Universidad Técnica Particular de Loja

Ciberseguridad
Integrantes:
▪ Diego Castillo
▪ Alex León
▪ Lizbeth Pacheco
▪ Sulay Morocho
▪ Luis Calva
Tema: Ensayo de 2500 palabras sobre las normas de seguridad
Introducción

Como menciona Bruce Schneier "El hardware es fácil de proteger: encerrarlo en una
habitación, encadenarlo a un escritorio o comprar uno de repuesto. La información
plantea más un problema. Puede existir en más de un lugar; ser transportado a la
mitad del planeta en segundos; y ser robado sin su conocimiento". Actualmente el
activo más importante de cualquier empresa es la información, las empresas deben
invertir más dinero en salvaguardar sus sistemas. Es por esta razón que existen
normas para la implementación de la ciberseguridad, estas normas difieren es su
enfoque, van desde implementar políticas de seguridad en la empresa, a implementar
medidas a nivel de la solución de software. A continuación, se detallan las principales
normas que respectan a implementar la ciberseguridad de manera segura.

Desde hace unos años, la palabra ciberseguridad se ha vuelto un término muy crítico
e importante en las empresas, como en las personas particulares ya que están
expuestos a una gran variedad de peligros que les pueden causar daños
considerables. Cuanto más interconectado está el mundo digital, más relevante se
vuelve la seguridad, debido a que actualmente se está efectuando una interconexión
global de todo tipo de sistemas informáticos la cual nos está obligando a mantener
nuestra información, datos, sistemas protegidos, tecnologías de la información y de
la comunicación ya sea de acciones accidentales o intencionales que pongan en
riesgo tal información.

Para poder garantizar la seguridad informática de los usuarios se puede recurrir a

numerosos medios de seguridad informática. Estos van desde la explicación de los
peligros en la red hasta la aplicación de herramientas y programas con los que el
usuario puede protegerse de ataques en Internet, también existen los diferentes
cursos de formación sobre seguridad online o cursos presenciales en las diferentes
instituciones académicas.

Existen diferentes estándares de seguridad informática, que se han encargado de la

publicación de diferentes documentos y pautas de mejores prácticas encargadas de
la seguridad informática además se ha dedicado al desarrollo de políticas,
procedimientos y orientación general para los equipos de gestión del sistema de
seguridad cibernética. Varias organizaciones, basadas en un amplio aporte
profesional, han desarrollado tipos de documentos de mejores prácticas, así como
estándares para implementar y evaluar la ciberseguridad. Del lado de los estándares,
el jugador más destacado es el Instituto Nacional de Estándares y Tecnología (NIST).
El NIST tiene una gran cantidad de publicaciones de seguridad, incluidas nueve
Normas Federales de Procesamiento de Información (FIPS) y 100 Publicaciones
Especiales (SP) activas que brindan orientación sobre prácticamente todos los
aspectos de la ciberseguridad. Otras organizaciones que han producido normas y
directrices de seguridad cibernética incluyen el UIT-T, la Organización Internacional
de Normalización (ISO) y la Internet Society (ISOC). (Stallings, 2019)

