SlideShare una empresa de Scribd logo

LECCION 8..pptx

Descargar como PPTX, PDF
N
NanoNano70

CIberseguridad

Ingeniería
1 de 32
LECCIÓN 8 DEFENDIENDO LA RED Diciembre 2021
ESTIC Defensa en profundidad Activos, vulnerabilidades y amenazas ▪ El riesgo de ciberseguridad consiste en lo siguiente: ► Activos: cualquier elemento de valor para una organización que debe ser protegido, incluidos servidores, dispositivos de infraestructura, terminales y el activo más importante, los datos. ► Vulnerabilidades: una debilidad en un sistema o en su diseño que una amenaza podría aprovechar. ► Amenazas: cualquier peligro potencial para un activo.
ESTIC Muchas organizaciones solamente tienen una idea general de los activos que necesitan proteger. Los activos son el conjunto de todos los dispositivos y la información que la organización posee o administra. Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de amenaza. La administración de activos consta de: Inventario de todos los activos. Desarrollo e implementación de políticas y procedimientos para protegerlas. Identificación acerca de dónde se almacenan los activos de información fundamentales, y cómo se obtiene acceso a dicha información. Defensa en profundidad Identificación de activos
ESTIC La identificación de las vulnerabilidades incluye responder a las preguntas siguientes: ¿Qué son las vulnerabilidades? ¿Quién puede aprovechar las vulnerabilidades? ¿Cuáles son las consecuencias si se aprovecha la vulnerabilidad? Por ejemplo, un sistema bancario electrónico podría tener las siguientes amenazas: Riesgo del sistema interno Datos del cliente robados Transacciones falsas Ataque interno en el sistema Errores de entrada de datos Destrucción del centro de datos Defensa en profundidad Identificación de vulnerabilidades
ESTIC Utilizar un enfoque de defensa en profundidad para identificar activos puede incluir una topología con los siguientes dispositivos: Router perimetral: primera línea de defensa; tiene un conjunto de reglas que especifica el tráfico autorizado y denegado. Firewall: una segunda línea de defensa; realiza filtrado adicional, autenticación de usuario y seguimiento del estado de las conexiones. Internal router: una tercera línea de defensa; aplica las reglas de filtrado finales en el tráfico antes de que se reenvíe a su destino. Defensa en profundidad Identificación de amenazas
ESTIC La cebolla es una buena analogía para ilustrar la seguridad por capas. Un actor de amenazas deberá retirar los mecanismos de defensa de una red uno a la vez. Sin embargo, con la evolución de redes sin fronteras, una alcachofa de seguridad es una mejor analogía. Es posible que los actores de amenazas solo necesiten quitar determinadas "hojas de la alcachofa" para acceder a datos sensibles. Por ejemplo, un dispositivo móvil es una hoja que, cuando se ve comprometida, puede dar acceso al actor de amenazas a información confidencial como un correo electrónico corporativo. La diferencia clave entre la cebolla de seguridad y la alcachofa de seguridad se basa en que no todas las hojas deben eliminarse con el fin de obtener los datos. Defensa en profundidad Enfoques tipo cebolla y tipo alcachofa para la seguridad
ESTIC Las políticas constituyen el pilar de la seguridad de las redes al definir qué es aceptable. Las políticas empresariales son las pautas que desarrollan las organizaciones para regir sus acciones y las de sus empleados. Una organización puede tener varias políticas orientadoras: Políticas de la empresa: establecen las normas de conducta y las responsabilidades de empleados y empleadores. Políticas de empleados: identifican el salario del empleado, el cronograma de pagos, los beneficios, el horario de trabajo, las vacaciones y mucho más. Políticas de seguridad: identifican un conjunto de objetivos de seguridad para una empresa, definen las reglas de comportamiento de usuarios y administradores, y especifican los requisitos del sistema. Políticas de seguridad Política empresarial
ESTIC Una política de seguridad integral tiene varios beneficios: Demuestra el compromiso de una organización con la seguridad. Establece las reglas del comportamiento esperado. Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento. Define las consecuencias legales de las violaciones. Brinda al personal de seguridad el respaldo para la administración. Una política de seguridad puede incluir uno o varios de los elementos que se muestran en la figura. Una política de uso aceptable (AUP) es una de las políticas más comunes y cubre lo que los usuarios tienen y no tienen permitido hacer en los distintos componentes del sistema. Políticas de seguridad Política de seguridad
ESTIC Muchas organizaciones admiten Bring Your Own Device (BYOD), que permite a los empleados utilizar sus propios dispositivos móviles para acceder a los recursos de la empresa. Una política BYOD debe incluir: Especificar los objetivos del programa BYOD. Identificar qué empleados pueden traer sus propios dispositivos. Identificar los dispositivos que se admitirán. Identificar el nivel de acceso que se otorgará a los empleados cuando utilicen dispositivos personales. Describir los derechos de acceso y las actividades autorizadas al personal de seguridad en el dispositivo. Identificar qué normas deben respetarse cuando los empleados utilicen sus dispositivos. Identificar medidas de seguridad para poner en marcha si un dispositivo está en riesgo. Políticas de seguridad Políticas BYOD
