Introducción a la Ciberseguridad PDF
Document Details
Uploaded by Deleted User
Tags
Related
Summary
Este documento proporciona una introducción a la ciberseguridad, incluyendo conceptos como seguridad informática, la triada CIA, y diferencias entre conceptos relacionados.
Full Transcript
Tema Introducción a la Ciberseguridad Ciberseguridad Índice 1. Seguridad informática y ciberseguridad....................................................... 5 1.1 Diferencias............................................................................................ 7 2. Evol...
Tema Introducción a la Ciberseguridad Ciberseguridad Índice 1. Seguridad informática y ciberseguridad....................................................... 5 1.1 Diferencias............................................................................................ 7 2. Evolución histórica de la seguridad informática........................................... 9 2.1 Años 60 y 70: Los Primeros Pasos....................................................... 9 2.2 Años 80: El Surgimiento de las Redes y el Malware............................. 9 2.3 Años 90: La Expansión de Internet..................................................... 10 2.4 Años 2000: El Auge del Comercio Electrónico.................................... 11 2.5 Años 2010: Amenazas Avanzadas y Nuevas Tecnologías................. 11 2.6 El Futuro de la Seguridad Informática................................................. 12 3. Glosario de términos.................................................................................. 13 4. Conceptos de seguridad de la información................................................ 20 4.1 La Triada de la CIA............................................................................. 20 4.2 Análisis profundo de la CIA................................................................. 20 4.3 Autenticación....................................................................................... 23 4.3.1 Métodos de Autenticación............................................................ 24 4.4 No Repudio......................................................................................... 25 4.5 Privacidad........................................................................................... 25 5. Proceso gestión de riesgos........................................................................ 27 5.1 Introducción a la Gestión del Riesgo................................................... 28 5.2 Importancia de la Gestión de Riesgos................................................. 28 5.3 Terminología en la Gestión de Riesgos.............................................. 29 5.4 Amenazas........................................................................................... 29 5.5 Vulnerabilidades.................................................................................. 30 5.6 Probabilidad........................................................................................ 31 5.7 Identificación del Riesgo..................................................................... 31 5.8 Evaluación de Riesgos........................................................................ 32 5.9 Tratamiento de Riesgos...................................................................... 33 5.10 Proceso de Gestión de Riesgos.......................................................... 35 6. Prioridades del Riesgo............................................................................... 36 6.1 Toma de decisiones basada en prioridades de riesgo........................ 38 6.2 Tolerancia al Riesgo............................................................................ 38 7. Controles de seguridad.............................................................................. 40 7.1 ¿Qué son los Controles de Seguridad?.............................................. 41 1. Seguridad informática y ciberseguridad. La seguridad informática y la ciberseguridad son dos términos que a menudo se usan indistintamente, pero en realidad representan áreas distintas dentro del campo de la protección de datos y sistemas de información. Comprender sus diferencias es esencial para implementar estrategias de protección efectivas en cualquier organización. Ambas disciplinas comparten el objetivo común de proteger la información y los sistemas de información, pero se enfocan en diferentes aspectos y utilizan distintas metodologías para alcanzar este objetivo. La seguridad informática es un campo amplio que se dedica a la protección de los sistemas de información, incluidos hardware, software y datos, contra accesos no autorizados, uso indebido, divulgación, interrupción, modificación o destrucción. Su objetivo principal es asegurar la integridad, confidencialidad y disponibilidad de la información. Estos tres principios fundamentales son conocidos como la tríada CIA (por sus siglas en inglés: Confidentiality, Integrity, Availability). La confidencialidad garantiza que la información solo sea accesible a personas autorizadas, la integridad asegura que la información no sea alterada sin autorización y se mantenga precisa y confiable, y la disponibilidad asegura que los sistemas y datos estén accesibles cuando se necesiten. El ámbito de la seguridad informática incluye la protección de todos los componentes de la tecnología de la información (TI), como sistemas informáticos, servidores, redes, y datos almacenados y procesados. Además, abarca aspectos físicos como la seguridad de los equipos y las instalaciones físicas, incluyendo servidores y centros de datos. Los controles de acceso son una parte crucial de la seguridad informática, ya que involucran mecanismos de autenticación y autorización para garantizar que solo personas autorizadas puedan acceder a los recursos. La protección de datos es otro componente esencial, que abarca la gestión y salvaguarda de la información para evitar pérdidas o corrupción de datos. Existen diversas herramientas y técnicas utilizadas en la seguridad informática para proteger los sistemas y datos. Por ejemplo, el software antivirus es fundamental para detectar y eliminar malware, mientras que los firewalls actúan como barreras entre redes internas seguras y redes externas no confiables, filtrando el tráfico de red para proteger sistemas internos. Las políticas de contraseñas seguras son normas establecidas para asegurar el acceso a sistemas y datos, y las copias de seguridad regulares son procesos críticos para recuperar información en caso de pérdida o daño. Por otro lado, la ciberseguridad es una rama especializada de la seguridad informática que se concentra exclusivamente en proteger los sistemas, redes y programas del entorno digital contra ataques cibernéticos. Estos ataques suelen tener como objetivo acceder, modificar o destruir información sensible, extorsionar a los usuarios o interrumpir operaciones normales. La ciberseguridad se enfoca en la prevención, detección, respuesta y recuperación ante incidentes cibernéticos. La prevención incluye la implementación de medidas para evitar ataques cibernéticos, como el uso de firewalls, software antivirus y políticas de seguridad robustas. La detección implica el monitoreo continuo de sistemas y redes para identificar actividades sospechosas y potenciales brechas de seguridad. Herramientas como los sistemas de detección y prevención de intrusos (IDS/IPS) son cruciales en esta fase, ya que detectan y previenen accesos no autorizados a la red. La respuesta se refiere a las acciones tomadas para mitigar los efectos de un ataque cibernético y restaurar la funcionalidad normal de los sistemas. La recuperación, por su parte, abarca los procesos necesarios para restaurar sistemas y datos a su estado original después de un incidente, asegurando la continuidad del negocio. El ámbito de la ciberseguridad incluye la protección del entorno cibernético, que abarca redes, sistemas y datos conectados a internet o a otros sistemas de red. Las amenazas cibernéticas incluyen una variedad de ataques específicos como malware, phishing, ransomware, ataques DDoS, y hacking. La inteligencia y respuesta a incidentes es un componente esencial de la ciberseguridad, ya que implica el monitoreo en tiempo real y la respuesta proactiva a incidentes de seguridad cibernética. Además, la ciberseguridad también se enfoca en la protección de datos y aplicaciones en entornos de computación en la nube y en dispositivos móviles. En la ciberseguridad, se utilizan métodos avanzados como el análisis de tráfico de red, criptografía, y herramientas de monitoreo y respuesta a incidentes en tiempo real. Por ejemplo, el monitoreo de tráfico de red implica el análisis constante del tráfico para detectar y responder a actividades sospechosas. La criptografía avanzada utiliza algoritmos criptográficos para proteger la transmisión de datos a través de internet, asegurando que la información sea confidencial y esté íntegra. La autenticación multifactor (MFA) es otro método crucial en la ciberseguridad, que implementa múltiples métodos de verificación de identidad para asegurar accesos a sistemas y datos. 