Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ciberseguridad
Integrantes:
▪ Diego Castillo
▪ Alex León
▪ Lizbeth Pacheco
▪ Sulay Morocho
▪ Luis Calva
Tema: Ensayo de 2500 palabras sobre las normas de seguridad
Introducción
Como menciona Bruce Schneier "El hardware es fácil de proteger: encerrarlo en una
habitación, encadenarlo a un escritorio o comprar uno de repuesto. La información
plantea más un problema. Puede existir en más de un lugar; ser transportado a la
mitad del planeta en segundos; y ser robado sin su conocimiento". Actualmente el
activo más importante de cualquier empresa es la información, las empresas deben
invertir más dinero en salvaguardar sus sistemas. Es por esta razón que existen
normas para la implementación de la ciberseguridad, estas normas difieren es su
enfoque, van desde implementar políticas de seguridad en la empresa, a implementar
medidas a nivel de la solución de software. A continuación, se detallan las principales
normas que respectan a implementar la ciberseguridad de manera segura.
Desde hace unos años, la palabra ciberseguridad se ha vuelto un término muy crítico
e importante en las empresas, como en las personas particulares ya que están
expuestos a una gran variedad de peligros que les pueden causar daños
considerables. Cuanto más interconectado está el mundo digital, más relevante se
vuelve la seguridad, debido a que actualmente se está efectuando una interconexión
global de todo tipo de sistemas informáticos la cual nos está obligando a mantener
nuestra información, datos, sistemas protegidos, tecnologías de la información y de
la comunicación ya sea de acciones accidentales o intencionales que pongan en
riesgo tal información.
Desarrollo
ISF
El Foro Internacional de Seguridad por sus siglas en inglés (ISF) es una organización
sin fines de lucro, la cual se encarga de investigar y resolver problemas claves en
ciberseguridad y de manera general dar mejores soluciones a las necesidades
comerciales de sus miembros (Stallings, 2019). La actividad más relevante de esta
organización es el desarrollo continuo del Estándar de Buenas Prácticas para la
Seguridad de la Información (SGP).
Uno de los documentos de estándares de seguridad más utilizados es el de la ISF
con su Norma de Buenas Prácticas para la Seguridad de la Información por sus siglas
en ingles. Actualmente la última edición existente es la del 2018 en donde se provee
un enfoque orientado a los negocios. La cobertura que incluye esta norma es
principalmente: desarrollo de sistemas ágiles, alineación del riesgo de información
con el riesgo operativo, plataformas de colaboración, sistemas de control industrial
(ICS) y privacidad de la información e inteligencia de amenazas (“The ISF Standard
of Good Practice for Information Security 2018 - Information Security Forum,” n.d.).
Algunas de las ventajas de la utilización de este estándar son: Identificar cómo se
pueden cumplir los requisitos reglamentarios y de cumplimiento, respuesta a las
amenazas que evolucionan rápidamente, incluidos los sofisticados ataques de
seguridad cibernética mediante el uso de inteligencia de amenazas para aumentar la
resistencia cibernética y ser ágil y explotar nuevas oportunidades, al tiempo que
garantiza que los riesgos de información asociados se gestionen a niveles aceptables
(“Standard of good practice for information security,” n.d.).
Actualmente algunos de los grupos más interesados en este estándar son: jefes de la
Seguridad de la información, Gerentes de la Seguridad de la Información, Gerentes
de Negocios, Gerentes de IT y Personal Técnico, Auditores internos y externos,
Proveedores de servicios de IT y Equipos de adquisición y gestión de proveedores
(Stallings, 2019). Como se evidencia existen varios grupos interesados por lo que este
estándar es muy valioso y el correcto manejo de toda esta información va a ser muy
importante para la empresa que lo implemente.
SGP se encuentra organizado mediante categorías y áreas en donde se tratan
diferentes temas. Todos estos temas enfocados principalmente desde la perspectiva
de la seguridad en una empresa. Cabe señalar que la estructura la cual se maneja es
muy similar a la de ISO 27000 y puede ser utilizado para empresas que tengan como
modelo de implementación de ISO para obtener una certificación.
