Está en la página 1de 92

CURSO DE CERTIFICACIÓN

LEAD CYBERSECURITY MANAGER

Sesión 1
Objetivos y estructura del diplomado

a) Bienvenida y presentaciones
b) Cuestiones generales
c) Objetivos del diplomado
d) Enfoque didáctico
e) Talleres
f) Programa del curso
Bienvenida y presentaciones

a) Nombre
b) Posición actual
c) Conocimiento y experiencia en seguridad de la información
d) Conocimiento y experiencia en ciberseguridad
e) Expectativas del curso y objetivos
¿Quién soy yo?

Robert Veloza Gonzalez

• Ingeniero de Sistemas de la Universidad Católica


de Colombia.
• Especialista en Seguridad de la Información del
Politécnico Grancolombiano.
• Especialista en Gerencia de Proyectos del
Politécnico Grancolombiano.
• Certificado CISSP.
• Certificado CEHv9
• Certificado CHFIv9
• Certificado ISO 27001 Lead Auditor
• Certificado ISO 22301 Internal Auditor
• Certificado ISO 27032 Lead Cybersecurity Manager
• Arquitecto de Software Full Stack
• Diplomado de Blockchain en la Universidad del
Rosario
• Trabajo como Chief Operation Officer para la firma
Five Strategy (Consulting, CSOC Strategy, Sinergy y
Partners)
Información general
Enfoque didáctico

Obviamente la teoría es muy importante….


Temario
Temario
Evaluación de Certificación
Talleres

a) Grupales
b) Algunos individuales
c) Charlas generales y páneles
d) Noticias del momento
Principios básicos
Confidencialidad
Integridad

https://www.elespectador.com/noticias/judicial/universidades-victimas-de-hackers-articulo-560884
Disponibilidad
Ejercicio Individual

1. Clasifique los siguientes casos como una violación de


integridad, confidencialidad, disponibilidad o una mezcla
de las anteriores.

a) Juan se copia la tarea del curso de ciberseguridad de María


b) Pablo apaga el celular de Carlos remotamente usando wi-fi
c) Ana cambia el valor del cheque de Juan de $1’000.000 a 100’000.000
d) Sandra falsifica la firma de Roberto en un documento
e) Juan descubre el número de tarjeta de crédito de Pedro y llama al banco para que
cancelen la tarjeta
f) Enrique adivina el password de Twitter de Julia y twittea en su nombre.
Ejercicio Grupal

1. De ejemplos de situaciones donde:

a) Un ataque a la confidencialidad da pie a un ataque a la integridad y viceversa


b) Un ataque a la confidencialidad da pie a un ataque a la disponibilidad y viceversa
c) Un ataque a la integridad da pie a un ataque a la disponibilidad y viceversa
Historia ISO 27001
La familia 27000
ISO 27032
Estructura ISO 27032
Estructura ISO 27032
Dominios ISO 27032
Partes Interesadas ISO 27032
Activos ISO 27032
Activos ISO 27032
Activos ISO 27032
Activos ISO 27032
Marco de Ciberseguridad de NIST
Marco de Ciberseguridad de NIST
Ciberespacio
Ciberespacio
Ciberdelincuencia
Ciberdelincuencia
Ciberdelincuencia
Ciberdelincuencia
Ciberseguridad
Ciberseguridad

ISO 27032, Clausula 4.20

PRESERVACIÓN DE LA CONFIDENCIALIDAD, INTEGRIDAD Y


DISPONIBILIDAD EN EL CIBERESPACIO.
Ciberseguridad
Programa de Ciberseguridad
Programa de Ciberseguridad
Programa de Ciberseguridad
Programa de Ciberseguridad
Programa de Ciberseguridad
Programa de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Políticas de Ciberseguridad
Práctica Política de Ciberseguridad
Terminología de gestión del riesgo
Activo

Un activo es cualquier cosa con un ambiente que debería ser protegido. Esto puede ser
usado en un proceso de negocio o tarea. Esto puede ser un archivo de computadora, un
servicio de red, un recurso del sistema, un proceso, un programa, un producto, una
infraestructura de IT, una base de datos, un dispositivo de hardware, formulas de
laboratorio, personal, software, edificios.

Todo esto tiene un valor para la compañía en dólares, pesos, entre otros; este costo puede
incluir desarrollar, mantener, administrar, soportar un activo.

Piense en su celular como un activo…….


