Please enable JavaScript.
Coggle requires JavaScript to display documents.
Seguridad de la Información, Esquema de conceptos - Coggle Diagram
Seguridad de la Información
UNIDAD 1
Seguridad de la información: una visión integral
Contextualización
1.1 Situación actual
Transformación en todos los ámbitos de la actividad humana
Lo único constante es el cambio
1.2 Impulsores del cambio
Tecnologías de bajo coste
La revolución microelectrónica del siglo pasado ha motivado el desarrollo de sistemas digitales
Ley de Moore
Cada dos años, la capacidad de los sistemas se duplica a precio constante
Estándares
En la primera etapa, los fabricantes producían sistemas no compatibles entre sí
Actualmente hay compatibilidad marcada por el software libre
1.3 Factores tecnológicos
Internet como red global y ubicua
Polarización de los entornos software
Evolución hacia la computación móvil
La nuve, sistemas conectados e Internet de las cosas (IoT)
Big Data, inteligencia artificial y robótica
1.4 Factores de tipo humano y social
Nuevos entornos de comunicación
Redes sociales y plataformas digitales como fuente de (des)información
1.5 Factores económicos y políticos
Industria del Cibrecrimen
Polarización de los gigantes tecnológicos
Globalización de la economía y precarización del empleo
Guerra fría tecnológica
Ciberespacio, ciberguerra y conflictos híbridos
1.6 Industria 4.0 - la cuarta revolución industrial
Primera revolución industrial
Siglo XVIII hasta finales de XIX
Máquina de vapor
Sociedad agraria y rural
Desarrollo de la industria textil y del hierro
Segunda revolución industrial
Finales siglo XIX y primera guerra mundial (inicios XX)
Industrias se desarrollan: acero, petróleo, electricidad
Teléfono, alumbrado eléctrico...
Tercera revolución industrial
Inicio finales de los 80
Revolución digital
Microelectrónica de bajo coste en fabricación
Ordenador personal, internet, redes sociales...
Cuarta revolución industrial
Robótica
Internet de las cosas
Vehículos autónomos...
Necesidades
Ciberseguridad
Fiabilidad de las comunicaciones
Mantenimiento de la integridad de los procesos de producción
Evitar interrupciones costosas en la producción
Proteger el conocimiento industrial, crítico en esta nueva era
Integrar los departamentos tradicionales de TIs en los sistemas de producción
Seguridad de la información
2.1 De seguridad informática a seguridad de la información
Seguridad informática
Disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas orientados a proveer condiciones seguras y confiables para el procesamiento de datos en sistemas informáticos
Seguridad en TIs
Disciplina que se ocupa de diseñas las normas, procedimientos, métodos y técnicas orientados a proveer condiciones seguras y confiables para el procesamiento y la transmisión de datos entre sistemas informáticos
Ciberseguridad
Conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las redes y sistemas que contribuyen el ciberespacio
Ciberespacio
Espacio virtual que engloba todos los sistemas TIC, tanto sistemas de información como de control industrial
Seguridad de la información
Capacidad de las redes o de los sistemas informáticos para resistir los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, integridad y confidencialidad de los datos.
Dimensiones
Disponibilidad
Integridad
Confidencialidad
No repudio
Origen
Destino
Autenticación
Datos
Materia prima para la producción de información
Información
Resultado de procesar, transformar o interpretar datos
Se considera el activo más valioso
Otros conceptos relacionados con la seguridad
Daño
Ataque
Riesgo
Amenaza
Salvaguarda
Vulnerabilidad
Activo
2.2 Principios básicos de seguridad
La seguridad no es un producto. Es un proceso
Ciclo de vida
Diseño
Transición (puesta en marcha)
Operación (día a día)
Actualización y optimización (procesos de mejora del servicio)
La seguridad plena es una utopía
En el diseño
Minimizando la superficie de ataque
En el desarrollo y puesta en explotación
Respondiendo a las posibles vulnerabilidades y amenazas con salvaguardas o defensas
En los procesamientos y normas de uso
Concretando lo que se puede hacer y lo que no
En el uso diario
Mediante el establecimiento y revisión de políticas de seguridad
La seguridad es una cadena y, como tal, romperá por el eslabón más débil
Factor humano
2.3 Preguntas clave
¿Qué queremos proteger?
¿Contra quién nos queremos proteger?
¿Cómo lo vamos a proteger?
¿Hasta dónde?
2.4 Diferentes enfoques de la seguridad de la información
Centrado en la normativa y legislación
Enfocado hacia las amenazas tecnológicas
Centrado en el negocio
Para lograr una concepción integral de la seguridad será necesario considerar las tres variantes
2.5 Seguridad vs Privacidad
Privacidad
Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión"
2.6 Seguridad a través de la oscuridad o del conocimiento
Seguridad a través de la oscuridad
Todos los sistemas de cifrado anteriores a la introducción de la informática se basaban su eficacia en que el propio método de cifrado fuese secreto
Es la filosofía en base a la que se considera que una aplicación informática será segura en la medida en que su código interno no sea difundido
Seguridad a través del conocimiento
Divulgar todo lo posible a la información de los sistemas y mecanismos de seguridad, en particular sus vulnerabilidades
Visión integral de la Seguridad
3.1 El factor humano
El eslabón más débil
Más del 70% de los incidentes de seguridad se originan dentro de la propia organización
En los no intencionados, la causa común es la ausencia o escasa cultura de seguridad
Otra causa es la ingeniería social
Plan de trabajo fundamental con 3 objetivos
Difundir y formar al personal en las líneas generales de la política de seguridad corporativa
Asegurarse de que el personal toma conciencia de las amenazas y riesgos en el ámbito de la seguridad de la información
Minimizar el impacto provocado por las incidencias de seguridad
Medidas a adoptar
Formación en todos los aspectos
Establecimiento de acuerdos de confidencialidad
Seguimiento del personal que gestiona tareas críticas
3.2 Seguridad física y del entorno
Inventario y etiquetado de archivos
Control de soportes móviles de almacenamiento de datos
Protección contra fallos del suministro eléctrico
Controles de acceso e instalaciones
Protección contra factores ambientales
3.3 Seguridad lógica
Delimitar el acceso a las aplicaciones y archivos de datos
Disponer caminos alternativos para la transmisión de la información
Garantizar que la información recibida sea la misma que la enviada
Garantizar que sólo el destinatario de la información pueda recibirla y no otros
Verificar que el uso de la información se ajusta a los procedimientos establecidos
3.4 Seguridad organizativa
Abarcable
Inteligible
Obligado cumplimiento
Concreción de responsabilidades
Asequible
Mejorable
Identidad digital y legal. Firma electrónica y certificados
4.1 Identificación y autenticación
Factores de autenticación
Factor de conocimiento
Algo que se sabe
Factor de posesión
Algo que se tiene
Factor de existencia
Algo que se es
4.2 Identidad y rastro digitales
Rastro digital
Perfiles en redes sociales
Web personal
Opiniones vertidas en blogs, foros...
Búsquedas realizadas
Relación de compras realizadas
Páginas webs visitadas
Direcciones IP desde las que se conectan
Cuentas de correo electrónico
Identidad digital
Agregación del rastro digital
Metadatos
Datos que describen otros datos
4.3 Firma electrónica
Sistema que permite verificar la identidad de las personas con el mismo valor que la firma manuscrita.
