Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones.
La pérdida de la integridad de los datos puede lograr que todos los recursos de datos sean
dudosos o inutilizables.
Las funciones de hash comunes incluyen MD5, SHA-1, SHA-256 y SHA-512. Estas funciones
de hash usan algoritmos matemáticos complejos. El valor de hash está sencillamente allí para la
comparación. Por ejemplo, después de descargar un archivo, el usuario puede verificar la
integridad del archivo al comparar los valores de hash de la fuente con el que genera cualquier
calculadora de hash.
Las organizaciones utilizan el control de versiones para evitar cambios accidentales realizados
por usuarios autorizados. Dos usuarios no pueden actualizar el mismo objeto. Los objetos pueden
ser archivos, registros de la base de datos o transacciones. Por ejemplo, el primer usuario en abrir
un documento tiene permiso para cambiar ese documento; la segunda persona tiene una versión
de solo lectura.
Las copias de respaldo precisas permiten mantener la integridad de datos si los datos se dañan.
Una empresa necesita verificar el proceso de copia de respaldo para garantizar la integridad de la
copia de seguridad antes de que se produzca la pérdida de datos.
La autorización determina quién tiene acceso a los recursos de una organización según la
necesidad de información. Por ejemplo, los permisos de archivos y los controles de acceso del
usuario garantizan que solo ciertos usuarios pueden modificar los datos. Un administrador puede
configurar permisos de solo lectura para un archivo. Como resultado, un usuario con acceso a ese
archivo no puede realizar ningún cambio.
Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las
copias de seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo,
sistemas operativos y software actualizados y planes para recuperarse rápidamente de desastres
no planificados.
Los ataques maliciosos, las fallas del equipo y los desastres naturales representan una amenaza a
la disponibilidad de los datos.
Figura 1: para eliminar puntos sencillo de falla, identifique todos los dispositivos y componentes
de un sistema que podrían ocasionar una falla del sistema si el dispositivo o el componente falla.
Los métodos para eliminar los puntos sencillo de falla incluyen dispositivos reserva activa,
componentes redundantes y varias conexiones o rutas. Para proporcionar conexión cruzada
confiable, las fuentes de alimentación redundantes de uso, los sistemas de energía de respaldo y
los sistemas de comunicación de respaldo proporcionan conexión cruzada confiable. El
dispositivo activo y el monitoreo del sistema detecta muchos tipos de eventos, como las fallas en
el sistema y el dispositivo. Los sistemas de control incluso pueden activar el sistema de respaldo
en caso de falla. Figura 2: la estandarización de sistemas proporciona sistemas que usan los
mismos componentes. Los inventarios de las piezas son más fáciles de mantener y es posible
intercambiar componentes durante una emergencia. Con los sistemas de componentes
compartidos, los sistemas se construyen de modo que un sistema de respaldo pueda reemplazar
por completo a uno que falló. Los dispositivos múltiples agrupados proporcionan un servicio que
parece ser una sola entidad para un usuario. Si un dispositivo falla, los demás dispositivos
permanecerán disponibles.
Asegurar la disponibilidad
El almacenamiento de conexión directa puede ser uno de los tipos más difíciles de
almacenamiento de datos en administrar y controlar. El almacenamiento de conexión directa es
vulnerable a los ataques maliciosos en el host local. Los datos almacenados también pueden
incluir los datos de copia de respaldo. Las copias de respaldo pueden ser manuales o
automáticas. Las organizaciones deben limitar los tipos de datos almacenados en el
almacenamiento de conexión directa. En particular, una organización no almacenaría los datos
críticos en dispositivos de almacenamiento de conexión directa.
Los sistemas de almacenamiento en red ofrecen una alternativa más segura. Los sistemas de
almacenamiento en red incluidos RAID, SAN y NAS proporcionan mayor rendimiento y
redundancia. Sin embargo, los sistemas de almacenamiento en red son más complicados para
configurar y administrar. También manejan más datos, lo que presenta un mayor riesgo para la
organización si falla el dispositivo. Los desafíos particulares de los sistemas de almacenamiento
en red incluyen la configuración, la prueba y la supervisión del sistema.
