Un introducción hacia la ciberseguridad, tomando como referencia la ISO/IEC 27032, exposición realizada para los miembros del Consejo Consultivo Nacional de Informática - CCONI de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI de la Presidencia del Consejo de Ministros - PCM
2. El ciberespacio es un ambiente complejo
resultado de la interacción entre personas,
software y servicios en internet, soportado
por información, tecnologías de la
comunicación, dispositivos y redes
interconectadas de manera distribuida a
nivel global
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
3. Terminología aplicable
• ISO/IC 27032 incluye un conjunto de 53
términos y definiciones que considera
necesarias para una comprensión
homogénea de la norma y sus acciones.
• De estas 53, revisaremos brevemente
solo 17.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
4. • Activo
• Activo virtual
• Ataque
• Ataque potencial
• Vector de ataque
• Botnet
• Control
• Cibercrimen
• Cibersalubridad (Cybersafety)
• Ciberseguridad (Seguridad en
el ciberespacio)
• Ciberespacio
• Hacking
• Hacktivismo
• El Internet
• Crimen por internet
• Salubridad en internet
• Contenido malicioso
Fuente: ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
5. Naturaleza de la Ciberseguridad
• Los interesados en el ciberespacio juegan un rol
activo, no solo protegiendo sus propios activos,
también aportan a la supervivencia del
ciberespacio.
• El ciberespacio se extiende a un modelo muchos-
muchos en interacciones y transacciones.
• Ciberseguridad relaciona las actividades de los
interesados para establecer y mantener la
seguridad en el Ciberespacio.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
6. Seguridad de la Información
Protección de Infraestructuras Críticas de Información
Seguridad
de las
Redes
Seguridad
de Internet
Seguridad en las
aplicaciones
Ciberseguridad
Cibercrimen Cibersalubridad
Relación entre ciberseguridad y otros dominios de seguridad
Fuente: ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
7. Los interesados
ISO/IEC 27032 - Los interesados en
ciberseguridad pueden ser:
– Clientes
• Individuos
• Organizaciones (publicas o privadas)
– Proveedores (Incluyendo pero no limitado a)
• Proveedores de servicios de internet
• Proveedores de servicios de aplicación
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
8. Enfoque
• Un forma efectiva de confrontar los riesgos a la
ciberseguridad involucran una combinación de
múltiples estrategias, tomando en consideración
los múltiples interesados.
La estrategias incluyen:
– Mejores prácticas de la industria
– Educación amplia, proporcionando recursos
confiables sobre ciberseguridad y el ciberespacio.
– Orientación en cuanto a roles, políticas, métodos,
procesos y aplicación de controles técnicos.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
9. Clientes
Individuos
Organizaciones
Privadas
Públicas
Proveedores
Proveedores de
servicios de internet
Proveedores de
servicios de aplicación
Personales
Activos físicos
Activos virtuales
Organizacionales
Activos físicos
Activos virtuales
Mejores prácticas
Preventivas
De detección
Reactivas
Coordinar y compartir
información
Interesados Activos Medidas
Overview y enfoque
Fuente: ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
10. Amenazas
ISO/IEC 27032 las amenazas en el
ciberespacio pueden ser:
– Amenazas a activos personales (referidos a
las personas)
– Amenazas a activos organizacionales.
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
11. Rol de los interesados
Clientes
Proveedores
Proporcionar acceso al ciberespacio a sus empleados y socios de negocios
Proporcionar servicios a clientes en el ciberespacio
Cuando sean asociaciones de consumidores:
Proporcionar servicios y productos seguros
Proporcionar guías de seguridad a sus usuarios finales
Individuos
Usuario de aplicación, juego online, web surfer, etc
Vendedor/comprador de bienes o servicios
Blogger y otros generadores de contenidos
Miembro de una organización, etc.
Organizaciones
Publicidad e información de la compañía.
Parte de una red de entrega y recepción de mensajes
Proactividad en la extensión de sus compromisos de
responsabilidad al Ciberespacio (incluir el ciberespacio)
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
12. Coordinación e información
Los incidentes de ciberseguridad desbordan
los límites tanto geográficos como
organizacionales, la velocidad con la cual
fluye lay cambia información solo
proporciona un tiempo limitado para que los
individuos u organizaciones puedan actuar
(reaccionar, corregir, etc).
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
13. Áreas a considerar
Políticas
Información recibida / brindada a organizaciones
Clasificación y categorización de la información
Minimizar la información
Reducción de la audiencia
Protocolo de coordinación
Personas y organizaciones
Contactos
Alianzas
Educación y entrenamiento
Métodos y procesos
Clasificar y categorizar la información
Acuerdos de no divulgación
Código de práctica
Pruebas y ejercicios (simulacros)
Tiempos y calendario de información conpartida
Técnico
Estandarizar datos para sistemas automatizados
Visualización de datos
Intercambio de claves criptográficas y respaldo de
software/hardware
Seguridad en archivos compartidos, mensajería
instantánea, portal web y foros de discusión
Sistemas de prueba
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e
14. Referencias
Online
sobre
Seguridad y
anti-spyware
Anti-spyware Coalition (http://www.antispywarecoalition.org/)
APWG (http://www.antiphishing.org)
Be Web Aware (http://www.bewebaware.ca)
Centre for safe and Resposible Internet Use (http://csriu.org)
Childnet International (http://www.childnet-int.org)
ECPAT (http://www.ecpat.net)
GetNetWise (http://www.getnetwise.org)
Global Infraestructure Alliance for Internet Safety (GIAIS)
(http://www.microsoft.com/security/msra/default.mspx)
INHOPE (http://inhope.org)
Internet Safety Group (www.netsafe.org.nz)
Interpol (http://www.interpol.int)
iSafe (http://www.isafe.org)
Fragmento del Anexo B
ISO/IEC 27032
h t t p : / / w w w . g t d i . p e - i n f o @ g t d i . p e