El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Ciberriesgos dentro de la infraestructura IT

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Conocer los riesgos a los que se expone la infraestructura IT de una organización es una de las bases fundamentales de cualquier framework de ciberseguridad, y eso es lo que estudiaremos en este vídeo.

Transcripción

Toda acción, toda actividad, implica correr riesgos, tanto a nivel personal como en organismos públicos y empresas. La dirección de una empresa es buena cuando conoce los riesgos a los que están expuestas sus decisiones. La valoración de si una inversión o un gasto puede o no ser productivo. La confianza que se deposita en terceras partes ya sean proveedores, clientes, subcontratas, etc. Todo son decisiones y planes sujetos a riesgos. En el ámbito informático y telemático, los riegos también existen son los "ciberriesgos". Lo mismo que la empresa tasa los riesgos a que se expone cualquier actividad los sistemas informáticos y de gestión y transmisión de la información están sujetos a unos riesgos que deben ser evaluados para evitar o contrarrestar los problemas que puedan derivarse de su uso. Todas las instituciones de estandarización de métodos de gestión de la seguridad de la información han definido métodos de evaluación de riesgos. Con distintas variaciones, todos estos métodos son bastante parecidos entre sí y su objetivo es poder comparar y tasar riesgos de forma que el establecimiento de contramedidas se realice de la forma más eficiente posible para contrarrestar primero los riesgos de más alto nivel y que más daño pueden causar. Por ejemplo, dos documentos con el mismo objetivo son la norma ISO 27005, titulada "Gestión de Riesgos para la Seguridad de la Información" y la SP 800-30, publicada por el NIST y con título "Guía para Realización de Evaluación de Riesgos". Los elementos fundamentales a la hora de evaluar un riesgo son las amenazas y la probabilidad de que estas tengan lugar las vulnerabilidades y el daño que pueden causar las amenazas si estas se materializan. En el caso de los ciberriesgos, las amenazas no son solo los ataques voluntarios que pueden desarrollar cibercriminales. Cuando hablamos de ataques de forma genérica también nos estamos refiriendo a fallos de sistemas, averías o cualquier catástrofe fortuita que pueda afectar a la infraestructura informática de alamacenamiento o de comunicaciones. La probabilidad de los hechos fortuitos o accidentes depende de elementos externos así como de tareas como el mantenimiento y la renovación de equipos pero en los ataques, la probabilidad depende también de la motivación que puedan tener los ciberatacantes. En el apéndice E del SP 800-30 del NIST podemos encontrar una lista de amenazas concretas que podemos analizar por si son aplicables a nuestra organización. Pero también podemos recurrir a documentos que analizan estadísticamente las amenazas de cada último año en documentos publicados por ENISA, agencia de la Unión Europea para la seguridad de la red y de la información. Como el reporte sobre el panorama de amenazas de 2016 que tenemos en pantalla del cual, cabe destacar el capítulo número 3 el "Top de Ciberamenazas". También podemos consultar el resumen ejecutivo que el Centro Criptológico Nacional Español publica cada año sobre las amenazas del año anterior y las tendencias del nuevo. Nos habla de los factores de las amenazas y de las ciberamenazas y sus agentes específicos. Muchas otras instituciones publican informes similares y los actualizan con cierta frecuencia para uso de las instituciones de sus correspondientes países y para la autoprotección de la propia industria privada. También existen iniciativas colaborativas como VCDB que es una base de datos de análisis de ciberamenazas impulsada por VERIS. Como vemos en esta página, en el resumen principal tenemos un histórico de números de incidentes registrados así como la clasificación por actores, atributos, acciones y registros. Como vemos en esta pantalla, tenemos un registro por año de eventos registrados así como los actores, atributos, acciones y recursos afectados. Las vulnerabilidades son fallos en nuestra infraestructura debidas a diseño, fabricación, configuración o mal uso que permiten que una amenaza pueda tener éxito. Por ejemplo, si alguien desea sabotear nuestra página web solo podrá hacerlo si nuestro servidor, el gestor de contenidos o algún otro elemento de la misma, son vulnerables a los ataques conocidos por el saboteador. Esto incluye tanto a las vulnerabilidades físicas como las del firmware o software de nuestros sistemas. Es conveniente estar pendiente de las listas de correo o blogs de seguridad de los fabricantes de nuestros equipos donde estos suelen advertir de fallos de seguridad y vulnerabilidades y lo más importante, suelen indicar cómo solucionarlos. Pero es muy recomendable también estar atentos a publicaciones independientes que aglutinen información de distintos productos y empresas. Por ejemplo, el CERTSI. CERT de seguridad de industria, dependiente de INCIBE tiene un sistema de alerta temprana de vulnerabilidades con filtros de búsqueda por gravedad, empresa y producto. También existen buscadores de vulnerabilidades específicos. Por ejemplo, "VPPVulnBB" para WordPress que es la plataforma de gestión de contenidos web más utilizada en el mundo. Pero siempre debemos tener en cuenta todas las superficies de ataque para identificar todas las posibles vulnerabilidades. Siguiendo con el ejemplo de la web de WordPress no solo debemos considerar las vulnerabilidades del CMS y de sus elementos también del servidor web Apache o en JYNX, generalmente, de las bases de datos MySQL del API de PHP del sistema operativo sobre el que se instalan los distintos elementos, etc. El tercer elemento a considerar tras las amenazas y las vulnerabilidades a la hora de evaluar riesgos es el impacto que va a sufrir nuestra organización si sufrimos uno de estos incidentes. Para evaluar el impacto de una amenaza materializada debemos considerar qué sistemas se verían afectados, cómo afectaría al flujo de trabajo, el coste de degradación del servicio y el coste de restauración del servicio. Detectando los puntos de nuestra cadena de valor de mayor impacto, identificaremos las vulnerabilidades que, siendo o no las más graves, pueden causar daños de mayor trascendencia y también, las amenazas que más perjuicios pueden causarnos, sobre todo, a nivel económico. La evaluación de riesgos en base al impacto de los mismos en la actividad y cuentas de la empresa no es solo una medida realista de cómo afectan los ciberriesgos a la actividad de nuestra organización sino que son un excelente argumento para concienciar a la directiva de una organización sobre la importancia de la seguridad. No solo les conciencia, sino que les involucra ayudando a que asignen personal de otros departamentos para que cooperen con IT en la tasación de impacto y evaluación de riesgos lo cual, a su vez, hace que sean más conscientes de la importancia de la ciberseguridad y que se sientan más cómodos a la hora de realizar los trabajos e inversiones necesarias para mejorarla. Una vez evaluados los riesgos en base a amenazas, vulnerabilidades e impacto se clasifican y se establecen medidas de control que reducen la probabilidad, desincentivan la amenaza, eliminan vulnerabilidades, minimizan el impacto, o varias de estas cosas a la vez. El resultado de aplicar los distintos controles será el riesgo efectivo de exposición que nunca deberá ser mayor que el límite que nos hayamos marcado. Los controles pueden ser "disuasorios", que reducen las amenazas. "Preventivos", que minimizan las vulnerabilidades. "Detectivos", que permiten identificar ataques en curso. Y "Correctivos", que reaccionan al impacto producido por ataques sufridos tratando de minimizarlos. Las medidas de los riesgos pueden catalogarse en cualitativas y cuantitativas. Las cualitativas están basadas en la experiencia de quien tasa el riesgo y que suelen clasificarse en 5 niveles desde muy bajo hasta muy alto riesgo. Las cuantitativas están basadas en parámetros y medidas preestablecidas que generalmente asignan un valor número calculable. Cuando un "riesgo" es identificado y evaluado se pueden adoptar múltiples posturas al respecto. "Aceptación" es no hacer nada al respecto del mismo. La "evasión" es no llevar a cabo la actividad a la que va asociada el riesgo. "Transferencia" es derivar el riesgo a un tercero como compañías de seguros o servicios subcontratados. Y "mitigación" es establecer controles como los antes descritos para anular, mitigar o reaccionar ante las amenazas y sus consecuencias. Según la evaluación, tanto cuantitativa como cualitativa que hagamos de los riesgos a los que nos vemos expuestos, decidiremos cuáles de ellos aceptamos, evadimos, transferimos o mitigamos. Un método muy común es el de la matriz que relaciona impacto y probabilidad. Si el riesgo es de poco impacto y probabilidad baja lo aceptamos. Si es de alta probabilidad e impacto tendremos que ver si podemos evitarlo, transferirlo o mitigarlo según el tipo de riesgo y de operación a la que afecte.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.