Red de transferencia: utiliza medios extraíbles para mover físicamente los datos de una
computadora a otra
Las redes cableadas incluyen redes de cableado de cobre y fibra óptica. Las redes cableadas
pueden servir a un área geográfica local (red de área local) o pueden abarcar grandes distancias
(redes de área amplia).
Las redes inalámbricas están reemplazando a las redes cableadas. Las redes inalámbricas son
cada vez más rápidas y son capaces de manejar más ancho de banda. Las redes inalámbricas
extienden la cantidad de usuarios invitados con los dispositivos móviles en la oficina pequeña y
oficina doméstica (SOHO) y las redes empresariales.
Las redes cableadas e inalámbricas utilizan paquetes o unidades de datos. El término paquete
se refiere a una unidad de datos que se desplaza entre un origen y un destino de la red. Los
protocolos estándar como el protocolo de Internet (IP) y el Hypertext Transfer Protocol (HTTP)
definen la estructura y formación de paquetes de datos. Estos estándares son de código abierto
y están disponibles al público. La protección de la confidencialidad, integridad y disponibilidad
de los datos transmitidos es una de las responsabilidades más importantes de un profesional de
ciberseguridad.
La protección de la integridad de los datos comienza con la entrada inicial de datos. Las
organizaciones utilizan varios métodos para recopilar datos, como ingreso manual de datos,
formularios de análisis, cargas de archivos y datos recopilados de los sensores. Cada uno de
estos métodos representa amenazas potenciales a la integridad de los datos. Un ejemplo de
daños a los datos durante el proceso de captación, incluye errores en la entrada de datos o
sensores del sistema desconectados, con funcionamiento incorrecto o inoperables. Otros
ejemplos pueden incluir formatos de datos identificación errónea, incorrectos o no
coincidentes.
La modificación de los datos se refiere a cualquier cambio en los datos originales, como la
modificación manual que realizan los usuarios de los datos, el procesamiento de programas y el
cambio de datos, y las fallas en el equipo, lo que provoca la modificación de los datos. Los
procesos como la codificación y decodificación, compresión y descompresión y cifrado y
descifrado son ejemplos de la modificación de los datos. El código malicioso también provoca
daños en los datos.
El daño a los datos también ocurre durante el proceso de salida de datos. La salida de datos se
refiere a los datos que salen de impresoras, pantallas electrónicas o directamente a otros
dispositivos. La precisión de los datos de salida es fundamental ya que el resultado proporciona
información y afecta la toma de decisiones. Los ejemplos de daños a los datos incluyen el uso
incorrecto de delimitadores de datos, configuraciones incorrectas de comunicación e
impresoras configuradas incorrectamente.
Desafíos en la protección de datos en proceso
La protección contra la modificación de los datos no válidos durante el proceso puede tener un
efecto adverso. Los errores de software son el motivo de muchas desgracias y desastres. Por
ejemplo, solo dos semanas antes de Navidad, algunos de los comercios minoristas terceros de
Amazon experimentaron un cambio en el precio publicado en sus elementos a solo un centavo.
El inconveniente duró una hora. El error provocó que miles de compradores obtuvieran el
descuento de sus vidas y la empresa perdió ingresos. En 2016, el termostato de Nest
funcionaba incorrectamente y dejó a los usuarios sin calefacción. El termostato de Nest es una
tecnología inteligente propiedad de Google. Una falla de software dejó a los usuarios,
literalmente, afuera en el frío. Una actualización de software fue el problema y las baterías del
dispositivo se agotaron y le impidió controlar la temperatura. Como resultado, los clientes no
podían calentar sus hogares ni obtener agua caliente en uno de los fines de semana más fríos
del año.
La protección de los datos durante el proceso requiere sistemas bien diseñados. Los
profesionales de ciberseguridad diseñan políticas y procedimientos que requieren pruebas,
mantenimientos y actualización de sistemas para mantenerlos en funcionamiento con la menor
cantidad de errores.
Los escáneres de redes y puertos detectan y supervisan los puertos abiertos en un host o un
servidor.
Los analizadores de protocolos o los analizadores de firmas, son dispositivos que recopilan y
analizan el tráfico de red. Identifican problemas de rendimiento, detectan configuraciones
incorrectas, identifican aplicaciones que funcionan de manera incorrecta, establecen una línea
de base y patrones de tráfico normal y depuran los problemas de comunicación.
Los escáneres de vulnerabilidad son programas informáticos diseñados para evaluar las
debilidades en las computadoras o redes.
Los sistemas de detección de intrusiones (IDS) basados en el host examinan la actividad en los
sistemas host. Un IDS genera archivos de registro y mensajes de alarma cuando detecta
actividad inusual. Un sistema que almacena datos confidenciales o que proporciona servicios
críticos es un candidato para el IDS basado en host.
Medidas de protección tecnológicas con base en hardware
Existen varias tecnologías basadas en hardware utilizadas para proteger los activos de la
organización:
Los dispositivos de firewall bloquean el tráfico no deseado. Los firewalls contienen reglas que
definen el tráfico permitido dentro y fuera de la red.
Existen varias tecnologías basadas en red que se utilizan para proteger los activos de la organización:
La red privada virtual (VPN) es una red virtual segura que utiliza la red pública (es decir, Internet). La seguridad de una
VPN reside en el cifrado del contenido de paquetes entre los terminales que definen la VPN.
Control de acceso a la red (NAC) requiere un conjunto de verificaciones antes de permitir que un dispositivo se conecte a
una red. Algunos verificaciones comunes incluyen la instalación de actualizaciones de software antivirus o de sistema
operativo.
Las tecnologías con base en la nube cambian el componente de tecnología de la organización al proveedor de la nube. Los tres
servicios principales de computación en la nube incluyen los siguientes:
Software como servicio (SaaS) permite que los usuarios tengan acceso al software y las bases de datos de la aplicación.
Los proveedores de la nube administran la infraestructura. Los usuarios almacenan datos en los servidores del proveedor
de la nube.
Infraestructura como servicio (IaaS) proporciona recursos informáticos virtualizados a través de Internet. El proveedor
es el host del hardware, del software, de los servidores y de los componentes de almacenamiento.
Plataforma como servicio (PaaS) proporciona acceso a las herramientas de desarrollo y a los servicios utilizados para
proporcionar las aplicaciones.
Los proveedores de servicios en la nube han ampliado estas opciones para incluir la TI como servicio (ITaaS), que brinda soporte
de TI a los modelos de servicio de IaaS, PaaS y SaaS. En el modelo de ITaaS, una organización tiene un contrato con el
proveedor de la nube para servicios individuales o agrupados.
Los proveedores de servicios en la nube utilizan dispositivos de seguridad virtual que se ejecutan en un entorno virtual con un
sistema operativo preempaquetado y reforzado que se ejecuta en un hardware virtualizado.
Cómo implementar la capacitación y formación en ciberseguridad
Invertir mucho dinero en tecnología no variará si las personas dentro de la organización son el eslabón más débil en el área de
ciberseguridad. Un programa de reconocimiento de seguridad es sumamente importante para una organización. Un empleado
puede no ser malicioso de manera intencionada, pero no conocer cuáles son los procedimientos adecuados. Existen muchas
maneras de implementar un programa de capacitación formal:
Hacer de la capacitación en el conocimiento de la seguridad una parte del proceso de incorporación de los empleados
El reconocimiento de la seguridad debe ser un proceso continuo dado que las nuevas amenazas y técnicas están siempre en el
horizonte.
Los miembros de una organización deben tener en cuenta las políticas de seguridad y tener el conocimiento para hacer de la
seguridad una parte de sus actividades diarias.
El entorno de la organización
El nivel de amenaza
La creación de una cultura de conocimiento de la ciberseguridad es un esfuerzo continuo que requiere el liderazgo de la
administración superior y el compromiso de todos los usuarios y empleados. La modificación de la cultura de la ciberseguridad
de una organización comienza con el establecimiento de políticas y procedimientos por parte de la administración. Por ejemplo,
muchas organizaciones tienen días de concientización sobre la ciberseguridad. Las organizaciones también pueden publicar
mensajes y señalizaciones para aumentar el conocimiento general sobre ciberseguridad. La creación de talleres y seminarios de
orientación en ciberseguridad ayudan a aumentar la conciencia.
Los miembros de una organización deben tener en cuenta las políticas de seguridad y tener el conocimiento para hacer de la
seguridad una parte de sus actividades diarias.
El entorno de la organización
El nivel de amenaza
La creación de una cultura de conocimiento de la ciberseguridad es un esfuerzo continuo que requiere el liderazgo de la
administración superior y el compromiso de todos los usuarios y empleados. La modificación de la cultura de la ciberseguridad
de una organización comienza con el establecimiento de políticas y procedimientos por parte de la administración. Por ejemplo,
muchas organizaciones tienen días de concientización sobre la ciberseguridad. Las organizaciones también pueden publicar
mensajes y señalizaciones para aumentar el conocimiento general sobre ciberseguridad. La creación de talleres y seminarios de
orientación en ciberseguridad ayudan a aumentar la conciencia.
Estándares
Los estándares ayudan al personal de TI a mantener la uniformidad en el funcionamiento de la red. Los documentos sobre
estándares proporcionan las tecnologías que los usuarios o los programas específicos necesitan, además de los requisitos o
criterios del programa que una organización debe seguir. Esto permite al personal de TI mejorar la eficiencia y simplicidad en el
diseño, el mantenimiento y la resolución de problemas.
Uno de los principios de seguridad más importantes es el de uniformidad. Por este motivo, es necesario que las organizaciones
establezcan estándares. Cada organización desarrolla estándares para admitir el entorno operativo único. Por ejemplo, una
organización establece una política de contraseñas. El estándar es que las contraseñas requieran un mínimo de ocho caracteres
alfanuméricos de letras mayúsculas y minúsculas, con al menos un carácter especial. Un usuario debe cambiar una contraseña
cada 30 días y un historial de contraseñas de 12 contraseñas anteriores garantiza que el usuario cree contraseñas únicas por un
año.
Las pautas constan de una lista de sugerencias sobre cómo hacer las cosas de manera más eficaz y segura. Son similares a los
estándares, pero son más flexibles y generalmente no son obligatorias. Las pautas definen cómo se desarrollan los estándares y
garantizan el cumplimiento de las políticas de seguridad general.
Algunas de las pautas más útiles conforman las mejores prácticas de una organización. Además de las mejores prácticas que
define una organización, las pautas también están disponibles a partir de lo siguiente:
Instituto Nacional de Normas y Tecnología (NIST), Centro de recursos de seguridad informática (Figura 1)
Mediante el ejemplo de políticas de contraseña, una pauta es una sugerencia en l a que el usuario toma una frase como “I have a
dream” y lo convierte en una contraseña segura, Ihv@dr3 @m. El usuario puede crear otras contraseñas a partir de esta frase al
cambiar el número, mover el símbolo o cambiar el signo de puntuación.
Procedimientos
Los documentos de procedimiento son más detallados que los estándares y las pautas. Los documentos de procedimiento
incluyen detalles de implementación que contienen generalmente instrucciones paso a paso y gráficos.
La figura muestra un ejemplo del procedimiento que se utilizó para cambiar una contraseña. Las grandes organizaciones deben
usar documentos de procedimientos para mantener la uniformidad de la implementación que se necesita para un entorno seguro.
La figura muestra los pasos para cambiar una contraseña: 1. Presione Ctrl-Alt-Del para activar el cuadro de diálogo de inicio de
sesión. 2. Haga clic en el botón «cambiar contraseña». 3. Introduzca su contraseña actual en el cuadro superior. 4. Introduzca su
contraseña nueva donde se indica. 5. Vuelva a introducir su contraseña nueva para la verificación.
Descripción general del modelo
Los profesionales de seguridad necesitan proteger la información de manera completa en la organización. Esta es una tarea
monumental y no es razonable esperar que una persona tenga todo el conocimiento necesario. La Organización Internacional de
Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) desarrollaron un marco de trabajo global para guiar la
administración de la seguridad de la información. El modelo de ciberseguridad de ISO es para los profesionales de la
ciberseguridad lo que el modelo de red de OSI es para los ingenieros de redes. Ambos proporcionan un marco para comprender y
abordar las tareas complejas.
Dominios de la ciberseguridad
La norma ISO/IEC 27000 es un estándar de seguridad informática publicada en 2005 y revisada en 2013. ISO publica los
estándares ISO 27000. Si bien los estándares no son obligatorios, la mayoría de los países los utilizan como marco trabajo de
facto para implementar la seguridad informática.
Los estándares ISO 27000 describen la implementación de un sistema de administración de seguridad de la información (ISMS)
completo. Un ISMS incluye todos los controles administrativos, técnicos y operativos para mantener la información segura
dentro de una organización. Doce dominios independientes representan los componentes del estándar ISO 27000. Estos doce
dominios sirven para organizar, en un nivel alto, las vastas áreas de información bajo el término general de seguridad informática.
La estructura del modelo de ciberseguridad de ISO es diferente del modelo de OSI ya que utiliza dominios en lugar de capas para
describir las categorías de seguridad. El motivo es que el modelo de ciberseguridad de ISO no es una relación jerárquica. Es un
modelo de pares en el que cada dominio tiene una relación directa con los otros dominios. El modelo de ciberseguridad de ISO
27000 es muy similar al modelo de OSI en que es fundamental que los hechiceros en ciberseguridad comprendan ambos modelos
para tener éxito.
Haga clic en cada dominio de la figura para ver una descripción breve.
Los doce dominios sirven como base común para desarrollar estándares de seguridad organizativa y prácticas eficaces de
administración de seguridad. También facilitan la comunicación entre organizaciones.
Los doce dominios incluyen lo siguiente: la evaluación de riesgos es el primer paso en el proceso de administración de riesgos.
Determina el valor cuantitativo y cualitativo del riesgo relacionado con una situación específica o una amenaza reconocida. La
política de seguridad es el documento que aborda las restricciones y los comportamientos de los miembros de una organización y
especifica a menudo cómo se puede acceder a los datos y quién puede acceder a determinados datos. La organización de la
seguridad informática es el modelo de gestión establecido por una organización para la seguridad de la información. La
administración de activos es un inventario y el esquema de clasificación para los recursos de información. La seguridad de los
recursos humanos aborda los procedimientos de seguridad relacionados con empleados que ingresan, se desplazan y dejan una
organización. La seguridad física y medioambiental describe la protección de las instalaciones informáticas dentro de una
organización. La administración de comunicaciones y operaciones describe la administración de los controles de seguridad
técnica en los sistemas y las redes. La adquisición de sistemas informáticos, el desarrollo y el mantenimiento describe la
integración de la seguridad en las aplicaciones. El control de acceso describe la restricción de los derechos de acceso a las redes,
los sistemas, las aplicaciones, las funciones y los datos. La administración de incidentes de seguridad informática describe cómo
anticipar y responder a las violaciones de seguridad informática. La administración de la continuidad empresarial describe la
protección, el mantenimiento y la recuperación de los sistemas y procesos críticos. El cumplimiento describe el proceso de
garantizar el cumplimiento de las políticas, los estándares y las regulaciones de seguridad informática.
Objetivos de control
Los doce dominios constan de objetivos de control definidos en la parte 27001 del estándar. Los objetivos de control definen los
requisitos de alto nivel para implementar un ISM completo. El equipo de administración de una organización utiliza los objetivos
de control de ISO 27001 para definir y publicar las políticas de seguridad de la organización. Los objetivos de control
proporcionan una lista de comprobación para utilizar durante las auditorías de administración de seguridad. Muchas
organizaciones deben aprobar una auditoría de ISMS para obtener una designación de cumplimiento del estándar ISO 27001.
La certificación y el cumplimiento proporcionan confianza para dos organizaciones que deben confiar los datos y las operaciones
confidenciales de cada uno. Las auditorías de cumplimiento y de seguridad demuestran que las organizaciones aumentan
continuamente su sistema de administración de seguridad informática.
Controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los usuarios y los equipos.
El estándar ISO/IEC 27002 define los controles del sistema de administración de seguridad informática. Los controles son más
detallados que los objetivos. Los objetivos de control indican a la organización lo que debe hacer. Los controles definen cómo
alcanzar el objetivo.