1.1 Diferencias Aunque la seguridad informática y la ciberseguridad son disciplinas distintas, son complementarias y se solapan en muchos aspectos. Ambas son esenciales para una estrategia integral de protección de información y sistemas. La seguridad informática proporciona una base sólida de protección general, asegurando que todos los aspectos de la infraestructura de TI estén seguros. La ciberseguridad, en cambio, se enfoca en aspectos específicos del entorno digital, proporcionando una capa adicional de defensa contra amenazas cibernéticas y ataques en línea. Las diferencias clave entre seguridad informática y ciberseguridad incluyen el ámbito de actuación, el enfoque, los objetivos y los métodos y herramientas utilizados. En cuanto al ámbito de actuación, la seguridad informática abarca tanto aspectos físicos como digitales de la protección de la información, mientras que la ciberseguridad se enfoca exclusivamente en el entorno digital. En términos de enfoque, la seguridad informática incluye una combinación de controles físicos, administrativos y técnicos para proteger la información en todos sus aspectos, mientras que la ciberseguridad está centrada en la protección contra ataques digitales. Los objetivos también difieren, ya que la seguridad informática busca proteger la integridad, confidencialidad y disponibilidad de toda la infraestructura de TI, mientras que la ciberseguridad se centra en la prevención, detección y respuesta a ataques cibernéticos. Por último, en cuanto a los métodos y herramientas, la seguridad informática utiliza herramientas como firewalls, antivirus, controles de acceso, y políticas de seguridad, mientras que la ciberseguridad emplea métodos avanzados como análisis de tráfico de red, criptografía, IDS/IPS, y herramientas de monitoreo y respuesta a incidentes en tiempo real. 2. Evolución histórica de la seguridad informática. La evolución de la seguridad informática ha sido un proceso continuo impulsado por los avances tecnológicos y la creciente sofisticación de las amenazas. A continuación, y a modo de resumen vamos a mencionar los hitos más importantes en la historia de la seguridad informática, con referencias bibliográficas de autores en castellano y con fechas de edición recientes. 2.1 Años 60 y 70: Los Primeros Pasos En los años 60 y 70, la seguridad informática se centraba en proteger los grandes sistemas centralizados conocidos como mainframes1. La protección en esta época se enfocaba en el control físico de acceso a las instalaciones y en la implementación de sistemas básicos de control de acceso y autenticación. Uno de los primeros estudios formales sobre seguridad informática fue realizado por la Corporación RAND y la Agencia de Seguridad Nacional (NSA) en 1967, destacando la importancia de proteger los sistemas de tiempo compartido y sentando las bases para futuras investigaciones. Durante esta época, los sistemas de control de acceso eran rudimentarios, basados en listas de control de acceso (ACL) que permitían o denegaban el acceso a los usuarios a ciertos recursos del sistema. Estos primeros sistemas se enfocaban principalmente en la protección contra accesos no autorizados y en la integridad de los datos. 2.2 Años 80: El Surgimiento de las Redes y el Malware La década de los 80 marcó un cambio significativo con la introducción de las redes de ordenadores y la popularización de las PCs. Este período vio la 1 Computadoras de gran capacidad diseñadas para procesar grandes volúmenes de datos, soportar múltiples usuarios y ejecutar aplicaciones críticas con alta fiabilidad y disponibilidad, comúnmente utilizada por grandes organizaciones aparición de los primeros virus informáticos y otras formas de malware, lo que destacó la necesidad de nuevas medidas de seguridad. El virus "Brain", descubierto en 1986, es considerado uno de los primeros virus informáticos y se propagaba a través de disquetes. Este tipo de amenazas llevó al desarrollo de los primeros programas antivirus, diseñados para detectar y eliminar el malware. Con el crecimiento de las redes, la seguridad de las comunicaciones se convirtió en una preocupación clave. Los firewalls empezaron a utilizarse para controlar el tráfico de red y prevenir accesos no autorizados, y se desarrollaron protocolos de seguridad para proteger los datos transmitidos. La aparición del gusano Morris en 1988, que infectó aproximadamente el 10% de los ordenadores conectados a Internet, subrayó la vulnerabilidad de los sistemas interconectados y llevó a la creación de los primeros equipos de respuesta a emergencias informáticas (CERT). 2.3 Años 90: La Expansión de Internet La década de los 90 fue testigo de una expansión masiva de Internet, lo que trajo consigo nuevos desafíos. La conectividad global facilitó el intercambio de información, pero también aumentó las oportunidades para los ciberataques. Durante esta década, se estandarizaron protocolos de seguridad como HTTPS e IPSec, y tecnologías como los sistemas de detección de intrusos (IDS) se volvieron esenciales para proteger las redes. Los ciberataques se volvieron más frecuentes y sofisticados, destacando eventos como el virus "ILOVEYOU" y el gusano "Melissa", que causaron daños significativos a nivel global. Estos incidentes resaltaron la importancia de implementar soluciones de seguridad más robustas y la necesidad de una mayor concienciación sobre la seguridad informática. Además, se desarrollaron las primeras herramientas de criptografía de uso generalizado, como Pretty Good Privacy (PGP), que permitieron a los usuarios cifrar correos electrónicos y archivos, asegurando la confidencialidad de las comunicaciones en línea. 2.4 Años 2000: El Auge del Comercio Electrónico Con la explosión del comercio electrónico y la digitalización de los servicios financieros, la seguridad informática se volvió aún más crucial. Normativas como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI- DSS) fueron introducidas para proteger las transacciones electrónicas y los datos personales. El término "ciberseguridad" comenzó a ganar prominencia, enfocándose en proteger los sistemas y datos en un entorno en línea. Este período también vio el auge de los ataques de denegación de servicio (DoS) y su variante más avanzada, los ataques distribuidos de denegación de servicio (DDoS), que intentan hacer que un recurso sea inaccesible para los usuarios legítimos. Durante esta década, también se incrementó el uso de tecnologías de cifrado avanzado para proteger la información sensible en tránsito y en reposo. El uso de VPNs (Virtual Private Networks) se popularizó para asegurar las comunicaciones empresariales y personales. 2.5 Años 2010: Amenazas Avanzadas y Nuevas Tecnologías En la década de 2010, la ciberseguridad continuó evolucionando para enfrentar amenazas avanzadas y persistentes, como el ransomware, el espionaje cibernético y los ataques de estado-nación. Las amenazas avanzadas y persistentes (APT) son ataques prolongados y dirigidos a entidades específicas, generalmente realizados por actores bien financiados. El ransomware, un tipo de malware que cifra los datos de la víctima y exige un rescate, se convirtió en una de las mayores amenazas. Ataques como "WannaCry" en 2017 afectaron a organizaciones globalmente, subrayando la necesidad de estrategias de ciberseguridad robustas. Las tecnologías emergentes, como la inteligencia artificial (IA), comenzaron a desempeñar un papel importante tanto en la defensa como en los ataques cibernéticos. Los sistemas basados en IA pueden analizar grandes volúmenes de datos para detectar patrones anómalos y predecir amenazas, mejorando la capacidad de respuesta a incidentes. Además, la década de 2010 vio un incremento en la regulación y las normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que impone estrictos requisitos de privacidad y seguridad para las organizaciones que manejan datos personales. 2.6 El Futuro de la Seguridad Informática Mirando hacia el futuro, se espera que la ciberseguridad continúe siendo una prioridad crítica. Con el aumento de dispositivos conectados y la proliferación del Internet de las Cosas (IoT), la necesidad de una seguridad avanzada será aún mayor. Tecnologías como la seguridad biométrica, el cifrado y la autenticación multifactor se volverán más comunes. Además, la inteligencia artificial y el aprendizaje automático seguirán evolucionando, proporcionando nuevas herramientas para la detección y prevención de ataques cibernéticos. La dependencia creciente en la tecnología digital hará que la ciberseguridad sea más crucial que nunca, estableciéndose como una prioridad estratégica para organizaciones e individuos en todo el mundo. Las empresas y los gobiernos deberán invertir continuamente en la investigación y el desarrollo de nuevas tecnologías de seguridad, así como en la formación y concienciación de los usuarios para enfrentar los desafíos futuros. La colaboración internacional también será esencial para combatir eficazmente las amenazas cibernéticas globales. 