marcos video 1

En una organización, se establecen planes de protección contra varias de amenazas, riesgos y

vulnerabilidades. Sin embargo, los requisitos utilizados para proteger a las personas y a las
organizaciones suelen superponerse. Por esta razón, las organizaciones utilizan marcos de
seguridad como punto de partida para crear sus políticas y procesos de seguridad. Repasemos
qué son los marcos. Los marcos de seguridad son pautas usadas para crear planes para mitigar
riesgos y amenazas contra los datos y la privacidad, como los ataques de ingeniería social y
ransomware. La seguridad va más allá del espacio virtual. También incluye el espacio físico, por
lo que muchas organizaciones tienen planes para proteger el entorno de laboral. Por ejemplo, el
acceso a un edificio puede requerir el uso de una tarjeta o credencial. Otros marcos de
seguridad indican cómo prevenir, detectar y responder a las fallas de seguridad. Esto es muy
importante al proteger a una organización contra ataques de ingeniería social, como el phishing
dirigido a empleados/as. Recuerda, las personas son la mayor amenaza para la seguridad. Los
marcos pueden usarse para crear planes que aumenten la conciencia del personal y le enseñe
sobre cómo puede proteger a la organización, a sus colegas y a sí mismo. Educar a los/las
empleados/as sobre los desafíos de seguridad es esencial para minimizar la posibilidad de una
filtración. Capacitar a los/las empleados/as para reconocer señales de alarma o amenazas
potenciales es esencial, así como disponer de planes para reportar y abordar problemas
rápidamente. Como analista, deberás comprender e implementar los planes que haya para
proteger a la organización, sus empleados/as y usuarios/as contra ataques de ingeniería social,
fallas y otros incidentes de seguridad. A continuación, veremos los controles seguridad, que se
usan con los marcos para alcanzar los objetivos de seguridad de una organización.
 video controles
Mientras que los marcos se utilizan para crear planes para abordar riesgos, amenazas y
vulnerabilidades de seguridad, los controles sirven para reducir riesgos específicos. Si no se
implementan los controles adecuados, una organización podría enfrentar impactos financieros
significativos y daños a su reputación debido a la exposición a riesgos que incluyen intrusiones,
creación de cuentas falsas de empleados/as o proporcionar beneficios gratuitos. Repasemos
qué son los controles. Los controles de seguridad son medidas de protección diseñadas para
reducir riesgos específicos. En este video, veremos tres tipos comunes de controles: cifrado,
autenticación y autorización. El cifrado es el proceso de convertir datos de un formato legible a
uno codificado. Suele implicar convertir datos de texto sin formato a texto cifrado. El texto cifrado
es el mensaje codificado en bruto que es ilegible para humanos y computadoras. Los datos de
texto cifrado no pueden leerse hasta descifrarlos y restaurar el texto sin formato. El cifrado se
utiliza para la confidencialidad de datos sensibles, como la información de cuentas o números de
seguridad social. Otro control que puede usarse para proteger datos sensibles es la
autenticación. La autenticación se refiere a verificar la identidad de alguien o algo. Un ejemplo
de autenticación real es iniciar sesión con nombre de usuario y contraseña. Esta autenticación
básica demuestra que conoces el nombre de usuario y contraseña, y se te debe dar acceso. Los
métodos más avanzados de autenticación, como la autenticación de múltiples factores (MFA),
someten al usuario a demostrar que es quien dice ser requiriendo una contraseña y un
formulario extra de autenticación, como un código de seguridad o datos biométricos, como una
huella dactilar, voz o verificación facial. La biometría se refiere a características físicas únicas
que pueden usarse para verificar identidades. Por ejemplo, una huella dactilar, un escaneo
ocular o de la palma de la mano. El vishing es un ejemplo de ataque de ingeniería social que
aprovecha los datos biométricos. El vishing es el aprovechamiento de la comunicación
electrónica de voz para obtener información sensible para hacerse pasar por una fuente
conocida. Por ejemplo, el vishing podría usarse para suplantar la voz de una persona y robar su
identidad para cometer un delito. Otro control de seguridad muy importante es la autorización.
Reproduce el video desde :2:51 y sigue la transcripción

2:51
La autorización es el concepto de conceder acceso a recursos específicos dentro de un sistema.
Básicamente, la autorización se utiliza para verificar que una persona tiene permiso para
acceder a un recurso.
Reproduce el video desde :3:6 y sigue la transcripción

3:06
Por ejemplo, si trabajas como analista de seguridad de nivel inicial para el gobierno federal,
podrías tener permiso para acceder a datos a través de la deep web o a otros datos internos
solo accesibles si trabajas para el gobierno federal. Los controles de seguridad vistos son solo
un elemento de una guía básica de seguridad conocida como la tríada CID. A continuación,
veremos más de esta y cómo los equipos de seguridad la usan para proteger a las
organizaciones.
Cómo se vinculan los marcos y los
controles
Anteriormente, viste de qué modo las organizaciones usan marcos y controles de seguridad
para protegerse contra amenazas, riesgos y vulnerabilidades. Esto incluye debates sobre el
Marco de Gestión de Riesgos (RMF) y el Marco de Ciberseguridad (CSF) del Instituto Nacional
de Estándares y Tecnología (NIST), así como la tríada de confidencialidad, integridad y
disponibilidad (CID). En esta lección, aprenderás un poco más sobre los marcos y controles de
seguridad cibernética y cómo se pueden combinar para mitigar los riesgos empresariales.
Marcos y controles
Los marcos de seguridad son pautas utilizadas para elaborar planes que ayuden a mitigar los
riesgos y las amenazas a los datos y la privacidad. Estos marcos brindan soporte a las
organizaciones para acatar las leyes y las normas de cumplimiento. Por ejemplo, en el sector de
la salud se utilizan marcos para cumplir con la Ley de Transferencia y Responsabilidad de los
Seguros Médicos (HIPAA) de los Estados Unidos, que exige a profesionales médicos mantener
a resguardo la información de sus pacientes.
Los controles de seguridad, en tanto, son medidas de protección diseñadas para reducir
riesgos de seguridad específicos. Estas medidas son utilizadas por las organizaciones para
disminuir los riesgos y amenazas a los datos y la privacidad. Por ejemplo, una medida de control
que se puede usar junto con los marcos de seguridad para garantizar que el cumplimiento de
HIPAA en un hospital es requerir que las y los pacientes utilicen autenticación de múltiples
factores (MFA) para acceder a sus registros médicos. El uso de una medida como la MFA para
validar la identidad de las personas es una manera de ayudar a mitigar posibles riesgos y
amenazas a la seguridad de los datos privados.

Marcos y controles específicos

Existen diversos marcos y controles que las organizaciones pueden utilizar para cumplir con las
regulaciones y alcanzar sus objetivos de seguridad. Los marcos abordados en esta lección son
el Marco de Amenaza Cibernética (Cyber Threat Framework, CTF) y la Organización
Internacional de Normalización/Comisión Electrotécnica Internacional (ISO/IEC) 27001. También
se explican varios controles de seguridad comunes, que se usan junto con este tipo de marcos.
Marco de Amenaza Cibernética (Cyber Threat Framework, CTF)
De acuerdo con la Oficina del Director de Inteligencia Nacional, el CTF fue desarrollado por el
gobierno de los Estados Unidos con el fin de proporcionar “un lenguaje común para describir y
comunicar información sobre la actividad de amenazas cibernéticas”. Al ofrecer un lenguaje
común, el CTF ayuda a las y los profesionales de ciberseguridad a analizar y compartir
información de manera más eficiente. Esto permite a las organizaciones mejorar su respuesta,
dado que las tácticas y técnicas de los agentes de amenaza son múltiples y, por lo tanto, la
ciberseguridad está en constante evolución.

Organización Internacional de Normalización/Comisión Electrotécnica

Internacional (ISO/IEC) 27001
Un marco reconocido internacionalmente y muy utilizado es el ISO/IEC 27001. El conjunto de
normas ISO 27000 permite a las organizaciones de todos los sectores y tamaños gestionar la
seguridad de sus activos, como la información financiera, la propiedad intelectual, los datos del
personal y la información confiada a terceros. Este marco establece los requisitos para un
sistema de gestión de seguridad de la información, las prácticas recomendadas y los controles
 que respaldan la capacidad de una organización para gestionar los riesgos. Si bien el marco
ISO/IEC 27001 no exige el uso de controles específicos, proporciona una serie de controles que
las empresas pueden utilizar para mejorar su postura de seguridad.

Controles
Los controles se utilizan junto con los marcos para reducir la posibilidad y el impacto de una
amenaza, riesgo o vulnerabilidad de seguridad. Estos pueden ser físicos, técnicos y
administrativos, y se utilizan típicamente para prevenir, detectar o corregir problemas de
seguridad.
Ejemplos de controles físicos:
● Puertas, barreras y cerraduras
● Guardias de seguridad
● Vigilancia por circuito cerrado de televisión (CCTV), cámaras y detectores de movimiento
● Tarjetas de acceso o credenciales para ingresar a los espacios de la oficina
Ejemplos de controles técnicos:
● Cortafuegos (firewalls)
● Autenticación de múltiples factores (MFA)
● Software de antivirus
Ejemplos de controles administrativos:
● Separación de funciones
● Autorización
● Clasificación de activos
Para obtener más información sobre los controles, especialmente aquellos utilizados para
proteger activos relacionados con la salud de diversos tipos de amenazas, consulta la
presentación sobre Control de Acceso Físico del Departamento de Salud y Servicios Humanos
de los Estados Unidos.