Finalmente, con todas las categorías y áreas en las cuales se encuentra dividido este
estándar se obtienen tres actividades principales: la planeación por la ciberseguridad,
gestión de la función de la ciberseguridad y la evaluación de la seguridad. Todas estas
actividades se encuentran en continua retroalimentación por lo que es importante que
siempre existan registros de cualquier modificación o cambio para facilitar la
corrección o detección de fallas.
En conclusión, este estándar es de suma importancia ya que representa la correcta
implementación de un sistema de seguridad basándose en la experiencia de otros
estándares y con la experiencia práctica de los miembros de ISF. En cualquier
empresa donde se implemente este modelo tendrá un mejor servicio y contará con
una mejor garantía de seguridad.
ISO 27002
CIS
CIS es un conjunto de acciones que permiten mitigar los ataques más comunes en
sistemas y redes.
“El Centro de Seguridad de Internet, Inc. (CIS) es una organización sin fines de lucro
cuya misión es identificar, desarrollar, validar, promover y sostener mejores prácticas
en ciberseguridad; entregar soluciones de ciberseguridad para prevenir y responder
rápidamente a incidentes cibernéticos y de esta manera brindar un entorno de
confianza en el ciberespacio” (Stallings, 2019). Para garantizar un resultado final más
sólido CIS propone seguir los siguientes 7 principios.
1. Abordar los ataques actuales, la tecnología emergente y los requisitos
cambiantes de misión / negocio para TI: Los controles CIS se han actualizado
y reordenado para reflejar tanto la disponibilidad de nuevas herramientas de
ciberseguridad como los cambios en el panorama actual de amenazas.
2. Céntrese en los temas clave, como la autenticación, los cifrados y la lista
blanca de aplicaciones: Cubre de forma detallada la orientación para cada uno
de estos temas principales de seguridad de una manera más clara, más fuerte
y más consistente.
3. Alinearse mejor con otros marcos: con el mapeo al Marco de Seguridad
Cibernética NIST, nunca ha sido tan fácil funcionar en un mundo de múltiples
marcos.
4. Mejore la consistencia y simplifique la redacción de cada subcontrol. Facilita el
seguimiento de los usuarios. Al eliminar múltiples tareas dentro de un solo
subcontrol, los controles CIS son más fáciles de medir, monitorear e
implementar.
5. Establezca las bases para un "ecosistema" de rápido crecimiento de productos
relacionados con servicios publicitarios tanto de CIS como del mercado: Hacer
que sea más fácil para todos comprender, rastrear, importar e integrar los
controles CIS en productos, servicios y toma de decisiones corporativas.
6. Realice algunos cambios estructurales en el diseño y el formato: Contenido
más flexible
7. Refleje los comentarios de una comunidad mundial de voluntarios, adoptantes
y simpatizantes: Apoyo de voluntarios a nivel mundial
En (Controls, n.d.). Se menciona que los controles de seguridad se dividen en 3
categorías: Básico:1. Inventario y control de activos de hardware, 2. Inventario y
control de activos de software; 3. Continua gestión de vulnerabilidades; 4. Uso
controlado de privilegios administrativos; 5. Configuración segura para hardware y
software en
Dispositivos móviles; computadoras portátiles; estaciones de trabajo y servidores;6.
Mantenimiento, Monitoreo y Análisis de Registros de auditoría. Fundamental: 7.
Protecciones de correo electrónico y navegador web; 8. Defensas de malware; 9.
Limitación y control de puertos de red, protocolos y servicios; 10. Capacidades de
recuperación de datos; 11. Configuración segura para dispositivos de red, como
firewalls, Enrutadores e interruptores; 12. Defensa de límites; 13. Protección de Datos;
14. Acceso controlado basado en la necesidad de saber; 15. Control de acceso
inalámbrico; 16. Monitoreo y control de cuentas. Organizacional: 17. Implementar
una conciencia de seguridad y Programa de entrenamiento; 18. Seguridad de
software de aplicación 19. Respuesta a incidentes y gestión 20. Pruebas de
penetración y ejercicios del equipo rojo.
Estos tipos de controles están abiertos para cualquier tipo de organización siempre y
cuando pueda aplicarlo.