3. Glosario de términos Conocer y comprender los términos clave en seguridad informática y ciberseguridad es esencial para cualquier persona, ya sea un estudiante que se inicia en esta área o un profesional que busca mantenerse actualizado. Estos términos, muchos de los cuales han sido recopilados y definidos por el Instituto Nacional de Ciberseguridad (INCIBE), forman la base del conocimiento necesario para entender cómo se protegen los sistemas, cómo se identifican y gestionan las amenazas, y cómo se implementan las políticas y tecnologías de seguridad. A continuación, mostraremos un compendio de términos los cuales se considera necesario para el estudio de la presente asignatura: Algoritmos de Cifrado: Operación matemática utilizada en combinación con una clave para cifrar o descifrar información, garantizando su confidencialidad e integridad. Existen dos tipos principales de cifrado: simétrico y asimétrico. Alta Disponibilidad: Característica de un sistema o servicio que minimiza el tiempo de inactividad en caso de fallos, garantizando que los servicios esenciales sigan funcionando. Auditoría de Seguridad: Análisis y gestión de sistemas realizado por profesionales en TI para identificar y describir vulnerabilidades en estaciones de trabajo, redes, servidores o aplicaciones. Autenticación: Proceso de verificación de la identidad de un usuario o sistema, utilizando documentos, contraseñas o características biométricas para asegurar que son quienes dicen ser. Autenticación de Doble Factor (2FA): Método de autenticación que requiere dos formas de verificación de identidad antes de permitir el acceso a un sistema o cuenta, como una contraseña y un código generado por un token o una aplicación móvil. Cifrado: Proceso de codificación de información para evitar que personas no autorizadas accedan a ella. Solo quien posea la clave adecuada puede descifrar y acceder al contenido. Cifrado Asimétrico: Técnica de cifrado que utiliza un par de claves diferentes (una pública y una privada) para cifrar y descifrar información, asegurando la confidencialidad y la autenticidad. Cifrado Simétrico: Método de cifrado en el que la misma clave se utiliza tanto para cifrar como para descifrar la información. Es esencial que ambas partes mantengan la clave en secreto. Confidencialidad: Propiedad de la información que garantiza que solo las personas autorizadas puedan acceder a ella. Es una de las tres dimensiones clave de la seguridad de la información, junto con la integridad y la disponibilidad. Control de Acceso Basado en Roles (RBAC): Mecanismo de seguridad que asigna permisos a los usuarios basándose en los roles que desempeñan en una organización, facilitando la administración de permisos y reduciendo el riesgo de acceso no autorizado. Control de Acceso: Mecanismos y políticas que regulan quién puede acceder a recursos o información en un sistema, asegurando que solo los usuarios autorizados puedan hacerlo. Copia de Seguridad: Proceso de duplicar información en un soporte secundario para poder recuperarla en caso de pérdida o fallo del soporte principal. Cortafuegos (Firewall): Sistema de seguridad compuesto por software o hardware que regula el tráfico de red, permitiendo o bloqueando el paso de datos según un conjunto de reglas predefinidas. Criptografía: Técnica que convierte información legible (texto plano) en un formato ilegible (texto cifrado) para protegerla de accesos no autorizados. La criptografía es esencial para asegurar la confidencialidad y la integridad de los datos. Criptoanálisis: Disciplina que se ocupa del estudio y la práctica de descifrar información cifrada sin conocer la clave utilizada para el cifrado. Criptomoneda: Moneda digital que utiliza técnicas de criptografía para regular la generación de unidades monetarias y verificar la transferencia de fondos, operando independientemente de un banco central. Dirección IP: Número único que identifica a un dispositivo en una red. Puede ser pública (visible en internet) o privada (visible solo dentro de una red local). Disponibilidad: Capacidad de un sistema, servicio o información de estar accesible y utilizable por usuarios autorizados en el momento en que lo necesiten. DLP (Data Loss Prevention): Tecnología y procesos diseñados para detectar y prevenir el acceso no autorizado o la fuga de información sensible fuera de la red de una organización, protegiendo los datos contra pérdidas accidentales o robos. DMZ (Zona Desmilitarizada): Subred que actúa como zona intermedia entre una red interna segura y una red externa no confiable, como Internet. Los servicios accesibles públicamente, como servidores web, se suelen alojar en una DMZ. Firma Electrónica: Método criptográfico que permite verificar la autenticidad e integridad de un documento digital, asegurando que el firmante es quien dice ser y que el contenido no ha sido alterado. Firmware: Software de bajo nivel que controla el hardware de un dispositivo, como routers, impresoras, o dispositivos de almacenamiento. El firmware está almacenado en memoria no volátil y puede ser actualizado para mejorar el rendimiento o la seguridad. Integridad: Propiedad que asegura que los datos no han sido modificados o alterados de manera no autorizada durante su almacenamiento o transmisión, garantizando que la información es exacta y confiable. Intranet: Red privada utilizada por una organización, que emplea las mismas tecnologías que Internet, pero está restringida a los usuarios autorizados de la organización. IPsec (Internet Protocol Security): Conjunto de protocolos que aseguran las comunicaciones en la capa de red mediante el cifrado y la autenticación de los paquetes IP. Es utilizado para crear redes privadas virtuales (VPN) seguras. Mínimo Privilegio: Principio de seguridad que establece que los usuarios deben tener el nivel mínimo de acceso necesario para realizar sus tareas, reduciendo el riesgo de acciones maliciosas o accidentales. Mitigación de Riesgos: Conjunto de medidas y controles implementados para reducir la probabilidad y el impacto de las amenazas a la seguridad de un sistema o red. NAT (Network Address Translation): Técnica utilizada en redes para permitir que varios dispositivos compartan una única dirección IP pública, ocultando las direcciones IP privadas y mejorando la seguridad. No Repudio: Garantía de que una transacción o comunicación no puede ser negada por ninguna de las partes involucradas. Es una característica importante en transacciones electrónicas. Plan de Continuidad del Negocio (BCP): Estrategia que define como una organización mantendrá o restaurará sus operaciones críticas durante y después de un desastre o interrupción significativa, asegurando la continuidad del servicio. Política de Seguridad: Conjunto de directrices y reglas que definen cómo una organización protege sus activos de información y garantiza la confidencialidad, integridad, y disponibilidad de los datos. La política de seguridad debe ser seguida por todos los empleados y partes interesadas. Proxy: Equipo o software que actúa como intermediario en las solicitudes de red entre equipos de una red local e Internet, centralizando el tráfico y añadiendo una capa de seguridad. Puerta de Enlace (Gateway): Dispositivo que conecta redes con diferentes protocolos, permitiendo que se comuniquen entre sí y compartan recursos, a la vez que filtra y supervisa el tráfico para evitar ciberataques. Red Privada Virtual (VPN): Tecnología que permite establecer una conexión segura y cifrada a través de una red pública, como Internet, protegiendo la confidencialidad e integridad de los datos transmitidos. Resiliencia: Capacidad de un sistema o red para resistir y recuperarse rápidamente de incidentes o fallos de seguridad, minimizando el impacto en la operación continua. Router: Dispositivo que dirige el tráfico de datos entre diferentes redes, asegurando que la información se envíe a su destino correcto. Los routers también suelen incluir funciones de cortafuegos para proteger las redes internas. Router de Borde (Edge Router): Router que conecta una red interna con redes externas, como Internet. Es el primer punto de contacto entre la red privada y el mundo exterior, manejando el tráfico de datos entrante y saliente. Segmentación de Red: Técnica de seguridad que divide una red en subredes más pequeñas, permitiendo el control y la restricción del tráfico de red entre ellas. Esto ayuda a limitar el alcance de un ataque y a contener posibles amenazas. Seguridad Física: Conjunto de medidas diseñadas para proteger los activos físicos de una organización, como equipos informáticos, instalaciones y personas, contra accesos no autorizados o daños. Servidor: Computadora o programa que proporciona servicios a otros programas o dispositivos en una red, como almacenamiento, procesamiento o acceso a aplicaciones. Servidor de Correo (Mail Server): Servidor que maneja y almacena correos electrónicos para usuarios de una red. Los servidores de correo