Conclusiones clave
Los marcos y controles de ciberseguridad se utilizan conjuntamente para establecer la postura
de seguridad de una organización. Además, respaldan la capacidad de una empresa para
alcanzar sus objetivos de seguridad y cumplir con leyes y regulaciones. Si bien estos marcos y
controles suelen ser de adhesión voluntaria, se recomienda a las organizaciones implementarlos
y utilizarlos para garantizar la seguridad de los activos críticos.
Marcar como completo
Me gusta
No me gusta
Informar de un problema
triada video
¡Me alegro de verte de nuevo! Como analista de seguridad de nivel inicial, tu principal
responsabilidad es ayudar a proteger los activos y datos sensibles de tu organización de agentes
de amenaza. La tríada CID es un modelo de seguridad fundamental que te ayudará a lograrlo. En
este video, veremos la tríada CID y hablaremos de la importancia de cada componente para
prevenir amenazas, riesgos y vulnerabilidades. ¡Empecemos! La tríada CID es un modelo que
ayuda a las organizaciones a evaluar los riesgo y configurar sistemas y políticas de seguridad.
Recuerda que las tres letras de la tríada CID significan confidencialidad, integridad y
disponibilidad. Como analista de nivel inicial, mencionarás con frecuencia estos tres principios
básicos al proteger a la organización y sus usuarios/as. La confidencialidad implica que solo los
usuarios autorizados tienen acceso a ciertos activos o datos. Los datos sensibles deben
divulgarse solo a quien los necesita para que solo accedan a ellos quienes tengan autorización.
La integridad implica que los datos sean correctos, auténticos y confiables. Determinar la
integridad de los datos y analizar cómo se usan te ayudará, como profesional de seguridad, a
decidir si estos son confiables o no. La disponibilidad implica que solo puedan acceder a los datos
quienes tengan autorización. Los datos inaccesibles no son útiles y pueden impedir que las
personas hagan su trabajo. Como profesional de seguridad, garantizar que los sistemas, redes y
aplicaciones funcionen correctamente para dar acceso oportuno y confiable puede formar parte
de tu trabajo cotidiano. Tras definir la tríada CID y sus componentes, veamos cómo podrías
usarla para proteger a una organización. Si trabajas para una organización, como un banco, con
muchos datos privados, el principio de confidencialidad es esencial porque el banco debe
proteger la información financiera personal. El principio de integridad también es prioritario. Por
ejemplo, si el gasto o las tiendas habituales de alguien cambian drásticamente, el banco
probablemente deshabilitará el acceso a la cuenta hasta verificar que la compra la hace el
propietario y no un agente de amenaza. El principio de disponibilidad también es crítico. Los
bancos se esfuerzan para que la gente accedan fácilmente desde Internet a la información de su
cuenta. Para proteger la información contra agentes de amenaza, se usa un proceso de
validación que minimiza el daño si se sospecha que la cuenta del cliente está comprometida.
Como analista, usarás con frecuencia cada componente de la tríada CID para proteger a la
organización y sus usuarios/as. Tenerla constantemente en mente te ayudará a mantener la
confidencialidad de datos y activos frente a amenazas, riesgos y vulnerabilidades, incluyendo
ataques de ingeniería social, malware y el robo de datos que vimos anteriormente. A
continuación, veremos marcos y principios específicos que también te ayudarán a prevenir
amenazas, riesgos y vulnerabilidades. ¡Hasta pronto!
Usa la tríada CID para proteger a las
organizaciones
Anteriormente, te presentamos la tríada de confidencialidad, integridad y disponibilidad (CID) y
de qué modo ayuda a las organizaciones a evaluar y mitigar el riesgo. En esta lección,
aprenderás cómo los/as analistas de ciberseguridad la utilizan en el entorno laboral.
Tríada CID para analistas
La tríada CID es una guía que ayuda a las organizaciones a evaluar los riesgos y establecer
sistemas y políticas de seguridad. Está compuesta por tres elementos fundamentales:
confidencialidad, integridad y disponibilidad. Las/los analistas de ciberseguridad trabajan en
mantener estos elementos para asegurar un nivel de riesgo aceptable. Diseñar sistemas y
políticas con estos elementos en mente ayuda a establecer una postura de seguridad exitosa.
La postura de seguridad se refiere a la capacidad que tiene una organización para gestionar la
defensa de sus activos y datos críticos, así como de reaccionar ante los cambios de manera
efectiva.
Confidencialidad
La confidencialidad refiere a que solo los/las usuarios/as autorizados/as pueden acceder a
activos o datos específicos. En una organización, la confidencialidad puede mejorarse mediante
la implementación de principios de diseño, como el principio de mínimo privilegio, que limita el
acceso de las personas solo a la información que necesitan para llevar a cabo las tareas
laborales. Limitar el acceso es una forma de mantener la confidencialidad y la seguridad de los
datos privados.

Integridad
La integridad implica que los datos son verificables, auténticos y confiables. Es esencial contar
con protocolos para verificar la autenticidad de los datos y una manera de hacerlo es mediante
la criptografía, que se utiliza para transformar los datos, para que las partes no autorizadas no
puedan leerlos ni manipularlos (NIST, 2022). Otro ejemplo de cómo una organización podría
implementar la integridad es mediante la activación del cifrado, que es el proceso de convertir
los datos de un formato legible a uno codificado. Se puede utilizar para evitar el acceso a
información, como los mensajes en la plataforma de chat interna de una organización.

Disponibilidad
La disponibilidad refiere a que los datos son accesibles para aquellas personas autorizadas a
usarlos. Cuando un sistema cumple tanto los principios de disponibilidad como los de
confidencialidad, los datos pueden ser utilizados cuando sea necesario. En el entorno laboral,
esto puede significar que la organización permite al personal que trabaja de forma remota
acceder a su red interna para desempeñar sus tareas laborales. Es importante tener en cuenta
que el acceso a los datos en la red interna sigue siendo limitado, según el tipo de acceso que
los/las empleados/as necesiten para realizar su trabajo. Si, por ejemplo, una persona trabaja en
el departamento de Contabilidad de la empresa, es posible que necesite acceso a las cuentas
corporativas, pero no a los datos relacionados con proyectos que estén desarrollando en ese
momento.
Conclusiones clave
La tríada CID es esencial para determinar la postura de seguridad de una organización. Conocer
qué es y cómo se aplica puede ayudarte a comprender mejor cómo los equipos de
ciberseguridad trabajan para proteger a las empresas y a las personas.
 marco del NIST VIDEO
¡Hola de nuevo! Antes de empezar, repasemos rápidamente el propósito de los marcos. Las
organizaciones los usan como punto de partida para crear planes que mitiguen riesgos,
amenazas y vulnerabilidades contra datos y activos sensibles. Afortunadamente, hay
organizaciones en todo el mundo que crean marcos que los/las profesionales de seguridad
pueden usar para desarrollar esos planes. En este video, veremos dos marcos del Instituto
Nacional de Estándares y Tecnología (NIST) que pueden apoyar el trabajo de seguridad de todo
tipo de organizaciones, incluyendo empresas con y sin fines de lucro, así como agencias
gubernamentales. Aunque el NIST es una organización de los EE.UU., sus pautas ayudan a
analistas de todo el mundo a entender cómo implementar prácticas esenciales de
ciberseguridad. Un marco del NIST que veremos en el programa es el marco de ciberseguridad
(CSF) del NIST. El CSF es un marco voluntario que incluye estándares, pautas y mejores
prácticas para manejar los riesgos de ciberseguridad. Este marco es muy respetado y esencial
para mantener la seguridad, independientemente de dónde trabajes. El CSF consta de cinco
funciones importantes. Identificar, proteger, detectar, responder y recuperar. Los veremos con
detalle en un próximo video. Por ahora, nos centraremos en las ventajas del CSF y cómo se
usan para prevenir amenazas, riesgos y vulnerabilidades con un ejemplo en el entorno laboral.
Imagina que mañana recibes una notificación de alto riesgo de que un equipo se vio
comprometido. Identificas el equipo, y descubres que hay un dispositivo desconocido conectado
a él. Bloqueas el dispositivo de forma remota para detener cualquier potencial amenaza y
proteger así a la organización. Luego retiras el equipo infectado para prevenir la propagación del
daño y usas herramientas para detectar comportamientos del agente de amenaza e identificar el
dispositivo desconocido. Respondes investigando el incidente para ver quién usó el dispositivo
desconocido, cómo ocurrió la amenaza, qué se vio afectado y dónde se originó el ataque. En
este caso, descubres que una empleada estaba cargando su teléfono infectado mediante un
puerto USB en su computadora de trabajo. Por último, haces todo lo posible para recuperar los
archivos o datos afectados y corregir cualquier daño que pudo haber ocasionado al equipo.
Como lo demuestra el ejemplo anterior, las funciones básicas del CSF del NIST proporcionan
pautas y orientaciones específicas a los profesionales de seguridad. Este marco se usa para
desarrollar planes para manejar incidentes de forma correcta y rápida, reducir el riesgo, proteger
contra una amenaza y mitigar posibles vulnerabilidades. El CSF del NIST también incluye la
protección del gobierno federal de los EE.UU. con la publicación especial del NIST, SP 800-53.
Ofrece un marco unificado para proteger los sistemas de información dentro del gobierno
federal, incluyendo aquellos brindados por empresas privadas para uso federal. Los controles de
seguridad de este marco se usan para mantener la tríada CID de esos sistemas usados por el
gobierno. ¿No es increíble cómo estos marcos y controles funcionan de forma conjunta? Hemos
discutido algunos temas de seguridad realmente importantes en este video que te serán muy
útiles a medida que continúes tu recorrido en seguridad, pues son fundamentos de la profesión
de seguridad.
Reproduce el video desde :4:6 y sigue la transcripción