COBIT-5
COBIT 5 es un marco de trabajo que permite comprender el gobierno y la gestión de
las tecnologías de información (TI) de una organización, así como evaluar el estado
en que se encuentran las TI en la empresa. (S.N, 2016)
COBIT-5 se basa en cinco principios básicos ya sea para el gobierno y la gestión de
las tecnologías de información (TI) las cuales se mencionan a continuación:
• Satisfacción de las necesidades de los accionistas: se alinean las necesidades
de los accionistas con los objetivos empresariales específicos, objetivos de TI
y objetivos habilitadores. Se optimiza el uso de recursos cuando se obtienen
beneficios con un nivel aceptable de riesgo.
• Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI
son asumidos desde una perspectiva global, de tal modo que se cubren todas
las necesidades corporativas de TI. Esto se aplica desde una perspectiva "de
punta a punta" basada en los 7 habilitadores de COBIT.
• Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores
marcos de Information Systems Audit and Control Association (ISACA) como
Val IT, que relaciona los procesos de COBIT con los de la gerencia requeridos
para conseguir un buen valor de las inversiones en TI. También se relaciona
con Risk IT, lanzado por ISACA para ayudar a organizaciones a equilibrar los
riesgos con los beneficios.
• Posibilitar un enfoque holístico: los habilitadores de COBIT 5 están
identificados en siete categorías que abarcan toda la empresa. Individual y
colectivamente, estos factores influyen para que el gobierno de TI y la gestión
de TI operen en función de las necesidades del negocio.
• Separar el gobierno de la gestión: COBIT 5 distingue con claridad los ámbitos
del gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las
funciones relacionadas con la evaluación, la dirección y el monitoreo de las TI.
El gobierno busca asegurar el logro de los objetivos empresariales y también
evalúa las necesidades de los accionistas, así como las condiciones y las
opciones existentes. La dirección se concreta mediante la priorización y la toma
efectiva de decisiones. Y el monitoreo abarca el desempeño, el cumplimiento
y el progreso en función con los objetivos acordados. La gestión está más
relacionada con la planificación, la construcción, la ejecución y el monitoreo de
las actividades alineadas con la dirección establecida por el organismo de
gobierno para el logro de los objetivos empresariales. (S.N, 2016)
Estos cinco principios básicos permiten a la organización construir un marco efectivo
de gobierno y administración basado en una serie holística de siete categorías, la cual
estos factores están influyendo para el funcionamiento de las necesidades del
negocio del gobierno y la gestión de las TI.
NIST
El NIST es reconocido por muchos como un recurso para ayudar a mejorar las
operaciones de seguridad y la gobernanza de las organizaciones públicas y privadas.
Si bien el NIST CSF es una pauta excelente para transformar la postura de seguridad
organizacional y la gestión de riesgos de un enfoque reactivo a proactivo, puede ser
un marco difícil de profundizar e implementar.
Al usar el marco, las organizaciones pueden comprender y mitigar mejor los riesgos
que enfrentan todos los días al maximizar la cantidad de dinero gastado en
ciberseguridad. Al hacer esto, las organizaciones pueden ver qué actividades son más
importantes para la prestación de servicios críticos y asegurarse de que están
asignando los recursos adecuados para protegerse.
Conclusiones
• La ISO 27002 es una norma que permite mediante sus apartados establecer
mecanismos de seguridad, cumplimiento y mitigación de riesgos potenciales
que puedan afectar al negocio, por lo que el mismo debe estar preparado para
poder mantenerse, siendo un marco de trabajo que cubre en su mayor parte
los aspectos más importantes para la seguridad de una empresa.
• NIST es un marco de trabajo que no obligatorio implementar, pero muchas
empresas optan por este debido a que proporcionar soluciones escalables para
organizaciones de cualquier tamaño e industria.
• Los controles CIS pueden ser implementados en cualquier tipo de
organización. Ofrece varios beneficios al estar a la vanguardia de soluciones
para ataques ya que su base está constantemente alimentándose de ataques
que se presentan en diferentes organizaciones a nivel mundial. A la vez esto
permite evitar posibles ataques similares a las empresas.
• Como se puede observar el uso de la norma de estandarización COBIT-5
puede garantizar a las empresas que lo implementan una reducción de los
índices de incertidumbre sobre las vulnerabilidades y riesgos que esta puede
presentar en cuanto a la seguridad de la información.
Bibliografía