Permite que el emisor pueda identificarse con certeza (autentiocación), evita que sea interceptada (confidencialidad) y alterada por terceros (integridad) y garantiza el no repudio
Dos tipos de firmas
Firma electrónica avanzada
Permite identificar firmemente y detectar cualquier cambio anterior de los datos firmados, que está vinculada al firmante de manera única
Firma electrónica reconocida
Se considera a la firma electrónica avanzada basada en un certificado digital reconocido y generada mediante un dispositivo seguro de creación de firma
4.4 Hacia una identidad legal: certificados digitales y DNIe
4.4.1 Certificados digitales
Firma electrónica avanzada
4.4.2 DNI electrónico
Firma electrónica reconocida
4.4.3 DNI 3.0
Firma electrónica reconocida
Un futuro cambiante
UNIDAD 2
Fundamentos en la seguridad digital
Criptografía
1.1 Conceptos básicos
Tradicionalmente empleada en tareas militares
Aplicación práctica de la criptología
Criptología
Ciencia que se ocupa de garantizar la privacidad en el almacenamiento y la transmisión de información
Criptoanálisis
Conjunto de técnicas destinadas a restituir la información cifrada a su estado original, desconociendo la clave o método de crifrado
Criptosistema
Conjunto de procedimientos que garantizan la seguridad de la información mediante el empleo de técnicas criptográficas
Objetivo: Proporcionar dimensiones de seguridad que configuran la privacidad, que son todas las conocidas, exceptuando la disponibilidad
Autenticación
Confidencialidad
Integridad
No Repudio
Trazabilida
Temporalidad
Más correcto usar cifrar y descifrar que encriptar y desencriptar
1.2 Confidencialidad: clave simétrica
Criptografía clave simétrica = conjunto de métodos que aseguran confidencialidad
Clave simétrica
Clave que necesitan conocer los agentes para transmitir información
Texto claro
Versión original
Texto cifrado o criptograma
Resultado del texto claro cifrado
Potencia
Calidad del algoritmo
Tamaño de la clave
También denominados algoritmos de clave privada
1.3 Compartición de secretos: clave asimétrica
Se basa en la existencia de dos claves separadas
Una de ellas es pública y todos los usuarios la conocen
La otra es privada y solo es conocida por el usuario
Confidencialidad
Cualquier usuario que conozca la clave pública de otro podrá cifrar mensajes solo para el titular de dicha clave
Firma digital
Cualquier mensaje cifrado con la clave privada de un usuario podrá ser descifrado por cualquier agente con su clave pública
Sistemas Mixtos
El mayor inconveniente es el llamado coste computacional
El tamaño de clave es muyo mayor
Usar claves simétricas para cifrar la información y claves asimétricas para cifrar la clave simétrica utilizada
Problema "Man in the middle"
Puede existir alguien en medio que obtenga la clave pública de uno de los dos agentes que se envién sus claves y la pille
Solución: confianza en el intercambio de las claves públicas (integridad y autenticación)
Se consigue mediante la firma digital de claves
1.4 Integridad: algoritmos de Resumen
Generar el equivalente de un extracto de tamaño fijo del mensaje a través de cálculos
Estos algoritmos se llaman resumen o huella digital
Utilizados en la gestión de contraseñas de acceso
1.5 Autenticación y No Repudio. Firma digital: cifrado de resumenes
Combinación de los algoritmos de resumen con los sistemas de cifrados
aplicaciones
Enviar el texto junto a su resumen cifrado con la clave privada del autor
El receptor lo descifra con la pública del firmante (Autenticación y no repudio)
Comparar el resumen con el texto para asegurarse que no ha tenido cambios (integridad)
Base del concepto de firma digital que es el resumen de un documento cifrado con la clave privada del agente firmante
Firmar las claves públicas de los agentes
Solventa los problemas de Man in the middle
1.6 Sistemas criptográficos: horizontales y verticales
Sistemas horizontales
Asumen que todos los participantes tienen el mismo nivel de confianza
Cada agente genera par de claves asimétricas, almacenando la privada y firmando la pública con su propia privada
Otro agente seguro de que dicha clave es la indicada podrá firmar dicha clave (Llaveros digitales)
Confianza entre agentes. Transitividad
Todos los agentes del sistema podrán acceder a los servidores, identificar la clave pública asociada a un agente y en función de otros agentes que la hayan firmado, validar la fiabildiad.
Telaraña de confianza (Web of Trust)
A medida que el número de agentes crece se establece la telaraña de confianza
Sistemas verticales
Existencia de autoridades de Certificación (AC, CA)
Firman las claves públicas de todos los agentes
Infraestructura de clave pública
El conjunto de autoridades de certificación, los agentes certificados en el sistema vertical y el conjunto de criptosistemas que de manera integrada, permiten el cifrado y descifrado de mensajes
Certificados digitales X.509
Un certificado digital es una estructura de datos que engloba los datos más relevantes de cada uno de los agentes de una infraestructura de clave pública o PKI
Las cuatro partes más importantes de un certificado digital son
La clave pública del agente titular certificado
La identidad de dicho titular: nombre y datos generales
Las operaciones que puede realizar el titular (firma de determinados documentos, cifrado con determinados algoritmos, etc)
La firma digital de todo el certificado, realizada con la clave privada de la autoridad de certificación, que asegura la integridad y autenticación de los datos
Estructura bássica
Versión de protocolo
Número de serie
Emisor del certificado (nombre de la Autoridad)
Identificador del algoritmo usado en la firma (RSA, DSA, etc)
Periodo de validez del certificado
Nombre e información adicional del sujeto
Clave pública, longitud y demás parámetros
Algunos datos opcionales (por ejemplo, claves adicionales, operaciones autorizadas para cada clave, autoridad delegada de firma o registro, etc)
Firma de la autoridad certificadora
Para comunicarse, intercambio de certifiacados
Autoridades de certificación. Niveles de autoridad
Autoridades de certificación delegadas con capacidad para firmar certificados
El papel de la autoridad de certificación consiste en firmar los certificados de los usuarios.
Las autoridades delegadas podrán ser a su vez emisoras de certificados, cuyo ámbito de aplicación suele ser más restringido
La verificación de la firma lleva dos pasos
La verificación de la firma de la autoridad en el certificado agente
La verificación del certificado raíz
Las autoridades delegadas o intermedias generan la cadena de verificación
Renovación y Revocación de Certificados
Además de disponer de un período de validez que podrá ser renovado, un certificado podrá ser revocado por el usuario
Tipos de Autoridades: oficiales, comerciales, gratuitas
Según reconocimiento
Autoridades no reconocidas
Su certificado raíz no figura en estos almacenes
Autoridades reconocidas
Cumplen determinados criterios de emisión y control de sus certificados y figuran en los almacenes de certificados raíz deMicrosoft, Apple, Android, etc
Según el ámbito de funcionamiento
Autoridades oficiales
Organismos gubernamentales y grandes organizaciones
Autoridades comerciales
Empresas que prestan servicios de emisión de certificados para uso comercial
Autoridades gratuitas
Generación de certificados digitales
Hoy en día los navegadores generan la pareja de claves pública y privada, transmitir la pública a la CA y recoger el certificado firmado.
Tarjetas criptográficas. DNIe
Utilización de tarjetas con un chip criptográfico, dotado de memoria en la que se almacena tanto el certificado como la clave privada
Seguridad digital en entorno local
Cifrado de discos, volúmenes y ficheros
Emplear medidas de protección destinadas a
Evitar que cualquiera tenga acceso a la información almacenada en los discos internos de los equipos personales o de trabajo
Garantizar un intercambio seguro de datos cuando se comparte información a través de pendrives, CDs, discos externos, o a través del envío por medios digitales
Definiciones básicas
Unidad de almacenamiento
Dispositivo físico (disco, pendrive, DVD, etc) que, alojado interna o externamente en el ordenador, permite almacenar información, bien sean documentos, fotos, vídeos, correos, etc.
Partición
Cada unidad puede dividirse en varias particiones
Volumen
Cuando una partición es incorporada, mediante la operación conocida como montaje, al sistema de ficheros
Volúmenes virtuales
Formados por la recursión del concepto de volumen asociado a partición, considerando un fichero de volumen ya montado como si fuese una nueva partición independiente
Seguridad Digital en Redes. LAN Y WAN
3.1 Internet como red global, sencillez frente a seguridad
Internet nació como una red global con énfasis en la funcionalidad, a expensas de la seguirdad
3.2 Redes de Área Local (LAN)
3.2.1 Seguridad en redes inalámbricas (WIFI). de WEP a WPA3
WEP
Obsoleto
WPA
uso personal
Autenticación simple mediante contraseña
uso empresarial
Servidor RADIUS para la autenticación
WPA2
Sustituye RC4 por AES
Usa WPS (MAL)
WPA3
3.3 Entorno extendido (WAN)
3.3.1 Aplicaciones de los sistemas horizontales
PGP, OpenPGP y GnuPG. Servidores de firmas de clave
Cifrado de documentos y Correo electrónico seguro PGP
Firma de distribuciones de software abierto
Cifrado de conexiones entre máquinas a través de Internet. SSH
3.3.2 Aplicaciones de los sistemas verticales
Seguridad en el software. Firmado de distribuciones y actualizaciones propietarias
Correo electrónico seguro. S/MIME
SSL y TLS. Cifrado de conexiones a Internet
TLS sobre HTTP. Web segura S-HTTP con certificados de servidor
Doble autenticación en conexiones web. Https con certificados de cliente
Otras aplicaciones. IP segura y túneles de cifrados. Redes Privadas virtuales (VPN)
Herramientas adicionales en seguridad digital: Biometría y Esteganografía
4.1 Biometría
Conjunto de métodos para el reconocimiento automático de seres vivos mediante el análisis de rasgos fisiológicos o rasgos de conducta
La biometría es una herramienta de apoyo a la autenticación
Ningún sistema de detección biométrica es infalible
Uno de los ejemplos más destacados es la implementación de rasgos biométricos en el DNI electrónico
Huellas dactilares
4.2 Esteganografía
Ciencia que estudia mecanismos para la transmisión de mensajes o el registro de información de manera que pase inadvertida y oculta a todos, excepto a los agentes involucrados en la comunicación.