4:06
El CSF del NIST es un marco útil que conocen la mayoría de los/las profesionales. Comprender
la SP 800-53 del NIST es clave si te interesa trabajar para el gobierno federal de los EE.UU. A
continuación, seguiremos explorando las cinco funciones del CSF del NIST y cómo las usan las
organizaciones para proteger sus activos y datos.
 Explora las cinco funciones del Marco de Ciberseguridad (CSF) del NIST

¡Hola de nuevo! Me emociona verte aquí. Tenemos mucho de qué hablar. Anteriormente, vimos
los usos y ventajas del CSF del NIST. En este video, vamos a enfocarnos específicamente en
las cinco funciones centrales del CSF del NIST. Comencemos. El CSF del NIST se enfoca en
cinco funciones centrales: identificar, proteger, detectar, responder y recuperar.
Reproduce el video desde ::31 y sigue la transcripción

0:31
Estas funciones ayudan a gestionar los riesgos de ciberseguridad, implementar estrategias de
gestión y aprender de errores anteriores. Básicamente, en lo que respecta a las operaciones de
seguridad, las funciones del CSF del NIST son clave para proteger a una organización contra
amenazas, riesgos y vulnerabilidades potenciales. Tomemos un tiempo para explorar cómo
cada función puede utilizarse para mejorar la seguridad.
Reproduce el video desde :1:2 y sigue la transcripción

1:02
La primera función central es identificar, que está relacionada con la gestión del riesgo de
ciberseguridad y su efecto en las personas y activos de una organización. Por ejemplo, como
analista de seguridad, es posible que se te solicite monitorear los sistemas y dispositivos en la
red interna de la organización para identificar posibles problemas de seguridad, como
dispositivos comprometidos en la red. La segunda función central es proteger. Es la estrategia
utilizada para proteger a una organización mediante la implementación de políticas,
procedimientos, capacitaciones y herramientas que ayudan a mitigar las amenazas de
ciberseguridad. Por ejemplo, como analista de seguridad, tú y tu equipo podrían enfrentrar
amenazas y ataques nuevos y desconocidos. Por esta razón, estudiar datos históricos y mejorar
las políticas y procedimientos es esencial. La tercera función central es detectar. Es identificar
posibles incidentes de seguridad y mejorar las capacidades de monitoreo para aumentar la
velocidad y eficiencia de las detecciones. Por ejemplo, como analista, te pueden pedir que
revises la configuración de una herramienta nueva para verificar que identifique riesgos bajos,
medios o altos, y luego alertar al equipo de seguridad sobre cualquier amenaza o incidente
potencial. La cuarta función es responder. Es tomar las medidas adecuadas para contener,
neutralizar y analizar los incidentes de seguridad, e implementar mejoras en el proceso de
seguridad. Como analista, podrías estar trabando con un equipo para recopilar y organizar datos
a fin de documentar un incidente y sugerir mejoras en los procesos para evitar que se repita.
Reproduce el video desde :2:57 y sigue la transcripción

2:57
La quinta función es recuperar. Es restaurar la operación normal de los sistemas afectados.
Reproduce el video desde :3:6 y sigue la transcripción

