Please enable JavaScript.
Coggle requires JavaScript to display documents.
Políticas y estándares de seguridad informática. - Coggle Diagram
Políticas y estándares de seguridad informática.
Sirve para garantizar la privacidad de la información y la continuidad del servicio, tratando de minimizar la vulnerabilidad de los sistemas y de la información contenida en ellos, así como de las redes privadas y sus recursos.
Principios de la seguridad informática:
Disponibilidad:
La información debe estar en el momento que el usuario requiera de ella.
Privacidad:
La información debe ser vista y manipulada solo por quien o quienes tengan el derecho de hacerlo.
Integridad:
La información deber ser consistente, fiable y no propensa a alteraciones no deseadas.
Autenticación
: Información procedente de un usuario que es quien dice ser. Se verifica y se debe garantizar que el origen de los datos es correcto.
Dentro del concepto de seguridad de una computadora, se distinguen:
Seguridad Física:
Comprende el aspecto de hardware (mouse, monitor, teclado, etc.), la manipulación del mismo, así como también del ambiente en el cual se va a instalar el equipo (en particular, la sala de servidores).
Seguridad Lógica:
Comprende el aspecto de los sistemas, tanto operativos como de aplicaciones, y principalmente de la información del usuario.
Seguridad en Redes:
Incluye todo lo que hace referencia a la seguridad en todas sus formas de comunicación.
Estándares de seguridad
informática ISO 27000.
•
ISO 27000
: contiene el vocabulario en el que se apoyan el resto de normas. Es similar a una guía/diccionario que describe los términos de todas las normas de la familia.
•ISO 27001:
es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de las que se incluyen en la lista y consta de una parte principal basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de los controles propuestos por el estándar.
•
ISO 27002:
se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles.
•
ISO 27003:
es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001, indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de un SGSI con éxito.
•
ISO 27004:
describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.
• ISO 27005:
es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.
• ISO 27006:
es un conjunto de requisitos de acreditación para las organizaciones certificadoras.
• ISO 27007:
es una guía para auditar SGSIs. Establece qué auditar y cuándo, cómo asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades claves, etc.
ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.
NIST (National Institute of Standards and Technology, en inglés): El Marco de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Se puede implementar el Marco de Ciberseguridad del NIST en estas cinco áreas de un negocio: identificación protección, detección, respuesta y recuperación.
1. Identificación:
Haga una lista de todos los equipos, programas software y datos que use, incluyendo computadoras portátiles, teléfonos inteligentes, tablets y dispositivos utilizados en puntos de venta.
Protección: Controle quiénes acceden a su red y usan sus computadoras y otros dispositivos. Use programas de seguridad para proteger los datos, codifique los datos delicados, copias de seguridad de los datos con regularidad.
3. Detección:
Monitoree sus computadoras para controlar si detecta acceso de personal no autorizado a sus computadoras, dispositivos (soportes de almacenamiento de datos de tipo USB) y software.
4. Respuesta:
Implemente un plan para: Notificar a los clientes, empleados y otros cuyos datos pudieran estar en riesgo, Mantener en funcionamiento las operaciones del negocio, Investigar y contener un ataque, etc.
5. Recuperación:
Después de un ataque: Repare y restaure los equipos y las partes de su red que resultaron afectados y mantenga informados a sus empleados y clientes de sus actividades de respuesta y recuperación.
La matriz MITRE ATT & CK contiene un conjunto de técnicas utilizadas por los adversarios para lograr un objetivo específico.
• Reconocimiento: recopilación de información para planificar futuras operaciones del adversario, es decir, información sobre la organización objetivo
• Desarrollo de recursos: establecer recursos para respaldar las operaciones, es decir, establecer una infraestructura de comando y control
• Acceso inicial: intentar ingresar a su red, es decir, spear phishing
• Ejecución: intentar ejecutar código malicioso, es decir, ejecutar una herramienta de acceso remoto
• Persistencia: tratar de mantener su punto de apoyo, es decir, cambiar configuraciones.
• Escalada de privilegios: intentar obtener permisos de nivel superior, es decir, aprovechar una vulnerabilidad para elevar el acceso
• Defense Evasion: tratar de evitar ser detectado, es decir, utilizar procesos confiables para ocultar malware
• Acceso a credenciales: robo de nombres y contraseñas de cuentas, es decir, registro de teclas
• Descubrimiento: tratar de descubrir su entorno, es decir, explorar lo que pueden controlar.
• Movimiento lateral: moverse a través de su entorno, es decir, usar credenciales legítimas para girar a través de múltiples sistemas
• Recopilación: recopilar datos de interés para el objetivo del adversario, es decir, acceder a los datos en el almacenamiento en la nube
• Comando y control: comunicarse con sistemas comprometidos para controlarlos, es decir, imitar el tráfico web normal para comunicarse con una red de víctimas
• Exfiltración: robar datos, es decir, transferir datos a una cuenta en la nube
• Impacto: manipular, interrumpir o destruir sistemas y datos, es decir, cifrar datos con ransomware.
MARCO MITRE ATT&CK (MITRE Adversarial Tactics, Techniques, and Common Knowledge): Es una base de conocimientos y un modelo seleccionados para el comportamiento del adversario cibernético, que refleja las diversas fases del ciclo de vida del ataque de un adversario y las plataformas a las que se sabe que se dirigen.