Las técnicas esteganográficas se utilizan para ocultar información en un soporte con otro tipo de información, denominado portador, de manera que dicha información que se desea ocultar pase desapercibida
Basada en la seguridad a través de la oscuridad
No cabe hablar de estándares
Una de las técnicas más usuales: sustitución de los bits menos significativos
Marcas de agua
UNIDAD 3
AMENAZAS A LOS SISTEMAS DE INFORMACIÓN
Tipos de amenazas
Amenazas
Accidentes
Sucesos que involuntariamente producen daño en los sistemas de información
Negligencias
Daño por un mal uso de los equipos, redes y sistemas auxiliares de forma no intencionada por el personal de la propia organización o responsable de algún servicio
Ataques
Amenazas que vienen de terceros
1.1 Efectos de un ataque
Destrucción de información
Pérdida de disponibilidad de servicios
Daños a la propiedad
Violación de intimidad
Daños a la reputación de la empresa
vulnerabilidad
Incapacidad de respuesta frente a una amenaza
1.2 Principales motivaciones de los atacantesÇ
MICE
Obtención de beneficio económico (Money)
Motivación política (Ideology)
Intención de hacer daño (Compromise)
Prestigio y autoestima (Ego)
1.3 Perfiles clásicos del atacante informático. Subculturas
Hacker
Intruso con alta cualificación técnica que aprovecha sus conocimientos para comprometer la seguridad, como reto personal o diversión sin mala fé
Cracker
Hacker que actúa con mala fé
Hacker que utilizan el conocimiento para desproteger los programas
Script kiddie
Persona no experta que ataca usando "kits de ataque"
Phreaker
Hackers especializados en redes telefónicas
Carder
Expertos en sistemas criptográficos y tarjetas inteligentes
Empleados descontentos y ex-empleados
1.4 vulnerabilidades y exploits
Exploit
Ataque especifico para una vulnerabilidad
Dos tipos de fallos
Los que afectan sólo a la disponibilidad
Los que además comprometen las restantes dimensiones de seguridad
La capacidad de que el fallo sea explotado para comprometer las dimensiones restantes, diferencia un fallo informático de una vulnerabilidad
Virus dia 0
Vulnerabilidad descubierta sin comunicar
Necesidad de tener actualizados los sistemas
Aparición del Cibercrimen
2.Amenazas en entorno doméstico y estaciones cliente
Factor humano el punto más débil
2.1 Ordenador Personal. Sistema Operativo
Problema: ausencia de políticas de seguridad
El usuario como administrador
Amenazas inherentes al sistema operativo y las aplicaciones
Configuración del sistema. Contraseñas
Sistemas de almacenamiento. Discos removibles, pendrives y nube
Uso compartido de ordenadores personales
2.2 Redes domésticas. Wifi. ADSL. Internet por cable
Acceso al equipo de comunicaciones (router)
Configuración de seguridad de la red Wifi. Identificación y método de cifrado
Software Malicioso o Malware
Virus = tipo específico de malware
Malware: pieza de software malicioso cuyo objetico es comprometer la seguridad de un sistema informático
Orientación hacia el beneficio económico. Crimeware
Actividades que ofrecen la creación de malware para obtener beneficio económico o crimeware
Recopilar información del ordenador afectado
Obedecer instrucciones remotas
Comportarse como un "falso antivirus" mostrando publicidad
Cifrar el contenido del ordenador y solicitar rescate
Se pueden clasificar en dos criterios
Atendiendo a su mecanismo de propagación
Atendiendo a su finalidad
3.1 Mecanismos de propagación del malware
3.1.1 Virus
Programa capaz de copiarse a sí mismo y propagarse dentro de un sistema informático o red.
Requieren de la intervención humana para provocar la infección
3.1.2 Gusanos
Programa capaz de reproducirse como el virus, pero se propaga de forma automática por las redes, sin requerir intervención humana
3.1.3 Troyanos o Caballos de Troya
Programa que parece inofensivo que esconde código malicioso
Siempre irá acompañado de un "señuelo" para que el usuario haga lo que el atacante desea
Las formas más comunes de propagación
Descargado como parte de alguna apliación instalada
Como adjunto en un mensaje de correo
Descargado, con o sin autorización del usuario, al visitar una web maliciosa o una red social
Dentro de otro programa inofensivo
3.1.4 Combinación de mecanismos de propagación
3.2 Tipos de Software Malicioso
3.2.1 Instalación y ocultación. Downloaders. Backdoors. Rootkits
Downloader
Código que al ejecutarse descargará de forma silenciosa el resto de los componentes.
Backdoor
Deja "puertas traseras" en el sistema, que permitirá al atacante acceder incluso después de ser detectados y corregidos
Rootkit
Software malicioso que sustituye determinados programas del sistema operativo, para esconder los componentes y acciones que realiza
3.2.2 Captura de información. Spyware. PWStealers. Keyloggers
Spyware
Software que se instala de forma no consentida para registrar actividad y enviar los datos a algún destino controlado.
PWStealers (Ladrones de contraseñas)
Variantes de Spyware especializados en el robo de contraseñas almacenadas en el ordenador
Keyloggers (capturadores de teclado)
Caso particular de Spyware. Registro completo de la navegación del usuario, llegando a registrar las pulsaciones del teclado
3.2.3 Captura de recursos. Bots. Botnets
Software que se instala de forma silenciosa en el equipo.
Al extenderse la infección, el hacker podrá disponer de un elevado número de ordenadores para hacer tareas en segundo plano.
Ordenador infectado = zombie/bot
Conjunto = Botnets
Tareas más comunes
Envío masivo de spam
Plataforma de ataques (DDos)
Minería de criptomonedas
3.2.4 Publicidad. Adware. Clickers. Secuestradores de web
Adware
Mostrar publicidad de manera forzada al usuario
Clicker
Redirección de las páginas de Internet a las que intenta acceder el usuario
3.2.5 Secuestro de información. Rogues. Ransomware
Troyanos y webs fraudulentos (roge trojan and web)
Simula un comportamiento anormal del sistema y propone la compra en línea de un programa para solucionarlo (falsos antivirus)
Páginas web roge o falsas hacen la misma función
Criptovirus
Hace inaccesible determinados ficheros a cambio del pago de una cantidad para un rescate (ransom)
3.2.6 Destrucción de información. Killers. Bombas lógicas
Killers
Cualquier pieza de malware que en un momento determinado destruye parte o la totalidad de la información del sistema
Bombas lógicas
Componente que está programado para activarse en determinadas circunstancias (ej. una fecha, ausencia de fichero)
3.2.7 Otro software no recomendado
Generadores de claves (keygens)
Crack (desprotección de Kits de instalación)
Herramientas de creación de malware (constructores)
3.2.8 Profesionalización del hacking. Malware a la Carta
Amenazas a la seguridad en el correo electrónico
Una de las principales vías de transmisión de malware
4.1 Privacidad
Campos CC y CCO
4.2 Spam o correo no deseado
No responder nunca a un mensaje de Spam
4.3 Bulos (Hoaxes)
Amenazas a la seguridad en la web y el comercio electrónico
5.1 Navegadores web
Una de las mayores amenazas: empleo de enlaces tóxicos
5.2 Privacidad. Cookies
Cookies espía
Cookies maliciosas
5.3 Web Hacking
Conseguir credenciales de acceso de los usuarios
Creación de falsas réplicas de las webs
dos estrategias básicas
Phishing
Conseguir que el usuario acceda mediante un enlace falseado
Pharming
Falsear el sistema de nombres de dominio (DNS)
5.3.1 Phishing, Estafas por Internet
Técnicas de ingeniería social para que el usuario acceda a la web maliciosa
Evitar el uso de enlaces externos para acceder a los sitios webs con información sensible
Spear Phishing (Phishing con arpón), dirigido a usuarios específicos adaptándose a víctimas concretas
Formar a los usuarios como medida
5.3.2 Pharming. Envenenamiento del DNS (DNS Poisoning)
El enlace correcto te conduce a la dirección IP falsa
Intoxicación del servidor DNS de la organización
Modificación del fichero HOSTS del equipo local
5.4 Cross-Site Scripting (XSS)
Consiste en introducir código malicioso en un servidor web para que se ejecute en los navegadores de los clientes.
Similar a la inyección de SQL
Se basa en la inserción de código malicioso en el propio enlace
Nuevas amenazas. Redes sociales y cloud computing
6.1 Redes sociales
Tres grandes amenazas
De tipo técnico
web hacking, enlaces tóxicos...
La incertidumbre
Gestionadas y controladas por empresas que podrían hacer uso inadecuado de los datos
Intimidad y Privacidad
Se publica todo
Riesgos
Daños o perjuicios a terceros
Publicar información o fotos sin permisos
Repercusiones en la vida laboral
Difamaciones y calumnias
Menores de edad
Riesgos de carácter tecnológico
Difusión de Malware
Social Spamming o Scamming
Tabnabbing
Aprovechar las pestañas que están en segundo plano
Clickjacking
Al hacer click en "Me gusta" se actualiza estado, frases que redirijen,etc.