3:06
Por ejemplo, como analista de seguridad de nivel inicial, podrías trabajar con tu equipo para
restaurar los sistemas, datos y activos, como archivos financieros o legales afectados por un
incidente como una falla de seguridad. Vimos mucha información en este video. Espero que te
ayude a entender el valor de conocer sobre el CSF del NIST y sus cinco funciones. Con
medidas proactivas y reactivas, las cinco funciones son esenciales para que una organización
cuente con estrategias de seguridad efectivas. Habrá incidentes de seguridad, pero la
organización debe poder recuperarse rápido de cualquier daño causado por un incidente para
minimizar su nivel de riesgo. A continuación, veremos principios de seguridad que van mano a
mano con los marcos del NIST y la tríada CID para ayudar a proteger los datos y activos críticos.
 Principios de seguridad de OWASP
Es importante comprender cómo proteger los datos y activos de una organización porque esto
formará parte de tu rol como analista de seguridad. Afortunadamente, hay principios y pautas
que puedes usar, así como los marcos del NIST y la tríada CID para ayudar a los equipos a
minimizar amenazas y riesgos. Aquí veremos algunos principios de seguridad del Open Web
Application Security Project (OWASP) que son útiles para analistas de nivel inicial. El primer
principio de OWASP es minimizar el área de superficie de ataque. Una superficie de ataque se
refiere a toda vulnerabilidad potencial que un agente de amenaza podría aprovechar, como
vectores de ataque, que son vías de acceso que los atacantes utilizan para penetrar las
defensas de seguridad. Algunos ejemplos de vectores de ataque comunes son los correos de
phishing y contraseñas poco seguras. Para minimizar la superficie de ataque y evitar incidentes
de este tipo de vectores, los equipos pueden desactivar funciones del software, restringir quién
puede acceder a ciertos activos o establecer requisitos de contraseña más complejos.
1:14
El principio del privilegio mínimo significa que los usuarios tengan el menor nivel de acceso
necesario para realizar sus tareas diarias. La razón principal para limitar el acceso a la
información y los recursos de la organización es reducir el daño que podría causar una violación
de seguridad. Por ejemplo, como analista de nivel inicial, puede que tengas acceso a los datos
de registro pero es posible que no tengas acceso para cambiar los permisos de usuario. Por lo
tanto, si un agente de amenaza compromete tus credenciales, solo podrá obtener acceso
limitado a los activos digitales o físicos, lo cual puede no ser suficiente para ejecutar su ataque.
El siguiente principio es la defensa en profundidad. La defensa en profundidad significa que una
organización debe tener varios controles de seguridad que aborden los riesgos y amenazas de
distintas maneras. Un ejemplo de control de seguridad es la autenticación de múltiples factores
(MFA), que requiere tomar un paso más allá de solo ingresar el nombre de usuario y contraseña
para acceder a una aplicación. Otros controles son firewalls, sistemas de detección de
intrusiones y configuraciones de permisos que pueden usarse para crear varios puntos de
defensa que un agente de amenaza debe pasar para comprometer a una organización. Otro
principio es la separación de funciones, que puede usarse para evitar que la gente lleve a cabo
actividades fraudulentas o ilegales. Este principio dicta que nadie debe recibir tantos privilegios
que pueda abusar del sistema. Por ejemplo, el/la empleado/a que firma las nóminas no debería
ser también quien las prepara. Solo quedan dos principios más. ¡Lo estás haciendo genial! El
siguiente principio es simplificar la seguridad. Tal como indica su nombre, al implementar
controles de seguridad, deben evitarse soluciones innecesariamente complejas porque pueden
ser difíciles de gestionar. Cuanto más complejos sean los controles de seguridad, más difícil es
trabajar en colaboración.
3:32
El último principio es corregir correctamente los problemas de seguridad. La tecnología es una
gran herramienta, pero también puede presentar desafíos. Cuando ocurre un incidente de
seguridad, se espera que los/las profesionales de seguridad identifiquen la causa principal
rápidamente. Luego es importante corregir cualquier vulnerabilidad identificada y efectuar
pruebas para asegurar que las reparaciones sean exitosas.
Reproduce el video desde :3:59 y sigue la transcripción

3:59
Un ejemplo de un problema es una contraseña débil para acceder a la red Wi-Fi de la
organización porque podría causar una falla de seguridad. Para solucionar este tipo de
problemas, se podrían implementar políticas de contraseñas más estrictas. Sé que hemos
cubierto mucho, pero comprender estos principios aumenta tu conocimiento general de
seguridad y te ayudará a destacarte como profesional en este campo.
Más información sobre los principios de
seguridad de OWASP
Anteriormente, aprendiste que las/los analistas de ciberseguridad ayudan a mantener los
datos seguros y reducir el riesgo en una organización, mediante una variedad de marcos,
controles y principios de seguridad. En esta lección, conocerás más sobre los principios de
seguridad de Open Web Application Security Project (OWASP, por sus siglas en inglés) y
cómo las/los analistas de nivel inicial los utilizan.
Principios de seguridad
En el entorno laboral, los principios de seguridad están integrados en las tareas diarias. Ya
sea que estés analizando registros, monitoreando un panel de gestión de eventos e
información de seguridad (SIEM) o usando un escáner de vulnerabilidades, utilizarás estos
principios de alguna manera.
Anteriormente, te presentamos varios principios de seguridad de OWASP, que incluían:
● Minimizar la superficie expuesta a ataques: se refiere a todas las vulnerabilidades
potenciales que podría aprovechar un agente de amenaza.
● Principio de mínimo privilegio: significa conceder únicamente el acceso y la
autorización mínimos necesarios para completar una tarea o función.
● Defensa en profundidad: hace referencia a que las organizaciones deben disponer
de varios controles de seguridad que aborden los riesgos y las amenazas de
diferentes maneras.
● Separación de funciones: refiere a que las acciones críticas deben depender de
varias personas, cada una de las cuales sigue el principio del mínimo privilegio.
● Simplificar la seguridad: tiene que ver con evitar soluciones innecesariamente
complicadas, porque la complejidad dificulta la seguridad.
● Solucionar los problemas de seguridad correctamente: significa que, cuando
ocurren incidentes de seguridad, es necesario identificar la causa, contener el
impacto, detectar las vulnerabilidades y realizar pruebas para garantizar que la
reparación sea exitosa.

Otros principios de seguridad de OWASP

A continuación, aprenderás acerca de otros cuatro principios de seguridad de OWASP que
se utilizan para mantener seguras las operaciones de una organización y a las personas.
Establecer configuraciones seguras por defecto
Este principio indica que el estado de seguridad óptimo de una aplicación también debe ser
su estado predeterminado para los/las usuarios/as. O sea, debería requerirse un esfuerzo
adicional para hacer que la aplicación sea insegura.