son responsables del envío, recepción y almacenamiento de mensajes de correo electrónico. Servidor Web: Programa o dispositivo que proporciona contenido, como páginas web, a los usuarios en Internet o en una intranet. Responde a las solicitudes del navegador web del usuario, enviando los archivos necesarios para mostrar las páginas solicitadas. Shadow IT: Práctica en la que los empleados usan aplicaciones, dispositivos o servicios de TI no aprobados o gestionados por el departamento de TI de la organización, lo que puede comprometer la seguridad y el cumplimiento normativo. SIEM (Security Information and Event Management): Sistema que proporciona análisis en tiempo real de alertas de seguridad generadas por aplicaciones y hardware de red. Un SIEM recopila, almacena y correlaciona datos de diferentes fuentes para detectar actividades sospechosas o anómalas. Sistema de Detección de Intrusiones (IDS): Software o dispositivo que monitorea una red o sistemas en busca de actividades maliciosas o violaciones de políticas, alertando cuando se detecta un incidente. Sistemas de Reputación: Sistemas que evalúan y clasifican la confiabilidad de un servidor de correo electrónico, dominio, o dirección IP en función de su comportamiento histórico, como el envío de spam o la participación en ataques maliciosos. SSID (Service Set Identifier): Nombre único de una red inalámbrica Wi- Fi, que se utiliza para identificar y conectar dispositivos a esa red. El SSID es visible para los dispositivos dentro del alcance de la red. Token: Dispositivo o pieza de software que genera contraseñas temporales o códigos de autenticación, utilizados como una capa adicional de seguridad para autenticar a un usuario. Los tokens pueden ser físicos, como llaveros, o virtuales. Túnel (Tunneling): Método para transferir datos de una red a otra a través de una red pública, como Internet. Un túnel cifrado se utiliza en conexiones VPN para proteger los datos durante su transmisión. VPN Empresarial: Red privada virtual utilizada por las organizaciones para permitir que los empleados accedan de manera segura a los recursos corporativos desde ubicaciones remotas, protegiendo los datos mediante cifrado. WEP (Wired Equivalent Privacy): Protocolo de seguridad para redes inalámbricas Wi-Fi, diseñado para proporcionar un nivel de seguridad comparable al de las redes cableadas. WEP es considerado inseguro hoy en día debido a varias vulnerabilidades y ha sido reemplazado por WPA/WPA2. WPA/WPA2 (Wi-Fi Protected Access): Protocolos de seguridad para redes inalámbricas, que mejoran la seguridad respecto a WEP mediante el uso de cifrado más robusto y autenticación. WPA2 es la versión más segura y es ampliamente utilizado. Zero-Day: Vulnerabilidad en software que es desconocida para el fabricante y para la cual no existe aún un parche o solución disponible. Los atacantes pueden explotar estas vulnerabilidades antes de que sean detectadas y corregidas. Zombie: Computadora infectada con malware que es controlada de manera remota por un atacante sin el conocimiento del usuario. Los zombies se utilizan comúnmente en botnets para realizar ataques de denegación de servicio (DDoS). 4. Conceptos de seguridad de la información 4.1 La Triada de la CIA Para definir la seguridad de la información, se ha vuelto común utilizar la Confidencialidad, la Integridad y la Disponibilidad, también conocidas como la tríada CIA. El propósito de estos términos es describir la seguridad utilizando palabras relevantes y significativas que hagan la seguridad más comprensible para la administración y los usuarios y definan su propósito. - La confidencialidad se relaciona con permitir el acceso autorizado a la información y, al mismo tiempo, proteger la información de una divulgación indebida. - La integridad es la propiedad de la información mediante la cual se registra, usa y mantiene de manera que se asegure su integridad, precisión, consistencia interna y utilidad para un propósito declarado. - Disponibilidad significa que los sistemas y los datos son accesibles en el momento en que los usuarios los necesitan. 4.2 Análisis de la CIA La confidencialidad2 es un equilibrio difícil de lograr cuando muchos usuarios del sistema son invitados o clientes, y no se sabe si están accediendo al sistema desde una máquina comprometida o una aplicación móvil vulnerable. Por lo tanto, la obligación del profesional de seguridad es regular el acceso: proteger los datos que necesitan protección y, al mismo tiempo, permitir el acceso a individuos autorizados. 2 El Instituto Nacional de Estándares y Tecnología (NIST), en su publicación especial 800-66, la define como la característica de los datos o la información cuando no se pone a disposición o no se divulga a personas o procesos no autorizados. La Información Personal Identificable3 (PII, por sus siglas en inglés) es un término relacionado con el área de la confidencialidad. Se refiere a cualquier dato sobre un individuo que podría ser utilizado para identificarlo. Otros términos relacionados con la confidencialidad son la Información de Salud Protegida (PHI, por sus siglas en inglés), que es información sobre el estado de salud de una persona, e información clasificada o sensible, que incluye secretos comerciales, investigación, planes de negocio y propiedad intelectual. Otra definición útil es la sensibilidad4, que indica como el propietario de la información asigna una medida a la misma en función de su importancia, o el propósito de denotar su necesidad de protección. La información sensible es aquella que, si se divulga de manera inapropiada (confidencialidad) o se modifica (integridad), podría dañar a una organización o individuo. En muchos casos, la sensibilidad está relacionada con el daño a partes interesadas externas; es decir, personas u organizaciones que pueden no ser parte de la organización que procesa o usa la información. La integridad5 mide el grado en el que algo es completo, internamente consistente y correcto. El concepto de integridad se aplica a: - Información o datos. - Sistemas y procesos para operaciones empresariales. - Organizaciones. - Personas y sus acciones. La integridad de los datos6 es la garantía de que los datos no han sido alterados de manera no autorizada. Esto requiere la protección de los datos en los sistemas y durante su procesamiento para asegurar que están libres de modificaciones indebidas, errores o pérdida de información y que se registren, 3 Cualquier información sobre un individuo, incluida la que pueda ser utilizada para distinguir o rastrear la identidad de una persona (nombre, fecha y lugar de nacimiento, o registros biométricos, y cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral”. 4 Medida de la importancia asignada a la información por su propietario, con el fin de denotar su necesidad de protección. Fuente: NIST SP 800-60 Vol 1 Rev 1 5 La propiedad de la información mediante la cual se registra, usa y mantiene de una manera que asegura su integridad, precisión, consistencia interna y utilidad para un propósito declarado. 6 La propiedad de que los datos no han sido alterados de manera no autorizada. La integridad de los datos cubre los datos almacenados, durante el procesamiento y en tránsito. Fuente: NIST SP 800-27 Rev A utilicen y mantengan de una manera que asegure su completitud. La integridad de los datos cubre los datos en almacenamiento, durante el procesamiento y mientras están en tránsito. La información debe ser precisa, internamente consistente y útil para un propósito declarado. La consistencia interna de la información asegura que la información es correcta en todos los sistemas relacionados, de modo que se muestra y se almacena de la misma manera en todos los sistemas. La consistencia, como parte de la integridad de los datos, requiere que todas las instancias de los datos sean idénticas en forma, contenido y significado. La integridad del sistema7 se refiere al mantenimiento de una configuración conocida como buena y la función operativa esperada a medida que el sistema procesa la información. Asegurar la integridad comienza con la conciencia del estado8, que es la condición actual del sistema. Específicamente, esta conciencia se refiere a la capacidad de documentar y entender el estado de los datos o de un sistema en un momento determinado, creando una línea de base9. Por ejemplo, una línea de base puede referirse al estado actual de la información, ya sea que esté protegida. Entonces, para preservar ese estado, la información siempre debe continuar protegida a través de una transacción. Avanzando desde esa línea base, la integridad de los datos o del sistema siempre puede ser determinada comparando la línea base con el estado actual. Si ambos coinciden, entonces la integridad de los datos o del sistema está intacta; si no coinciden, entonces la integridad de los datos o del sistema ha sido comprometida. La integridad es un factor primario en la fiabilidad de la información y los sistemas. La necesidad de salvaguardar la integridad de la información y del sistema puede estar dictada por leyes y regulaciones. A menudo, está dictada por las necesidades de la organización para acceder y utilizar información confiable y precisa. 