Desarrollo

ISF
El Foro Internacional de Seguridad por sus siglas en inglés (ISF) es una organización
sin fines de lucro, la cual se encarga de investigar y resolver problemas claves en
ciberseguridad y de manera general dar mejores soluciones a las necesidades
comerciales de sus miembros (Stallings, 2019). La actividad más relevante de esta
organización es el desarrollo continuo del Estándar de Buenas Prácticas para la
Seguridad de la Información (SGP).
Uno de los documentos de estándares de seguridad más utilizados es el de la ISF
con su Norma de Buenas Prácticas para la Seguridad de la Información por sus siglas
en ingles. Actualmente la última edición existente es la del 2018 en donde se provee
un enfoque orientado a los negocios. La cobertura que incluye esta norma es
principalmente: desarrollo de sistemas ágiles, alineación del riesgo de información
con el riesgo operativo, plataformas de colaboración, sistemas de control industrial
(ICS) y privacidad de la información e inteligencia de amenazas (“The ISF Standard
of Good Practice for Information Security 2018 - Information Security Forum,” n.d.).
Algunas de las ventajas de la utilización de este estándar son: Identificar cómo se
pueden cumplir los requisitos reglamentarios y de cumplimiento, respuesta a las
amenazas que evolucionan rápidamente, incluidos los sofisticados ataques de
seguridad cibernética mediante el uso de inteligencia de amenazas para aumentar la
resistencia cibernética y ser ágil y explotar nuevas oportunidades, al tiempo que
garantiza que los riesgos de información asociados se gestionen a niveles aceptables
(“Standard of good practice for information security,” n.d.).
Actualmente algunos de los grupos más interesados en este estándar son: jefes de la
Seguridad de la información, Gerentes de la Seguridad de la Información, Gerentes
de Negocios, Gerentes de IT y Personal Técnico, Auditores internos y externos,
Proveedores de servicios de IT y Equipos de adquisición y gestión de proveedores
(Stallings, 2019). Como se evidencia existen varios grupos interesados por lo que este
estándar es muy valioso y el correcto manejo de toda esta información va a ser muy
importante para la empresa que lo implemente.
SGP se encuentra organizado mediante categorías y áreas en donde se tratan
diferentes temas. Todos estos temas enfocados principalmente desde la perspectiva
de la seguridad en una empresa. Cabe señalar que la estructura la cual se maneja es
muy similar a la de ISO 27000 y puede ser utilizado para empresas que tengan como
modelo de implementación de ISO para obtener una certificación.
Finalmente, con todas las categorías y áreas en las cuales se encuentra dividido este
estándar se obtienen tres actividades principales: la planeación por la ciberseguridad,
gestión de la función de la ciberseguridad y la evaluación de la seguridad. Todas estas
actividades se encuentran en continua retroalimentación por lo que es importante que
siempre existan registros de cualquier modificación o cambio para facilitar la
corrección o detección de fallas.
En conclusión, este estándar es de suma importancia ya que representa la correcta
implementación de un sistema de seguridad basándose en la experiencia de otros
estándares y con la experiencia práctica de los miembros de ISF. En cualquier
empresa donde se implemente este modelo tendrá un mejor servicio y contará con
una mejor garantía de seguridad.