ESTIC Las siguientes mejores prácticas de seguridad ayudan a mitigar los riesgos de BYOD: Acceso protegido con contraseña para cada dispositivo y cuenta. Conectividad inalámbrica que se controla manualmente para que el dispositivo solo se conecte a las redes de confianza. Mantener el software actualizado para mitigar las amenazas más recientes. Copia de respaldo de los datos del dispositivo por si lo extravía o se lo roban. Habilitar los servicios de localización "Buscar mi dispositivo" que pueden borrar un dispositivo perdido de forma remota. Usar software antivirus. Uso del software Mobile Device Management (MDM) para permitir a los equipos de TI implementar configuraciones de seguridad y de software en todos los dispositivos que se conectan a redes de la empresa. Políticas de seguridad Políticas BYOD (continuación)
ESTIC Las reglas y los estándares de cumplimiento definen qué organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen. Las reglas de cumplimiento que una organización está obligada a seguir dependen del tipo de organización y de los datos que maneja. Las reglas de cumplimiento específicas se analizarán más adelante en el curso. Políticas de seguridad Cumplimiento reglamentario y normativo
ESTIC La seguridad de la información consiste en proteger la información y los sistemas de información ante el acceso, el uso, la divulgación, la interrupción, la modificación o la destrucción sin autorización. El método CID consiste en lo siguiente: Confidencialidad: solo las entidades autorizadas pueden acceder a la información. Integridad: la información debe protegerse de las alteraciones no autorizadas Disponibilidad: la información debe estar a disposición de las partes autorizadas que la necesiten, cuando la necesiten. Conceptos del control de acceso Seguridad de las comunicaciones: CIA
ESTIC Los controles de control de acceso básico incluyen los siguientes: Control de acceso obligatorio (MAC): aplica el control de acceso más estricto, habilitando el acceso de usuario en función de la autorización de seguridad. Control de acceso discrecional (DAC): permite que los usuarios controlen el acceso a sus datos como dueños de esos datos. Control de acceso no discrecional: el acceso se basa en roles y responsabilidades; también conocido como control de acceso basado en roles (RBAC). Control de acceso basado en atributos (ABAC): el acceso se basa en atributos del recurso al que se accederá, del usuario que accede al recurso y de los factores del entorno, como el momento del día. Otro modelo de control de acceso es el principio de privilegios mínimos, el cual determina que a los usuarios solo se les debe otorgar el acceso mínimo necesario para desempeñar su función. Conceptos del control de acceso Modelos de control de acceso
ESTIC Autenticación, autorización y auditoría (AAA) es un sistema escalable para el control de acceso. Autenticación: los usuarios y administradores deben probar que son quienes dicen ser. Autorización: determina a cuáles recursos puede acceder el usuario y upales operaciones tiene permitido realizar. Auditoría: registra qué hace el usuario y cuándo lo hace. Uso y funcionamiento de AAA Funcionamiento de AAA
ESTIC Dos métodos de autenticación de AAA comunes incluyen: Autenticación AAA local: este método autentica a los usuarios contra nombres de usuario y contraseñas almacenados localmente. AAA local es ideal para las redes pequeñas. Autenticación AAA basada en servidor: este método autentica en función de un servidor AAA central que contiene los nombres de usuario y contraseñas de todos los usuarios. La autenticación AAA con base en el servidor es adecuada para redes de tamaño mediano a grande. El proceso para ambos tipos se muestra en la siguiente diapositiva. Uso y funcionamiento de AAA Autenticación de AAA
ESTIC Uso y funcionamiento de AAA Autenticación de AAA (continuación) Autenticación AAA local Autenticación AAA basada en el servidor
ESTIC La auditoría proporciona más que solo autenticación. Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace exactamente en el dispositivo. Uso y funcionamiento de AAA Registros de auditoría de AAA
ESTIC Los distintos tipos de información de auditoría que se pueden recopilar incluyen: Contabilidad de red: recopila información como recuentos de paquetes y bytes. Auditoría de conexiones: recopila información acerca de todas las conexiones salientes. Auditoría de EXEC: recopila información sobre shells de usuario, incluidos nombre de usuario, fecha, hora de inicio y finalización, y la dirección IP del servidor de acceso. Contabilidad de sistema: recopila información acerca de todos los eventos de nivel de sistema. Comando contabilidad: recopila información acerca de los comandos de shell ejecutados. Auditoría de recursos: captura compatibilidad de registros de "inicio" y "detención" para llamadas que han superado la autenticación del usuario. Uso y funcionamiento de AAA Registros de auditoría de AAA (continuación)
ESTIC Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen información detallada vital para las prácticas de ciberseguridad. Fuentes de información Comunidades de inteligencia de la red
ESTIC Cisco ofrece su informe de ciberseguridad anualmente, el cual brinda datos actualizados sobre el estado de preparación para la seguridad, análisis de expertos sobre las vulnerabilidades más importantes, los factores detrás de la aparición de ataques mediante adware y correo electrónico no deseado, y mucho más. Fuentes de información Informes de ciberseguridad de Cisco
ESTIC Los blogs y podcasts de seguridad ayudan a los profesionales de la ciberseguridad a comprender y mitigar las amenazas emergentes. Fuentes de información Blogs y podcasts de seguridad