7 La cualidad que tiene un sistema cuando realiza la función para la que fue diseñado sin impedimentos, libre de manipulación no autorizada del sistema, ya sea intencional o accidental. Fuente: NIST SP 800-27 Rev. A 8 La condición en la que se encuentra una entidad en un momento determinado. 9 El nivel más bajo documentado de configuración de seguridad permitido por un estándar u organización. La disponibilidad10 puede definirse como, acceso oportuno y confiable a la información y la capacidad de utilizarla, y para usuarios autorizados, acceso oportuno y confiable a datos y servicios de información. El concepto central de la disponibilidad es que los datos son accesibles para los usuarios autorizados cuándo y dónde se necesitan y en la forma y formato requeridos. Esto no significa que los datos o sistemas estén disponibles el 100% del tiempo. En cambio, los sistemas y datos cumplen con los requisitos del negocio para un acceso oportuno y confiable. Algunos sistemas y datos son mucho más críticos que otros, por lo que el profesional de seguridad debe asegurar que se proporcionen los niveles apropiados de disponibilidad. Esto requiere una consulta con el negocio involucrado para asegurar que los sistemas críticos sean identificados y estén disponibles. La disponibilidad a menudo se asocia con el término criticidad11, porque representa la importancia que una organización otorga a los datos o a un sistema de información para realizar sus operaciones o lograr su misión. 4.3 Autenticación Cuando los usuarios han declarado su identidad, es necesario validar que son los legítimos propietarios de esa identidad. Este proceso de verificar o comprobar la identificación del usuario se conoce como autenticación12. En pocas palabras, la autenticación es un proceso para probar la identidad del solicitante. Hay tres métodos comunes de autenticación: - Algo que sabes: Contraseñas o frases de paso. - Algo que tienes: Tokens13, tarjetas de memoria, tarjetas inteligentes. 10 Garantizar el acceso y uso oportuno y confiable de la información por parte de los usuarios autorizados. 11 Medida del grado en que una organización depende de la información o del sistema de información para el éxito de una misión o de una función empresarial. NIST SP 800-60 vol. 1, rev. 1 12 Proceso de control de acceso que valida que el sistema conoce la identidad reclamada por un usuario o entidad, comparando uno (factor único o SFA) o más (autenticación de múltiples factores o MFA) factores de identificación. 13 Objeto físico que un usuario posee y controla y que se utiliza para autenticar la identidad del usuario. Fuente: NISTIR 7711 - Algo que eres: Biometría14, características medibles. 4.3.1 Métodos de Autenticación Existen dos tipos de autenticación. Utilizar solo uno de los métodos de autenticación mencionados anteriormente se conoce como autenticación de un solo factor15 (SFA, por sus siglas en inglés). Otorgar acceso a los usuarios solo después de demostrar o exhibir con éxito dos o más de estos métodos se conoce como autenticación de múltiples factores16 (MFA, por sus siglas en inglés). La mejor práctica común es implementar al menos dos de las tres técnicas comunes para la autenticación: - Basada en conocimiento. - Basada en token. - Basada en características. La autenticación basada en conocimiento utiliza una frase de acceso o código secreto para diferenciar entre un usuario autorizado y uno no autorizado. Si has seleccionado un número de identificación personal (PIN), creado una contraseña o algún otro valor secreto que solo tú conoces, entonces has experimentado la autenticación basada en conocimiento. El problema con el uso exclusivo de este tipo de autenticación es que a menudo es vulnerable a una variedad de ataques. Por ejemplo, la mesa de ayuda podría recibir una llamada para restablecer la contraseña de un usuario. El desafío es asegurar que la contraseña se restablezca solo para el usuario correcto y no para alguien que pretenda ser ese usuario. Para una mejor seguridad, se requeriría una segunda o tercera forma de autenticación basada en un token o característica antes de restablecer la contraseña. El uso combinado de un ID de usuario y una contraseña consiste en 14 Características biológicas de un individuo, como la huella dactilar, la geometría de la mano, la voz o los patrones del iris 15 Uso de uno solo de los tres factores disponibles (algo que sabes, algo que tienes, algo que eres) para llevar a cabo el proceso de autenticación que se solicita. 16 Uso de dos o más instancias distintas de los tres factores de autenticación (algo que sabe, algo que tiene, algo que es) para la verificación de identidad. dos cosas que se conocen, y dado que no cumple con el requisito de usar dos o más de los métodos de autenticación mencionados, no se considera MFA. 4.4 No Repudio El no repudio es un término legal y se define como la protección contra un individuo que niega falsamente haber realizado una acción particular. Proporciona la capacidad de determinar si un individuo específico realizó una acción particular, como crear información, aprobar información o enviar o recibir un mensaje. En el mundo actual del comercio electrónico y las transacciones electrónicas, hay oportunidades para la suplantación de identidad o la negación de una acción, como realizar una compra en línea y luego negarla. Es importante que todos los participantes confíen en las transacciones en línea. Las metodologías de no repudio aseguran que las personas sean responsables de las transacciones que realizaron. 4.5 Privacidad La privacidad es el derecho de un individuo a controlar la distribución de información sobre sí mismo. Aunque tanto la seguridad como la privacidad se centran en la protección de datos personales y sensibles, hay una diferencia entre ellas. Con la creciente tasa a la que se recopilan y almacenan digitalmente datos en todas las industrias, el impulso para la legislación de privacidad y el cumplimiento de las políticas existentes crece constantemente. En la economía global de hoy, la legislación sobre privacidad y las regulaciones sobre privacidad y protección de datos pueden impactar a corporaciones e industrias independientemente de su ubicación física. La privacidad global es un tema especialmente crucial al considerar los requisitos sobre la recopilación y seguridad de información personal. Hay varias leyes que definen la privacidad y la protección de datos, que cambian periódicamente. Asegurar que las medidas de seguridad protectoras estén en su lugar no es suficiente para cumplir con las regulaciones de privacidad o para proteger a una empresa de incurrir en multas o sanciones por manejo inadecuado, mal uso o protección inapropiada de información personal o privada. Un ejemplo de una ley con implicaciones multinacionales es el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que se aplica a todas las organizaciones, extranjeras o nacionales, que hacen negocios en la UE o cualquier persona en la UE. Del mismo modo, los estados miembros de la UE promulgan leyes para poner en práctica el GDPR y a veces agregan requisitos más estrictos. Estas leyes, incluidas las leyes nacionales y estatales, dictan que cualquier entidad en cualquier parte del mundo que maneje datos privados de personas en una jurisdicción legal particular debe cumplir con sus requisitos de privacidad. Como miembro del equipo de protección de datos de una organización, no se te requerirá interpretar estas leyes, pero necesitarás entender cómo se aplican a tu organización. 5. Proceso gestión de riesgos Los riesgos y los problemas relacionados con la seguridad representan una preocupación continua para las empresas, así como para el campo de la ciberseguridad, pero con demasiada frecuencia las organizaciones no gestionan proactivamente el riesgo. Evaluar y analizar el riesgo debería ser un ejercicio continuo y exhaustivo en cualquier organización. Como miembro del equipo de seguridad de una organización, trabajarás en la evaluación, análisis, mitigación, remediación y comunicación del riesgo. Existen muchos marcos y modelos utilizados para facilitar el proceso de gestión de riesgos17, y cada organización determina qué constituye el riesgo y el nivel de riesgo que está dispuesta a aceptar. Sin embargo, hay similitudes en los términos, conceptos y habilidades necesarios para medir y gestionar el riesgo. Este módulo te ayuda a empezar presentando terminología fundamental e introduciéndote al proceso de gestión de riesgos. Primero, una definición de riesgo18 es una medida de la medida en que una entidad está amenazada por una circunstancia o evento potencial. A menudo se expresa como una combinación de: - los impactos adversos que surgirían si ocurre la circunstancia o el evento, y - la probabilidad de ocurrencia. El riesgo de seguridad de la información refleja los posibles impactos adversos que resultan de la posibilidad de acceso no autorizado, uso, divulgación, interrupción, modificación o destrucción de información y/o sistemas de información. Esta definición representa que el riesgo está asociado con amenazas, impacto y probabilidad, y también indica que el riesgo de TI es un subconjunto del riesgo empresarial. 