Semana 4gesitondescarga El Apunte Aquí

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 26

Fundamentos de acuerdo con norma ISO 27000

ESCUELA CONSTRUCCIÓN E INGENIERÍA

Director: Marcelo Lucero Yáñez

ELABORACIÓN

Experto disciplinar: Eder Moran

Diseñador instruccional: Belén Astudillo

Editor instruccional: Yazmin Villavicencio

VALIDACIÓN

Experto disciplinar: Ghino Aranda

Jefa de Diseño Instruccional: Alejandra San Juan

EQUIPO DE DESARROLLO

Welearn

AÑO

2023
Tabla de contenidos
Aprendizaje esperado de la semana ....................................................... 4

Introducción............................................................................................. 5

1. Modelo de tratamiento y respuesta de incidentes de seguridad .......... 7

1.1 Inteligencia de ciber amenazas ...................................................... 7

1.2 Contextualización de amenazas ..................................................... 8

1.3 Correlación de amenazas ............................................................. 10

1.3.1. Ejemplo de correlación de amenazas .................................... 10

1.4 Atribución de amenazas ............................................................... 11

1.5 Administración de ciber-riesgos: evaluación, mitigación, plan ...... 12

1.5.1. Diseño seguro ........................................................................ 13

1.5.2. Inteligencia de amenazas ...................................................... 13

1.5.3. Identificación de activos ......................................................... 14

1.5.4. Capacidades de mitigación .................................................... 14

1.5.5. Evaluación de riesgos ............................................................ 14

1.5.6. Mapeo y modelado ................................................................ 15


2. NIST RISK Framework ...................................................................... 16

2.1 Categorización de los sistemas de información ............................ 17

2.2 Selección de los sistemas de control ............................................ 19

2.3 Implementación de los sistemas de control .................................. 20

2.4 Monitoreo ..................................................................................... 21

2.5 Normativa vigente, buenas prácticas ............................................ 22

Cierre .................................................................................................... 24

Referencias ........................................................................................... 25
Aprendizaje esperado de la semana
Aplican framework de modelo de gestión de incidentes basado en NIST
RISK, considerando técnicas de ciber-inteligencia y herramientas de
evaluación, según normativa vigente.

Fuente: Storyset
Introducción
En el presente módulo, veremos un detalle de los conceptos generales
usados en seguridad de la información, partiendo por definiciones que
muchas veces hemos escuchado, pero que no conocemos su contenido
en profundidad, así es como veremos el tema del malware que
comúnmente conocemos como virus y nos daremos cuenta de que existen
diferentes variantes de estos que se encuentran dentro de las amenazas
informáticas.

Dentro de estas también encontramos las amenazas de intrusión, que


corresponden a las actividades realizadas para obtener acceso a los
sistemas, desarrolladas por atacantes que en nuestra vida cotidiana
conocemos como hackers, los cuales, en una primera instancia, buscan
ingresar a los sistemas y una vez dentro intentan escalar privilegio, ya que
por lo general entran con credenciales de usuarios normales para luego
escalar a privilegios de administrador o superusuario.

Las inclemencias de la naturaleza también son parte de las amenazas a


las que se encuentran expuestos los sistemas de información, basta
recordar los incendios en las torres gemelas para darnos cuenta de que
situaciones fortuitas pueden afectar de manera directa nuestros sistemas
con efectos catastróficos en nuestras organizaciones, en este evento en
particular se perdieron empresas completas, ya que muchas de ellas
tenían sus oficinas en una torre y mantenían su sistema de respaldo de la

5
información en la otra torre por lo que perdieron toda la información de la
compañía, la que finalmente desapareció. No solamente el fuego puede
ser una amenaza para nuestros sistemas, sino que también lo son las
inundaciones, terremotos, huracanes, etc.

Por último, no podemos dejar de lado las amenazas relacionadas


directamente con los usuarios, más específicamente con las debilidades
que presentan estos, las que son explotadas por la ingeniería social
aprovechándose de cosas propias del actuar de las personas, como
cuando hay una situación de apremio “todos queremos ayudar” o muchas
veces “no decimos que NO porque nos tildan de malas personas”.

Esta es una de las mejores técnicas para obtener información relacionada


con los sistemas de información.

Una vez que el atacante posee la información de interés puede pasar a la


siguiente etapa del ataque, para lo cual desarrolla actividades propias de
personas que poseen conocimientos técnicos para acceder a los sistemas
y obtener información, modificarla, eliminarla o robarla y los recursos de
los que realmente se dispone o los que se ponen a disposición de los
profesionales para lograrlo.

