Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad PDF

# Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad ## 1.3. Arquitecturas de referencia a la ciberseguridad ### Arquitecturas de referencia Los retos actuales de la ciberseguridad requieren considerar todos los aspectos que intervienen. No solo se trata de desplegar e implementar medidas técnicas que protejan nuestra infraestructura TIC, es necesario verlo de una forma más amplia. Para esta visión más amplia y global podemos utilizar lo que se conoce como Arquitecturas de Referencia, definidas como los conceptos fundamentales, propiedades de un sistema en el entorno que debe funcionar junto con sus elementos, relaciones entre estos y el entorno y los principios de su diseño y evolución. Para la puesta en práctica de estas arquitecturas existen diferentes marcos de referencia ("framework"), algunos de ellos se verán en este tema. ### Enfoque sistémico y multidimensional Cuando abordamos la ciberseguridad en una organización debemos hacerlo bajo enfoque sistémico y multidimensional que combine aspectos normativos, técnicos, organizativos y de funcionamiento, habilidades del personal y su relación con el entorno, con el objetivo de ser capaces de prevenir, detectar y remediar ataques cibernéticos. En el siguiente esquema se muestran diferentes aspectos que se deben tener en cuenta a la hora de definir, diseñar e implantar una arquitectura de ciberseguridad en una organización. **Figura 8. Aspectos para considerar en una arquitectura de ciberseguridad.** | Aspecto | |:--:| | Perfiles de usuario | | Productos | | Ingeniería | | Procesos | | Organización | | Tecnologías | | Amenazas | | Relación con terceros | | Cadena de suministro | | Formación | | Regulación | | Entorno | | Estrategia | | Diseño de soluciones | | Activos a proteger | | Servicios gestionados/ofrecidos | **Figura 9. Diagrama de abanico. Capacidades de ciberseguridad.** ``` Policy Management Perimeter Security Network Security Endpoint Security Application Security Data Security Operations Prevention | Monitoring & Response ``` Las cinco capas centrales representan la aplicación de la seguridad en una organización, desde la capa más externa que representa la interfaz de nuestra infraestructura con el mundo exterior hasta la más interna donde estamos protegiendo la información. Todo ello complementado con dos áreas relacionados con la operación de la ciberseguridad y con la parte de gobierno, regulatoria y la normativa. ## NIST. Marco de referencia de ciberseguridad El National Institute of Standards and Technology ha definido un marco de referencia para la ciberseguridad para poder abordar de una manera sistémica y ordenada los riesgos de ciberseguridad que se ciernen en las organizaciones y en la sociedad. Este framework contiene tres partes principales: el núcleo o core que describe un conjunto de actividades de ciberseguridad y sus resultados, comunes a cualquier organización; una parte de particularización o profiling, que consiste en adaptar esta parte general a las particularidades de un sector u organización; y la implementación gradual y por capas o implementation tiers. Este marco de referencia permite a las organizaciones, independientemente de su tamaño, sector, riesgos de ciberseguridad, aplicar los principios y las buenas prácticas para mejorar la ciberseguridad y resiliencia de nuestras infraestructuras. En los siguientes apartados se describen los elementos que constituyen el núcleo de este marco de referencia: **Identificación**, **Protección**, **Detección**, **Respuesta** y **Recuperación**. **Figura 10. Funciones básicas de ciberseguridad.** | Función | Identificador único | Función | Categoría | Identificador único | Categoría | |:--:|:--:|:--:|:--:|:--:|:--:| | ID | **ID** | Identify | Asset Management | **ID.AM** | | | | | Business Environment | **ID.BE** | | | | | Governance | **ID.GV** | | | | | Risk Assessment | **ID.RA** | | | | | Risk Management Strategy | **ID.RM** | | PR | **PR** | Protect | Access Control | **PR.AC** | | | | | Awareness and Training | **PR.AT** | | | | | Data Security | **PR.DS** | | | | | Information Protection Processes and Procedures | **PR.IP** | | | | | Maintenance | **PR.MA** | | | | | Protective Technology | **PR.PT** | | DE | **DE** | Detect | Anomalies and Events | **DE.AE** | | | | | Security Continuous Monitoring | **DE.CM** | | | | | Detection Processes | **DE.DP** | | RS | **RS** | Respond | Response Planning | **RS.RP** | | | | | Communications | **RS.CO** | | | | | Analysis | **RS.AN** | | | | | Mitigation | **RS.MI** | | | | | Improvements | **RS.IM** | | RC | **RC** | Recover | Recovery Planning | **RC.RP** | | | | | Improvements | **RC.IM** | | | | | Communications | **RC.CO** | ## Identificar Es necesario desarrollar un entendimiento organizativo para administrar el riesgo de ciberseguridad sobre los sistemas, personas, activos, datos y capacidades de la red. ## Entorno empresarial El entorno empresarial es la misión de la organización, los objetivos, las partes interesadas y las actividades que se entienden y priorizan; Esta información se utiliza para informar las funciones de