6.2 Computación en la nube
Significa computación en la nube y tiene que ver con el hecho de que muchas empresas y organizaciones externalizan una gran parte de sus infraestructuras
También la información
Ataques elaborados a los sistemas de información
7.1 Recopilación de información
7.1.1 Escaneo de puertos (Port scanning)
7.1.2 Escuchas
Eavesdropping o interceptación de comunicaciones de voz
Sniffing o escucha de comunicaciones de datos
7.1.3 Google Hacking
Localización de versiones específicas de servidores web, bases de datos, cámaras web, etc
Localización de mensajes de error específicos de software conocido
Páginas erróneamente generadas
7.1.4 El punto más débil. Ingeniería social (social engineering)
Se apoya en cuatro principios básicos
Todos queremos ayudar
El primer movimiento siempre es de confianza hacia el otro
No nos gusta decir no
A todos nos gusta que nos halaguen
7.2 Identificación de vulnerabilidades
A través de toda la información recopilada en el paso anterior, identificar las vulnerabilidades y decidir estrategias
7.3 Ataque. Explotación de vulnerabilidades
7.3.1 Suplantación. IP, DNS y Web Spoofing
Web spoofing
Modificar paquetes de datos enviados a un sistema informático para simular que provienen de un equipo diferente al original
Man in the middle
7.3.2 Inyección de código SQL
7.3.3 Denegación de servicios (DOS y DDOS)
Aprovechamiento de exploits (DoS)
Saturar procesadores o la memoria del servidor, forzando la ejecución de programas con vulnerabilidades
Denegación de Servicio Distribuido (DDoS)
Solicitar una ingente cantidad de conexiones, como enviar miles o millones de peticiones simultáneas a un servidor web
7.4 Continuación del Ataque
7.5 Amenaza avanzada y persistente (APT)
Variedad de ciberataque especialmente peligroso, en el que un atacante realiza un ataque elaborado a una organización mediante el cual consigue acceso y permanece oculto.
Los tres aspectos básicos son
El atacante se infiltra en la organización objetivo por un largo período de tiempo
Se adapta a los mecanismos de defensa y consigue superarlos
Mantiene el nivel de interacción para conseguir los objetivos finales
UNIDAD 4
Mecanismos de defensa
Desde la perspectiva doméstica
1.1 Recomendaciones básicas de empleo del sistema
1.1.1 Protección física
Disponer de procedimientos de recuperación
1.1.2 Configuración básica del sistema y de las aplicaciones
1.1.3 Políticas de cuentas de usuario, contraseñas y copias de seguridad
1.1.4 Actualizaciones del sistema y de las aplicaciones
1.2 Conexión a Internet. Fibra, Cable, ADSL y Redes Wifi
1.2.1 Recomendaciones de configuración de un router
básico
Cambiar la contraseña de acceso e impedir su configuración desde Internet
Asegurarnos de que el router bloquea las conexiones entrantes (asgina IPs privadas a equipos internos)
Evitar el empleo de "DMZ" o "default workstation"
Medio
Configurar puertos entrantes (si es necesario)
1.2.2 Configuración básica de una Wifi doméstica o Pyme
Básico
Configurar protocolo de seguridad WPA, WPA2 o WPA3 de contraseña propia
Desactivación del protocolo WPS (Wifi Protected Setup)
Medio
Ocultar el identificador de red (SSID)
Utilizar la lista de control de acceso (ACL) por MAC
Desactivación del DHCP en el Router y utilización de IP estáticas
Avanzado
Empleo de protocolos de autenticación 802.1x
1.3 Protección contra el malware. Suites de seguridad
Los antimalware puede ser basado en firmas heurístico
Se pueden encontrar productos totalmente gratuitos con prestaciones muy elevadas
1.4 Recomendaciones en el empleo de dispositivos móviles
Copias de seguridad
Protección de la información almacenada
cifrar sistemas de almacenamiento
Recomendaciones relativas al protocolo blouetooth
restringir su activación y ocultar la identidad
Protección contra el malware
Permisos de las aplicaciones
Seguridad en el uso del correo electrónico
2.1 Recomendaciones generales
Utilización de varias cuentas de correo
Consultar periódicamente las cuentas
Configuración del spam o correo no deseado
Listas negras
Listas blancas
Empleo de filtros
Utilización de correo electrónico seguro (PGP o S/MIME)
2.2 Recomendaciones específicas para la recepción
No abrir correos si no conocemos al remitente
No aceptar documentos ni archivos adjuntos provenientes de desconocidos
No asumir que un mensaje es válido porque el nombre del remitente es conocido
Utilizar filtros ani-Spam
No leer los correos de spam y especialmente, jamás abrir sus ficheros
Analizar con antivirus cualquier documento adjunto
No confiar en regalos y promociones de fácil obtención
Desconfiar especialmente de cualquier correo que incluya un enlace y nos poda que accedamos a dicho enlace
2.3 Recomendaciones específicas para el envío
Incluir un asunto lo más descriptivo posible
Tener en cuenta que usar mayúsculas implica gritar
No utilizar fondos prediseñados o colores para los mensajes
Jamás facilitar datos personales
No responder a correos no solicitados
No se debe participar en el reenvío de mensajes piramidales y bulos
No es bueno activar funcionalidades como el "aviso de lectura"
Navegación segura
3.1 Recomendaciones relativas a la web y el comercio electrónico
Actualización del navegador a los últimos parches de seguridad
Evitar la utilización de enlaces de origen no conocido y fiable
Descargar software del desarrollador o de fuentes fiables
Evitar el uso de "recordar contraseñas"
Control de las "cookies"
Navegación segura. Comprobación de certificados digitales del servidor
No enviar datos sensibles en conexiones web inseguras (no cifradas)
Hacer uso de la autenticación de dos factores siempre que sea posible
Evitación de código tóxico y control de pestañas en los navegadores
3.2 Uso racional de la privacidad en redes sociales
Política de uso y privacidad
Nivel de privacidad
Amigos y conocidos
Información personal
Información de terceros
Protegiendo la organización: Defensa perimetral
4.1 Frontera de contención: Firewalls
Tipos
Pasarela a nivel de transporte
Pasarela a nivel de apliación
Filtrado de puertos
4.1.1 Intranet corporativa
Zona segura en el interior de la organización
Todos los flujos de información entre la Intranet, el exterior (Internet) y la DMZ estarán filtrados por firewall
4.1.2 Zona desmilitarizada: DMZ
Porción de la red interna donde se ubican los bastiones
Red sometida a todo tipo de ataques
El firewall deberá impedir el acceso a cualquier servicio no explicitamente autorizado
4.2 Acceso seguro a la organización: Redes Privadas Virtuales (VPN)
4.3 Detección de intrusiones: IDS e IPS
IDS (Intrusion detection systems)
Programas que, mediante monitorización de las actividades en el perímetro y en el interior de la red, son capaces de identificar patrones de tráfico sospechosos
IPS (Intrusion Prevention Systems)
Monitorizan el tráfico no solo para detectar, sino para evitarlas y prevenir que se repitan. Combinan IDS con firewall.