6
1. Modelo de tratamiento y respuesta
de incidentes de seguridad
A continuación, revisaremos un modelo de gestión de seguridad basado
en las normas de la familia 27000, referido a las etapas del modelo y su
aplicación.

1.1 Inteligencia de ciber amenazas

“Saber mucho no es lo mismo que ser inteligente. La inteligencia no es solo


información, sino también juicio, la manera en que se recoge y maneja la información”.
Carl Sagan

Al principio el término “ciber inteligencia” estaba vinculado al mundo


militar, ya que las primeras agencias o departamentos dedicados a eso
buscaban conseguir información para tomar decisiones importantes para
obtener una mejor respuesta ante las posibles amenazas. Con el tiempo
diversas organizaciones se dieron cuenta que tenían que ir incorporando
estas tecnologías y metodologías para prevenir y proteger sus estructuras
críticas.

7
1.2 Contextualización de amenazas

La mayor amenaza latente siempre han sido los malware que


comúnmente conocemos como virus y nos daremos cuenta de que existen
diferentes variantes de estos. También existen las amenazas de intrusión,
que simplemente corresponden a las actividades realizadas para obtener
acceso a los sistemas, desarrolladas por atacantes que en nuestra vida
cotidiana conocemos como hackers, los cuales, en una primera instancia,
buscan ingresar a los sistemas y una vez dentro intentan escalar
privilegios, ya que por lo general entran con credenciales de usuarios
normales para luego escalar a privilegios de administrador o super
usuario.

Las inclemencias de la naturaleza también son parte de las amenazas a


las que se encuentran expuestos los sistemas de información, basta
recordar los incendios en las torres gemelas para darnos cuenta de que
situaciones fortuitas pueden afectar de manera directa nuestros sistemas
con efectos catastróficos en nuestras organizaciones, en este evento en
particular se perdieron empresas completas, ya que muchas de ellas
tenían sus oficinas en una torre y mantenían su sistema de respaldo de la
información en la otra torre por lo que perdieron toda la información de la
compañía, la que finalmente desapareció. No solamente el fuego puede
ser una amenaza para nuestros sistemas, sino que también lo son las
inundaciones, terremotos, huracanes, etc.

8
Por último, no podemos dejar de lado las amenazas relacionadas
directamente con los usuarios, más específicamente con las debilidades
que presentan estos, las que son explotadas por la ingeniería social
aprovechándose de cosas propias del actuar de las personas, como
cuando hay una situación de apremio “todos queremos ayudar” o muchas
veces “no decimos que NO porque nos tildan de malas personas”. Esta es
una de las mejores técnicas para obtener información relacionada con los
sistemas de información.

Una vez que el atacante posee la información de interés puede pasar a la


siguiente etapa del ataque, para lo cual desarrolla actividades propias de
personas que poseen conocimientos técnicos para acceder a los sistemas
y obtener información, modificarla, eliminarla o robarla. Para este caso en
particular revisaremos los ataques de repetición, modificación y
denegación de servicio.

Finalmente veremos algunas de las técnicas más usadas y recomendadas


para impedir los ataques informáticos, como lo son las técnicas de
respaldo de la información que nos pueden ser de utilidad en caso de
aplicar un Plan de Recuperación de Desastre (DRP) que nos permita
volver a contar con nuestro sistema en operación para reactivar la
organización, también revisaremos los antivirus y los sistemas de control
de acceso que permiten validar los accesos de usuarios tanto a los
sistemas como a las aplicaciones.

9
1.3 Correlación de amenazas

La correlación de Amenazas consiste en relacionar una serie de eventos


con patrones con firma conocida. Si estas firmas corresponden a
amenazas de seguridad, se deben realizas acciones de mitigación.
Existen casos importantes para ello, los más utilizados son:

• Ciberinteligencia
• Operaciones respaldadas
• Detección de causa original
• Detección de fraude

Syslog es una herramienta simple para estos casos y que está diseñada
para ver eventos nuevos mientras van ocurriendo, la correlación de
eventos es la técnica que asocia estos eventos variables entre ellos. Esto
es posible con el uso de soluciones de correlación de eventos y
herramientas de alerta.

1.3.1. Ejemplo de correlación de amenazas

La detección de intrusión es por ejemplo una correlación de amenazas.

