Primer clase de introducción al lciberseguridad.pdf
1. Gestión de incidentes de seguridad
informática
Docente: Ariel Cessario
Módulo 1 - Introducción a la gestión de incidentes
2. SIGUIENTE
Clase 1
● Estado actual de la ciberseguridad. Riesgos y amenazas.
● Concepto de incidente y evento de ciberseguridad
● Naturaleza y objetivo de la gestión de incidentes.
Introducción a la gestión de incidentes
3. SIGUIENTE
Estado actual de la ciberseguridad
Riesgos y amenazas
• Evolución del ransom
• Peligros en ambientes remotos o híbridos
• Vulnerabilidad en la nube
• Eludir la autenticación multifactor (AMF)
• Conflictos globales
• Phishing, siempre presente
• Cryptojacking
• Ataque a infraestructuras críticas
• Ataques IoT
• Ingeniería social
4. SIGUIENTE
Evolución del ransom
• Tradicionalmente una vez atacada una empresa, se cifran los datos y se
solicita un rescate por esa información.
• Luego se comienza a pedir dinero también para no exponer esos datos en
forma pública.
• El último paso y de ahí la triple extorsión, se solicita también dinero para
no exponer los datos de clientes o proveedores.
5. SIGUIENTE
Peligros en ambientes remotos o híbridos
• Mayor superficie de ataque
• Acceso a información privada a través de redes inseguras
• Utilización de equipos personales
• Trabajo en lugares públicos
• Tránsito sin encriptar
• Política de passwords que no se cumple
• Hacking de webcam
• Y muchas más
6. SIGUIENTE
Peligros en ambientes remotos o híbridos
Estafas por correo electrónico
Controles de seguridad más débiles
Ciberataques a infraestructuras de
teletrabajo
Datos confidenciales a los que se
accede a través de redes Wi-Fi no
seguras
Superficies de ataque ampliadas
Dispositivos personales utilizados
para el trabajo
La cuestión de los lugares públicos
Contraseñas débiles
La práctica de compartir archivos sin
cifrar
Configuraciones incorrectas de la
nube
Hackeo de cámaras web
Amenazas por doquier
GRAFICO ELABORADO A PARTIR DE: HTTPS://HEIMDALSECURITY.COM/BLOG/REMOTE-WORK-SECURITY/
7. SIGUIENTE
Vulnerabilidad en la nube
• Mala configuración
• Mal control de acceso
• Tenencia compartida
• Vulnerabilidades en la cadena de suministro
• API’s Inseguras
8. SIGUIENTE
Eludir la autenticación multifactor (MFA)
• Llamadas telefónicas
• Mensajes de texto
• Fatiga de MFA (MFA Bombing or MFA Spamming)
9. SIGUIENTE
Conflictos globales
• Inestabilidad mundial = oportunidades para ciberdelincuentes
• Alianzas políticas pueden ser mal vistas por distintos grupos
• Infraestructuras en riesgo
10. SIGUIENTE
Phishing, siempre presente
• La mayor amenaza para este año (no importa que año sea)
• 255 millones de ataques de phishing solo en 2022
• Más campañas de phishing que pueden eludir MFA
11. SIGUIENTE
Cryptojacking
• Usar una computadora para minar monedas
• Bajan el rendimiento de nuestros equipos
• Reduce la productividad de nuestros equipos
• Aumento en los costos eléctricos
12. SIGUIENTE
Ataque a infraestructuras críticas
• Ataques encadenados que pueden generar caos en la población.
• Distintos objetivos.
• Pueden ser ataques al sector público o privado.
13. SIGUIENTE
Ataques IoT
• Cada vez hay más dispositivos conectados
• Ejército zombie
• Poca seguridad en equipos baratos
• Se puede acceder a información privada
15. SIGUIENTE
Actividad: pregunta de sondeo
¿Cuál de los siguientes NO es un tipo de malware?
A. Virus
B. Phishing
C. Caballo de Troya
D.Spyware
16. SIGUIENTE
Estado actual de la ciberseguridad en el
sector público
• No está lo suficientemente preparado
• No es suficientemente prioritario
• No hay suficientes leyes o no se aplican correctamente
• NO HAY MANO DE OBRA
¿Cómo puede el sector público gestionar mejor el riesgo
de los datos?
17. SIGUIENTE
No está lo suficientemente preparado
¿Sabemos realmente si estamos preparados?
