Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad PDF

Summary

Este documento describe diferentes temas relacionados con la ciberseguridad y el desarrollo de planes de prevención y concienciación en el ámbito de la seguridad informática. Aborda los conceptos de recuperación de datos, configuraciones seguras de red y defensa de las fronteras de la red. El documento también cubre la prevención de fugas de datos y el control de accesos.

Full Transcript

# Tema 1. Desarrollo de planes de prevención y concienciación en ciberseguridad

## Control 10: Capacidad de recuperación de datos

Comprende los procesos, herramientas y metodología, de demostrado funcionamiento, necesarios para la realización de copias de seguridad y recuperación de la información crítica, en el momento oportuno.

Este control es importante porque cuando los atacantes comprometen máquinas, a menudo realizan cambios significativos en las configuraciones y el software. En ocasiones, los atacantes también realizan alteraciones sutiles de los datos almacenados en máquinas comprometidas, lo que puede poner en peligro la eficacia de la organización con información contaminada. Cuando se descubre a los atacantes, puede ser extremadamente difícil para las organizaciones sin una capacidad confiable de recuperación de datos eliminar todos los aspectos de la presencia del atacante en la máquina.

## Control 11: Configuraciones seguras para los Dispositivos de red, firewalls, routers y switches

Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, prevención y corrección de las debilidades y defectos en las configuraciones de seguridad en los dispositivos de la red, como cortafuegos, routers y switches, basándose en los procesos de control de configuración y control de cambios.

Este control es importante porque las configuraciones predeterminadas para dispositivos de infraestructura de red están orientadas a facilitar el despliegue y la facilidad de uso, no a la seguridad. Servicios y puertos abiertos, cuentas o contraseñas predeterminadas (incluidas cuentas de servicio), soporte para protocolos más antiguos (vulnerables), preinstalación de software innecesario: todos pueden ser explotables en su estado predeterminado. La gestión de las configuraciones seguras para dispositivos de red no es un evento único, sino que es un proceso que implica reevaluar regularmente no solo los elementos de configuración sino también los flujos de tráfico permitidos.

## Control 12: Defensa de los límites de la red

Comprende los procesos y herramientas necesarias para detectar, prevenir y corregir el flujo de la información entre redes de diferente nivel de clasificación, desde el enfoque de la seguridad de los datos. Para controlar el flujo del tráfico a través de fronteras de la red y buscar ataques y evidencias de máquinas comprometidas, se debe disponer de defensas en varias capas. Estos límites deben constar de cortafuegos, proxies, zona desmilitarizada (DMZ) y sistemas IDS/IPS de red, aunque también en los dispositivos móviles. Se deben evaluar estos sensores con escáneres de vulnerabilidad con regularidad.

Cabe señalar que las líneas divisorias entre las redes internas y externas están disminuyendo como resultado de una mayor interconectividad dentro y entre las organizaciones, así como del rápido aumento en el despliegue de las tecnologías inalámbricas. Estas líneas difusas a veces permiten a los atacantes obtener acceso dentro de las redes sin pasar por los sistemas de borde. Sin embargo, incluso con estos límites difusos, las implementaciones efectivas de seguridad aún dependen de defensas perimetrales cuidadosamente configuradas que separan las redes con diferentes niveles de amenaza, conjuntos de usuarios, datos y niveles de control.

## Control 13: Prevención de fuga de datos (Data Leak Prevention)

Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, prevención y correcta transmisión de datos y su almacenamiento, en función de su contenido y la clasificación asociada.

Este control es importante a porque medida que las organizaciones continúan su avance hacia la computación en la nube y el acceso móvil, es importante que se tome la precaución adecuada para limitar e informar sobre la filtración de datos al tiempo que se mitigan los efectos del compromiso de los datos.

## Control 14: Acceso controlado, basado en la necesidad de conocer (need to know)

Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, prevención y acceso seguro a la información de acuerdo con la determinación formal de la necesidad y el derecho de acceso, basándose en una clasificación aprobada, de las personas, máquinas y aplicaciones.