Fallar de forma segura

Fallar de forma segura significa que, cuando un control falla o se detiene, debe hacerlo
restableciéndose automáticamente a su opción más segura. Por ejemplo, si un cortafuegos
(firewall) falla, simplemente, debería cerrar todas las conexiones y bloquear las nuevas, en
lugar de comenzar a aceptar todo.

No confiar en los servicios

Muchas organizaciones trabajan con firmas asociadas o proveedoras de servicios. Estas
suelen tener políticas de seguridad diferentes a las de la empresa. Por lo tanto, la compañía
no debería dar por sentado que los sistemas de estas firmas sean seguros. Por ejemplo, si
una aerolínea terceriza a una empresa proveedora el seguimiento de los puntos de
recompensa, antes de compartir esa información con sus clientes, debería asegurarse de
que los datos obtenidos y el saldo sean precisos.

Evitar la seguridad por oscuridad

La seguridad de los sistemas clave no debe depender de mantener los detalles ocultos.
Analiza el siguiente ejemplo de OWASP (2016):
La seguridad de una aplicación no debe depender de mantener el código fuente en secreto,
sino que su seguridad tiene que basarse en muchos otros factores, como las políticas de
contraseñas razonables, la defensa en profundidad, los límites de transacciones
comerciales, una sólida arquitectura de red, y los controles de fraude y auditoría.

Conclusiones clave
Las y los profesionales de la ciberseguridad aplican constantemente los principios de
seguridad para proteger a las organizaciones y a las personas. Como analista de
ciberseguridad de nivel inicial, puedes utilizar estos principios para implementar prácticas
seguras que reduzcan los riesgos tanto para las empresas como para los/las usuarios/as.
 Planifica una auditoría de seguridad
Tras ver diversos marcos, controles, principios de seguridad y cumplimiento normativo, la
pregunta es: ¿Cómo funciona todo junto? La respuesta es: mediante auditorías de seguridad.
Esta es una revisión de los controles de seguridad, políticas y procedimientos que tiene una
organización. Existen dos tipos principales de auditorías de seguridad: externas e internas. Nos
centraremos en las internas porque ese es el tipo de auditorías al que contribuyen los/las
analistas de nivel inicial. La auditoría interna de seguridad la suele realizar un equipo de
personas que puede incluir al encargado/a de cumplimiento, gerente de seguridad y otros
miembros del equipo. Las auditorías internas de seguridad se utilizan para mejorar la postura de
seguridad de una organización y evitar multas de agencias reguladoras por falta de
cumplimiento normativo. Con la auditoría interna, el equipo identifica el riesgo organizacional,
evalúa los controles y corrige problemas de cumplimiento. Ahora, que hemos discutido los
propósitos de las auditorías internas, veamos algunos de sus componentes comunes. Estos son
definir el alcance y los objetivos de la auditoría, evaluar el riesgo de los activos de la
organización, evaluar los controles, evaluar el cumplimiento y comunicar los resultados a las
partes interesadas. En este video, veremos los primeros dos elementos, que conforman el
proceso de planificación: definir el alcance y los objetivos, y evaluar el riesgo. El alcance se
refiere a los criterios de una auditoría interna. El alcance requiere identificar las personas,
activos, políticas, procedimientos y tecnologías que podrían afectar a la postura de seguridad.
Los objetivos son un planteo de las metas de seguridad o qué se quiere lograr para mejorar la
postura de seguridad. Aunque los miembros de mayor jerarquía del equipo de seguridad y otras
partes interesadas suelen definir el alcance y los objetivos, a los/las analistas de nivel inicial se
les puede pedir que revisen el alcance y los objetivos para completar otros elementos de la
auditoría. A modo de ejemplo, el alcance de esta auditoría implica evaluar los permisos del
usuario, identificar los controles, políticas y procedimientos actuales y tener en cuenta la
tecnología utilizada actualmente por la organización. Los objetivos señalados incluyen
implementar funciones centrales de los marcos, como el CSF del NIST, definir políticas y
procedimientos para garantizar el cumplimiento normativo, y fortalecer los controles del sistema.
El siguiente elemento es evaluar el riesgo, que se centra en identificar amenazas, riesgos, y
vulnerabilidades potenciales. Esto ayuda a las organizaciones a decidir qué medidas de
seguridad implementar y monitorear para proteger sus activos. Al igual que definir el alcance y
los objetivos, suelen evaluar el riesgo los/las gerentes u otras partes interesadas. Pero se te
puede pedir que analices los detalles de la evaluación del riesgo para ver qué tipos de controles
y normativa de cumplimiento se necesita tener para mejorar la postura de seguridad
organizacional. Por ejemplo, esta evaluación del riesgo destaca que hay controles, procesos y
procedimientos inadecuados para proteger los activos. En particular, falta un manejo adecuado
de activos físicos y digitales, incluidos los equipos del personal. El equipo usado para almacenar
datos no está bien protegido. Y el acceso a información privada almacenada en la red interna
necesita tener controles más sólidos. Tras ver los elementos iniciales de la planificación de una
auditoría de seguridad interna, veremos los tres últimos elementos.
Más información sobre las auditorías de
seguridad
Anteriormente, te explicamos cómo planificar y realizar una auditoría de seguridad interna. En
esta lección, aprenderás más sobre las auditorías de seguridad y cuáles son sus objetivos.
Auditorías de seguridad
Una auditoría de seguridad es una revisión de los controles, políticas y procedimientos de
seguridad de una organización. Las auditorías son revisiones independientes que evalúan si una
compañía acata los criterios internos, como políticas, procedimientos y prácticas recomendadas,
y externos, como el cumplimiento de normas, leyes y regulaciones federales.
Además, una auditoría de seguridad se puede utilizar para evaluar los controles de seguridad
establecidos por una organización. Recuerda que los controles de seguridad son medidas
diseñadas para reducir riesgos de seguridad específicos.
Asimismo, las auditorías ayudan a garantizar que se realicen verificaciones de seguridad (por
ejemplo, monitoreo diario de paneles de gestión de eventos e información de seguridad) para
identificar amenazas, riesgos y vulnerabilidades. Esto ayuda a mantener la postura de seguridad
de una organización. Y, si hay problemas de seguridad, se debe contar con un plan de acción
correctiva.