Existe una credencial de un exempleado para acceder a una cuenta de


correo que nunca fue dada de baja y a la cual no se ha accedido durante
mucho tiempo. Casualmente es registrado un gran número de intentos de
acceso. Desde esa credencial puede tenerse acceso a contenido delicado

10
de la organización. A través de la correlación de amenazas, se generan
las alertas de que un ataque está ejecutándose.

Imaginen si con uno de estos intentos logro acceder al sistema. Ya no


podríamos clasificar esta acción como “curiosa”. Se notó que un puerto
fue escaneado minutos antes. La dirección IP del escáner de puertos
registrados y los intentos de inicio de sesión iguales. Es aquí entonces
donde el contexto entrega la correlación.

1.4 Atribución de amenazas

La atribución de una amenaza corresponde a la acción de determinar qué


persona, organización o nación fue responsable de una vulneración
exitosa. Estos se llevan a cabo por los siguientes actores regularmente:

1. Hacker: En informática este término se utiliza para referirse a una


persona experta o con gran conocimiento técnico e informático
capaz de vulnerar sistemas, pero en el mundo de la seguridad
informática es considerado un título de honor relacionado con sus
conocimientos y habilidades técnicas.
2. Crackers: Este término, aplicado a la informática, hace referencia a
una persona que viola o rompe la seguridad de un sistema. Si bien
es similar al concepto de hacker, el cracker (intruso) tiene otros fines.
Generalmente, se llama cracker a aquella persona que, de forma

11
ilegal, utiliza ingeniería inversa para desproteger un software
(conjunto de programas) o sistema. Un ejemplo muy común de este
tipo de personas es el de aquellos que rompen las claves o keys de
una licencia de software para utilizarlas de modo ilegal, es decir, sin
adquirirlas.
3. Newbie: Este término es conocido en el ambiente informático para
definir a los principiantes.
4. Lammers: Las personas llamadas bajo este término informático son
aquellas que presumen tener conocimientos de ataques
informáticos, pero en realidad no poseen conocimiento alguno.
5. Phreaker: Estos son un tipo de hacker, pero orientados más a los
sistemas telefónicos que informáticos. Cuando se habla de sistemas
telefónicos, no se hace referencia a smartphone, sino a telefonía
propiamente dicha.
6. Script kiddie: Es un personaje que se dice hacker, pero utiliza
programas de terceros para realizar ataques sin conocer su
funcionamiento, razón por la cual suelen ser víctimas de ataques
ellos mismos.

1.5 Administración de ciber-riesgos: evaluación,


mitigación, plan

Si queremos establecer una manera eficaz de proteger los sistemas es


importante implementar un modelado de amenazas. Esta es una técnica
de ingeniería permite identificar posibles amenazas y elaborar una serie

12
de recomendaciones que ayuden a reducir el riesgo y poder cumplir los
objetivos de seguridad propuestos.

Esta técnica tiene variados componentes, ahora veremos los que


aparecen comúnmente.

1.5.1. Diseño seguro

Necesario componente para desarrollar aplicaciones que garanticen la


identificación de vulnerabilidades. Por ello es primordial realizar pruebas
de seguridad de código en todas las etapas vinculadas al desarrollo para
poder garantizar que se logre minimizar vulnerabilidades.

1.5.2. Inteligencia de amenazas

Es de principal importancia tener bases de datos actualizadas de las


posibles amenazas y vulnerabilidades para garantizar que las
aplicaciones. Estas bases de datos se pueden ser información pública, ser
parte de un software de inteligencia de amenazas patentado o estar ser
información interna.

13
1.5.3. Identificación de activos

Es importante mantener un inventario actualizado de TI y activos de


software. Si no existe un seguimiento y documentación adecuada, puede
darse lugar a fallos conocidos que no se logren identificar. Esto ocurre
porque los nuevos activos, o incluso, activos de terceros pueden ser
potencialmente peligrosos y estar teniendo acceso a las redes sin
conocimiento de los equipos de seguridad.

1.5.4. Capacidades de mitigación

Cuando hablamos de capacidades de mitigación nos referimos a la


capacidad que tienen los equipos de respuesta a medida que van
apareciendo las amenazas. Es primordial lograr mitigar las amenazas para
lograr una planificación eficaz. Así los equipos estarán preparados para
combatir las amenazas con los recursos que tienen a disposición.

1.5.5. Evaluación de riesgos

Cuando existe la certeza de que el código de la aplicación es seguro y se


implementan correctamente en los Endpoints, las organizaciones están en
condiciones de evaluar el riesgo general de sus diversos componentes de
TI para saber cuál activo está en riesgo.