Es importante que una organización comprenda cuál es su información sensible, dónde reside y quién necesita acceder a ella. Para derivar niveles de sensibilidad, las organizaciones necesitan armar una lista de los tipos clave de datos y la importancia general para la organización. Este análisis se usaría para crear un esquema general de clasificación de datos para la organización. Las organizaciones deben definir etiquetas, tales como por ejemplo "Sensible", "Confidencial para el negocio" y "Pública", y clasificar sus datos según esas etiquetas. Una vez que se ha identificado la información privada, se puede subdividir en función del impacto que tendría para la organización si se viera comprometida.

La siguiente figura muestra el diagrama de este control.

## Control 15: Control de dispositivos inalámbricos.

Comprende los procesos y herramientas necesarias para realizar el seguimiento, control y monitorización de las condiciones de seguridad de las LAN inalámbricas.

Las organizaciones eficaces ejecutan herramientas comerciales de escaneo, detección y descubrimiento inalámbrico, así como sistemas de detección de intrusiones inalámbricas comerciales. Además, el equipo de seguridad debe capturar periódicamente el tráfico inalámbrico desde los bordes de una instalación y utilizar herramientas de análisis gratuitas y comerciales para determinar si el tráfico inalámbrico se transmitió utilizando protocolos o cifrado más débiles que los mandatos de la organización. Cuando se identifican dispositivos con una configuración de seguridad inalámbrica débil, deben encontrarse dentro del inventario de activos de la organización y re-configurarse de forma más segura o denegar el acceso a la red de la organización.

## Control 16: Monitorización y control de cuentas de usuarios.

Comprende los procesos y herramientas necesarias para realizar el seguimiento, control, prevención y correcto uso de las cuentas del sistema y aplicación. Las organizaciones deberían disponer de sistemas capaces de listar cuentas usuario inactivas, así como de crearlas cuando se tiene un nuevo usuario en el sistema.

Este control es importante porque los atacantes frecuentemente descubren y explotan cuentas de usuarios legítimas pero inactivas para suplantar a usuarios legítimos, lo que dificulta el descubrimiento del comportamiento de los atacantes para el personal de seguridad. Las cuentas de contratistas y empleados que ya no trabajan para la organización y las cuentas que habían sido configuradas para las pruebas del Equipo Rojo (pero que luego no se eliminan) a menudo se han utilizado de forma incorrecta. Además, algunas personas internas o exempleados malintencionados han accedido a cuentas que han sido dejadas en un sistema mucho después de la expiración del contrato, manteniendo su acceso al sistema informático de una organización y datos confidenciales para fines no autorizados y en ocasiones maliciosos.

## Controles organizacionales (procesos y personas)

### Control 17: Formación de seguridad

Comprende los procesos y herramientas necesarias para asegurar que una organización dispone de técnicos de seguridad con las habilidades y formación adecuadas, incluyendo un plan integrado de formación y evaluación de estos.

Este control es importante porque parece que la ciberseguridad es principalmente un desafío técnico, pero las acciones de las personas también juegan un papel crítico en el éxito o el fracaso de una empresa. Las personas cumplen funciones importantes en cada etapa del diseño, implementación, operación, uso y supervisión del sistema.

### Control 18: Seguridad de las aplicaciones software.

Comprende los procesos y herramientas necesarias para detectar, prevenir y corregir los defectos de seguridad en el desarrollo y adquisición de aplicaciones software. Un elemento importante del ciberespacio lo constituye el software o las aplicaciones que proporcionan los servicios, utilidades y funcionalidades. Sin embargo, estas aplicaciones presentan vulnerabilidades que pueden ser explotadas por atacantes de diversa índole, desde aficionados hasta organizaciones de cibercrimen o incluso estados en acciones de ciberguerra, utilizándolas como plataformas de ataque para comprometer los sistemas y redes de la organización.

Para evitar la aparición de vulnerabilidades en el software o las aplicaciones, se aplican una serie de técnicas según la fase del ciclo de vida. Podemos destacar las siguientes:

- Análisis de riesgos. Casos de abuso.
- Análisis estático de la seguridad del código fuente empleando herramientas de análisis de código fuente que informan de los defectos de seguridad.
- Análisis dinámico con pruebas de seguridad basadas en el riesgo y un test de penetración (hacking “ético") de la aplicación en tiempo de ejecución.