4.4 Hacking ético, análisis de seguridad y pruebas de penetración
El hacking ético es el empleo controlado de técnicas de hacking para evaluar las vulnerabilidades de un sistema de información, en lo que se conoce como análisis de seguridad de un sistema
La realización de ataques tentativos y controlados se conoce como Pentesting o pruebas de penetración
Los análisis de seguridad tienen tres categorías
Análisis de caja negra
Análisis de caja blanca
Análisis de caja gris
Protección desde la perspectiva Gubernamental
Directiva NIS
Medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
5.1 Agencia Europea de Seguridad de las redes de la información (ENISA)
Desarrollo de estrategias nacionales de seguridad
Estudios sobre aspectos vinculados al desarrollo tecnológico y la ciberseguridad
Organización de ciberejercicios para reforzar la capacidad de respuesta de la UE ante ciberataques de gran escala
5.2 Mando Conjunto de Ciberdefensa
Garantizar la disponibilidad de la información, así como la integridad y disponibilidad de las redes y sistemas que la manejan y tenga encomendados
Garantizar el funcionamiento de los servicios críticos de los sistemas de información y telecomunicaciones de las Fuerzas Armadas
Obtener, analizar y explotar la información sobre ciberataques e incidentes en las redes y sistemas de su responsabilidad
5.3 SOCs, CERT y CSIRT
5.3.1 Security Operation Center (SOC)
Centros para monitorizar la seguridad con el objetivo de proteger todo tipo de organismos de forma ininterrumpida
SOC dedicado exclusivamente a la Administración
Centro de Operaciones de Ciberseguridad AGE
5.3.2 Centros de Respuesta ante incidentes: CERTs y CSIRTs
Organismos con capacidad técnica y estructura adecuada para la lucha contra el amplio abanico de ciberamenazas
Analizan los riesgos y gestionan incidentes
5.3.3 CERTs y CSIRTs en España
CCN-CERT
Responsabilidad en ciberataques sobre sistemas clasificados, sistemas de la Administración General, Autonómica y Local y, en coordinación con CNPIC, sobre sistemas que gestionen infraestructuras críticas
ESP DEF CERT
Centro de Respuesta ante Incidentes del Ministerio de Defensa
INCIBE-CERT
Adscrito al Ministerio de Industria, Turismo y Comercio, es el de referencia a los ciudadanos, entidades privadas y a la red académica
5.3.4 CERTs en el ámbito internacional
FIRST
TF-CSIRT
NCIRC
Directorio MERIDIAN
5.4 Centro Criptológico Nacional (CCN)
Ámbito de actuación
Sistemas de la Administración Pública
Seguridad y Defensa
Infraestructuras críticas y Sectores Estratégicos
Ciudadanos y PYMES
Funciones
Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en la administración, empresas y ciudadanos
Formar al personal de la administración especialista en el campo de la seguridad de las TIC
Constituir el organismo de certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito
5.4.1 CCN-CERT
Servicios ofrecidos por el CCN-CERT
Servicios reactivos
Gestión de incidentes
Gestión de alertas y avisos
Gestión de vulnerabilidades
Análisis de código malicioso
Servicios proactivos
Anuncios y avisos a los usuarios autorizados
Realización de auditorías y evaluaciones de seguridad sobre los sistemas clasificados
Configuración y mantenimiento de elementos de seguridad
Detección de intrusiones
Certificados de Calidad
Servicios de gestión
Análisis de riesgos
Consultoría de seguridad informática
Formación
Evaluación y certificación de productos
5.5 Centro Nacional de Protección de Infraestructuras Críticas (CNPIC)
5.6 Instituto Nacional de Ciberseguridad (INCIBE)
Actividades dirigidas a
Empresas y profesionales
Expertos en ciberseguridad
Ciudadanos
Menores, jóvenes, familias, educadores y profesionales en el ámbito de los menores
5.6.1 Incibe-CERT
Objetivos
Impulsar la confianza con nuevas tecnologías
Minimizar los prejuicios ocasionados por incidentes de seguridad
Prevenir, informar, concienciar y formar a las entidades y al ciudadano
Servicios esenciales
Gestión y soporte de incidentes de seguridad
Gestión y soporte ante el fraude electrónico
Asesoría legal
Laboratorio de soluciones de seguridad
5.7 Agencia Española de Protección de Datos (AEPD)
Su objetivo principal es garantizar el cumplimiento de la legislación sobre protección de datos de carácter personal
UNIDAD 5
Instrumentos para la gestión de la seguridad
Buenas prácticas en TIs. La visión de ITIL
1.1 La biblioteca ITIL
1.2 Terminología básica
Buena práctica
Enfoque o método que ha demostrado su validez y eficacia en la práctica
Servicio
Medio para entregar valor al cliente, facilitando los resultados que los clientes quieren sin asumir costes o riesgos específicos
Valor
Conjunción de dos componentes fundamentales: funcionalidad y garantía
Gestión de servicios
Conjunto de capacidades organizativas especializadas cuyo fin es generar valor para los clientes en forma de servicios
Función
Subdivisión de una organización especializada en realizar un trabajo específico y que tiene la responsabilidad de obtener resultados concretos
Proceso
Conjunto estructurado de actividades diseñado para cumplir con un objetivo concreto
1.3 El enfoque de ITIL v3 2011. El ciclo de vida del servicio
Tres aspectos críticos
La forma en que está estructurada la gestión del servicio
La forma en que los distintos componentes del ciclo de vida están relacionados entre sí
El efecto que los cambios en un componente tendrán sobre otros componentes y, sobre todo, en el sistema del ciclo de vida
Ciclo de vida de cinco fases
Estrategia del servicio
Diseño del servicio
Transición del servicio
Operación del servicio
Mejora continua
Cada fase o etapa posee dos elementos cruciales para entender el modelo del ciclo de vida
Actividades
Relación de las tareas más importantes a realizar para lograr los objetivos en cada fase
Procesos
Conjunto de actividades con un objetivo específico
1.4 ITIL v4 y la Industria 4.0
Análisis de riesgos
Pasos a seguir para identificar, cuantificar, medir y gestionar las situaciones que ponen en peligro la seguridad de la información
2.1 Terminología básica
Activo
Cualquier recurse de software, hardware, de personal, administrativo, etc. requerido para el adecuado funcionamiento de un servicio
Vulnerabilidad
Debilidad del sistema que puede ser utilizada accidental o intencionadamente
Amenaza
Posibilidad de que se produzca una determinada vulnerabilidad con éxito
Impacto
Materialización de un riesgo. Nos proporciona un medible del grado de daño que se ha producido sobre un activo
2.2 Definición de riesgo
Riesgo
Probabilidad de que un evento adverso ocurra y que supone un impacto negativo si llegase a ocurrir
Tres aspectos fundamentales para entender el concepto de riesgo
Acontecimientos futuros
Solo se pueden estimar y reducir a un nivel razonable los riesgos conocidos, por tanto, es necesario vigilar la sustanciación de amenazas que no habían sido consideradas previamente, es decir, la aparición de nuevos riesgos
Cambios
La detección y análisis de los riesgos lleva consigo el estudio de que cambios se pueden implementar en la organización
Elección
En cuanto que se han de tomar decisiones, para gestionar riesgos
Etapas análisis de riesgo
Identificar amenazas y las medidas de defensas o salvaguardas ya implementadas sobre cada activo
Si el nivel de riesgo está por encima de lo recomendable, proponer mejoras en las defensas o nuevas salvaguardas que pueden implementarse para minimizarlo
2.3 Tipos de riesgo
Riesgos conocidos
Aquellos que pueden ser identificados y gestionados, adoptando las medidas oportunas
Riesgos desconocidos
Situaciones imprevistas que no se permiten tomar medidas "a priori"
2.4 ¿Qué esperamos del análisis de riesgos?
Objetivos principales
Identificar cualquier riesgo significativo en todos los activos de información
Obtener un informe claro y entendible por la DIrección
Establecer una clasificación de riesgos en función de su impacto potencial en la organización y en los clientes internos y externos
Identificar la posibilidad de lograr una eliminación de riesgo inmediata
Identificar soluciones alternativas, con sus ventajas y desventajas
2.5 Desarrollo
Fase 1. Gestión de activos: identificación, valoración y análisis de dependencias
Identificar los activos vinculados al ámbito del análisis de riesgo
Este apartado puede incluir
Infraestructuras básicas
Hardware y software de comunicaciones
Hardware de sistemas
Software
Sistemas de almacenamiento
Bases de datos
Informes
Expedientes
Contratos de mantenimiento y servicios
Personal
A continuación se realiza valoración de activos, es decir: se asigna medida del impacto
Globalmente o para cada una de las dimensiones básicas de la seguridad
Integridad
Confidenciabilidad
Autenticación
Disponibilidad
Valor acumulado (B) = valor (B) + valor (A) * grado de dependencia
Impacto acumulado (B) = Impacto (B) + Impacto (A) * grado de dependencia
Una vez identificados y valorados, es necesario conocer sus relaciones y dependencias (Un activo A [hijo] puede depender de otro B [padre])
Fase 2. Detección de amenazas: identificación y valoración de amenazas
Degradación
Medible que estima cuánto puede verse afectado el activo por esa amenaza. Suele expresarse en tanto por ciento
Frecuencia
Medible sobre cada cuánto se produce la amenaza. Se suele utilizar una escala numérica asignada a un período (diario, mensual, anual, etc)
Fase 3. Identificación y valoración de salvaguardas
Tras conocer las posibles amenazas de cada activo, se alinearán con las salvaguardas o mecanismos de defensa ya existentes, que impiden o mitigan la materialización de cada amenaza.
Para identificar amenazas y salvaguardas, se dispone de repositorios y catálogos en normas y metodologías nacionales e internacionales como:
Libro II de la metodología MAGERIT
Normas ISO
Anexos del esquema Nacional de Seguridad
Norma UNE 71504
Fase 4 Gestión del riesgo
Nuevas salvaguardas
Cuatro acciones diferentes
Mitigar el riesgo
Asumir el riesgo
Transferir el resigo a un tercero
Eliminar el riesgo
2.6 Metodologías para la implementación
GRAMM
Fase 1
Establecimiento de objetivos de seguridad
Fase 2
Análisis de riesgos
Fase 3
Identificación y selección de salvaguardas
EBIOS
Fase 1
Análisis del contexto
Fases 2 y 3
Análisis de los requisitos de seguridad y de las amenazas
Fases 4 y 5
Establecimiento de los objetivos de seguridad, asegurando su cumplimiento e identificando los riesgos residuales
MAGERIT V3
Libro 1. El método
Contiene la secuencia de acciones y tarea para realizar un proceso de gestión de riesgos, dando una visión que se apoya en
Acciones para tomar una "instantánea" del estado de los riesgos y poder gestionar su mitigación
Relación de tareas básicas para sacar adelante el proyecto de análisis de riesgos, concretando las pautas para definir roles, actividades y documentación necesaria
Aplicación práctica de la metodología indicada
En los apéndices se engloba el material de referencia, tal como marco normativo, ejemplos, referencias bibliográficas, etc.
Libro 2. Catálogo de Elementos
Se centra en los activos, como fuente principal del estudio de riesgos, considerando su tipología, valoración, amenazas habituales y salvaguaras
Libro 3. Guías técnicas
Manual de referencia para conocer algunas técnicas utilizadas en el desarrollo de proyectos de análisis de riesgos
Norma ISO/IEC 27005
2.7 Tipología de los análisis de riesgos
Dos clasificaciones
Atendiendo a su nivel de detalle
Identificar activos, agrupados en categorías más o menos amplias
Atendiendo a la unidad de medida (formalidad)
Análisis de riesgo cualitativo
Identificar los niveles de riesgo en una escala de valores discretos: muy bajo, bajo, medio, alto, muy alto...