Activo
Amenaza

Una amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que


puede producir UN DAÑO (material o inmaterial) sobre un activo. Las amenazas podrían
incluir daño, destrucción, alteración, daño o perdida de información, estas amenazas
podrían ser intencionales o accidentales. Estas amenazas podrían ser internas o externas.

Piense como aquellos amigos de lo ajeno cuando usted sale a la calle….


Vulnerabilidad

Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para
causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una
computadora, tanto en el hardware, el sistema operativo, como en el software.

Piense en que usted habla por celular sin manos libres por la calle después de salir de clase….
Riesgo

Es la posibilidad de ocurrencia de un evento que tendría un impacto negativo en los


objetivos del negocio, este impacto puede ir de tipo económico, en la productividad y en la
normatividad.

RIESGO = PROBABILIDAD X IMPACTO

¿Cual es el riesgo de que le roben el celular mientras usted habla por la calle a las 10:00 de la noche?…. ¿Que impacto
tendría para usted este robo?
Impacto

Consecuencia de la materialización de una amenaza sobre un activo aprovechando una


vulnerabilidad. El impacto se suele estimar en porcentaje de degradación que afecta al
activo, el 100% sería la pérdida total del activo.

Y entonces… ¿Qué impacto tendría para usted el robo del celular?


Probabilidad

Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento. La frecuencia de


ocurrencia implícita se corresponde con la amenaza. Para estimar la frecuencia podemos
basarnos en datos empíricos de la empresa, opiniones de expertos, o estadística común en
fuentes de datos.

¿Que tan probable es que se le materialice el riesgo de que le roben el celular?


Hasta lo más improbable sucede…..
Salvaguarda o Contramedida

Una salvaguarda o contramedida es cualquier cosa que pueda eliminar o reducir una
vulnerabilidad, esta salvaguarda puede proteger uno o mas activos de una o mas amenazas.

Simples contramedidas pueden ser instalar un parche de seguridad, mejorar la


configuración de un sistema, mejorar la infraestructura, mejorar procesos, entrenamiento,
concientización, entre otros.

¿Qué contramedidas aplicaría usted para que no le roben el celular?


Equilibrio de la Contramedida
Elementos de Riesgo
Proceso de gestión del riesgo
Preguntas

1. Cual de los siguientes debería no ser considerado un activo


en un análisis de riesgo.

a) Un proceso de desarrollo
b) Una infraestructura de IT
c) Un Firewall
d) Archivos personales
Preguntas

2. Cuando una contramedida presente no es suficiente ¿que


permanece?

a) Vulnerabilidad
b) Exposición
c) Riesgo
d) Ataque
Preguntas

3. ¿Cual de los siguientes es el elemento más débil en cualquier


solución de seguridad?

a) Productos de software
b) Conexiones de internet
c) Políticas de seguridad
d) Humanos
Preguntas

4. De un ejemplo de un riesgo en la vida diaria recorriendo el


activo, amenaza, vulnerabilidad, probabilidad, impacto y
contramedida.
Ejercicio Grupal

La compañía “Acme Seguros” realiza ventas de seguros en


internet y por su call center, se vende todo tipo de seguros
(Vehículo, hogar, SOAT, mascotas, bicicletas entre otros).

La compañía no tiene un firewall de perímetro, ni tampoco un


firewall de aplicaciones, tiene un antivirus free para el call
center, su granja de servidores no se encuentra separada de
los usuarios finales, los agentes de call center pueden
descargar los datos de los clientes a archivos de excel, la
compañía no cuenta con un DLP y adicionalmente todos los
puertos USB se encuentran operativos.
Ejercicio Grupal

De acuerdo al escenario planteado realice:

• Una lista de activos existentes en Acme seguros.


• Amenazas presentes en Acme seguros.
• Vulnerabilidades presentes en Acme seguros.
• Proponga 3 contramedidas para reducir el riesgo en Acme
seguros.
Tipos de Valoración de Riesgos

De cualquier forma la gestión del riesgo nos permite llevar el


riesgo a un nivel aceptable o a la tolerancia y desviación que la
empresa desee aceptar, a esto lo llamamos APETITO DEL RIESGO.
Valoración de Riesgo Cuantitativa

La evaluación cuantitativa tiene como propósito asignar valores monetarios a riesgos


específicos, por lo que tiene como punto de partida la determinación de una pérdida potencial
asociada a la materialización de una o más amenazas.