17 El proceso de identificación, evaluación y control de amenazas, que incluye todas las fases del contexto del riesgo (o marco), evaluación de riesgos, tratamiento de riesgos y seguimiento de riesgos 18 Un evento posible que puede tener un impacto negativo en la organización. 5.1 Introducción a la Gestión del Riesgo La seguridad de la información y la ciberseguridad están muy involucradas en el proceso de gestión de riesgos. El nivel de ciberseguridad requerido depende del nivel de riesgo que la entidad esté dispuesta a aceptar; es decir, las posibles consecuencias de lo que está ocurriendo en nuestro entorno. Una vez que evaluamos este riesgo, implementamos controles de seguridad para mitigar el riesgo al nivel que consideramos aceptable. Los riesgos pueden provenir de ciberataques, como malware, ingeniería social o ataques de denegación de servicio, o de otras situaciones que afectan nuestro entorno, como incendios, delitos violentos o desastres naturales. Con tecnologías de gestión de riesgos bien diseñadas, podemos reconocer vulnerabilidades y amenazas, y calcular la probabilidad y el impacto potencial de cada amenaza. 5.2 Importancia de la Gestión de Riesgos. ¿Qué queremos decir cuando hablamos de amenazas y vulnerabilidades? Una vulnerabilidad es una brecha o debilidad en la protección de los activos valiosos de una organización, incluida la información. Una amenaza es algo o alguien que tiene como objetivo explotar una vulnerabilidad para obtener acceso no autorizado. Al explotar una vulnerabilidad, la amenaza puede dañar un activo. Por ejemplo, un desastre natural, como una tormenta importante, representa una amenaza para el suministro de energía de servicios públicos, que es vulnerable a las inundaciones. El entorno de TI donde se lleva a cabo la producción es un activo. Si el suministro de energía de servicios públicos se corta debido a una tormenta, es posible que el activo no esté disponible, porque los componentes de TI no funcionarán sin energía. Nuestra tarea es evaluar qué tan probable es que ocurra un evento y tomar medidas apropiadas para mitigar el riesgo. 5.3 Terminología en la Gestión de Riesgos Los profesionales de la seguridad utilizan sus conocimientos y habilidades para examinar la gestión de riesgos operativos, determinar cómo utilizar eficazmente los datos de riesgos, trabajar de manera interfuncional e informar información y hallazgos accionables a las partes interesadas pertinentes. Términos como amenazas, vulnerabilidades y activos son familiares para la mayoría de los profesionales de ciberseguridad. - Un activo19 es algo que necesita protección. - Una vulnerabilidad20 es una brecha o debilidad en esos esfuerzos de protección. - Una amenaza21 es algo o alguien que tiene como objetivo explotar una vulnerabilidad para frustrar los esfuerzos de protección. El riesgo es la intersección de estos términos. 5.4 Amenazas Una amenaza es una persona o cosa que toma medidas para explotar (o hacer uso de) las vulnerabilidades del sistema de una organización objetivo, como parte del logro o la promoción de su meta u objetivos 19 Cualquier cosa de valor que es propiedad de una organización. Los activos incluyen elementos tangibles como sistemas de información y propiedades físicas, así como activos intangibles como propiedad intelectual. 20 Una debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada por una fuente de amenazas. Fuente: NIST SP 800- 30 Rev 1 21 Cualquier circunstancia o evento con el potencial de impactar adversamente las operaciones de una organización (incluyendo la misión, funciones, imagen o reputación), los activos de la organización, individuos, otras organizaciones o la nación a través de un sistema de información mediante acceso no autorizado, destrucción, divulgación, modificación de información y/o denegación de servicio. Fuente: NIST SP 800-30 Rev 1 En el contexto de la ciberseguridad, los actores de amenazas22 típicos incluyen lo siguiente: - Insiders (ya sea deliberadamente, por simple error humano o por incompetencia grave). - Individuos externos o grupos informales (ya sea planificados u oportunísticos, descubriendo vulnerabilidades). - Entidades formales no políticas (como competidores comerciales y ciberdelincuentes). - Entidades formales políticas (como terroristas, Estados nación y hacktivistas). - Recolectores de inteligencia o información (podrían ser cualquiera de los anteriores). - Tecnología (como bots23 de ejecución libre e inteligencia artificial, que podrían formar parte de cualquiera de los anteriores). Vector de amenazas: Los medios por los cuales un actor de amenazas lleva a cabo sus objetivos. 5.5 Vulnerabilidades Una vulnerabilidad24 es una debilidad inherente o fallo en un sistema o componente, que, si se activa o se actúa sobre ella, podría provocar la ocurrencia de un evento de riesgo. Considera el escenario del carterista que se mencionó anteriormente. El equipo de seguridad de una organización se esfuerza por disminuir sus vulnerabilidades. Para hacerlo, observan su organización con los ojos del actor 22 Un individuo o grupo que intenta explotar vulnerabilidades para causar o forzar que ocurra una amenaza. 23 Código malicioso que actúa como un "robot" controlado de forma remota por un atacante, con otras capacidades de troyanos y gusanos. 24 Una debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada por una fuente de amenazas. Fuente: NIST SP 800- 30 Rev 1 de amenazas, preguntándose a sí mismos: "¿Por qué seríamos un objetivo atractivo?" Las respuestas pueden proporcionar pasos a seguir que desalienten a los actores de amenazas, los hagan buscar en otro lugar o simplemente dificulten el lanzamiento exitoso de un ataque. 5.6 Probabilidad Al determinar las vulnerabilidades de una organización, el equipo de seguridad tendrá en cuenta la probabilidad de que una posible vulnerabilidad sea explotada dentro del contexto del entorno de amenazas de la organización. La probabilidad de ocurrencia es un factor ponderado basado en un análisis subjetivo de la probabilidad de que una amenaza dada o un conjunto de amenazas sea capaz de explotar una vulnerabilidad dada o un conjunto de vulnerabilidades. Finalmente, el equipo de seguridad considerará los resultados probables si se materializa una amenaza y se produce un evento. El impacto25 es la magnitud del daño que se espera que resulte de las consecuencias de la divulgación no autorizada de información, la modificación no autorizada de información, la destrucción no autorizada de información o la pérdida de información o la disponibilidad del sistema de información. 5.7 Identificación del Riesgo En el mundo cibernético, identificar los riesgos no es una actividad de una sola vez. Es un proceso recurrente de identificar diferentes posibles riesgos, caracterizarlos y luego estimar su potencial para interrumpir la organización. 25 La magnitud del daño que podría causar la explotación de una vulnerabilidad por parte de una amenaza. Implica analizar tu empresa única y analizar su situación única. Los profesionales de la seguridad conocen los planes estratégicos, tácticos y operativos de su organización. Aspectos clave para recordar sobre la identificación de riesgos: - Identifica el riesgo para comunicarlo claramente. - Los empleados de todos los niveles de la organización son responsables de identificar el riesgo. - Identifica el riesgo para protegerte contra él. Como profesional de la seguridad, es probable que asistas en la evaluación de riesgos a nivel de sistema, centrándote en procesos, controles, monitoreo o actividades de respuesta y recuperación de incidentes. Si estás trabajando con una organización más pequeña o que carece de algún tipo de plan y programa de gestión y mitigación de riesgos, es posible que tengas la oportunidad de ayudar a llenar ese vacío de planificación. 