### Control 19: Capacidad de respuesta a incidentes.

Comprende los procesos y herramientas necesarias para asegurar que una organización tenga un plan correctamente evaluado y con personal con la adecuada formación para poder responder ante eventos adversos o amenazas e incidentes de seguridad.

### Control 20: Pruebas de penetración y ejercicios.

Comprende los procesos y herramientas necesarias para simular ataques contra una red al objeto de validar la seguridad en conjunto de una organización. Los atacantes obtienen acceso a redes y sistemas a través de ingeniería social y explotando las vulnerabilidades del software y hardware. Una prueba de penetración supone imitar las acciones de atacantes para determinar qué clase de acceso puede conseguirse e identificar los riesgos de seguridad.

## 1.5. Plan de formación y concienciación

### Introducción

El creciente uso de las nuevas tecnologías en las organizaciones hace indispensable la concienciación sobre los riesgos asociados a las mismas. El factor humano es clave para conseguir un adecuado nivel se seguridad, por tanto es necesario que los empleados conozcan y apliquen buenas prácticas en el uso de todo tipo de dispositivos (de escritorio, portátiles, móviles, pendrives,...) y soluciones tecnológicas (página web, servicios en la nube, redes sociales, correo electrónico,...) para lo cual debemos proporcionarles formación en ciberseguridad adecuada a su puesto ya que de este modo se pueden prevenir la mayoría de los incidentes, evitando que las personas sean el eslabón débil de la cadena. Para alcanzar estos objetivos será necesario el compromiso total por parte de la dirección, que ha de ser consciente que la formación debe ser una actividad continua que ha de repetirse y revisarse periódicamente, para que surta su efecto preventivo de incidentes y esté adaptada a las nuevas tecnologías que inevitablemente iremos utilizando.

La concienciación y la formación en ciberseguridad del personal de la organización y de las diferentes partes interesadas es un factor clave siendo necesario por tanto que estén recogidas en la política de ciberseguridad de la organización. A través de las mismas se conseguirán las capacidades necesarias para llevar a cabo sus actividades y responsabilidades relacionados con la seguridad de la información en consonancia con las políticas, procedimientos de la organización y la normativa vigente.

Todo esto hace necesario la planificación e implantación de un Plan de formación y concienciación en la organización de tal forma que:

- Todos los usuarios estén formados y concienciados
- Los usuarios privilegiados entienden sus funciones y responsabilidades
- Las partes interesadas (proveedores, clientes, socios) entienden los roles y responsabilidades
- Los altos ejecutivos entienden los roles y responsabilidades
- El personal de seguridad física y de la información entiende los roles y responsabilidades
- Todos los usuarios conocen, entienden y cumplen las normas y las medidas de protección en materia de ciberseguridad adoptadas, advirtiéndoles de los riesgos que puede suponer un mal uso de los dispositivos y soluciones tecnológicas a su alcance.

### Características de la formación y concienciación

Las características más importantes de la formación y concienciación del personal de la organización se deben basar en:

- Difusión de la política de seguridad. Las normas de seguridad de la información de la organización deben estar correctamente documentadas y al alcance de todo el personal en todo momento.
- Concretar el plan de formación. Para garantizar el éxito de nuestro programa formativo, debemos seleccionar los aspectos que queremos que sean cubiertos: procedimientos y controles de seguridad básicos; necesidad de conocer y cumplir normas, leyes, contratos y acuerdos; seguridad en el puesto de trabajo, aplicaciones permitidas, uso correcto de los recursos, propiedad intelectual, protección datos personales, etc.; conciencias a los empleados sobre la existencia y peligros de la ingeniería social; responsabilidad personal por acción u omisión y posibles sanciones.
- Programas de formación específicos. Es conveniente analizar si se deben desarrollar programas de formación y concienciación especializados para ciertos perfiles de empleados, tales como técnicos de soporte, administradores de sistemas, etc. Además, sería de gran utilidad elaborar una actividad formativa introductoria para los nuevos empleados.
- Periodicidad de la formación. Se debe establecer una periodicidad en las actividades formativas y de concienciación. De esta manera conseguiremos tener unos contenidos actualizados en materia de ciberseguridad y reforzaremos las debilidades detectadas o los mensajes de mayor importancia.
- Promover una cultura de seguridad de la información. Además de concienciar y formar a nuestros empleados en ciberseguridad, es conveniente exigir a las entidades externas que interactúan con nuestros sistemas de información que sus políticas de ciberseguridad estén alineadas con la nuestra. Intentaremos extender el plan de concienciación a la mayoría de nuestros proveedores y clientes.
- Evaluar el aprendizaje obtenido. Consideraremos la necesidad de realizar evaluaciones entre los empleados para determinar el grado de concienciación y formación que han alcanzado.
- Proceso continuo. Debemos implantar un proceso continuo de mejora que se retroalimente con los resultados obtenidos.