ciberseguridad, responsabilidades y las decisiones de gestión de riesgos. Esto cubre: - El papel de la organización en la cadena de suministro se identifica y comunica - El lugar de la organización en la infraestructura crítica y su sector industrial se identifica y comunica - Las prioridades para la misión organizativa, los objetivos y las actividades se establecen y comunican - Las dependencias y funciones críticas para la entrega de servicios críticos se establecen - Los requisitos de resiliencia para respaldar la entrega de servicios críticos se establecen ## Gestión de activos La gestión de activos se define como los datos, el personal , los dispositivos, los sistemas y las instalaciones que permitan a la organización lograr fines empresariales que se identifican y gestionan de manera consistente con su importancia relativa a los objetivos empresariales y la estrategia de riesgo. La gestión de activos contempla: - Los dispositivos físicos y los sistemas dentro de la organización se inventariarán - Las plataformas de software y las aplicaciones dentro de la organización son inventariadas - La comunicación organizativa y los flujos de datos se mapean - Los sistemas de información externos están catalogados - Los recursos (por ejemplo, hardware, dispositivos, datos y software) se priorizan en función de su clasificación, criticidad y valor empresarial ## Gobernanza La gobernanza aborda las políticas, los procedimientos y los procesos para administrar y monitorear los requisitos regulatorios, legales, de riesgo, ambientales y operacionales de la organización, y se entiende e informa sobre la gestión del riesgo de ciberseguridad. Esto incluye que: - La política de seguridad de información de la organización se establece - Los roles de seguridad de la información y las responsabilidades se coordinan y alinean con los roles internos y socios externos - Los requisitos legales y reglamentarios en materia de ciberseguridad, incluidas las obligaciones de privacidad se entienden y gestionan - Los procesos de gestión de riesgos y gobernanza abordan los riesgos de ciberseguridad ## Evaluación de riesgos La evaluación de riesgos requiere que la organización comprenda el riesgo de ciberseguridad para las operaciones (incluidas la misión, las funciones, la imagen o la reputación, los activos organizativos y los individuos). Esto requiere que: - Las vulnerabilidades de los activos se identifican y documentan - La información sobre amenazas y vulnerabilidades se recibe de los foros de intercambio de información y otras fuentes externas. - Las amenazas, tanto internas como externas, se identifican y documentan - Las posibles probabilidades e impactos a la organización se identifican - Las amenazas, vulnerabilidades, las probabilidades e impactos se utilizan para determinar el riesgo - Las respuestas a los riesgos se identifican y priorizan ## Estrategia de gestión de riesgos Una estrategia de gestión de riesgos define las prioridades, las restricciones, las tolerancias al riesgo y las asunciones de la organización que se establecen y utilizan para respaldar las decisiones de riesgo operacional. Se espera que: - Los procesos de gestión de riesgos sean establecidos, gestionados y acordados por las partes interesadas - Se determina la tolerancia al riesgo organizacional y se expresa claramente - La determinación de la tolerancia al riesgo de la organización considera su papel en la infraestructura crítica y el análisis de riesgo específico del sector ## Proteger Esta sección aborda la capacidad de limitar o contener el impacto de un posible evento de ciberseguridad. Es necesario desarrollar e implementar salvaguardas apropiadas para garantizar la prestación de servicios críticos. ### Control de acceso El control de acceso espera que el acceso a los activos y a las instalaciones asociadas se limite a usuarios, procesos o dispositivos autorizados, así como a actividades y transacciones autorizadas, tales como: - Las identidades y las credenciales se administran para los dispositivos y los usuarios autorizados - El acceso físico a los activos se gestiona y protege - El acceso remoto se gestiona - Se gestionan los permisos de acceso, incorporando los principios de privilegios mínimos y separación de tareas - La integridad de la red está protegida, incorporando la segregación de red cuando corresponda ### Concienciación y formación La concienciación y la formación esperan que el personal y los colaboradores de la organización dispongan de educación sobre ciberseguridad y estén adecuadamente capacitados para llevar a cabo sus deberes y responsabilidades relacionados con la seguridad de la información en consonancia con políticas, procedimientos y acuerdos. Esto requiere que: - Todos los usuarios son informados y entrenados - Los usuarios privilegiados entienden sus funciones y responsabilidades - Las partes interesadas de terceros (por ejemplo, proveedores, clientes, socios) entienden los roles y responsabilidades - Los altos ejecutivos entienden los roles y responsabilidades - El personal de seguridad física y de la información entiende los roles y responsabilidades ## Seguridad de los datos La seguridad de los datos espera que la información y los registros (datos) se gestionen de forma coherente con la estrategia de riesgo de la organización para proteger la confidencialidad , integridad y disponibilidad de la información. Esto requiere que: - Los datos en reposo están protegidos - Los datos en tránsito están protegidos - Los activos se gestionan formalmente a lo largo de la eliminación y las transferencias - Se mantiene la capacidad adecuada para garantizar la disponibilidad - Se implementan protecciones contra las fugas de datos - Se utilizan mecanismos de comprobación de integridad para verificar el software , el firmware y la integridad de la información - Los entornos de desarrollo y pruebas son independientes del entorno de producción ## Procesos y procedimientos de protección de la información Las políticas de seguridad (que abordan el propósito, el alcance, los roles, las responsabilidades, el compromiso de la dirección y la coordinación entre las entidades organizativas), los procesos y los procedimientos se mantienen y utilizan para gestionar la protección de los sistemas y de los activos de información. Esto requiere que: - Se crea y mantiene una configuración básica de los sistemas de tecnología de la información y/o de control industrial - Se implementa un ciclo de vida de desarrollo para manejar los sistemas - Existen procesos de control de cambios de configuración - Las copias de seguridad de la información se llevan a cabo , mantienen y prueban periódicamente - Las políticas y regulaciones relativas al entorno físico de los activos se cumplen - Los datos se destruyen según la política - Los procesos de protección mejoran continuamente - La efectividad de las tecnologías de protección se comparte con las partes apropiadas - Son definidos planes de respuesta (respuesta a incidentes y continuidad del negocio) y planes de recuperación (recuperación de incidentes y recuperación ante desastres) - Los planes de respuesta y recuperación se prueban - La ciberseguridad está incluida en las prácticas de recursos humanos (p. ej., des aprovisionamiento, control de personal) - Se desarrolla e implementa un plan de gestión de vulnerabilidades ## Mantenimiento El mantenimiento y las reparaciones de los componentes del sistema de información y de los sistemas de control industrial se realizan de acuerdo con las políticas y procedimientos. Esto requiere que: - El mantenimiento y la reparación de los activos organizacionales se realiza y registra de manera oportuna , con herramientas aprobadas y controladas - El mantenimiento remoto de los activos organizacionales se aprueba, registra y realiza de manera que impida el acceso no autorizado ## Tecnología de protección Las soluciones de seguridad técnica se gestionan para garantizar la seguridad y la resiliencia de los sistemas y activos, de conformidad con las políticas y procedimientos. Esto requiere que: - Los registros de auditoría/registro se determinan, documentan, implementan y revisan de acuerdo con la política - Los medios extraíbles están protegidos, y su uso restringido según la política - Se controla el acceso a los sistemas y activos, incorporando el principio de menor funcionalidad - Las comunicaciones y las redes de control están protegidas ## Detectar Esta sección identifica lo que se requiere para el descubrimiento oportuno de eventos de ciberseguridad dentro de la arquitectura de ciberseguridad. Es necesario desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad dentro de la arquitectura de ciberseguridad. ### Anomalías y eventos La actividad anómala se detecta de manera oportuna y se entiende el impacto potencial de los eventos. Esto requiere que: - Se establece y gestiona una línea base de flujos de datos esperados para usuarios y sistemas - Los eventos detectados se analizan para comprender los objetivos y métodos de ataque - Los eventos se agregan y correlacionan desde múltiples fuentes y sensores - El impacto de los eventos se determina - Se establecen los umbrales de alerta de incidentes ## Supervisión continua de la seguridad El sistema de información y los activos se supervisan para identificar los eventos de ciberseguridad y verificar la efectividad de las medidas de protección. Esto requiere que: - La red se supervisa para detectar posibles eventos de ciberseguridad - El entorno físico se supervisa para detectar posibles eventos de ciberseguridad - Se supervisa la actividad de personal para detectar posibles eventos de ciberseguridad - Se detecta código malintencionado - Se detecta el código móvil no autorizado - Se supervisa la actividad de los proveedores de servicios externos para detectar posibles eventos de ciberseguridad - Se realiza monitorización del personal, conexiones, dispositivos y software no autorizados - Se realizan escaneos de vulnerabilidades periódicos ## Procesos de detección Los procesos y procedimientos de detección se mantienen y prueban para garantizar una concienciación oportuna y adecuada ante los eventos anómalos. Esto requiere que: - Los roles y las responsabilidades de detección están bien definidos para garantizar la responsabilidad

Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue