El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Selección de controles de seguridad en IT

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Una vez que conocemos un riesgo para nuestra organización, debemos evaluarlo y decidir qué control o controles debemos implementar y cómo afecta esa implementación a la evaluación que habíamos hecho del riesgo.

Transcripción

La tecnología es algo actualmente inherente a las empresas, pero siempre conlleva unos riesgos asociados. Evaluamos los riesgos como combinación de vulnerabilidades, amenazas y el impacto que pueden tener en nuestra infraestructura o recursos. En el caso del framework SABSA, será el impacto en los objetivos de negocio de la empresa. El resultado del cálculo es el riesgo inherente del cual queda un riesgo residual tras aplicar los controles de seguridad que escojamos. Este riesgo tiene que estar por debajo de los umbrales de lo que consideramos aceptable. Veamos un ejemplo de mitigación de riesgos en una empresa con al menos dos sedes. Supongamos que una sede es la administrativa y comercial, y la otra es la fábrica donde diseñan y producen sus productos y desde la que los distribuyen para el comercio. Según el diagrama, tenemos una red en cada sede. En la sede administrativa, disponemos de un acceso a Internet protegido por un firewall, que da acceso a una zona desmilitarizada, donde tenemos el servidor web de la empresa que podría estar alojando, por ejemplo, una tienda online. También tenemos un monitor de tráfico que registra la actividad de red en la zona desmilitarizada. A continuación, tenemos otro firewall que mantiene debidamente protegido el servidor Active Directory de Windows, que da servicio a las computadoras de todos los trabajadores del área de Administración y Comercial. Como podemos ver, se trata de dos zonas separadas y además, la del servidor, la más crítica, monitorizada por un sistema de detección de intrusión. En la otra sede, en la fábrica, trabaja el cuerpo técnico de la empresa. Diseñadores, operarios de fabricación y departamento logístico con sus computadoras de trabajo. Para operar, tiene su propio servidor de Directorio Activo. Un servidor desde el que se gestiona la maquinaria industrial de producción, y una base de datos de gestión de almacén y logística para controlar las existencias y gestionar los envíos donde se están almacenando el nombre, teléfono y dirección de los compradores para enviarles sus mercancías. Ambas sedes están conectadas porque comerciales y administrativos necesitan conocer el nivel de producción de la fábrica. Qué productos hay o no hay disponibles para su venta y si se están realizando los envíos de forma adecuada y en tiempo. El primer problema que encontramos en la fábrica es que no hay compartimentación de redes y todos los equipos pueden acceder a los demás sistemas de la red. Si vamos a un diagrama de análisis de riesgo por taxonomías, de atributos para la fábrica, veremos que tenemos una taxonomía específica de seguridad genérica, una de cumplimiento de los criterios de privacidad, ya que el servidor de logística tiene datos personales de los clientes, y la taxonomía de procesos, puesto que los empleados de la oficina tienen que operar con los de la fábrica para encargar, evaluar y aprobar diseños, organizar cambios en el proceso de fabricación, etc. En la sede administrativa hay un sistema de monitorización en la zona desmilitarizada que, en caso de ataque, podría manipularse para borrar evidencias de la intrusión. Por lo tanto, el atributo de monitorización está asumiendo un alto nivel de riesgo que resaltamos en rojo. En la fábrica no hay segmentación de redes por lo que cualquier usuario puede acceder a cualquier recurso en red. Esto nos genera cierto riesgo a la hora de cumplir con la legalidad de protección de datos y privacidad; básicamente porque toda la información está accesible a todo el personal, aunque al menos hay control de acceso, puesto que disponen de su propio Directorio Activo. Para establecer una arquitectura de defensa en profundidad, hay que disponer de al menos una medida para cada uno de los cuatro controles principales: prevención, contención, monitorización y corrección. El primer y principal problema es que tanto desde las oficinas como desde las tres áreas de trabajo de la fábrica, se puede acceder a todos los recursos de la misma. Dado que cualquiera puede acceder a los datos de clientes para envíos de logística, incluyendo los departamentos de diseño y fabricación, no se están aplicando las medidas preventivas. Además, en la fábrica no hay ningún sistema de monitorización, el cual sería necesario en fabricación, al igual que el control de accesos para evitar que se produzcan manipulaciones indeseadas. Mediante la segmentación por zonas de la red de la fábrica, mejoramos la seguridad de los recursos y restringimos mejor el control de acceso. Si aplicamos un sensor de monitorización dependiendo de los IDS de las oficinas a ambas redes, evitaremos sabotajes en la línea de producción y robos de información en logística. Ahora tenemos controles preventivos de detección y de monitorización. Para solucionar el problema de monitorización en la zona desmilitarizada lo reubicamos en el firewall interno con conexión a un puerto espejo que revele el tráfico del resto de redes. También podemos aplicarle un sensor del IDS. Si regresamos a la matriz de riesgos, ahora podemos asegurar que aplicamos monitorización a todos los recursos, que el tráfico está asegurado entre todas las redes y, por tanto, que mejora la integridad. Que cada usuario accede solo a los recursos de su red controlado por su Directorio Activo y por Filtros y enrutamientos del firewall a los servicios externos mínimos imprescindibles, lo que incluso reduce el tráfico global y mejora el rendimiento de las redes.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.