ISO 27002

La ISO 27002 es un código de prácticas para el control de la seguridad de la

información, mediante la definición de un framework o marco de trabajo para ayudar
a seleccionar los controles necesarios en un sistema de gestión de la seguridad de la
información (SGSI) (Stallings, 2019). Esta ISO no especifica los requerimientos para
el SGSI, mismo que son contemplados en la ISO 27001, pero se encuentran
relacionados ya que en base a los requerimientos que el negocio considere
pertinentes este a su vez debe mitigar los riesgos de seguridad y establecer los
controles correspondientes. Para ello la ISO se divide en los siguientes componentes
(Toro, 2016):
1. Políticas de la Seguridad de la Información.
En este apartado se da importancia a la disposición correcta de políticas de
seguridad, aprobadas por la dirección, comunicada a todo el personal, revisada
de forma periódica y actualizada con los cambios que se producen en el interior y
en el exterior de la organización.
2. Organización de la Seguridad de la Información.
Con este apartado se busca estructurar un marco de seguridad eficaz y eficiente
mediante el uso de los roles, tareas, seguridad, etc. y en especial atención en el
teletrabajo dentro de las empresas, por lo que, se deben tener en cuenta todas
sus características especiales para que en ningún momento la seguridad de la
información de la empresa que se dispone se vea afectada.
3. Seguridad relativa a los recursos humanos.
Se debe formar y concienciar a todo el personal de la empresa de las políticas
establecidas sobre el manejo de la información en el desarrollo de sus actividades
y la importancia que tiene, así mismo el de promover, mantener y mejorar el nivel
de seguridad, en base a la naturaleza de los datos.
4. Gestión de activos.
Este apartado se desarrolla en la atención en la información como activo y en
cómo se deben establecer las medidas adecuadas para guardarlos de las
incidencias, fallos o vulneración en la seguridad.
5. Control de acceso.
No todas las personas de una organización deben ni necesitan acceder a todos
los apartados de la empresa para realizar sus actividades diarias, sino que deben
tener roles que necesitan un mayor acceso y otros con un acceso mucho más
limitado. Para ello se establece el registro de los usuarios, gestión de los privilegios
de acceso, etc. siendo algunos de los controles que se incluyen en este apartado
(ISO, s.f.-b).
6. Criptografía.
En el caso de que estemos tratando la información sensible o crítica debe ser
prioridad utilizar técnicas criptográficas para proteger y garantizar su autenticidad,
confidencialidad e integridad.
7. Seguridad física y del entorno.
En este apartado nos menciona que la seguridad no es solo a nivel tecnológico
sino también físico, por lo tanto, una simple labor de no dejar las pantallas e
impresoras en zonas que sean fácilmente accesibles, por parte del personal
externo los documentos con los que se están trabajando no sólo nos permitirán
gestionar de forma adecuada la seguridad, sino que se acabarán convirtiendo en
hábitos que nos aportan eficiencia en la gestión.
8. Seguridad de las operaciones.
En este apartado se refiere a un apartado netamente tecnico para la protección de
software malicioso, copias de seguridad, control de software en explotación,
gestión de vulnerabilidad, etc.
 9. Seguridad de las comunicaciones.
En este apartado se trata de garantizar la seguridad y proteger de forma adecuada
los medios de transmisión de estos datos clave, ya que todos se comunican
mediante email o redes sociales.
10. Adquisiciones, desarrollo y mantenimiento de los sistemas de
información.
La seguridad no es un aspecto de un área en concreto, ni de un determinado
proceso, no que es general, abarca toda la organización y tiene que estar presente
como elemento transversal clave dentro del ciclo de vida del sistema de gestión
(ISO, s.f.-b).
11. Relación de proveedores.
Cuando se establecen las relaciones con terceras partes, como puede ser
proveedores, se deben establecer medidas de seguridad pudiendo ser muy
recomendable e incluso necesario en determinados casos.
12. Gestión de incidentes de seguridad de la información.
El presente apartado busca el estar preparados para a los incidentes que ocurran,
dando una respuesta eficaz y eficiente siendo la calve para prevenirlos en el futuro.
13. Aspectos de seguridad de la información para la gestión de la
continuidad de negocio.
En este apartado buscan que al gestionar la información no se sufra de una
pérdida de información relevante y no poder recuperarla de laguna manera y
pueda poner en peligro la continuidad del negocio de la organización.
14. Cumplimiento.
De igual manera se debe conocer y estar bajo la legislación, normas y políticas
aplicables que se encuentre relacionadas con este campo y con las que conviven
en las organizaciones.