### Plan de formación y concienciación

La constante evolución y crecimiento de los riesgos asociados a las nuevas tecnologías hace necesario disponer de profesionales formadas, que partiendo de una formación académica consigan la especialización a través de formación específica y continuada en el tiempo.

Los planes de formación y concienciación materializados en diferentes programas formativos aseguran que todo el personal, en los diferentes niveles de la organización, entiendan sus responsabilidades respecto a la ciberseguridad de tal forma que utilicen y protejan la información como un activo estratégico de la organización.

Los planes de formación deben estar enfocados al desarrollo de competencia básicas para todo el personal de la organización, así como a específicas para los perfiles concretos de ciberseguridad. En este sentido puede ser una buena aproximación establecer estos planes basados en perfiles de seguridad.

Algunos de los temas formativos que pueden ser considerados de interés en función del perfil puede ser la formación en:

- Políticas y normativa de seguridad
- Procesos y procedimientos de seguridad
- Análisis y gestión de riesgos de seguridad
- Arquitecturas de seguridad
- Desarrollo de capacidades relacionadas con la respuesta a incidentes.
- Hacking
- Desarrollo de capacidades necesarias en un Centro de Operaciones de Ciberseguridad
- Productos y servicios de seguridad
- Desarrollo de software seguro y puesta en explotación
- Revisiones y auditoría de seguridad, tanto de cumplimiento normativo como punto de vista técnico.
- Certificaciones profesionales
- Seguridad en productos y/o servicios en proveedores.

Otro aspecto para considerar en los planes de formación es la necesidad de que nuestro personal posea determinadas certificaciones de seguridad, lo cual adquiere bastante importancia, especialmente cuando esa organización provee servicios a terceros e incluso de cara a determinadas auditorías de seguridad.

La concienciación busca la atención de las personas en aspectos generales de ciberseguridad, informando de amenazas y vulnerabilidades, las técnicas de ingeniería social que utilizan los atacantes, el impacto en las organizaciones, etc., con el objetivo de influir en sus comportamientos para que hagan buen uso de las tecnologías en sus actividades diarias. Los usuarios deben ser conscientes de los tipos más comunes de fraudes, los esquemas de phishing, de las técnicas de engaño que utilizan los atacantes. También informa de las políticas y procedimientos de seguridad a seguir, así como de las responsabilidades en que se incurre en caso de no seguirlos. Todas estas medidas de concienciación se suelen articular a través de campañas de comunicación, eventos específicos, charlas, etc.

La siguiente figura muestra el modelo propuesto por el NIST para el proceso de aprendizaje continua de ciberseguridad en una organización.

### Componentes

A la hora de implantar nuestro plan de concienciación y formación conviene separar ambos, puesto que el público objetivo, los fines perseguidos y las herramientas necesarias son diferentes.

Un plan de formación debería contener:

- Objeto
- Objetivos
- Formación general
- Programas de formación específicos
- Perioricidad de la formación.
- Roles/funciones de seguridad a quién va dirigido
- Requisitos para optar a esa formación
- Recursos necesarios
- Planificación de la formación
- Evaluación del aprendizaje desempeño

### Entorno

Entender el entorno en el que opera la organización es primordial para poder afrontar un adecuado plan. En este sentido hay factores claves que deben ser tenidos en cuenta, tales como:

- Roles y responsabilidades
- Partes interesadas externas
- Cultura existente de ciberseguridad
- Existencia de políticas, normas y regulación afectada
- Los casos de negocio representativos
- Apoyo de la dirección y presupuesto