Según el objetivo de control, para controlar el acceso a las redes mediante los mecanismos de autenticación adecuados para los
usuarios y los equipos, el control sería el siguiente:
Utilice contraseñas seguras. Una contraseña segura consta de al menos ocho caracteres que son una combinación de letras,
números y símbolos (@, #, $, %, etc.) si están permitidos. Las contraseñas distinguen entre mayúsculas y minúsculas, de modo
que una contraseña segura contiene letras en mayúsculas y minúsculas.
Los controles no son obligatorios, sino que están ampliamente aceptados y adoptadas.
Los controles deben mantener la neutralidad del proveedor para evitar la imagen de que respalda a un producto o a una
empresa específica.
Los controles son como las pautas. Esto significa que puede haber más de una manera de cumplir con el objetivo.
La norma ISO 27000 es un marco de trabajo universal para cada tipo de organización. Para utilizar el marco de trabajo de manera
eficaz, una organización debe restringir los dominios, los objetivos de control y los controles que aplican a su entorno y sus
operaciones.
Los objetivos de control de ISO 27001 funcionan como una lista de verificación. El primer paso que una organización toma es
para determinar si estos objetivos de control se aplican a la organización. La mayoría de las organizaciones generan un
documento llamado Declaración de aplicabilidad (SOA). La SOA define los objetivos de control que la organización necesita
usar.
Las distintas organizaciones dan mayor prioridad a la confidencialidad, integridad y disponibilidad según el tipo de industria. Por
ejemplo, Google otorga el valor más alto a la confidencialidad y disponibilidad de los datos del usuario y menos a la integridad.
Google no verifica los datos del usuario. Amazon pone un gran énfasis a la disponibilidad. Si el sitio no está disponible, Amazon
no realiza la venta. Esto no significa que Amazon ignora la confidencialidad a favor de la disponibilidad. Amazon solo da mayor
prioridad a la disponibilidad. Por lo tanto, Amazon puede dedicar más recursos y garantizar que haya más servidores disponibles
para manejar las compras de los clientes.
Una organización adapta su uso de los objetivos de control y los controles disponibles para satisfacer de mejor manera sus
prioridades con respecto a la confidencialidad, integridad y disponibilidad.
Agregue la transcripción de medios
Los diferentes grupos de una organización pueden ser responsables de los datos de cada uno de los distintos estados. Por ejemplo,
el grupo de seguridad de la red es responsable de los datos durante la transmisión. Los programadores y las personas encargadas
del ingreso de los datos son responsables de los datos durante el procesamiento. Los especialistas en soporte de hardware y
servidor son responsables de los datos almacenados. Los controles de ISO abordan específicamente los objetivos de seguridad de
los datos de cada uno de los tres estados.
En este ejemplo, los representantes de cada uno de los tres grupos ayudan a identificar los controles que son aplicables y la
prioridad de cada control en su área. El representante del grupo de seguridad de la red identifica los controles que garantizan la
confidencialidad, integridad y disponibilidad de todos los datos transmitidos.
Los diferentes grupos de una organización usa los controles de ISO/IEC para proporcionar orientación, relacionarlos
directamente con los principios de CID y determinar la aplicabilidad dentro de la organización.
El modelo y los mecanismos de protección de la ciberseguridad de ISO
Los objetivos de control de ISO 27001 se relacionan directamente con las políticas, los procedimientos y las pautas de
ciberseguridad de la organización que la administración superior determina. Los controles de ISO 27002 proporcionan dirección
técnica. Por ejemplo, la administración superior establece una política que especifica la protección de todos los datos que
ingresan o salen de la organización. La implementación de la tecnología para cumplir con los objetivos de la política no
involucraría a la administración superior. Es responsabilidad de los profesionales de TI implementar y configurar correctamente
el equipo utilizado para satisfacer las directivas de la política establecidas por la administración superior.
Las tecnologías que puede utilizar una organización para satisfacer una directiva de políticas pueden incluir firewalls, biometría o
autenticación de varios factores.
LABORATORIO
INCONVENIENTES DE VIRTUALIZAR UN
SISTEMA OPERATIVO
Algunos de los inconvenientes que puede tener el uso de una máquina virtual,
o sistema operativo virtualizado son los siguientes: