 de 25
inmediato. Consulta la política de escalamiento de la empresa para encontrar la mejor manera de
gestionar el proceso de escalamiento para esta situación.
A continuación, decide escalar el evento de menor prioridad. Una vez más, sigue las políticas de la
empresa para hacerlo.
Su supervisor está impresionado con su iniciativa y su capacidad para seguir cada uno de los pasos
detallados en la política de escalamiento. ¡Juliana tuvo un excelente comienzo en su carrera en el
sector de la seguridad!
Conclusiones clave
Prestar atención a los detalles es importante para un analista de seguridad de nivel inicial. Analizar
minuciosamente los problemas ayuda al analista a monitorear los registros de datos y a seguir de
manera efectiva una política de escalamiento. También, es clave para el analista reconocer qué
activos son más importantes para una organización. Esto lo ayuda a priorizar la rapidez con la que
se deben escalar ciertos incidentes.
Página 21 de 25
Página 22 de 25
4. REVISIÓN: ESCALA INCIDENTES
4.1 Conclusión
Aprendiste sobre el rol esencial que desempeñarás escalando incidentes. Repasemos lo que vimos.
Empezamos definiendo el escalamiento de incidentes y los rasgos útiles necesarios para escalar
incidentes correctamente. Vimos algunos tipos de clasificación de incidentes y sus posibles
impactos. Vimos cómo los incidentes pequeños pueden convertirse en problemas grandes si no se
abordan adecuadamente. Finalmente, vimos algunas pautas generales del proceso de escalamiento
de incidentes. Este proceso varía según la empresa para la que trabajes. Pero hay algo que siempre
debes hacer: prestar atención al detalle. Comprender cómo cada incidente impacta en los datos y
activos es muy importante porque tus decisiones afectan a todo el equipo de seguridad y a la
empresa. ¿Todo listo para continuar tu viaje de seguridad? A continuación, veremos las partes
interesadas y cómo comunicarse de forma eficaz con ellas.
Acceso no autorizado: Tipo de incidente que se produce cuando se obtiene acceso digital o físico a
un sistema o aplicación sin permiso.
Encargado del tratamiento: Persona responsable de procesar los datos en nombre del responsable
del tratamiento.
Infección por malware: Tipo de incidente que tiene lugar cuando un software malicioso diseñado
para perturbar un sistema se infiltra en las computadoras o la red de una organización.
Política de escalamiento: Conjunto de acciones que describen a quién se debe notificar cuando se
produce una alerta por un incidente y cómo se debe manejar dicho incidente.
Página 23 de 25
Responsable del tratamiento de datos: Persona que determina el procedimiento y el objetivo del
procesamiento de datos.
Uso indebido: Tipo de incidente que se produce cuando un empleado infringe las políticas de uso
aceptable de la organización.
Página 24 de 25
Página 25 de 25