Generalmente, resulta más complicado llevar a cabo una evaluación cuantitativa (si se compara
con una cualitativa), entre otras razones porque puede considerar un conjunto de variables a las
cuales se le debe asignar un dato de manera consciente, que permitan obtener resultados con
mayor precisión y apegados a la realidad de los riesgos que están relacionados con la
información y otros activos de la empresa.

Para calcular la pérdida potencial, se puede utilizar la fórmula de Expectativa de Pérdida Anual
(ALE por sus siglas en inglés), enfocada en modelar el impacto generado por un riesgo de
seguridad. El uso de un modelo matemático agrega objetividad a los resultados de la evaluación,
ya que con los mismos valores utilizados durante el cálculo, se obtienen resultados consistentes.
Además, se ofrece un resultado que muestra la relación costo-beneficio entre la necesidad de
asignar recursos que permitan evitar o reducir las pérdidas derivadas de los riesgos
identificados.
Valoración de Riesgo Cualitativa

A diferencia de una evaluación cuantitativa, se trata de una valoración realizada a través de las
características que tienen como base un escenario de amenaza sobre los activos, y
generalmente está asociado a una calificación de los riesgos que utiliza como parámetros
cualidades como alto, medio o bajo.

Debido a que cada persona posee un concepto de lo que representa una característica “alta,
media o baja” como una manera de clasificación, la evaluación cualitativa puede convertirse en
un elemento subjetivo, por lo que en términos de seguridad de la información resulta básico
definir criterios precisos de lo que cada categoría representa, con el objetivo (nuevamente) de
obtener resultados consistentes.

Probablemente sea más sencillo identificar que un riesgo clasificado como “alto” deba tener
mayor prioridad que uno etiquetado como “bajo”. El desafío consiste en definir claramente
cuando se asigna una cualidad de este estilo a cada uno de los riesgos. Esto puede lograrse, por
ejemplo, a través de una matriz de riesgo relativo, que utiliza como variables de clasificación y
priorización de riesgos el impacto y la probabilidad de ocurrencia.
Por el contrario, para diversas áreas de la organización es preferible la asignación de una
cantidad de dinero a un riesgo, más aún si se agrega una escala que contribuya a decidir cuándo
es aceptable una pérdida potencial por riesgos de seguridad. La estimación de la pérdida facilita
la toma de decisiones en relación a la cantidad de recursos asignados para la protección de la
información.
Cuantitativo Vs Cualitativo
Ventajas

Cuantitativo:

• Enfoca el análisis mediante números.


• Facilita la comparación de vulnerabilidades muy distintas.
• Proporciona una cifra “Justificante” para cada control.

Cualitativo:

• Enfoca lo amplio que se desee.


• Plan de trabajo flexible y reactivo.
• Se concentra en la identificación de eventos.
• Incluye valores intangibles
Desventajas

Cuantitativo:

• Cálculos complejos.
• Estimación de las pérdidas sólo si son valores justificables.
• Difíciles de mantener o modificar.
• Alto costo de implementación

Cualitativo:

• La evaluación es un proceso subjetivo.


• Depende fuertemente de la habilidad y calidad del personal involucrado.
• Puede existir riesgos significantes desconocidos.
Metodologías de Riesgo Aplicadas a Seguridad de la Información
Aplicaciones

Vs

Método Cualitativo Método Cuantitativo


ISO 27005

• ISO/IEC 27005 es el estándar internacional que se ocupa de la gestión de


riesgos de seguridad de información.

• La norma suministra las directrices para la gestión de riesgos de seguridad


de la información en una empresa, apoyando particularmente los requisitos
del sistema de gestión de seguridad de la información
definidos en ISO 27001.

• ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de


gestionar los riesgos que puedan complicar la seguridad de la información de su
organización.

• No recomienda una metodología concreta, dependerá de una serie de factores,


como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o
el sector comercial de la propia industria.
ISO 27001
ISO 27001
ISO 27001
ISO 27005
ISO 31000

• ISO 31000 es una norma internacional que ofrece las directrices y principios para
gestionar el riesgo de las organizaciones.

• Esta norma fue publicada en noviembre del 2009 por la Organización Internacional
de Normalización (ISO) en colaboración con IEC, y tiene por objetivo que
organizaciones de todos los tipos y tamaños puedan gestionar los riesgos en la
empresa de forma efectiva, por lo que recomienda que las organizaciones
desarrollen, implanten y mejoren continuamente un marco de trabajo cuyo objetivo
es integrar el proceso de gestión de riesgos en cada una de sus actividades .
ISO 31000
ISO 31000
ISO 31000
ISO 31000
ISO 31000