### Roles y responsabilidades

La gestión de la ciberseguridad en cualquier organización requiere de una organización dedicada con funciones y responsabilidades definidas, sin olvidar el efecto que tienen tanto al usuario interno como el resto de partes interesadas. En este apartado se van a definir los principales roles/funciones, así como sus responsabilidades, se ha tomado como referencia la organización definida en el Esquema Nacional de Seguridad, aunque no pretende ser exhaustiva en la relación de funciones y responsabilidades, debiendo cada organización implantar/adaptar los perfiles de seguridad que necesite. La siguiente tabla muestra estos perfiles:

| Función | Responsabilidad |
|---|---|
| Dirección | Máximo responsable de la seguridad de la información |
| Responsable de la información | Determina los requisitos de seguridad de la información y su alineamiento con los objetivos de la organización |
| Responsable del servicio | Determina a partir de los requisitos anteriores, las especificaciones de seguridad en el servicio y evalúa el impacto negativo de la seguridad en el servicio |
| Responsable de seguridad | Determina las decisiones de seguridad para cumplir los requisitos establecidos. Determina así mismo las características de seguridad de los productos/servicios adquiridos a terceros |
| Responsable protección de datos | Realiza los informes de autoevaluación y auditoría interna de seguridad |
| Administrador de seguridad | Determina los fines y medios de tratamiento de los datos personales |
| Técnicos de seguridad | Implementa, gestiona y mantiene las medias de seguridad de la información y los controles asociados. Establece los procedimientos de seguridad. Supervisa la gestión de incidentes. Implementa, configura las medidas de seguridad en los sistemas y redes. |
| Usuarios de los sistemas | Monitoriza y trata los incidentes de seguridad. Siguen las medias de seguridad establecidas |
| Resto de partes interesadas | Siguen las medidas de seguridad establecidas por la organización con la que se relacionan |

### Fases

A continuación se describen las fases genéricas para poner en marcha un plan de concienciación y formación en ciberseguridad en una organización:

- Diseño. El diseño de este plan debe partir de la misión de la organización y objetivos estratégicos marcados en la política de seguridad, debiendo permitir las necesidades de negocio, alineado con la cultura empresarial y factible con la arquitectura tecnológica desplegada.
- Desarrollo. En esta fase se determinan las "soluciones” que respondan al diseño del plan y permitan reforzar los comportamientos buscados en la concienciación y las habilidades que nuestro personal necesita desarrollar en la parte de formación. En ambos casos, nuestro foco de atención debe estar en que hábitos, herramientas y habilidades deben ser incorporadas en los puestos de trabajo.
- Implementación. En esta fase, una vez que tenemos la solución y la aprobación por parte de la Dirección, es necesario llevarla a cabo. Conviene antes de nada que exista una adecuada comunicación a los empleados y partes interesadas que puedan verse afectados.

### Controles

Es necesario establecer controles adecuadas que nos permitan determinar el cumplimiento de objetivos respecto a la concienciación y formación en ciberseguridad en nuestra organización.

Podemos graduar dichos controles en función de la complejidad y coste asociado para su consecución en:

- Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles. Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en las aplicaciones más comunes. Se previenen ataques mediante la instalación de herramientas de seguridad elementales.
- Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son considerables. Se necesitan programas que requieren configuraciones complejas. Se pueden precisar mecanismos de recuperación ante fallos.

Así mismo podemos categorizar los controles en función de su alcance, a quién aplica, en controles de:

- Procesos (PRO): aplica a la dirección o al personal de gestión.
- Tecnología (TEC): aplica al personal técnico especializado.
- Personas (PER): aplica a todo el personal.

A modo de ejemplo se muestra la siguiente tabla donde se realiza revisión de controles asociados a procesos.

| NIVEL | ALCANCE | CONTROL |
|---|---|---|
| B | PRO | Difusión de la política de seguridad |
| B | PRO | Concretar el plan de formación |
| B | PRO | Programas de formación específicos |
| B | PRO | Periodicidad de la formación |
| B | PRO | Evaluar el aprendizaje obtenido |
| B | PRO | Promover una cultura de seguridad de la información |

Tabla 3. Controles de cumplimiento formación y concienciación de ciberseguridad. Fuente: basado en INCIBE, s. f.