5.8 Evaluación de Riesgos La evaluación de riesgos26 se define como el proceso de identificar, estimar y priorizar los riesgos para las operaciones de una organización (incluyendo su misión, funciones, imagen y reputación), activos, individuos, otras organizaciones e incluso la nación. La evaluación de riesgos debería dar como resultado la alineación (o asociación) de cada riesgo identificado como resultado de la operación de un sistema de información con los objetivos, activos o procesos que la organización utiliza, lo que a su vez se alinea o apoya directamente en el logro de los objetivos de la organización. Una actividad común de evaluación de riesgos identifica el riesgo de incendio en un edificio. Si bien hay muchas formas de mitigar ese riesgo, el objetivo 26 El proceso de identificar y analizar riesgos para las operaciones organizacionales (incluyendo la misión, funciones, imagen o reputación), activos organizacionales, individuos y otras organizaciones. El análisis se realiza como parte de la gestión de riesgos, que incorpora análisis de amenazas y vulnerabilidades y considera las mitigaciones proporcionadas por los controles de seguridad planeados o en vigencia. principal de una evaluación de riesgos es estimar y priorizar. Por ejemplo, las alarmas de incendio son la opción de menor costo y pueden alertar al personal para evacuar y reducir el riesgo de lesiones personales, pero no evitarán que el fuego se propague o cause más daño. Los sistemas de rociadores no evitarán un incendio, pero pueden minimizar la cantidad de daño causado. Sin embargo, aunque los rociadores en un centro de datos limitarán la propagación del fuego, es probable que destruyan todos los sistemas y datos en ellos. Un sistema basado en gas puede ser la mejor solución para proteger los sistemas, pero podría ser prohibitivamente costoso. Una evaluación de riesgos puede priorizar estos elementos para que la dirección determine el método de mitigación que mejor se adapte a los activos que se están protegiendo. El resultado del proceso de evaluación de riesgos a menudo se documenta en forma de un informe o presentación que se proporciona a la dirección para su uso en la priorización de los riesgos identificados. Este informe se proporciona a la dirección para su revisión y aprobación. En algunos casos, la dirección puede indicar la necesidad de una evaluación de riesgos más detallada o profunda realizada por recursos internos o externos. 5.9 Tratamiento de Riesgos El tratamiento de riesgos27 se relaciona con tomar decisiones sobre las mejores acciones a tomar con respecto al riesgo identificado y priorizado. Las decisiones tomadas dependen de la actitud de la dirección hacia el riesgo y la disponibilidad, así como el costo de la mitigación del riesgo. Las opciones comúnmente utilizadas para responder al riesgo son: 1. Evitación: "Evitación del riesgo" es la decisión de intentar eliminar completamente el riesgo. Esto podría incluir detener la operación de algunas o todas las actividades de la organización que están expuestas a un riesgo particular. 27 La determinación de la mejor manera de abordar un riesgo identificado. El liderazgo de la organización puede optar por la evitación del riesgo cuando el impacto potencial de un riesgo dado es demasiado alto o si la probabilidad de que se materialice el riesgo es simplemente demasiado grande. 2. Mitigación: "Mitigación del riesgo" es el tipo más común de gestión del riesgo e implica tomar acciones para prevenir o reducir la posibilidad de que ocurra un evento de riesgo o su impacto. La mitigación puede involucrar medidas de remediación o controles, como controles de seguridad, establecimiento de políticas, procedimientos y estándares para minimizar el riesgo adverso. El riesgo no siempre puede ser mitigado, pero siempre deben estar en su lugar medidas de mitigación, como medidas de seguridad. 3. Aceptación "Aceptar el riesgo" implica no tomar ninguna medida para reducir la probabilidad de que ocurra un riesgo. La dirección puede optar por llevar a cabo la función comercial que está asociada al riesgo sin tomar ninguna medida adicional por parte de la organización, ya sea porque el impacto o la probabilidad de ocurrencia son insignificantes o porque el beneficio es más que suficiente para compensar ese riesgo. 4. Transferencia: "Transferencia de riesgos" es la práctica de transferir el riesgo a otra parte que aceptará el impacto financiero del daño resultante de la realización de un riesgo a cambio de un pago. Normalmente, esto se refiere a una póliza de seguro. 5.10 Proceso de Gestión de Riesgos Como mencionamos anteriormente, un activo es algo que necesitamos proteger. Puede ser información o incluso un equipo físico real, como un rack en la sala de servidores o una computadora, tableta o incluso un teléfono. Una vulnerabilidad es una debilidad en el sistema. Puede deberse a la falta de conocimiento o posiblemente a software desactualizado. Por ejemplo, tal vez no tenemos un sistema operativo actual o nuestra capacitación en concienciación es deficiente. Una amenaza es algo o alguien que podría causar daño una vez que se den cuenta de que tenemos una debilidad. Por ejemplo, si tenemos una puerta trasera abierta, ya sea lógicamente en nuestro sitio web o incluso físicamente en la oficina trasera, alguien puede explotar esa debilidad y aprovechar esa brecha en nuestras defensas para acceder a la información. La probabilidad de que esto suceda depende del entorno general. En un entorno extremadamente seguro, como un centro de datos o un banco, la probabilidad de que alguien entre y robe el banco es muy baja. Ya sea que estén buscando acceso a través de un navegador web o físicamente en el banco real, su probabilidad de éxito no es alta debido a que la seguridad es muy fuerte. En otras situaciones, donde tenemos menos niveles de seguridad, la probabilidad de que el entorno se vea comprometido es mucho mayor. En nuestras cuentas diarias, a menudo solo tenemos un nombre de usuario y una contraseña, y eso es todo en términos de nuestras defensas. Cualquier persona que obtenga ese nombre de usuario y contraseña puede obtener acceso; por lo tanto, la probabilidad de que este entorno pueda ser comprometido es muy alta. Como primer paso en el proceso de gestión de riesgos, las organizaciones deben determinar cuánto riesgo están dispuestas a asumir. Esto se llama apetito de riesgo o tolerancia al riesgo. Por ejemplo, si eres un gran fanático del fútbol o de un programa de televisión en particular, tendrás poca tolerancia a tener un corte de energía durante un gran juego o tu programa favorito. También necesitas tener energía cuando intentas acceder a documentos o sitios importantes para tu negocio, por lo que tu apetito de riesgo depende de lo importante que sea ese activo. Si tus datos son extremadamente sensibles, naturalmente serás muy reacio a cualquier riesgo de violación. Para mitigar el riesgo, una opción es contratar a otra empresa con experiencia para ayudarte a mantener la seguridad de tu entorno. Esto ayudará a reducir el riesgo. También considerarías implementar algunos controles de seguridad, que exploraremos en breve. Si no tenemos la competencia o los medios para proteger información sensible, a veces debemos evitar el riesgo. Esto significa apartarnos de una situación que puede resultar en problemas y abstenernos de iniciar actividades riesgosas hasta que alcancemos un cierto nivel de comodidad con nuestra seguridad. También podemos compartir o transferir el riesgo mediante la obtención de un seguro de ciberseguridad, de modo que la compañía de seguros asuma el riesgo. Si bien es casi imposible eliminar todo el riesgo, una vez que hemos hecho lo suficiente para reducir o transferir el riesgo y nos sentimos cómodos con la situación, entonces podemos aceptar el nivel de riesgo que queda. 6. Prioridades del Riesgo Cuando se han identificado los riesgos, es el momento de priorizar y analizar los riesgos principales a través del análisis de riesgos cualitativos28 y/o el análisis de riesgos cuantitativos29. Esto es necesario para determinar la causa raíz y reducir los riesgos aparentes y los riesgos centrales. Los profesionales de la seguridad trabajan con sus equipos para realizar análisis tanto cualitativos como cuantitativos. Comprender la misión general de la organización y las funciones que respaldan la misión ayuda a ubicar los riesgos en contexto, determinar las causas fundamentales y priorizar la evaluación y el análisis de estos elementos. En la mayoría de los casos, la gerencia proporcionará instrucciones para usar 28 Un método de análisis de riesgos que se basa en la asignación de un descriptor como bajo, medio o alto. Fuente: NISTIR 8286 29 Un método de análisis de riesgos en el que se asignan valores numéricos tanto al impacto como a la probabilidad, basados en probabilidades estadísticas y valoración monetaria de pérdida o ganancia. Fuente: NISTIR 8286 los hallazgos de la evaluación de riesgos para determinar un conjunto priorizado de acciones de respuesta al riesgo. Un método eficaz para priorizar los riesgos es utilizar una matriz de riesgos, que ayuda a identificar la prioridad como la intersección entre la probabilidad de ocurrencia y el impacto. También proporciona al equipo un lenguaje común que se puede utilizar con la dirección al determinar las prioridades finales. Por ejemplo, una baja probabilidad y un bajo impacto pueden dar como resultado una baja prioridad, mientras que un incidente con una alta probabilidad y un alto impacto dará como resultado una alta prioridad. La asignación de prioridad puede estar relacionada con las prioridades comerciales, el costo de mitigar un riesgo o el potencial de pérdida si ocurre un incidente. 