CIS
CIS es un conjunto de acciones que permiten mitigar los ataques más comunes en
sistemas y redes.
“El Centro de Seguridad de Internet, Inc. (CIS) es una organización sin fines de lucro
cuya misión es identificar, desarrollar, validar, promover y sostener mejores prácticas
en ciberseguridad; entregar soluciones de ciberseguridad para prevenir y responder
rápidamente a incidentes cibernéticos y de esta manera brindar un entorno de
confianza en el ciberespacio” (Stallings, 2019). Para garantizar un resultado final más
sólido CIS propone seguir los siguientes 7 principios.
1. Abordar los ataques actuales, la tecnología emergente y los requisitos
cambiantes de misión / negocio para TI: Los controles CIS se han actualizado
 y reordenado para reflejar tanto la disponibilidad de nuevas herramientas de
ciberseguridad como los cambios en el panorama actual de amenazas.
2. Céntrese en los temas clave, como la autenticación, los cifrados y la lista
blanca de aplicaciones: Cubre de forma detallada la orientación para cada uno
de estos temas principales de seguridad de una manera más clara, más fuerte
y más consistente.
3. Alinearse mejor con otros marcos: con el mapeo al Marco de Seguridad
Cibernética NIST, nunca ha sido tan fácil funcionar en un mundo de múltiples
marcos.
4. Mejore la consistencia y simplifique la redacción de cada subcontrol. Facilita el
seguimiento de los usuarios. Al eliminar múltiples tareas dentro de un solo
subcontrol, los controles CIS son más fáciles de medir, monitorear e
implementar.
5. Establezca las bases para un "ecosistema" de rápido crecimiento de productos
relacionados con servicios publicitarios tanto de CIS como del mercado: Hacer
que sea más fácil para todos comprender, rastrear, importar e integrar los
controles CIS en productos, servicios y toma de decisiones corporativas.
6. Realice algunos cambios estructurales en el diseño y el formato: Contenido
más flexible
7. Refleje los comentarios de una comunidad mundial de voluntarios, adoptantes
y simpatizantes: Apoyo de voluntarios a nivel mundial
En (Controls, n.d.). Se menciona que los controles de seguridad se dividen en 3
categorías: Básico:1. Inventario y control de activos de hardware, 2. Inventario y
control de activos de software; 3. Continua gestión de vulnerabilidades; 4. Uso
controlado de privilegios administrativos; 5. Configuración segura para hardware y
software en
Dispositivos móviles; computadoras portátiles; estaciones de trabajo y servidores;6.
Mantenimiento, Monitoreo y Análisis de Registros de auditoría. Fundamental: 7.
Protecciones de correo electrónico y navegador web; 8. Defensas de malware; 9.
Limitación y control de puertos de red, protocolos y servicios; 10. Capacidades de
recuperación de datos; 11. Configuración segura para dispositivos de red, como
firewalls, Enrutadores e interruptores; 12. Defensa de límites; 13. Protección de Datos;
14. Acceso controlado basado en la necesidad de saber; 15. Control de acceso
inalámbrico; 16. Monitoreo y control de cuentas. Organizacional: 17. Implementar
una conciencia de seguridad y Programa de entrenamiento; 18. Seguridad de
software de aplicación 19. Respuesta a incidentes y gestión 20. Pruebas de
penetración y ejercicios del equipo rojo.
Estos tipos de controles están abiertos para cualquier tipo de organización siempre y
cuando pueda aplicarlo.
COBIT-5
COBIT 5 es un marco de trabajo que permite comprender el gobierno y la gestión de
las tecnologías de información (TI) de una organización, así como evaluar el estado
en que se encuentran las TI en la empresa. (S.N, 2016)
COBIT-5 se basa en cinco principios básicos ya sea para el gobierno y la gestión de
las tecnologías de información (TI) las cuales se mencionan a continuación:
• Satisfacción de las necesidades de los accionistas: se alinean las necesidades
de los accionistas con los objetivos empresariales específicos, objetivos de TI
y objetivos habilitadores. Se optimiza el uso de recursos cuando se obtienen
beneficios con un nivel aceptable de riesgo.
• Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI
son asumidos desde una perspectiva global, de tal modo que se cubren todas
las necesidades corporativas de TI. Esto se aplica desde una perspectiva "de
punta a punta" basada en los 7 habilitadores de COBIT.
• Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores
marcos de Information Systems Audit and Control Association (ISACA) como
Val IT, que relaciona los procesos de COBIT con los de la gerencia requeridos
para conseguir un buen valor de las inversiones en TI. También se relaciona
con Risk IT, lanzado por ISACA para ayudar a organizaciones a equilibrar los
riesgos con los beneficios.
• Posibilitar un enfoque holístico: los habilitadores de COBIT 5 están
identificados en siete categorías que abarcan toda la empresa. Individual y
colectivamente, estos factores influyen para que el gobierno de TI y la gestión
de TI operen en función de las necesidades del negocio.
• Separar el gobierno de la gestión: COBIT 5 distingue con claridad los ámbitos
del gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las
funciones relacionadas con la evaluación, la dirección y el monitoreo de las TI.
El gobierno busca asegurar el logro de los objetivos empresariales y también
evalúa las necesidades de los accionistas, así como las condiciones y las
opciones existentes. La dirección se concreta mediante la priorización y la toma
efectiva de decisiones. Y el monitoreo abarca el desempeño, el cumplimiento
y el progreso en función con los objetivos acordados. La gestión está más
relacionada con la planificación, la construcción, la ejecución y el monitoreo de
las actividades alineadas con la dirección establecida por el organismo de
gobierno para el logro de los objetivos empresariales. (S.N, 2016)
Estos cinco principios básicos permiten a la organización construir un marco efectivo
de gobierno y administración basado en una serie holística de siete categorías, la cual
estos factores están influyendo para el funcionamiento de las necesidades del
negocio del gobierno y la gestión de las TI.

NIST
El NIST es reconocido por muchos como un recurso para ayudar a mejorar las
operaciones de seguridad y la gobernanza de las organizaciones públicas y privadas.
Si bien el NIST CSF es una pauta excelente para transformar la postura de seguridad
organizacional y la gestión de riesgos de un enfoque reactivo a proactivo, puede ser
un marco difícil de profundizar e implementar.