ESTIC Los servicios de inteligencia de amenazas permiten el intercambio de información, como vulnerabilidades, indicadores de riesgo (IOC), y técnicas de mitigación y detección. Cisco Talos recopila información sobre las amenazas activas, existentes y emergentes. Luego, Talos proporciona a sus suscriptores una protección completa contra ataques y malware. Servicios de inteligencia de amenaza Cisco Talos
ESTIC FireEye es otra empresa de seguridad que ofrece servicios para ayudar a las empresas a proteger sus redes. FireEye ofrece información sobre amenazas emergentes e informes de inteligencia de amenazas. Servicios de inteligencia de amenazas FireEye
ESTIC Automated Indicator Sharing (AIS) es un programa que permite al gobierno federal de EE. UU. y al sector privado compartir indicadores de amenazas. AIS crea un ecosistema donde, apenas se reconoce una amenaza, se comparte la información inmediatamente con la comunidad. Servicios de inteligencia de amenazas Uso compartido automatizado de indicadores
ESTIC Vulnerabilidades y exposiciones comunes (CVE) es una base de datos de vulnerabilidades que emplea una nomenclatura estandarizada para simplificar el uso compartido de inteligencia de amenazas. Servicios de inteligencia de amenazas Base de datos de vulnerabilidades y exposiciones comunes
ESTIC Los estándares de inteligencia de ciberamenazas (CTI), como STIX y TAXII, simplifican el intercambio de información de amenazas al especificar estructuras de datos y protocolos de comunicación. Expresión estructurada de información sobre amenazas (STIX): especificaciones para intercambiar información sobre ciberamenazas entre organizaciones. Intercambio de confianza automatizado de información sobre indicadores (TAXII): especificación correspondiente a un protocolo de capa de aplicación que permite la comunicación de CTI mediante HTTPS. TAXII está diseñado para admitir STIX. Servicios de inteligencia de amenazas Estándares de comunicación de inteligencia de amenazas
ESTIC El riesgo de ciberseguridad consta de activos, vulnerabilidades y amenazas. Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de amenaza. Las vulnerabilidades incluyen cualquier debilidad aprovechable en un sistema o su diseño. Las amenazas se mitigan mejor mediante un enfoque de defensa en profundidad. La cebolla es una buena analogía para ilustrar la seguridad por capas. Los analogía de alcachofa de seguridad representa mejor las redes de la actualidad. Las políticas empresariales son las pautas que desarrollan las organizaciones para regir sus acciones y las de sus empleados. Una política de seguridad identifica un conjunto de objetivos de seguridad para una empresa, define las reglas de comportamiento de usuarios y administradores, y especifica los requisitos del sistema. Resumen de lección Resumen
ESTIC Una política de BYOD, que permite a los empleados utilizar sus propios dispositivos móviles para acceder a los recursos de la empresa, controla cuáles empleados pueden acceder a cuáles recursos mediante sus dispositivos personales. Todas las organizaciones deben cumplir con las normativas específicas para el tipo de organización y los datos que maneja la organización. La tríada CIA consiste de confidencialidad, integridad y disponibilidad. Los controles de control de acceso básico incluyen los siguientes: Control de acceso obligatorio (MAC) Control de acceso discrecional (DAC) Control de acceso no discrecional Control de acceso basado en atributos (ABAC) Principio de privilegios mínimos Resumen de lección Resumen (continuación)
ESTIC ▪ El control de acceso de AAA incluye autenticación, autorización y auditoría. ▪ Dos métodos de autenticación habituales son la autenticación de AAA local y la autenticación de AAA basada en servidor. ▪ La auditoría de AAA mantiene un registro detallado de lo que el usuario autenticado hace exactamente en el dispositivo. ▪ Los registros de auditoría de AAA incluyen: ► Auditoría de redes ► Auditoría de conexiones ► Auditoría de EXEC ► Auditoría de sistemas ► Auditoría de comandos ► Auditoría de recursos Resumen de lección Resumen (continuación)
ESTIC ▪ Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen información detallada vital para las prácticas de ciberseguridad. ▪ El informe de ciberseguridad de Cisco proporciona una actualización en el estado de seguridad. ▪ Los blogs y podcasts de seguridad ayudan a los profesionales de la ciberseguridad a comprender y mitigar las amenazas emergentes. ▪ Los servicios de inteligencia de amenazas permiten el intercambio de información de amenazas. ▪ FireEye ofrece información sobre amenazas emergentes e informes de inteligencia de amenazas. ▪ AIS crea un ecosistema donde, apenas se reconoce una amenaza, se comparte la información inmediatamente con la comunidad. ▪ La base de datos CVE emplea una nomenclatura estandarizada para simplificar el uso compartido de inteligencia de amenazas. ▪ Los estándares STIX y TAXII simplifican el intercambio de información de amenazas al especificar estructuras de datos y protocolos de comunicación. Resumen de lección Resumen (continuación)
ESTIC • Política de uso aceptable (AUP) • Recurso • Control de acceso basado en atributos (ABAC) • Autenticación, autorización y administración (AAA) • Disponibilidad • BYOD (Bring Your Own Device) • Políticas de la compañía • Confidencialidad • Control de acceso discrecional (DAC) • Router perimetral • Políticas de empleado • Integridad • Control de acceso obligatorio (MAC) • Control de acceso no discrecional • Escalamiento de privilegios • Alcachofa de seguridad • Cebolla de seguridad • Políticas de seguridad Nuevos términos
GRACIAS 5159000 estic.plane@policía.gov.co Escuela de Tecnologías de la Información y las Comunicaciones