14
1.5.6. Mapeo y modelado

Aquí se crean diagramas de flujos de trabajo y planes de operaciones de


seguridad para así resolver problemas presentes en la actualidad y
planificar amenazas futuras.

Cuando se realiza el modelado de amenazas, las empresas analizan


exhaustivamente la arquitectura del software, el contexto de la empresa,
especificaciones funcionales de los recursos TI, documentación del
usuario. Este proceso permite lograr una comprensión más profunda del
sistema.

Por lo general, los desarrolladores usan cuatro pasos para modelar la


amenaza:

1. Diagrama. ¿Qué construiremos?


2. Identifica las amenazas. ¿Qué puede salir mal?
3. Mitigar ¿Qué estamos haciendo para protegernos de las amenazas?
4. Validar ¿Qué hemos hecho en los pasos anteriores?

15
2. NIST RISK Framework
El Marco de Ciberseguridad del Instituto Nacional de Estándares y
Tecnología, (NIST), consiste en un sistema para gestionar riesgos que
están vinculados a la protección de la información y si bien no es
obligatorio implementarlo, este tiene bastantes ventajas.

El Risk Management Framework contiene seis pasos:

a) Categorizar, el sistema y la información tratada y almacenada,


se apoya en un análisis de impacto.

b) Seleccionar, se debe establecer un grupo de controles de


seguridad para mitigar el riesgo asociado.

c) Implementar, establecer el control de seguridad adecuado


para el riesgo asociado.

d) Evaluar, los controles deberán ser evaluados indicando las


siguientes categorías:

• Descripción,

• Tipo de control:

Preventivo, si previene un error

Correctivo, si corrige un error o incidente materializado.

16
Detectivo, detecta un error o incidente.

• Clasificación del control, opera de manera manual o


automática.

e) Autorizar, si en caso no existe un control se debe tomar la


decisión que existe un riesgo que debe de ser aceptado.

f) Supervisar, los controles de seguridad deben pasar siempre


una continua revisión para medir su eficacia.

2.1 Categorización de los sistemas de información

Para categorizar los sistemas de información, lo primero es entender los


fundamentos de la categorización del sistema, ya que esto está basado
en el impacto que pueda tener una posible vulneración de seguridad y su
valoración, como se ha revisado en temas anteriores.

Ante esto podemos hablar del impacto que pueden tener los incidentes:

17
Figura 1. Tabla de clasificación de impacto ante un ciberataque.
Fuente: www.ccn-cert.cni.es

Ahora expliquemos en que consiste el nivel de impacto:

• Nivel bajo: Es cuando un incidente de seguridad tenga


consecuencias que no afecten el normal funcionamiento de la
organización.
• Nivel medio: Es cuando un incidente de seguridad ha afectado a un
sistema de la organización, de no tanta relevancia, pero aun así no
se vieron interrumpidas las actividades habituales.
• Nivel alto: Es cuando son afectados activos sensibles y además se
ven interrumpidas las actividades de la organización.

18
2.2 Selección de los sistemas de control

Los sistemas de control, son un conjunto de acciones que trabajan de


forma coordinada y dinámica recibiendo una variable de entrada y
generando una variable de salida.

Acá entonces tenemos 3 elementos que forman parte del sistema:

• Sensores: que son lo que captan las variables de entrada.


• Controlador: Toma los valores de los sensores, calcula las
acciones a seguir.
• Actuador: Es el que ejecuta la acción que fue previamente
calculada por el controlador.

La selección del método de control está estrechamente ligada al análisis


de categorización de la información, ya que gracias a esto se podrá
desarrollar un sistema que se ajuste a las necesidades de la organización.

Existe una amplia variedad de sistemas de control, no necesariamente se


tiene un solo sensor, controlador o actuador. Estos se van agregando
según las necesidades propuestas.

19
2.3 Implementación de los sistemas de control

Se plantean una serie de fases para implementar sistemas de control. Son


las siguientes:

Primera fase: Generar una comunicación del personal sobre los controles
para capacitarlos y motivarlos.

Segunda fase: Reunir información.

Una vez que se implante la “cultura del control” en el personal de la


organización comienza la recolección de datos

Esta acción se puede llevar por distintos métodos:

Narración: realizar entrevistas y dejar la información registrada en


documentos.

Listas de chequeo: son una alternativa a las entrevistas, pero con


preguntas cerradas a las respuestas “si” o “no”.

Observación: hacer vigilancia y registro de las acciones del


personal.