Análisis de riesgo cuantitativo
Estimación económica real (euros, dólares) de los niveles de riesgo.
Auditoría de seguridad
3.1 Definición
Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información protege el activo empresarial, mantiene la integridad de los datos, realiza de forma eficaz los fines de la organización y utiliza eficientemente los recursos
3.2 Alcance
A nivel general
Estructura orgánica de la organización
Actividades y procesos
Período de tiempo abarcado
Descripción de las ubicaciones de los elementos y sedes de la organización
A nivel específico
Sistemas afectos por la revisión
Organismo responsable
Activos que conforman la estructura tecnológica
Personal vinculado a los activos analizados
Períodos de tiempo
3.3 Objetivos
La disponibilidad de los sistemas TI esá razonablemente asegurada
Los controles necesarios para garantizar la integridad, la confidencialidad y la autenticación de la información están implantados
Existen controles para asegurar la trazabilidad de las actuaciones en el contexto TI
Se cumplen las normativas, leyes, reglamentos y buenas prácticas que son de aplicación en el ámbito de la seguridad de la información
3.4 Tipos de auditoría
Centrada en la operativa específica de los sistemas TI
Como complemento a otras auditorías
3.5 Desarrollo y ejecución
Fases/hitos
Definición y alcance de la auditoría
Configuración del equipo auditor
Planificación
Establecer y desarrollar el propio plan de auditoría
Especificar y concretar los conocimientos requeridos al equipo de aditoría
Definir el calendario de revisiones, reuniones de trabajo y entrevistas al personal, así como el personal objeto de las mismas
Definir las revisiones y pruebas que serán efectuadas
Asignar las tareas a los distintos miembros del equipo auditor, así como a los posibles expertos externos que apoyen al equipo auditor
Concretar los criterios de auditoría
Recogida de evidencias
Presentación de hallazgos
Informe de auditoría
Dictamen final
Plan director de seguridad
Define la estrategia en seguridad TIC de la organización durante un período de tiempo acotado, identificando y detallando las actuaciones a realizar durante ese período
Debe cubrir todos los dominios de seguridad
Seguridad física
Control de accesos
Gestión de redes y equipos informáticos
Mantenimiento y desarrollo de sistemas
Adecuación a la legislación vigente (especialemente en protección de datos)
Organización de la seguridad
Política de seguridad
Seguridad del personal
Continuidad del negocio
Control de inventario
4.1 Objetivos
Establecer de forma clara el compromiso con la seguridad de la información
Definir objetivos y criterios de seguridad
Definir las bases del marco normativo de seguridad y aliniearlas con la legislación vigente
Definir la estructura organizativa que gestionará y velará por el cumplimiento de las normas establecidas
Conocer y planificar las inversiones y costes asociados a la seguridad de la información
Aportar sobre los servicios ofrecidos
4.2 Factores claves para el éxito
Compromiso de la dirección
Designar un responsable del plan
Determinar un marco metodológico
Asignar recursos y medios
Realizar un seguimiento permanente
4.3 Desarrollo y resultados
Fases
Identificar las necesidades en cuanto a organización de la seguridad
Realizar un inventario y realizar una valoración de su criticidad
Realizar un análisis de riesgos
Alinear e incluso integrar la seguridad con la estrategia de negocio
Gestionar los riesgos y realizar un seguimiento permanente
Aspectos fundamentales para salvaguardar la infomración
Estado de las medidas de seguridad actuales y sus puntos débiles
Hasta dónde queremos llegar: niveles de seguridad deseado
Relación de necesidades vinculadas a la seguridad de la información
Proyecto de implantación y hoja de ruta de las acciones a desplegar
Estudio económico de la inversión requerida en función de los proyectos incluidos en el plan director
Análisis de costes y recursos
Plan de respuesta ante incidentes
Se denomina incidente a cualquier situación o evento que pueda ocasionar la pérdida total de un servicio o degradación, o que afecte a las dimensiones de la seguridad
Relación de actividades
Definición del "Equipo de Respuesta ante Incidentes" CSIRT
Recopilación de procedimientos de actuación
Detección y análisis de incidentes
Contención del daño y reducción de riesgos
Recuperación de servicios
Plan de comunicaciones
Valoración de daños y estimaciones económicas
Revisión del proceso y actualización de políticas internas
Plan de continuidad del negocio
Capacidad de la organización de recuperarse frente a las adversidades y seguir protectando a futuro
6.1 Objetivos
Perspectiva general
Mantener la confianza en la empresa
Garantizar la comunicación con los clientes y proveedores esenciales
Proteger el medio ambiente
Evitar todo tipo de pérdidas
Perspectiva específica
Mantener el nivel de servicio en ciertos umbrales predefinidos
Evitar que las actividades de la organización se vean interrumpidas
Recuperar la situación inicial ante un incidente de seguridad
Definir los tiempos mínimos de recuperación
6.2 Fases para el desarrollo de un PCN
Análisis de todos aquellos factores que favorecen la continuidad de los servicios ante una contingencia
Etapas
Fase 1: Definición del alcance
Fase 2: Análisis de la organización
Actuaciones:
Reuniones con el personal afectado por el alcance definido en la fase anterior
Análisis del impacto sobre el negocio
RTO o Tiempo de recuperación
Recursos implicados
MTD o Tiempo máximo tolerable dde caída
ROL o niveles mínimos de recuperación de servicio
RPO o grado de dependencia de la actualidad de los datos
Dependencias de otros procesos internos o proveedores externos
Análisis de riesgos
Fase 3: Definir la estrategia de continuidad
Fase 4: Respuesta
Fase 5: Pruebas, mantenimiento y supervisión
Fase 6: Concienciación
UNIDAD 6
Legislación y normativa en seguridad de la información
Legislación
1.1 Infraestructuras críticas
Ley 8/2011, de 28 de abril, por la que se establecen las medidas para la protección de las infraestructuras críticas
Real Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las infraestructuras críticas
Resolución de 8 de septiembre de 2015, de la secretaría de Estado de seguridad, por la que se aprueban los nuevos contenidos mínimos de los planes de seguridad del operador de infraestructuras críticas y de sus planes de protección específicos
1.2 Protección de datos personales
Antecedentes
Ley Orgánica 5/92 de Regulación del tratamiento automatizado de los datos de carácter personal de 29 de octubre (LORTAD): sustituida posteriormente por la LOPD
Directiva 95/46 CE de 24 de octubre del Parlamento europeo y del Consejo relativa a la protección de personas físicas
Ley Orgánica 15/1999 de 13 de diciembre de Protección de datos de carácter personal (LOPD)
Regular el tratamiento de los datos y ficheros de carácter personal, los derechos de los ciudadanos sobre ellos y las obligaciones de quienes lo crean o tratan.
Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD
Legislación actual
Protección de datos personales y garantía de los derechos digitales (LOPDyGDD)
1.3 Ciberseguridad
Ley 34/2002 de Servicios de la sociedad de la información y de comercio electrónico (LSSI-CE)
Incluye las obligaciones de los prestadores de servicio, de obligado cumplimiento
Regula las comunicaciones comerciales por medios electrónicos
Establece un régimen sancionador
Incluye aspectos relativos a la accesibilidad en las webs de las Administraciones públicas
Regula la asignación de nombres de dominio bajo .es
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción técnica se Seguridad de conformidad con el Esquema Nacional de Seguridad
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica
Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas contra el tráfico no permitido y el tráfico irregular con fines fraudulentos en comunicaciones electrónicas
Directiva NIS: Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 relativa a medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea
Estrategia Nacional de Ciberseguridad
Orden PCI/487/2019, del 26 de abril por la que se publica la Estrategia Nacional de Ciberseguridad 2019
Transposición de la Directiva NIS al ámbito nacional
Real Decreto-ley 122018, de 7 de septiembre, de seguridad de las redes y sistemas de información
1.4 Comunicaciones y administración electrónica
Ley 30/1992 de régimen jurídico para las administraciones públicas y del procedimiento administrativo común
Real Decreto 263/1996, de 16 de febrero por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado
Directiva 199/93/CE de 13 de diciembre por la que se establece un marco comunitario para la firma electrónica.