Metas y objetivos de una auditoría

La meta de una auditoría es garantizar que las prácticas de tecnología de la información (TI) de
una organización cumplan con los estándares de la industria y de la propia organización. El
objetivo es identificar y abordar las áreas que requieren mejoras y desarrollo. Las auditorías
proporcionan dirección y claridad al identificar las fallas actuales y desarrollar un plan para
corregirlas.
Las auditorías de seguridad deben realizarse para proteger los datos y evitar sanciones y multas
por parte de agencias gubernamentales. La frecuencia de las auditorías depende de las leyes
locales y las regulaciones de cumplimiento normativo federal.

Factores que determinan las auditorías

Los factores que determinan los tipos de auditorías que una organización debe implementar
incluyen:
● Tipo de industria
● Tamaño de la organización
● Vínculos con las regulaciones gubernamentales
● Ubicación geográfica de la empresa
● Decisión comercial de regirse por determinado cumplimiento normativo
Para revisar las regulaciones de cumplimiento normativo comunes a las que las diferentes
organizaciones deben adherirse, consulta la lectura sobre controles, marcos y cumplimiento.

El papel de los marcos y controles en las auditorías

Además del cumplimiento normativo, es importante mencionar el papel que desempeñan los
marcos y controles en las auditorías de seguridad. Algunos marcos, como el Marco de
Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) y la serie de
normas internacionales para la seguridad de la información (ISO 27000), están diseñados para
ayudar a las organizaciones a prepararse para las auditorías de seguridad de cumplimiento
normativo. Al adherirse a estos y otros marcos pertinentes, las empresas pueden ahorrar tiempo
al realizar auditorías externas e internas. Además, cuando se utilizan junto con los controles, los
marcos pueden respaldar la capacidad de las organizaciones para cumplir con los requisitos y
estándares de cumplimiento normativo.
Existen tres categorías principales de controles que se deben revisar durante una auditoría:
controles administrativos/directivos, técnicos y físicos. Para obtener más información sobre los
controles específicos relacionados con cada categoría, haz clic en el siguiente enlace y
selecciona “Usar plantilla”.
Enlace a la plantilla: Categorías de control
O BIEN
Si no tienes una cuenta de Google, descarga la plantilla directamente desde el siguiente archivo
adjunto.
More about security audits _Control-categories
DOCX File

Lista de control de la auditoría

Antes de realizar una auditoría, es necesario crear una lista de control, que suele incluir los
siguientes pasos:
Identifica el ámbito de la auditoría
● La auditoría debería:
○ Enumerar los activos que se evaluarán, por ejemplo, si los cortafuegos (firewalls)
están bien configurados, si la información personal de identificación (PII) es
segura, si los activos físicos están bloqueados, etc..
○ Especificar de qué manera la auditoría ayudará a la organización a alcanzar sus
objetivos.
○ Indicar la frecuencia con la que debería realizarse.
○ Incluir una evaluación de las políticas, protocolos y procedimientos de la
organización para asegurar que funcionen según lo previsto y que el personal los
esté poniendo en práctica.

Completa una evaluación de riesgos

● Una evaluación de riesgos se utiliza para analizar los riesgos organizacionales
identificados, relacionados con el presupuesto, los controles, los procesos internos y los
estándares externos (por ejemplo, regulaciones).

Realiza una auditoría

● Al realizar una auditoría interna, evaluarás la seguridad de los activos identificados que
se mencionan en el alcance de la auditoría.

Crea un plan de mitigación

● Un plan de mitigación es una estrategia implementada para reducir el nivel de riesgo y
los costos potenciales, sanciones u otros problemas que puedan perjudicar la postura de
seguridad de la organización.

Comunica los resultados a las partes interesadas

● El resultado final de este proceso es proporcionar un informe detallado de los hallazgos,
las mejoras sugeridas necesarias para reducir el nivel de riesgo de la organización, así
como las normas y los estándares de cumplimiento que la empresa debe cumplir.
Conclusiones clave
En esta lección, aprendiste más sobre las auditorías de seguridad, incluyendo su definición, el
propósito de su realización y el papel que desempeñan los marcos, los controles y el
cumplimiento normativo en dicho proceso.
Si bien todavía queda mucho más por aprender sobre este tema, esta introducción tiene como
objetivo brindarte apoyo para que puedas realizar una auditoría propia como parte de una
actividad de autorreflexión en tu cartera, más adelante en este curso.

Recursos para obtener información adicional

A continuación, se incluyen los recursos que puedes explorar para profundizar tus
conocimientos sobre las auditorías en el ámbito de la ciberseguridad:
● Guía de procedimientos de seguridad informática: Auditoría y rendición de cuentas (AU)
CIO-IT Security-01-08
● Recursos de evaluación y auditoría
● Plan de recuperación ante desastres informáticos
 Realiza una auditoría de seguridad
Antes vimos los elementos iniciales de una auditoría interna de seguridad. En este video,
veremos los elementos finales que un/a analista de nivel inicial podría tener que completar.
Recuerda: los elementos de planificación de las auditorías internas son definir el alcance y los
objetivos, y evaluar los riesgos.
0:25
Los elementos restantes son evaluar los controles, evaluar el cumplimiento y comunicar los
resultados. Antes de completar los tres elementos finales debes consultar el alcance y los
objetivos, así como la evaluación del riesgo, y plantearte algunas preguntas. Por ejemplo: ¿Qué
se quiere lograr con la auditoría? ¿Qué activos están más en riesgo? ¿Son suficientes los
controles actuales para proteger esos activos? Si no lo son, ¿qué controles y normativa de
cumplimiento se deben implementar? Al tener en cuenta estas preguntas dispondrás de una
base para completar el siguiente elemento: evaluar los controles.
1:10
Una evaluación de controles implica revisar los activos de una organización y luego evaluar los
posibles riesgos para esos activos a fin de garantizar que los controles internos sean efectivos.
Para lograrlo, los/las analistas de nivel inicial podrían clasificar los controles en las siguientes
categorías. Controles administrativos, controles técnicos y controles físicos. Los controles
administrativos se relacionan con el componente humano de la ciberseguridad. Son políticas y
procedimientos que definen cómo una organización gestiona los datos, como la implementación
de las políticas de contraseñas. Los controles técnicos son soluciones de hardware y software
para proteger los activos, como usar sistemas de detección de intrusiones (IDS) y cifrado.
Reproduce el video desde :2:7 y sigue la transcripción