Tercera fase: Clasificar la información que se recopiló.

Una vez recabada la información suelen elaborarse diagramas de flujo


para su mayor comprensión, esto lo hace el personal a cargo de reunirla.

20
Cuarta Fase: Diagnóstico.

Ya con la información en mano se puede comenzar con la elaboración de


informes sobre ventajas, desventajas y posibles riesgos para la
organización.

Quinta fase: hacer una revisión del manual de procedimientos.

Tomando en cuenta los resultados obtenidos en el diagnóstico se revisa


el actual manual de procedimientos y se ajusta a la normativa vigente
actualizada.

Sexta Fase: hacer una evaluación del control de gestión interno.

Aquí se toma la opinión de todo el personal para hacer mejoras continuas


en el proceso de autocuidado y desarrollo.

Séptima fase: Implementación, seguimiento y proceso de mejora.

Aquí el sistema de control interno se encuentra diseñado, lo que resta es


implementarlo, realizar un seguimiento y en el caso de que se presenten
fallas en los procedimientos hacer los ajustes correspondientes.

2.4 Monitoreo

Una vez que se ha implementado los sistemas de control estos deben


someterse a constante monitoreo del personal designado para que sea

21
actualizado mediante la constante aparición de incidentes que no estén
clasificados previamente en el plan.

2.5 Normativa vigente, buenas prácticas

• ITIL, Biblioteca de Infraestructura de Tecnologías de Información, es


un conjunto de conceptos, recomendaciones y buenas prácticas
orientadas a la gestión de servicios de tecnologías de la información.
• COSO, organización americana dedicada a la creación de guías y
marcos de trabajo en el ámbito de la gestión de riesgos
empresariales.
• ISO 31000:2009, norma global, no certificable, que aporta
metodología, principios y directrices en materia de gestión de
riesgos.

Metodologías más específicas para gestión de riesgos de seguridad de la


información, son las siguientes:

• MAGERIT, Metodología de Análisis y Gestión de Riesgos de los


sistemas de información, creada por el Ministerio de
Administraciones Públicas español.
• ISO / IEC 27005: 2008, norma que aporta directrices para la gestión
de riesgos de seguridad de la información.
• NIST SP - 800-30, metodología de análisis de riesgos creada por el
Instituto Nacional de Estándares y Tecnología del gobierno
norteamericano.

22
• ISO/IEC 27000: Visión general de las normas 27000, indica para
cada una de ellas su el propósito de su publicación y su alcance.
Entrega bases para la implementación de un SGSI (Sistema de
Gestión de Seguridad de Información).

23
Cierre
La información es el activo más preciado que posee una organización y
es por esto por lo que, si bien se debe aplicar seguridad informática sobre
los equipos que la procesan o contienen, no hay que perder de vista que
el corazón de toda organización, y lo que se debe proteger, es la
información propiamente dicha.

Cuando se habla de información, debemos comprender que va mucho


más allá de aquella que se procesa con equipos informáticos y sistemas,
es decir que la información también abarca lo que se escribe en un papel,
lo que se dice de manera oral, etcétera. ¿Y esto por qué? Porque los
atacantes se valen de cualquier tipo de información, por más que no esté
dentro de un sistema informático, para perpetuar un ataque.

Las normas ISO/IEC 27001 (International Organization for


Standarization/International Electronic Comision, 2005) hacen referencia
a que la seguridad de la información es la disciplina que tiene como
objetivo la confidencialidad, integridad y disponibilidad de la información,
y que a su vez puede integrar otras propiedades, como la autenticidad, la
responsabilidad, el no repudio y la trazabilidad.

24
Referencias
Como categorizar un Sistema en el ENS. https://bit.ly/3HGtNcE

da Silva, D. (2021). Guía introductoria a la gestión de incidentes.


https://bit.ly/42nZ8J6

Franco, D. A.; Perea, J. L.; y Puello, P. (2011). Metodología para la


detección de vulnerabilidades en redes de datos.
https://bit.ly/3p87Vk6

Isotools. (s.f). Las 8 fases para implementar un sistema de control interno.


https://bit.ly/3pcfmXB

Jiménez, M. (2022). Conoce el Marco de Ciberseguridad del NIST.


https://bit.ly/44IVj3p

Normas ISO 27000 vigentes. https://bit.ly/428bYLP

OGDI. (2019). Comprender los 4 principales casos de uso de IA en


ciberseguridad. https://ogdi.org/archivos/7580

25

También podría gustarte