El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Metodologías de control de riesgos

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Estudiaremos, de forma genérica, cómo implementar las medidas de control que pueda sugerirnos uno u otro framework de seguridad para anular o mitigar el impacto de los riesgos que puedan materializarse en nuestra organización.

Transcripción

Toda organización está dispuesta a asumir una serie de riesgos. Para los demás, debe establecer mecanismos de minimización o evasión. Los frameworks o marcos de trabajo de seguridad están para implementar los controles de seguridad que faciliten esa tarea. Obviamente las medidas de seguridad tienen un coste y un valor. El coste es la inversión que hacemos para ponerlas en marcha, mientras que su valor es la diferencia entre dicho coste y el coste de que una determinada amenaza, frente a la que el mecanismo de control nos protege, cause el peor daño posible. Es decir, que si un riesgo que se materializa produce un impacto de por ejemplo, cien mil euros, y la implementación de un control de seguridad que elimina dicho riesgo cuesta diez mil euros, el valor de dicho control será noventa mil euros. El resultado de la evaluación de riesgos basada en la probabilidad y en el impacto de una amenaza, se conoce como riesgo inherente. El riesgo residual es el riesgo restante que queda tras aplicar las medidas de control que planifiquemos. Las formas en que un control puede afectar al nivel de riesgo de un ataque son: disuasión, prevención, detección y corrección. Cuando hablamos de frameworks de seguridad, la defensa en profundidad hace referencia a la implementación de controles en los cuatro niveles indicados, de forma que cada uno de ellos supone un filtro para el siguiente. También se le denomina estrategia de control multinivel, aunque es muy común encontrar el término en inglés para "nivel", que es tier. Por ejemplo, para prevenir la modificación o sabotaje de información almacenada en el servidor de archivos de la compañía por ransomware, podemos establecer un control preventivo consistente en gestión de control de accesos para que cada usuario solo acceda a los directorios y archivos que le corresponden por su trabajo, quedarían a salvo todos los archivos a los que no tenga acceso. También podemos implementar un sistema de detección basado en la supervisión de cambios en archivos, que además registre qué se cambia y quién hace los cambios. Identificaría desde qué cuenta de usuario se ha producido el ataque y además podría detenerlo al detectarlo. La medida correctiva sería la restauración de una copia de seguridad, lo que permitiría recuperar los archivos que se hayan cifrado antes de que se detectase y bloquease el incidente. En algunos casos, una empresa puede verse obligada, por regulación externa, a aplicar ciertos controles. Por ejemplo, todos los aplicables a las distintas leyes de protección de datos de carácter personal, a medios de pago en comercio electrónico, o las que obligan a las industrias que forman parte de las infraestructuras críticas de un estado. Poniendo la legislación española como ejemplo estarían la Ley Orgánica de Protección de Datos de Carácter Personal, la Ley de Servicios de Sociedad de Información y Comercio Electrónico, la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas y otras legislaciones aplicables a empresas de sectores críticos que podemos ver en la página del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). La norma ISO27002 establece una lista de objetivos de control y buenas prácticas que se divide en 14 dominios, 35 objetivos de control y 114 controles específicos. Una norma equivalente sería la SP800-53 publicada por el NIST, Instituto Nacional de Estándares y Tecnología de Estados Unidos. Ambas normas son paralelas y sus distintos apartados son fácilmente equiparables. Estos dos marcos de trabajo están ampliamente referenciados por modelos como el de Cyber Essentials, Reino Unido, o el plan director de INCIBE en España. La jerarquía del NIST SP800-53 está dividida en dos niveles a diferencia de la propuesta del NIST SP800-53, la ISO27002 está jerarquizada en tres niveles: el primero son los dominios, el segundo los objetivos de control y el tercero los controles específicos. Por ejemplo, el control de acceso sería un dominio del que depende el objetivo de control de acceso al sistema operativo, en el que se incluiría el control específico de protección de los puertos de diagnóstico y configuración remotos. Los controles establecidos por las metodologías de control o frameworks son genéricos, es decir, nos dicen qué medidas implementar, pero no cómo o con qué herramientas. El control específico 11.5.1 de ISO27002 indica que hay que hacer copias de seguridad de la información y cómo deben ser las copias pero no cómo hacerlas. Así, dependiendo de si se trata de un disco extraíble, un espacio de almacenamiento on-line o una computadora, tendremos que analizar las distintas opciones posibles y seleccionar la adecuada para cada caso, dispositivo y tipo de información. Una declaración de aplicabilidad, abreviada en inglés como SOA, es el documento que establece qué controles será necesario establecer, es decir, el alcance del framework de seguridad que estableceremos en nuestra organización. El desarrollo de este documento es la primera tarea a realizar, y enlaza los riesgos que consideramos para nuestra organización con los controles que estableceremos para los mismos. Sirve además para evaluar si se han establecido todos los controles necesarios, y si se ha hecho de forma apropiada. Es decir, la declaración de aplicabilidad es la declaración de objetivos y la medida que usaremos para valorar los resultados de la implementación de los controles de seguridad. Los controles pueden clasificarse de varias formas. Los controles independientes son los que afectan a un único sistema u objetivo de control, mientras que los controles comunes son los que atañen a más de un sistema, y, en consecuencia, también afectan a más de un riesgo, así como controles que se heredan de unos sistemas a otros evitando la redundancia de estos. Por ejemplo, un filewall puede ser común a un servidor web y a uno de correo electrónico al mismo tiempo. Otro filewall detrás de éste, que aísle una zona de red, hereda el filtrado establecido por el primero. Los controles de compensación son los que solventan una carencia de control específico a la espera de que el control definitivo se implemente Por ejemplo, un trabajador que compruebe las credenciales de los empleados para acceder a una zona específica hasta que se implemente un lector de tarjetas inteligentes que autentique y autorice a los usuarios, además de registrar entradas y salidas, es un control de compensación. Al final de un proceso de implementación de un marco de trabajo como la ISO27001, o el COBIT5 los controles compensatorios deberían haber desaparecido. Las capas de control son la evolución de controles específicos del framework, mejoran y adaptan los controles genéricos establecidos, añaden nuevos, eliminan los que son innecesarios y se personalizan para adaptarse. Por ejemplo, a ramas industriales específicas o al progreso de la tecnología a medida que avanza la vida de la implementación del framework. Los controles deben ponerse constantemente a prueba para adaptarse y renovarse con el tiempo. En principio, suele bastar con actualizar sus variables y atributos, aunque en ocasiones hay que actualizar controles completos. Esto sirve para que cada control y el conjunto de estos crezca y evolucione junto con la tecnología de la información a la cual proporcionan seguridad. Las pruebas de los controles se realizan tanto en el diseño como en la producción. Es decir, se pone a prueba un control antes de implementarlo en un sistema activo en la organización, y periódicamente tras su despliegue para validar su eficacia. Las pruebas en periodo de producción son delicadas pero necesarias ya que revelarán la eficiencia más realista posible de los controles en casos de ataque real.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.