Directiva 2000/31/CE de 8 de junio sobre el comercio electrónica. Reforzar la seguridad jurídica del comercio electrónico estableciendo un marco jurídico ajustando los servicios de la sociedad de la información a los principios del mercado interior
Real Decreto 209/2003, de 21 de febrero por el qeu se regulan los registros y las notificaciones telemáticas
Ley 59/2003 de 19 de diciembre de Firma Electrónica
Directiva 2004/18/CE del Parlamento Europeo y del Consejo de 31 de marzo de 2004, sobre coordinación de los procedimientos de adjudicación de los contratos públicos de obras, de suministro y de servicio
Real Decreto 589/2005 por el que se reestructuran los órganos colegiados responsables de la Administración Electrónica
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos (LAECSP)
Ley 56/2007, de 28 de diciembre, de Medidas de impulso de la sociedad de la información: destaca por los aspectos relativos a la firma electrónica
Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007 de 22 de junio, de acceso electrónico a los ciudadanos de los servicios públicos
Orden PRE/878/2010, de 5 de abril, por la que se establece el régimen del sistema de dirección electrónica habilitada previsto en el artículo 38.2 del Real Decreto 1671/2009, de 6 de noviembre. Supone la creación de la Dirección Electrónica Habilitada (DEH).
Ley 9/2014, de 9 de mayo, General de Telecomunicaciones
Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo de 11 de diciembre de 2018 por la que se establece el Código Europeo de Comunicaciones Electrónicas
1.5 Directiva NIS
Establece un sistema de notificación de incidentes obligatorio
4 objetivos principales
Gestionar el riesgo
Proteger contra los posibles ciberataques
Detectar eventos de ciberseguridad
Minimizar el impacto de los incidentes
5 medidas principales
Obliga a todos los estados miembros a definir una Estrategia Nacional de Seguridad de las redes y los sistemas de información
Define la creación de un grupo de cooperación para consensuar una estrategia común y para garantizar el intercambio de información entre los estados miembros
Conlleva la creación de una red CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática)
Requiere que se establezcan condiciones de seguridad para los operadores de servicios esenciales y proveedores de servicios digitales
Implica obligaciones para las autoridades nacionales en todas las tareas relacionadas con las seguridad de las redes y sustemas
La traspocisión de esta Directiva se hizo a través del Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Entre otros aspectos, este Real Decreto-Ley
Identifica los Operadores de Servicios Esenciales y las medidas de seguridad que han de aplicar
Las autoridades competentes
Identifica los CSIRT de referencia
Asigna al CCN-CERT la coordinación y respuesta técnica en casos de especial gravedad.
1.6 Reglamente Europeo de Protección de Datos
Dos conceptos principales
Dato Personal
Toda información sobre una persona física, identificada o identificable
Tratamiento
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales
Novedades
Creación de la figura del Delegado de Protección de Datos
Anterior modelo basado en ficheros de datos, evoluciona hacie el tratamiento de datos
Obligatoriedad de comunicación de incidentes
El régimen incorpora sanciones de hasta 20.000.000€ o una cuantía equivalente al 4% del volumen de negocio total anual global
Incorpora la obligación a todas las organizaciones de analizar las vulnerabilidades informáticas
Establece las condiciones por la que las organizaciones deberán efectuar una evaluación del impacto
Esquema Nacional de Seguridad
2.1 Introducción
El ENS define la política de seguridad que debe aplicarse en el uso de los medios electrónicos, conteniendo los principios básicos y requisitos mínimos para garantizar una adecuada protección de la información, asegurando el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos
Principales objetivos
Aportar confianza a los ciudadanos en el ejercicio de sus derechos y deberes con la Administración pública por medios telemáticos
Establecer la política de seguridad en la utilización de medios electrónicos
Crear un marco común para la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información
Definir un lenguaje homogéneo para facilitar la interacción entre las distintas administraciones y la comunicación de los requisitos de seguridad de la información a la industria
2.2 Ámbito Legal y de Aplicación
Incluye a
Las administraciones de las comunidades autónomas
Las entidades que integran la administración local
Las entidades de derecho público con personalidad jurídica propia vinculadas o dependientes de las administraciones públicas
En concreto también se incluyen las univesidades
Únicamente quedan excluidos los sistemas que tratan información clasificada
Las soluciones tecnológicas o los servicios comprendidos dentro del ámbito objetivo de aplicación del Esquema Nacional de Seguridad, cuando sean suministrados o prestados por organizaciones privadas, habrán de satisfacer las exigencias legales establecidas en el mismo
2.3 Elementos básicos del ENS
Principios básicos a tener en cuenta a la hora de la toma de decisiones
Requisitos mínimos para garantizar la adecuada protección de la información
Adopción de medidas proporcionadas en función de la naturaleza y tipología de los servicios a proteger
Las comunicaciones electrónicas
La auditoría de Seguridad
La Respuesta ante Incidentes de seguridad
La Certifiación de Seguridad
La Conformidad
2.4 Esquema general de implantación
Preparar y aprobar la Política de Seguridad: Guía CCN_STIC 805 - Política de seguridad de la información
Asignación de roles y personal: Guía CCN-STIC 801 - Seguridad de las TIC
Categorización de los sistemas: Guía CCN STIC 803: - Valoración de sistemas en el ENS. Podrán categorizarse con la clasificación Básica, Media o Alta
Análisis de Riesgos: Magerit V3, con apoyo de la herramienta PILAR
Fase de implantación y monitorización
Auditoría: Guía CCN-STIC 802 - Auditoría del ENS y CCN-STIC 808 - Verificación de cumplimiento de las medidas del ENS
Mejorar la seguridad: Guías CCN-STIC 800 y Guía CCN-STIC 815: Indicadores y métricas en el ENS
2.5 Declaración de conformidad
consiste en
La aplicación de las medidas en base a la categoría de los sistemas
Garantizar su mantenimiento durante el ciclo de vida del sistema, realizando las aditorías periódicas pertinentes
Reflejar en un informe el resultado de la auditoría
El nivel de cumplimiento de las medidas de seguridad
Deficiencias, medidas correctoras y propuestas de mejora
Criterios utilizados
Alcance y objetivos de la auditoría
Hechos y evidencias
Conclusiones
Categorización
Categoría Básica
Se requiere autoevaluación que verificará el cumplimiento de los requisitos contemplados en el esquema y tendrá una periodicidad de dos 2 años
Categorías Media y Alta
La conformidad en este ámbito requiere obligatoriamente un procedimiento de auditoría formal y se realizará, al menos cada dos años
Normativa ISO 27000 en el ámbito de la seguridad de la información
3.1 Introducción
Conjunto de estándares internacionales vinculados a la seguridad de la información, incorporando un conjunto de buenas prácticas reconocidas para el establecimiento, implementación, mantenimiento y mejora de lo que se denomina SGSI o Sistema de Gestión de la Seguridad de la Información
3.2 La norma ISO 27001
Implantación de un Sistema de Gestión de Seguridad de la Información
Eliminar los elementos subjetivos en la gestión de la seguridad y desplegar una serie de medibles que permitan obtener información objetiva y saber qué ocurre en los sistemas de información
Un SGSI comprende los sigueintes elementos
Los modelos organizativos
Las políticas
La planificación
Las responsabilidades
Los procedimientos
Los procesos
Los recursos
Ciclo PDCA
Plan, Do, Check, Act
Planificación: Crear el SGSI
Identificar el proceso que se quiere mejorar
Recopilar datos para profundizar en el conocimiento del proceso
Análisis e interpretación de los datos
Establecer los objetivos de mejora
Detallar las especificaciones de los resultados esperados
Definir los procesos necesarios para conseguir estos objetivos, verificando las especificaciones
Ejecución: Implementación SGSI
Ejecutar los procesos en el paso anterior
Documentar las acciones realizadas
Seguimiento: Supervisar el SGSI
Pasado un periodo de tiempo previsto de antemano, volver a recopilar los datos de control, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esparada
Documentar colclusiones
Mejora: Mantener y Mejorar
Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario
Aplicar nuevas mejoras, si se han detectado en el paso anterior
Documentar el proceso
3.3 La norma ISO 27002
Compendio de buenas prácticas y documentación de apoyo para la realización de un Sistema de Gestión de Seguridad de la Información
Cuenta con 11 capítulos, con un total de 39 categorías de seguridad
En total 133 controles
3.4 El SGSI como eje del proceso de implantación de la ISO 27001
El éxito o fracaso viene dado por los siguientes prerrequisitos
Compromiso de la dirección
Planteamientos realistas
Además de lo anterior, es fundamental contar con
Sistema de Gestión Documental
Inventario de Activos
Sistema de Gestión de Incidentes de Seguridad
Garantizar el cumplimiento de la normativa aplicable
3.4.1 Documentación relativa a un SGSI
Políticas
Procedimientos
Instrucciones
Registros
3.4.2 Etapas o fases para el establecimiento de un SGSI
Fase 1. Definir la Política de Seguridad
Requisitos del negocio
Aspectos contractuales
Legislación aplicable
Legislación/normas internas relacionadas
Fase 2: Definir el alcance del SGSI
Fase 3: Análisis de Riesgos
Identificar los activos con el alcance definido
Definir el enfoque de análisis de riesgos
Nivel de detallo
mínimo
Detallado
Grado de formalidad
cualitativo
Cuantitativo
Identificar los riesgos
Análisis de riesgos
Amenazas
Incidentes
Impacto
De la relación entre amenaza - incidente - impacto se obtendrá la prioridad de las acciones de seguridad
Fase 4. Gestión del Riesgo
Mitigar
Asumir
Transferir
Eliminar
Fase 5: selección de controles
Fase 6 Declaración de Aplicabilidad
También llamada SOA, se trata de un documento que ha de contener
Una lista de todos los controles seleccionados incluyendo los motivos que han llevado a su elección
La relación de controles actualemente implementados y la justifiación de los mismos
La relación de controles que han sido excluidos delos existentes en el ANEXO A de la norma
Una vez finalizadas las etapas anteriores se procede al proceso de implementación
Roles
Responsable de seguridad
Coordinará el trabajo y será el punto de encuentro de todos los aspectos relacionadas con la seguridad de la organización
Comité de seguridad
Será el órgano encargado de buscar soluciones a problemas de seguridad, así como de aprobar directrices y normas
Acciones para llevar a cabo
Definición del plan de tratamiento de riesgos
Implantación del plan de tratamiento de riesgos
Implementación de controles
Formación y concienciación
Desarrollo del marco normativo necesario
Gestión de las operaciones del SGSI y de los recursos asignados
Implantación de procedimientos y controles de detección y respuesta ante incidentes de seguridad
Fase 7: Seguimiento y proceso de Mejora Continua
Seguimiento
Etapa de control y seguimiento del SGSI debe aportar información sobre el estado del despliegue y las posibles acciones necesarias
En particular, debe contemplar las siguientes acciones
Ejecutar procedimientos y controles de monitorización y revisión
Medir la eficacia del SGSI
Medir la eficacia de los controles
Revisar la evaluación de riesgos
Realizar auditorías internas
Caracterizadas por
3 more items...