Recomendados

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryanchimbolema
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryanchimbolema
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryandamian1997
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionablopz
 

Recomendados

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryanchimbolema
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryanchimbolema
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryandamian1997
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionablopz
 
Capitulo n° 3
Capitulo n° 3Capitulo n° 3
Capitulo n° 3mquintero2315
 
Seguridad
Seguridad Seguridad
Seguridad Lisbey Urrea
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redperita p
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Septima U
Septima USeptima U
Septima USistemOper
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docxRubenDarioVillarAqui
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaCarlosJesusKooLabrin
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadRayzeraus
 
Entrevista sobre herramientas tecnológicas y de seguridad
Entrevista sobre herramientas tecnológicas y de seguridadEntrevista sobre herramientas tecnológicas y de seguridad
Entrevista sobre herramientas tecnológicas y de seguridadIUPFA Alumnos
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informáticadeisyudith
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2SistemOper
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaDiego LLaque Vite
 
Administración de seguridad
Administración de seguridadAdministración de seguridad
Administración de seguridadCarolina Huera
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva vFran Deivis Rojas Marcano
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfMirthaFernandez12
 

Más contenido relacionado

Similar a LECCION 8..pptx

Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la redperita p
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaCarlosJesusKooLabrin
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadRayzeraus
 
Entrevista sobre herramientas tecnológicas y de seguridad
Entrevista sobre herramientas tecnológicas y de seguridadEntrevista sobre herramientas tecnológicas y de seguridad
Entrevista sobre herramientas tecnológicas y de seguridadIUPFA Alumnos
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informáticadeisyudith
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios webUTPL
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2SistemOper
 
Administración de seguridad
Administración de seguridadAdministración de seguridad
Administración de seguridadCarolina Huera
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 

Similar a LECCION 8..pptx (20)

Capitulo n° 3
Capitulo n° 3Capitulo n° 3
Capitulo n° 3
 
Seguridad
Seguridad Seguridad
Seguridad
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Septima U
Septima USeptima U
Septima U
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Defensa de Red - Seguridad Informática
Defensa de Red - Seguridad InformáticaDefensa de Red - Seguridad Informática
Defensa de Red - Seguridad Informática
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Entrevista sobre herramientas tecnológicas y de seguridad
Entrevista sobre herramientas tecnológicas y de seguridadEntrevista sobre herramientas tecnológicas y de seguridad
Entrevista sobre herramientas tecnológicas y de seguridad
 
Políticas de seguridad informática
Políticas de seguridad informáticaPolíticas de seguridad informática
Políticas de seguridad informática
 
Seguridad en sitios web
Seguridad en sitios webSeguridad en sitios web
Seguridad en sitios web
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Administracion De Archivos Vi 2
Administracion De Archivos Vi 2Administracion De Archivos Vi 2
Administracion De Archivos Vi 2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Administración de seguridad
Administración de seguridadAdministración de seguridad
Administración de seguridad
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva v
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 

Último

Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfMirthaFernandez12
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7luisanthonycarrascos
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptxGARCIARAMIREZCESAR
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestajeffsalazarpuente
 
MANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENS
MANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENSMANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENS
MANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENSLuisLobatoingaruca
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfDanielaVelasquez553560
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfFernandaGarca788912
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdfEdwinAlexanderSnchez2
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVSebastianPaez47
 
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.ariannytrading
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 

Último (20)

Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptx
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpaca
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuesta
 
MANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENS
MANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENSMANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENS
MANIOBRA Y CONTROL INNOVATIVO LOGO PLC SIEMENS
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdf
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdf
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
 
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
SOLICITUD-PARA-LOS-EGRESADOS-UNEFA-2022.
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 

LECCION 8..pptx

  • 1. LECCIÓN 8 DEFENDIENDO LA RED Diciembre 2021
  • 2. ESTIC Defensa en profundidad Activos, vulnerabilidades y amenazas ▪ El riesgo de ciberseguridad consiste en lo siguiente: ► Activos: cualquier elemento de valor para una organización que debe ser protegido, incluidos servidores, dispositivos de infraestructura, terminales y el activo más importante, los datos. ► Vulnerabilidades: una debilidad en un sistema o en su diseño que una amenaza podría aprovechar. ► Amenazas: cualquier peligro potencial para un activo.
  • 3. ESTIC Muchas organizaciones solamente tienen una idea general de los activos que necesitan proteger. Los activos son el conjunto de todos los dispositivos y la información que la organización posee o administra. Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de amenaza. La administración de activos consta de: Inventario de todos los activos. Desarrollo e implementación de políticas y procedimientos para protegerlas. Identificación acerca de dónde se almacenan los activos de información fundamentales, y cómo se obtiene acceso a dicha información. Defensa en profundidad Identificación de activos
  • 4. ESTIC La identificación de las vulnerabilidades incluye responder a las preguntas siguientes: ¿Qué son las vulnerabilidades? ¿Quién puede aprovechar las vulnerabilidades? ¿Cuáles son las consecuencias si se aprovecha la vulnerabilidad? Por ejemplo, un sistema bancario electrónico podría tener las siguientes amenazas: Riesgo del sistema interno Datos del cliente robados Transacciones falsas Ataque interno en el sistema Errores de entrada de datos Destrucción del centro de datos Defensa en profundidad Identificación de vulnerabilidades
  • 5. ESTIC Utilizar un enfoque de defensa en profundidad para identificar activos puede incluir una topología con los siguientes dispositivos: Router perimetral: primera línea de defensa; tiene un conjunto de reglas que especifica el tráfico autorizado y denegado. Firewall: una segunda línea de defensa; realiza filtrado adicional, autenticación de usuario y seguimiento del estado de las conexiones. Internal router: una tercera línea de defensa; aplica las reglas de filtrado finales en el tráfico antes de que se reenvíe a su destino. Defensa en profundidad Identificación de amenazas
  • 6. ESTIC La cebolla es una buena analogía para ilustrar la seguridad por capas. Un actor de amenazas deberá retirar los mecanismos de defensa de una red uno a la vez. Sin embargo, con la evolución de redes sin fronteras, una alcachofa de seguridad es una mejor analogía. Es posible que los actores de amenazas solo necesiten quitar determinadas "hojas de la alcachofa" para acceder a datos sensibles. Por ejemplo, un dispositivo móvil es una hoja que, cuando se ve comprometida, puede dar acceso al actor de amenazas a información confidencial como un correo electrónico corporativo. La diferencia clave entre la cebolla de seguridad y la alcachofa de seguridad se basa en que no todas las hojas deben eliminarse con el fin de obtener los datos. Defensa en profundidad Enfoques tipo cebolla y tipo alcachofa para la seguridad
  • 7. ESTIC Las políticas constituyen el pilar de la seguridad de las redes al definir qué es aceptable. Las políticas empresariales son las pautas que desarrollan las organizaciones para regir sus acciones y las de sus empleados. Una organización puede tener varias políticas orientadoras: Políticas de la empresa: establecen las normas de conducta y las responsabilidades de empleados y empleadores. Políticas de empleados: identifican el salario del empleado, el cronograma de pagos, los beneficios, el horario de trabajo, las vacaciones y mucho más. Políticas de seguridad: identifican un conjunto de objetivos de seguridad para una empresa, definen las reglas de comportamiento de usuarios y administradores, y especifican los requisitos del sistema. Políticas de seguridad Política empresarial
  • 8. ESTIC Una política de seguridad integral tiene varios beneficios: Demuestra el compromiso de una organización con la seguridad. Establece las reglas del comportamiento esperado. Garantiza la uniformidad en las operaciones del sistema, el software y la adquisición y uso de hardware, y el mantenimiento. Define las consecuencias legales de las violaciones. Brinda al personal de seguridad el respaldo para la administración. Una política de seguridad puede incluir uno o varios de los elementos que se muestran en la figura. Una política de uso aceptable (AUP) es una de las políticas más comunes y cubre lo que los usuarios tienen y no tienen permitido hacer en los distintos componentes del sistema. Políticas de seguridad Política de seguridad
  • 9. ESTIC Muchas organizaciones admiten Bring Your Own Device (BYOD), que permite a los empleados utilizar sus propios dispositivos móviles para acceder a los recursos de la empresa. Una política BYOD debe incluir: Especificar los objetivos del programa BYOD. Identificar qué empleados pueden traer sus propios dispositivos. Identificar los dispositivos que se admitirán. Identificar el nivel de acceso que se otorgará a los empleados cuando utilicen dispositivos personales. Describir los derechos de acceso y las actividades autorizadas al personal de seguridad en el dispositivo. Identificar qué normas deben respetarse cuando los empleados utilicen sus dispositivos. Identificar medidas de seguridad para poner en marcha si un dispositivo está en riesgo. Políticas de seguridad Políticas BYOD