6.1 Toma de decisiones basada en prioridades de riesgo Al tomar decisiones basadas en prioridades de riesgo, las organizaciones deben evaluar la probabilidad y el impacto del riesgo, así como también su tolerancia a diferentes tipos de riesgo. Una empresa en Islandia está más preocupada por el riesgo de erupciones volcánicas que una empresa en España, pero la empresa de España, quizás, tendrá que planificar para las lluvias torrenciales. En esos casos, determinar la tolerancia al riesgo depende de la gerencia ejecutiva y la junta directiva. Si una empresa elige ignorar o aceptar el riesgo, exponiendo a los trabajadores al asbesto, por ejemplo, coloca a la empresa en una posición de enorme responsabilidad. 6.2 Tolerancia al Riesgo La percepción que la dirección tiene hacia el riesgo a menudo se asemeja al apetito de la entidad por el riesgo. ¿Cuánto riesgo están dispuestos a asumir? ¿La dirección acoge el riesgo o prefiere evitarlo? El nivel de tolerancia al riesgo30 varía entre organizaciones e incluso internamente: distintos departamentos pueden tener diferentes actitudes hacia lo que se considera un riesgo aceptable o inaceptable. Comprender la actitud de la organización y de la alta dirección hacia el riesgo suele ser el punto de partida para conseguir que la dirección tome medidas con respecto a los riesgos. La alta dirección y/o el Consejo de Directores determinan cuál es un nivel aceptable de riesgo para la organización. Los profesionales de la seguridad se esfuerzan por mantener los niveles de riesgo dentro del límite de tolerancia al riesgo de la dirección. A menudo, la tolerancia al riesgo está dictada por la ubicación geográfica. Por ejemplo, las empresas en Islandia planifican para los riesgos que los volcanes 30 El nivel de riesgo que una entidad está dispuesta a asumir para lograr un resultado deseado potencial. Fuente: NIST SP 800-32. Tolerancia al riesgo, apetito de riesgo y riesgo aceptable son términos que se utilizan de manera sinónima con la tolerancia al riesgo. cercanos imponen a su negocio. Las empresas que están fuera del camino proyectado de un flujo de lava estarán en menor riesgo que aquellas directamente en el camino del flujo. De manera similar, la probabilidad de un corte de energía que afecte al centro de datos es una amenaza real en todas las áreas del mundo. En áreas donde las tormentas son comunes, los cortes de energía pueden ocurrir más de una vez al mes, mientras que otras áreas pueden experimentar uno o dos cortes de energía anuales. Calcular el tiempo de inactividad que probablemente ocurrirá con diferentes duraciones de inactividad ayudará a definir la tolerancia al riesgo de una empresa. Si una empresa tiene una baja tolerancia al riesgo de tiempo de inactividad, es más probable que invierta en un generador para alimentar sistemas críticos. Una empresa con una tolerancia aún menor al tiempo de inactividad invertirá en múltiples generadores con múltiples fuentes de combustible para proporcionar un mayor nivel de aseguramiento de que la energía no fallará. 7. Controles de seguridad Los controles de seguridad31 pertenecen a los mecanismos físicos, técnicos y administrativos que actúan como salvaguardas o contramedidas prescritas para un sistema de información para proteger la confidencialidad, integridad y disponibilidad del sistema y su información. La implementación de controles debería reducir el riesgo, con suerte a un nivel aceptable. - Controles físicos32: dispositivos físicos de hardware, como un lector de credenciales, características arquitectónicas de edificios e instalaciones que abordan las necesidades de seguridad basadas en procesos. 31 Los controles de gestión, operativos y técnicos (es decir, salvaguardias o contramedidas) prescritos para un sistema de información para proteger la confidencialidad, integridad y disponibilidad del sistema y su información. Fuente: FIPS PUB 199 32 Controles implementados a través de un mecanismo tangible. Ejemplos incluyen paredes, cercas, guardias, cerraduras, etc. En las organizaciones modernas, muchos sistemas de control físico están vinculados a sistemas técnicos/lógicos, como lectores de tarjetas conectados a cerraduras de puertas. - Controles técnicos33 (también llamados controles lógicos): controles de seguridad que los sistemas informáticos y las redes implementan directamente. - Controles administrativos34 (también conocidos como controles gerenciales): directivas, lineamientos o avisos dirigidos a las personas dentro de la organización. 7.1 ¿Qué son los Controles de Seguridad? Controles Físicos Los controles físicos abordan las necesidades de seguridad basadas en procesos mediante el uso de dispositivos de hardware físicos, como lectores de tarjetas, características arquitectónicas de edificios e instalaciones, y acciones de seguridad específicas a ser realizadas por personas. Típicamente proporcionan formas de controlar, dirigir o prevenir el movimiento de personas y equipos a lo largo de una ubicación física específica, como una suite de oficinas, fábrica u otra instalación. Los controles físicos también proporcionan protección y control sobre la entrada a terrenos circundantes a los edificios, estacionamientos u otras áreas que están bajo el control de la organización. En la mayoría de las situaciones, los controles físicos están respaldados por controles técnicos como medio para incorporarlos en un sistema de seguridad general. Por ejemplo, los visitantes e invitados que acceden a un lugar de trabajo, a menudo deben ingresar a la instalación a través de una entrada y salida designadas, donde pueden ser identificados, evaluado el propósito de su visita, 33 Controles de seguridad (es decir, salvaguardias o contramedidas) para un sistema de información que son principalmente implementados y ejecutados por el sistema de información a través de mecanismos contenidos en los componentes de hardware, software o firmware del sistema. 34 Controles implementados a través de políticas y procedimientos. Ejemplos incluyen procesos de control de acceso y requerir que múltiples personas realicen una operación específica. Los controles administrativos en entornos modernos a menudo se aplican en conjunto con controles físicos y/o técnicos, como una política de concesión de acceso para nuevos usuarios que requiere inicio de sesión y aprobación del gerente de contratación. y luego se les permite o niega la entrada. Los empleados entrarían, quizás a través de otras entradas, utilizando insignias o tokens emitidos por la empresa para afirmar su identidad y obtener acceso. Estos requieren controles técnicos para integrar los lectores de tarjetas o tokens, los mecanismos de liberación de puertas y los sistemas de gestión de identidad y control de acceso en un sistema de seguridad más integrado. Controles Técnicos Los controles técnicos (también llamados controles lógicos) son controles de seguridad que los sistemas informáticos y redes implementan directamente. Estos controles pueden proporcionar protección automatizada contra el acceso no autorizado o el mal uso, facilitar la detección de violaciones de seguridad y apoyar los requisitos de seguridad para aplicaciones y datos. Los controles técnicos pueden ser configuraciones o parámetros almacenados como datos, gestionados a través de una interfaz gráfica de usuario (GUI) de software, o pueden ser configuraciones de hardware realizadas con interruptores, puentes de conexión u otros medios. Sin embargo, la implementación de controles técnicos siempre requiere consideraciones operativas significativas y debe ser consistente con la gestión de la seguridad dentro de la organización. Muchos de estos serán examinados más a fondo a medida que los miremos en secciones posteriores en este capítulo y en capítulos subsiguientes. Controles Administrativos Los controles administrativos (también conocidos como controles de gestión) son directrices, pautas o asesoramientos dirigidos a las personas dentro de la organización. Proporcionan marcos, restricciones y estándares para el comportamiento humano, y deben cubrir todo el alcance de las actividades de la organización y sus interacciones con partes externas y partes interesadas. Es vitalmente importante darse cuenta de que los controles administrativos pueden y deben ser herramientas poderosas y efectivas para lograr la seguridad de la información. Incluso las políticas más simples de concienciación sobre seguridad pueden ser un control efectivo, si puedes ayudar a la organización a implementarlas completamente a través de entrenamiento sistemático y práctica. Muchas organizaciones están mejorando su postura general de seguridad integrando sus controles administrativos en las actividades a nivel de tarea y en los procesos de decisión operativa que su fuerza laboral utiliza a lo largo del día. Esto se puede hacer proporcionándolos como recursos de referencia y asesoramiento en contexto, o vinculándolos directamente con actividades de capacitación. Estas y otras técnicas llevan las políticas a un nivel más neutral y alejadas de la toma de decisiones de solo los ejecutivos superiores. También las hace inmediatas, útiles y operativas a diario y por tarea.