No tenemos información real del estado actual.
• Los costos de actualización de las herramientas enlatadas es muy alto.
• Hay una baja adopción de herramientas de código abierto.
• Los cambios de gestión pueden afectar negativamente los proyectos de
actualización y mejora en el área.
18. SIGUIENTE
No es prioritaria
• Muchas veces la ciberseguridad no es prioritaria.
• Se convierte en prioritaria cuando se sufre el ataque.
• Se relega como prioridad luego de un tiempo de
tranquilidad.
19. SIGUIENTE
No hay suficientes leyes o no se aplican correctamente
• Solo se crean las leyes necesarias
• No es claro el ámbito de aplicación
• Los organismos nos saben qué leyes les aplican
20. SIGUIENTE
NO HAY MANO DE OBRA
• Imposible competir con los salarios del sector privado
• Mucho costo de capacitación
• Alta rotación
• El mercado de ciberseguridad es mercenario
21. SIGUIENTE
¿Cómo puede el sector público gestionar mejor el riesgo
de los datos?
Un enfoque que están adoptando algunas organizaciones en el sector
público (y en todos los sectores) es el de "Zero Trust".
Ninguna persona o dispositivo dentro o fuera de la red de una
organización debe tener acceso para conectarse a sistemas o recursos
hasta que se considere explícitamente necesario. En resumen,
significa cero confianza implícita.
Esto significa que todo lo que llega a un usuario se trata
automáticamente como una amenaza hasta que se demuestre lo
contrario.
22. SIGUIENTE
No se debe fatigar al usuario
• No mandar notificaciones todo el tiempo
• No enviar advertencias continuas
• Enviar la información necesaria en el momento oportuno
23. SIGUIENTE
Actividad: pregunta de sondeo
De las siguientes opciones ¿Cuál es un riesgo de trabajo en
lugares híbridos?
A. Es más probable que los empleados traigan malware a la
oficina
B. Es más probable que los empleados compartan información
confidencial con personas no autorizadas
C. Es menos probable que los empleados sigan las mejores
prácticas de seguridad cuando trabajan desde casa
25. SIGUIENTE
Evento
La norma ISO 27000 explica el concepto evento, definiéndolo como:
“Ocurrencia o cambio de un conjunto de circunstancias.
Puede tener una o más ocurrencias y tener distintas
causas”
26. SIGUIENTE
Incidente de seguridad
La norma ISO 27001 explica el concepto incidente de seguridad, definiéndolo
como:
“una sola o una serie de eventos de seguridad de la
información no deseados o inesperados que conllevan
una elevada probabilidad significativa de comprometer
las operaciones de la organización amenazando la
seguridad de la información”.
28. SIGUIENTE
Concepto de impacto
“Daño causado por una amenaza que explota
una vulnerabilidad en un activo y que
afecta adversamente a una persona u
organización.”
29. SIGUIENTE
Los incidentes se deben gestionar
• Objetivo del proceso: mantener el impacto dentro de niveles
aceptables.
• La gestión de incidentes proporciona una estructura sobre la que
los incidentes se investigan, diagnostican, resuelven y se
CIERRAN.
• Los incidentes tienen un ciclo de vida.
30. SIGUIENTE
Actividades proactivas limitan o previenen incidentes
Actividades reactivas la respuesta a incidentes es elemento reactivo
Objetivo: evitar que los incidentes se transformen en problemas, y que los
problemas se transformen en desastres.
Acciones…
32. SIGUIENTE
Gestión de incidentes
Es la capacidad para gestionar efectivamente eventos perjudiciales
inesperados con el objeto de minimizar los impactos y mantener o
restaurar las operaciones normales dentro de los límites de tiempo
definidos.
Es un proceso mediante el cual una organización responde y controla
un incidente utilizando procedimientos o planes de respuesta de
emergencia.
33. SIGUIENTE
Objetivos de la gestión de incidentes
El objetivo es asegurar un enfoque coherente y eficaz para la gestión
de incidentes de seguridad de la información incluyendo la
comunicación de los eventos de seguridad y debilidades.
(ISO 27001 Anexo 16)
34. SIGUIENTE
Objetivos de la gestión de incidentes
• 16.1.1 Responsabilidades y procedimientos
• 16.1.2 Reporte de eventos de seguridad de la información
• 16.1.3 Reporte de debilidades de seguridad de la información
• 16.1.4 Evaluación y decisión sobre los eventos de seguridad de
información
• 16.1.5 Respuesta a incidentes de seguridad de la información
• 16.1.6 Aprendiendo de los incidentes de seguridad de la
información
• 16.1.7 Recolección de evidencia
35. SIGUIENTE
16.1.1 Responsabilidades y procedimientos
Las responsabilidades
• Defina un responsable o responsables necesarios para gestionar los incidentes
• Defina las responsabilidades de cada empleado
Los procesos o procedimientos
• Que existan procedimientos para la detección, análisis y elaboración de informes de
incidentes de la seguridad de la información
• Elabore procedimientos para que se comuniquen los incidente
• Que dichos procedimientos sean conocidos
• Que existan vías de comunicación adecuadas
Capacitación
• Asegúrese de la competencia del personal de atención y resolución de incidentes.
36. SIGUIENTE
16.1.2 Reporte de eventos de seguridad de la información
Establecer los canales de comunicación para todos los eventos o incidentes.
Estos canales, naturalmente deben estar establecidos con los responsables
de la gestión de los incidentes.
Es importante que todos los usuarios estén informados y familiarizados con
los mecanismos de notificación. Con usuarios nos referimos a usuarios tanto
internos como externos
37. SIGUIENTE
16.1.3 Reporte de debilidades de seguridad de la
información
El reporte de incidentes debe acompañarse con un reporte de posibles
debilidades del sistema que se detecten en cualquier momento. Esto debe
estar soportado por:
• La comunicación a los usuarios de la exigencia de observar y reportar
cualquier debilidad de seguridad de la información vista o sospechada
en sistemas o servicios
38. SIGUIENTE
16.1.4 Evaluación y decisión sobre los eventos de
seguridad de información
Como ya hemos visto en los puntos anteriores, los eventos de la seguridad de la
información pueden clasificarse en simples eventos o pueden pasar a ser
Indecentes de la seguridad de la información.
Para ello establezca:
• Un criterio de priorización de incidentes dependiendo del sistema o servicio
afectado, del usuario etc.
• La evaluación de incidentes debe ser realizada tanto por el usuario como por
el equipo de gestión que debe revisar la prioridad.
• Lleve un registro de la evaluación de los incidentes para poder analizar los
parámetros de calidad tanto en su resolución como de su clasificación.
39. SIGUIENTE
16.1.5 Respuesta a incidentes de seguridad de la
información
Se trata de controlar el proceso de resolución de incidentes en la seguridad de la
información.
Los controles a establecer podrían ser:
• Evalúe si la organización tiene la capacidad para resolver el incidente por sí
misma o necesita ayuda de terceros.
• Mantenga un registro con las evidencias de las incidencias
• Establezca el sistema de comunicaciones necesarias entre usuarios y el
equipo de gestión de incidencias o quien deba estar informado de las
actuaciones y situación del proceso de resolución de las incidencias
• Registre las acciones llevadas a cabo y los resultados de las mismas
• Cierre la incidencia formalmente cuando se haya resuelto
• Realice un análisis para determinar las causas de cada incidente
40. SIGUIENTE
16.1.6 Aprendiendo de los incidentes de seguridad de la
información
Información que nos podría ser útil:
• Volumen de incidentes producidos
• Tipología de incidentes producidos
• Coste de la resolución de la incidencia
• Impacto de la incidencia
• Solución aplicada
La información sobre los incidentes nos puede ayudar a:
• Identificar los incidentes más frecuentes y de alto impacto
• Mejorar nuestro sistema de gestión con nuevos controles y criterios para
la evaluación de riesgos
• Realizar entrenamientos a los usuarios para evitar incidentes y a los
gestores de incidentes para mejorar la resolución de los mismos
41. SIGUIENTE
16.1.7 Recolección de evidencia
Es muy recomendable que conservemos la información sobre las incidencias
de forma que podamos recuperar:
• Los inicios y cierres de sesión
• Las identificaciones
• El estado de los dispositivos y de las redes
• Las evidencias de reuniones informativas, documentación sobre
responsabilidades y funciones de seguridad del personal
42. SIGUIENTE
Actividad: pregunta de sondeo
¿Cúal es uno de los objetivos de la gestión de seguridad?
A. Recolección de evidencia
B. Proceso de contratación de personal especializado
C. Instalación de infraestructura