  • 10. ESTIC Las siguientes mejores prácticas de seguridad ayudan a mitigar los riesgos de BYOD: Acceso protegido con contraseña para cada dispositivo y cuenta. Conectividad inalámbrica que se controla manualmente para que el dispositivo solo se conecte a las redes de confianza. Mantener el software actualizado para mitigar las amenazas más recientes. Copia de respaldo de los datos del dispositivo por si lo extravía o se lo roban. Habilitar los servicios de localización "Buscar mi dispositivo" que pueden borrar un dispositivo perdido de forma remota. Usar software antivirus. Uso del software Mobile Device Management (MDM) para permitir a los equipos de TI implementar configuraciones de seguridad y de software en todos los dispositivos que se conectan a redes de la empresa. Políticas de seguridad Políticas BYOD (continuación)
  • 11. ESTIC Las reglas y los estándares de cumplimiento definen qué organizaciones deben hacerlo y qué responsabilidad tienen si no las cumplen. Las reglas de cumplimiento que una organización está obligada a seguir dependen del tipo de organización y de los datos que maneja. Las reglas de cumplimiento específicas se analizarán más adelante en el curso. Políticas de seguridad Cumplimiento reglamentario y normativo
  • 12. ESTIC La seguridad de la información consiste en proteger la información y los sistemas de información ante el acceso, el uso, la divulgación, la interrupción, la modificación o la destrucción sin autorización. El método CID consiste en lo siguiente: Confidencialidad: solo las entidades autorizadas pueden acceder a la información. Integridad: la información debe protegerse de las alteraciones no autorizadas Disponibilidad: la información debe estar a disposición de las partes autorizadas que la necesiten, cuando la necesiten. Conceptos del control de acceso Seguridad de las comunicaciones: CIA
  • 13. ESTIC Los controles de control de acceso básico incluyen los siguientes: Control de acceso obligatorio (MAC): aplica el control de acceso más estricto, habilitando el acceso de usuario en función de la autorización de seguridad. Control de acceso discrecional (DAC): permite que los usuarios controlen el acceso a sus datos como dueños de esos datos. Control de acceso no discrecional: el acceso se basa en roles y responsabilidades; también conocido como control de acceso basado en roles (RBAC). Control de acceso basado en atributos (ABAC): el acceso se basa en atributos del recurso al que se accederá, del usuario que accede al recurso y de los factores del entorno, como el momento del día. Otro modelo de control de acceso es el principio de privilegios mínimos, el cual determina que a los usuarios solo se les debe otorgar el acceso mínimo necesario para desempeñar su función. Conceptos del control de acceso Modelos de control de acceso
  • 14. ESTIC Autenticación, autorización y auditoría (AAA) es un sistema escalable para el control de acceso. Autenticación: los usuarios y administradores deben probar que son quienes dicen ser. Autorización: determina a cuáles recursos puede acceder el usuario y upales operaciones tiene permitido realizar. Auditoría: registra qué hace el usuario y cuándo lo hace. Uso y funcionamiento de AAA Funcionamiento de AAA
  • 15. ESTIC Dos métodos de autenticación de AAA comunes incluyen: Autenticación AAA local: este método autentica a los usuarios contra nombres de usuario y contraseñas almacenados localmente. AAA local es ideal para las redes pequeñas. Autenticación AAA basada en servidor: este método autentica en función de un servidor AAA central que contiene los nombres de usuario y contraseñas de todos los usuarios. La autenticación AAA con base en el servidor es adecuada para redes de tamaño mediano a grande. El proceso para ambos tipos se muestra en la siguiente diapositiva. Uso y funcionamiento de AAA Autenticación de AAA
  • 16. ESTIC Uso y funcionamiento de AAA Autenticación de AAA (continuación) Autenticación AAA local Autenticación AAA basada en el servidor
  • 17. ESTIC La auditoría proporciona más que solo autenticación. Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace exactamente en el dispositivo. Uso y funcionamiento de AAA Registros de auditoría de AAA
  • 18. ESTIC Los distintos tipos de información de auditoría que se pueden recopilar incluyen: Contabilidad de red: recopila información como recuentos de paquetes y bytes. Auditoría de conexiones: recopila información acerca de todas las conexiones salientes. Auditoría de EXEC: recopila información sobre shells de usuario, incluidos nombre de usuario, fecha, hora de inicio y finalización, y la dirección IP del servidor de acceso. Contabilidad de sistema: recopila información acerca de todos los eventos de nivel de sistema. Comando contabilidad: recopila información acerca de los comandos de shell ejecutados. Auditoría de recursos: captura compatibilidad de registros de "inicio" y "detención" para llamadas que han superado la autenticación del usuario. Uso y funcionamiento de AAA Registros de auditoría de AAA (continuación)
  • 19. ESTIC Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen información detallada vital para las prácticas de ciberseguridad. Fuentes de información Comunidades de inteligencia de la red
  • 20. ESTIC Cisco ofrece su informe de ciberseguridad anualmente, el cual brinda datos actualizados sobre el estado de preparación para la seguridad, análisis de expertos sobre las vulnerabilidades más importantes, los factores detrás de la aparición de ataques mediante adware y correo electrónico no deseado, y mucho más. Fuentes de información Informes de ciberseguridad de Cisco
  • 21. ESTIC Los blogs y podcasts de seguridad ayudan a los profesionales de la ciberseguridad a comprender y mitigar las amenazas emergentes. Fuentes de información Blogs y podcasts de seguridad