Originalmente diseñado para los propietarios y operadores de infraestructura crítica

del sector privado de EE. UU., El Marco de Seguridad Cibernética del NIST ha
evolucionado para incluir a las comunidades y organizaciones globales como partes
interesadas.

El NIST está organizado en cinco funciones básicas, también conocidas como

Framework Core. Las funciones se organizan simultáneamente entre sí para
representar un ciclo de vida de seguridad.

Al usar el marco, las organizaciones pueden comprender y mitigar mejor los riesgos
que enfrentan todos los días al maximizar la cantidad de dinero gastado en
ciberseguridad. Al hacer esto, las organizaciones pueden ver qué actividades son más
importantes para la prestación de servicios críticos y asegurarse de que están
asignando los recursos adecuados para protegerse.

Conclusiones

• La ISO 27002 es una norma que permite mediante sus apartados establecer
mecanismos de seguridad, cumplimiento y mitigación de riesgos potenciales
que puedan afectar al negocio, por lo que el mismo debe estar preparado para
poder mantenerse, siendo un marco de trabajo que cubre en su mayor parte
los aspectos más importantes para la seguridad de una empresa.
• NIST es un marco de trabajo que no obligatorio implementar, pero muchas
empresas optan por este debido a que proporcionar soluciones escalables para
organizaciones de cualquier tamaño e industria.
• Los controles CIS pueden ser implementados en cualquier tipo de
organización. Ofrece varios beneficios al estar a la vanguardia de soluciones
para ataques ya que su base está constantemente alimentándose de ataques
que se presentan en diferentes organizaciones a nivel mundial. A la vez esto
permite evitar posibles ataques similares a las empresas.
• Como se puede observar el uso de la norma de estandarización COBIT-5
puede garantizar a las empresas que lo implementan una reducción de los
índices de incertidumbre sobre las vulnerabilidades y riesgos que esta puede
presentar en cuanto a la seguridad de la información.
Bibliografía

Stallings, W. (2019). Effective Cybersecurity - A Guide to using Best Practices and

Standards. (Brett Bartow, M. Bartow, S. Schroeder, L. Lyons, & Kitty Wilson, Eds.).
Addison-Wesley.
Standard of good practice for information security. (n.d.). Retrieved October 20, 2019, from
https://www.futurelearn.com/courses/cyber-security-in-the-software-development-life-
cycle/1/steps/446356
The ISF Standard of Good Practice for Information Security 2018 - Information Security
Forum. (n.d.). Retrieved October 20, 2019, from https://www.securityforum.org/tool/the-
isf-standard-good-practice-information-security-2018/
Controls, C. I. S. (n.d.). Foundational 1—6 7—16. Retrieved from
https://cybernetsecurity.com/industry-papers/CIS-Controls%20Version-7-cc-FINAL.PDF
CIS Controls Version 7 - What's Old, What's New. (2019). Retrieved from
https://www.cisecurity.org/blog/cis-controls-version-7-whats-old-whats-new
S.N. (1 de Junio de 2016). Conexionesan. Obtenido de https://www.esan.edu.pe/apuntes-
empresariales/2016/06/los-cinco-principios-de-cobit-5/
Stallings, W. (2019). Effective Cybersegurity: A Guide to Using Best Practices and Standards.
New York: Addison Wesley .
Neeper, L (2019). A Quick NIST Cybersecurity Framework Summary. Recuperado de
https://a-lign.com/a-quick-nist-cybersecurity-framework-summary

Cipher. (2018) .A quick nist cybersecurity framework summary. Recuperado de

https://cipher.com/blog/a-quick-nist-cybersecurity-framework-summary/
ISO. (s.f.-a). ISO27000.es - El portal de ISO 27001 en español. Gestión de Seguridad de la
Información. Recuperado 22 octubre, 2019, de http://iso27000.es/iso27002.html
Raquel Toro. (2016, 16 junio). La norma ISO 27002 complemento para la ISO 27001.
Recuperado 22 octubre, 2019, de https://www.pmg-ssi.com/2016/06/la-norma-iso-27002-
complemento-para-la-iso-27001/