2:07
Los controles físicos son medidas implementadas para evitar el acceso físico a los activos
protegidos, como cámaras de vigilancia y cerraduras. El siguiente elemento es determinar si la
organización sigue o no el cumplimiento normativo necesaria. Recuerda, el cumplimiento
normativo se refiere a leyes que la organización debe seguir para proteger los datos privados.
En este ejemplo, la organización opera en la Unión Europea y acepta pagos con tarjeta de
crédito. Por lo tanto, debe cumplir con el RGPD y los estándares de seguridad de datos del
sector de las tarjetas de pago (PCI DSS). El elemento final de una auditoría interna de seguridad
es la comunicación. Tras completar la auditoría interna, deben notificarse los resultados y
recomendaciones a las partes interesadas. En general, este tipo de comunicación resume el
alcance y los objetivos de la auditoría. Enumera los riesgos existentes e indica con qué
velocidad deben abordarse. Además, identifica el cumplimiento normativo que la organización
debe seguir y da recomendaciones para mejorar la postura de seguridad de la empresa. Las
auditorías internas sirven para identificar vulnerabilidades dentro de la organización. En mi
empleo anterior, llevé adelante junto con mi equipo una auditoría interna de contraseñas y
descubrimos que muchas eran poco seguras. Tras identificar este problema, el equipo de
cumplimiento tomó la iniciativa e implementó políticas de contraseña más estrictas. Las
auditorías permiten determinar qué medidas de seguridad hay y qué áreas deben mejorarse
para lograr la postura de seguridad deseada. Las auditorías de seguridad son complejas, pero
aportan mucho valor a la organización. Más adelante, podrás completar elementos de una
auditoría interna de seguridad de una empresa ficticia, la cual podrás incluir en tu cartera
profesional.
Términos del glosario de la semana 2
Términos y definiciones del curso 2, semana 2
Activo: Elemento percibido como valioso para una organización.
Amenaza: Cualquier circunstancia o evento que pueda afectar los activos de manera
negativa.
Auditoría de seguridad: Revisión de los controles, políticas y procedimientos de seguridad
de una organización.
Autenticación: Proceso de verificar la identidad de una persona.
Autorizar: Sexto paso del Marco de Gestión de Riesgos (RMF) del NIST que se refiere a
asumir la responsabilidad de los riesgos de seguridad y privacidad que puedan existir en
una organización.
Cifrado: El proceso de convertir datos de un formato legible a uno legible con el fin de
protegerlos.
Confidencialidad: Propiedad según la cual únicamente las personas autorizadas pueden
acceder a activos o datos específicos.
Controles de seguridad: Medidas de prevención diseñadas para reducir riesgos de
ciberseguridad específicos.
Datos biométricos: Características físicas únicas que se pueden utilizar para verificar la
identidad de una persona.
Detectar: Una función central del NIST relacionada con la identificación de posibles
incidentes de seguridad y la mejora de las capacidades de monitoreo y respuesta.
Disponibilidad: Propiedad según la cual todas las personas autorizadas pueden acceder a
activos o datos específicos.
Identificar: Una función central del NIST relacionada con la gestión del riesgo de
ciberseguridad y su efecto sobre las personas y los activos de una organización.
Integridad: Cualidad que identifica a los datos como correctos, auténticos y confiables.
Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología
(NIST): Marco de adhesión voluntaria creado en los Estados Unidos, que incluye
estándares, pautas y prácticas recomendadas para gestionar los riesgos de ciberseguridad.
Marcos de seguridad: Pautas utilizadas para crear planes que ayuden a mitigar el riesgo y
las amenazas a los datos y la privacidad.
Open Web Application Security Project (OWASP): Organización sin fines de lucro
centrada en mejorar la seguridad del software.
Postura de seguridad: Capacidad de una organización para administrar la defensa de sus
activos y datos críticos y reaccionar ante los cambios.
Proteger: Una función central del NIST que consiste en resguardar a una organización a
través de la implementación de políticas, procedimientos, capacitación y herramientas que
ayuden a mitigar las amenazas a la ciberseguridad.
Publicación Especial (SP) del Instituto Nacional de Normas y Tecnología (NIST) 800-
53: Marco unificado para proteger la seguridad de los sistemas de información dentro del
gobierno federal de los EE.UU.
Responder: Funciónunción central del NIST que consiste en restablecer el funcionamiento
normal de los sistemas afectados.
Respuesta: Una función central del NIST relacionada con asegurarse de que se utilicen los
procedimientos adecuados para contener, neutralizar y analizar incidentes de seguridad, e
implementar mejoras en el proceso de seguridad.
Riesgo: Cualquier hecho que pueda afectar a la confidencialidad, integridad o disponibilidad
de un activo.
Tríada de confidencialidad, integridad y disponibilidad (CID): Guía que ayuda a las
organizaciones a evaluar los riesgos y establecer sistemas y políticas de seguridad.
Vector de ataque: Método que se utiliza para penetrar las defensas de seguridad de un
sistema informático.