  • 22. ESTIC Los servicios de inteligencia de amenazas permiten el intercambio de información, como vulnerabilidades, indicadores de riesgo (IOC), y técnicas de mitigación y detección. Cisco Talos recopila información sobre las amenazas activas, existentes y emergentes. Luego, Talos proporciona a sus suscriptores una protección completa contra ataques y malware. Servicios de inteligencia de amenaza Cisco Talos
  • 23. ESTIC FireEye es otra empresa de seguridad que ofrece servicios para ayudar a las empresas a proteger sus redes. FireEye ofrece información sobre amenazas emergentes e informes de inteligencia de amenazas. Servicios de inteligencia de amenazas FireEye
  • 24. ESTIC Automated Indicator Sharing (AIS) es un programa que permite al gobierno federal de EE. UU. y al sector privado compartir indicadores de amenazas. AIS crea un ecosistema donde, apenas se reconoce una amenaza, se comparte la información inmediatamente con la comunidad. Servicios de inteligencia de amenazas Uso compartido automatizado de indicadores
  • 25. ESTIC Vulnerabilidades y exposiciones comunes (CVE) es una base de datos de vulnerabilidades que emplea una nomenclatura estandarizada para simplificar el uso compartido de inteligencia de amenazas. Servicios de inteligencia de amenazas Base de datos de vulnerabilidades y exposiciones comunes
  • 26. ESTIC Los estándares de inteligencia de ciberamenazas (CTI), como STIX y TAXII, simplifican el intercambio de información de amenazas al especificar estructuras de datos y protocolos de comunicación. Expresión estructurada de información sobre amenazas (STIX): especificaciones para intercambiar información sobre ciberamenazas entre organizaciones. Intercambio de confianza automatizado de información sobre indicadores (TAXII): especificación correspondiente a un protocolo de capa de aplicación que permite la comunicación de CTI mediante HTTPS. TAXII está diseñado para admitir STIX. Servicios de inteligencia de amenazas Estándares de comunicación de inteligencia de amenazas
  • 27. ESTIC El riesgo de ciberseguridad consta de activos, vulnerabilidades y amenazas. Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de amenaza. Las vulnerabilidades incluyen cualquier debilidad aprovechable en un sistema o su diseño. Las amenazas se mitigan mejor mediante un enfoque de defensa en profundidad. La cebolla es una buena analogía para ilustrar la seguridad por capas. Los analogía de alcachofa de seguridad representa mejor las redes de la actualidad. Las políticas empresariales son las pautas que desarrollan las organizaciones para regir sus acciones y las de sus empleados. Una política de seguridad identifica un conjunto de objetivos de seguridad para una empresa, define las reglas de comportamiento de usuarios y administradores, y especifica los requisitos del sistema. Resumen de lección Resumen
  • 28. ESTIC Una política de BYOD, que permite a los empleados utilizar sus propios dispositivos móviles para acceder a los recursos de la empresa, controla cuáles empleados pueden acceder a cuáles recursos mediante sus dispositivos personales. Todas las organizaciones deben cumplir con las normativas específicas para el tipo de organización y los datos que maneja la organización. La tríada CIA consiste de confidencialidad, integridad y disponibilidad. Los controles de control de acceso básico incluyen los siguientes: Control de acceso obligatorio (MAC) Control de acceso discrecional (DAC) Control de acceso no discrecional Control de acceso basado en atributos (ABAC) Principio de privilegios mínimos Resumen de lección Resumen (continuación)
  • 29. ESTIC ▪ El control de acceso de AAA incluye autenticación, autorización y auditoría. ▪ Dos métodos de autenticación habituales son la autenticación de AAA local y la autenticación de AAA basada en servidor. ▪ La auditoría de AAA mantiene un registro detallado de lo que el usuario autenticado hace exactamente en el dispositivo. ▪ Los registros de auditoría de AAA incluyen: ► Auditoría de redes ► Auditoría de conexiones ► Auditoría de EXEC ► Auditoría de sistemas ► Auditoría de comandos ► Auditoría de recursos Resumen de lección Resumen (continuación)
  • 30. ESTIC ▪ Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen información detallada vital para las prácticas de ciberseguridad. ▪ El informe de ciberseguridad de Cisco proporciona una actualización en el estado de seguridad. ▪ Los blogs y podcasts de seguridad ayudan a los profesionales de la ciberseguridad a comprender y mitigar las amenazas emergentes. ▪ Los servicios de inteligencia de amenazas permiten el intercambio de información de amenazas. ▪ FireEye ofrece información sobre amenazas emergentes e informes de inteligencia de amenazas. ▪ AIS crea un ecosistema donde, apenas se reconoce una amenaza, se comparte la información inmediatamente con la comunidad. ▪ La base de datos CVE emplea una nomenclatura estandarizada para simplificar el uso compartido de inteligencia de amenazas. ▪ Los estándares STIX y TAXII simplifican el intercambio de información de amenazas al especificar estructuras de datos y protocolos de comunicación. Resumen de lección Resumen (continuación)
  • 31. ESTIC • Política de uso aceptable (AUP) • Recurso • Control de acceso basado en atributos (ABAC) • Autenticación, autorización y administración (AAA) • Disponibilidad • BYOD (Bring Your Own Device) • Políticas de la compañía • Confidencialidad • Control de acceso discrecional (DAC) • Router perimetral • Políticas de empleado • Integridad • Control de acceso obligatorio (MAC) • Control de acceso no discrecional • Escalamiento de privilegios • Alcachofa de seguridad • Cebolla de seguridad • Políticas de seguridad Nuevos términos