Revisar periódicamente el SGSI por la Dirección
Actualizar los planes de seguridad
Registrar acciones y eventos que afecten a la eficacia del SGSI
Mejora continua
Debe seguir un ciclo de mejora continua que permita su actualización en base a los errores y defectos detectados y las propuestas de mejora derivadas
Acciones básicas que llevar a cabo
Implantar mejoras
Realizar acciones correctivas
Identificar las no conformidades y sus causas
Desplegar las acciones corespondientes
Registrar los resultados
Revisar la eficacia de las acciones
Realizar acciones preventivas
Comunicacion
3.5 Adecuación de la gestión según ISO 27000 al ENS
Gestión base en ISO/IEC 27000
Tiene como objetivo el establecimiento de un sistema de gestión de la seguridad de la información
El alcance del SGSI viene definido por la organización
Se enfoca hacia los recursos de forma general, sin limitarse a los sistemas de información
No obliga a la implantación de medidas de seguridad concretas
Obliga a la realización de auditorías periódicas
Gestión en base al ENS
Regula los principios básicos y define los requisitos mínimos
Afecta específicamente a los medios electrónicos utilizados por la Administración para relacionarse con los ciuidadanos
Se enfoca al sistema de información como conjunto organizado de recursos
Obliga a implantar un conjunto determinado de medidas de seguridad, en base a la categoría del sistema
Obliga a una auditoría cada 2 años de conformidad con el ENS, en los casos de sistemas de categoría media y alta.
Esquema de conceptos
Tema 2
Fundamentos en seguridad digital
Conceptos básicos
Criptografía
Criptología
Garantiza privacidad
Criptoanálisis
Técnicas a restituir información
Privacidad
Autenticación
Confidencialidad
Integridad
No repudio
Trazabilidad
Temporalidad
Escritura oculta
Criptosistema
Conjunto de procedimientos para garantizar la seguridad de la información mediante téncicas criptográficas
Confusión
Sustitución
Difusión
Transposición
Cifrado natural binario (Lorenz)
XOR
Resumenes
Algoritmos de Resumen
SHA
SHA-1
160 bits
SHA-2
256, 384, 512 bits
SHA-3
Rotos
MD y SHA-1
MD
Aplicaciones de resumenes
Cifrado de contraseñas (Autenticación)
Sal
Integridad de documentos (Integridad)
Firma Digital (Autenticación, Integridad y No Repudio
Firma de Claves (transmitir confianza)
Derivación de claves criptográficas
PBKDF1/2 y HKDF
Autenticación de resumenes
MAC, HMAC
Algoritmos
Algoritmos cifrado simétrico
En bloque
DES
Confusión (S-cajas)
Difusión (Redes de Feistel)
56,64 Btis
TDES
112/168,64 bits
IDEA
128,64 bits
XOR con subclaves y rondas de permutación
AES
128/192/256,128 bits
S-cajas y rondas de permutación / sustitución
Cifrado en Bloque
Modos de operación
Bloque
ECB
CBC
PCBC
Misma clave, padding
Flujo
CFB
OFB
CTR
Necesita vector de inicialización
Autenticado AEAD
Combina operación y autenticación
GCM (Galois Counter Mode)
Cifrado en flujo
Generadores de secuencia
Clave como semilla inicial
XOR con plaintext
RC4
Seal
Salsa20
Chacha20
128/256
AEAD Poly-1305
Actualmente
AES 128/256
CTR
CGM
Se sigue usando
CBC
CFB
Chacha20/Poly-305
TLS 1.3 solo permite
AES-GCM
Chacha20-Poly1305
GOST-MGM
Potencia
Calidad del algoritmo
Tamaño de la clave
Algoritmos de clave pública (asimétrica)
Factorización
RSA
Dificultad de factorizar grandes números
Problema del algoritmo discreto o PLD
DH
Negociación de secretos
ElGamal
Dos algoritmos
Incorpora PGP
Schnorr
Algoritmo de firma digital lineal y rápida
DSA
Desarrollo NSA alternativo Schnorr
No lineal y lento
PLD aplicado a curvas elípticas
ECDH
ECDSA
EdDSA
Claves cortas
Coste computacional
Sistemas mixtos
TDES-IDEA-RC5-AES
Cifrado simétrico
RSA/ECDH
Generación de secreto
HKDF
clave
Debilidad
Man in the middle
Sistemas
Horizontales
Confianza entre agentes
Web of Trust
Ejemplos
PGP
GnuPG
OpenPGP
SSH
Verticales
Infraestructuras de clave pública (PKI)
Basados en CAs
Autoridades de certificación
Ejemplos
S/MIME
S-HTTP
SSL
TLS
SET
PKI
Conjunto de CAs CRs Agentes
Certificado digital
X.509: Formato estándar
Versión
Número de serioe
Emisor del certificado
Identificador de algoritmo usado en la firma
RSA
DSA
CE
Periodo de validez
Nombre e información adicional del Sujeto
Información de la clave pública del sujeto
Clave, longitud y demás parámetros
Algunos datos opcionales
Firma de la Autoridad Certificadora
Autoridades delegadas
Renovación y revocación de certificados
CRLs
Protocolos asociados
OSCP
Tipo de autoridades de certificación
Certificado autofirmado
Raíz
Primera clasificación
Autoridades reconocidas
Autoridades no reconocidas
Segunda clasificación
Ámbito de funcionamiento
Oficiales
Comerciales
Gratuitas
Seguridad en Wifi
Niveles de Seguridad
WEP
Inseguro y obsoleto
WPA
Mejora WEP
Vector de inicialización
Proceso de cifrado
2 modos
Pesonal
Empresarial
WPA2
Mejoras WPA
AES en lugar de RC4
WPA3
Mejora negociación de claves
Integración dispositivos IoT
Seguridad adicional
Bloqueo de MACs
Ocultación SSID
802.X
Radius
CUIDADO WPS
SSL y TLS
SSL V3.0 equivale a TLS V1.0
Obsoletos
Operaciones
Negocial algoritmos de cifrado y de resumen
Intercambio de claves públicas y autenticación basada en certificados
Cifrado simétrico del tráfico
Dos modos de funcionamiento
Sólo una de las partes posee certificado
Ambas partes poseen certificado
Doble autenticación
Posibilidad evitar uso contraseñas de autenticación
Actualmente
Transición desde TLS 1.2 a 1.3
Solo AES-GCM, Chacha20-Poly1305 y GOST
Cifradores simétricos permitidos
Eliminación de varios algoritmos simétricos en modo "Anonymus"
Otras aplicaciones
Protocolo IPSec
3 componentes
AH (Authentiction Header)
ESP (Encapsulating Security Payload)
IKE (Internet Key Exchange)
Modos
Transporte
Cifrado de paquetes IP
Tunel
IP dentro de IP
VPNs
Virtual Private Networks
Paquetes cifrados privados dentro de paquetes públicos
Herramientas adicionales
Biometría
Algo que se es
Esteganografía
Información oculta
Se basa en seguridad a través de la oscuridad
Tema 1
Seguridad de la información
Contextualización
Situación actual
Impulsores del cambio
Factores tecnológicos
Factores de tipo humano y social
Factores económicos y políticos
Industria 4.0
Conceptos básicos
Seguridad informática
Seguridad en TIs
Ciberseguridad
Ciberespacio
MAGERIT V3
Dimensiones
Disponibilidad
Integridad
Confidencialidad
Autenticación
No repudio
Datos
Información
Daño
Ataque
Riesgo
Amenaza
Vulnerabilidad
Activo