Documente Academic
Documente Profesional
Documente Cultură
A menudo, las prcticas de usuario riesgosas o deficientes socavan incluso hasta el mejor
sistema de seguridad. Las siguientes son amenazas comunes a los usuarios presentes en
muchas organizaciones:
Polticas de seguridad mal aplicadas: Todos los usuarios deben conocer las polticas
de seguridad y las consecuencias del cumplimiento de las polticas de la
organizacin.
Robo de datos: El robo de datos por parte de los usuarios tiene un costo financiero
para las organizaciones; Esto genera daos en la reputacin de las organizaciones o
supone una responsabilidad legal asociada a la divulgacin de informacin
confidencial.
Ninguna solucin, control o contramedida tcnica hace que los sistemas de informacin
sean ms seguros que los comportamientos y los procesos de las personas que los usan.
Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
los usuarios:
Educar a los usuarios anualmente sobre las polticas, los manuales de personal y las
actualizaciones de guas.
Habilitar la deteccin del antivirus y el filtrado de contenido para los archivos adjuntos
por correo electrnico.
Descargas del usuario: Los archivos, las fotos, la msica o los videos descargados
pueden ser un vehculo para el cdigo malicioso.
Malware: Nuevos virus, gusanos y otros cdigos maliciosos salen a luz diariamente.
Medios no autorizados: Los usuarios que insertan unidades USB, CD o DVD pueden
introducir malware o correr el riesgo de comprometer los datos almacenados en la
estacin de trabajo.
Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
los dispositivos:
Habilitar los anlisis de antivirus automticos para cualquier CD, DVD o unidad USB
insertados.
La tabla que se muestra en la figura une las amenazas al dominio de dispositivo con las
contramedidas utilizadas para manejarlas.
Acceso a la LAN no autorizado: Los armarios de cableado, los centros de datos y las
salas de computacin deben permanecer seguras.
Proteger los armarios de cableado, los centros de datos y las salas informticas.
Denegar el acceso a cualquier persona sin las credenciales adecuadas.
La tabla que se muestra en la figura une las amenazas al dominio de LAN con las
contramedidas utilizadas para manejarlas.
La tabla que se muestra en la figura une las amenazas al dominio de nube privada con las
contramedidas utilizadas para manejarlas.
El dominio de nube pblica incluye los servicios alojados por un proveedor de la nube, un
proveedor de servicios o un proveedor de Internet. Los proveedores de la nube
implementan controles de seguridad para proteger el entorno de la nube, pero las
organizaciones son responsables de proteger sus recursos en la nube. Existen tres
modelos de servicios diferentes entre los que una organizacin puede elegir:
Software como servicio (SaaS): un modelo por suscripcin que brinda acceso al
software alojado de manera centralizada al que los usuarios acceden mediante un
navegador web.
Plataforma como servicio (PaaS): proporciona una plataforma que permite que una
organizacin desarrolle, ejecute y administre sus aplicaciones en el hardware del
servicio con herramientas provistas por el servicio.
Violaciones de datos.
Las organizaciones pueden implementar varias medidas para manejar las amenazas a las
instalaciones fsicas:
Uso de la encriptacin.
Diligencia debida.
Polticas.
La tabla que se muestra en la figura una las amenazas al dominio de nube pblica con las
contramedidas utilizadas para manejarlas.
El dominio de instalaciones fsicas incluye todos los servicios utilizados por una
organizacin, entre ellos, la HVAC, el agua y la deteccin de incendios. Este dominio
adems incluye medidas de seguridad fsica empleadas para proteger la instalacin.
Interrupciones elctricas.
Robo.
Pasillos abiertos que permiten que un visitante camine directamente hacia las
instalaciones internas.
Falta de vigilancia.
Las organizaciones pueden implementar varias medidas para manejar las amenazas a las
instalaciones fsicas:
La tabla que se muestra en la figura une las amenazas al dominio de instalaciones fsicas
con las contramedidas utilizadas para manejarlas.
Prdida de datos.
Las organizaciones pueden implementar diversas medidas para manejar las amenazas al
dominio de aplicacin:
Desarrollar una poltica para abordar las actualizaciones del sistema operativo y el
software de aplicaciones.
Durante el siglo XIX, Jeremy Benthan y John Stuart Mill desarrollaron la tica de los
servicios pblicos. El principio rector es que cualquier accin en la que el bien supere al
mal es una opcin tica.
El principio rector del enfoque de los derechos es que las personas tienen el derecho de
tomar sus propias decisiones. Esta perspectiva observa cmo una accin afecta los
derechos de otras personas para evaluar si una accin es correcta o incorrecta. Estos
derechos incluyen el derecho a la verdad, la privacidad y la seguridad; la sociedad debe
aplicar las leyes equitativamente para todos sus miembros.
El enfoque del bien comn propone que el bien comn es lo que beneficia a la
comunidad. En este caso, un especialista en ciberseguridad observa cmo una accin
afecta el bien comn de la sociedad o la comunidad.
Ninguna respuesta inequvoca proporciona soluciones obvias para los problemas ticos a
los que se enfrentan los especialistas en ciberseguridad. La respuesta sobre qu es
correcto o incorrecto puede cambiar segn la situacin y la perspectiva tica.
Delito ciberntico
Delito ciberntico
El crecimiento del delito ciberntico se debe a varios motivos. Hoy en da existen muchas
herramientas ampliamente disponibles en Internet y los posibles usuarios no necesitan
mucha experiencia para usarlas.
En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes
estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la
seguridad informtica. El Congreso de los Estados Unidos estableci agencias
administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y
penales para quienes incumplen las reglas.
Los derechos penales aplican un cdigo moral comnmente aceptado respaldado por la
autoridad gubernamental. Las regulaciones establecen reglas diseadas para abordar las
consecuencias en una sociedad en constante cambio que aplica sanciones por infringir
dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informtico es una ley estatutaria.
Administrativamente, la FCC y la Comisin Federal de Comercio se ocupan de problemas
tales como el fraude y el robo de la propiedad intelectual. Por ltimo, los casos de leyes
comunes resuelven sus problemas a travs del sistema judicial que ofrece precedentes y
bases constitucionales para las leyes.
Evaluacin de riesgos
En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes
estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la
seguridad informtica. El Congreso de los Estados Unidos estableci agencias
administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y
penales para quienes incumplen las reglas.
Los derechos penales aplican un cdigo moral comnmente aceptado respaldado por la
autoridad gubernamental. Las regulaciones establecen reglas diseadas para abordar las
consecuencias en una sociedad en constante cambio que aplica sanciones por infringir
dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informtico es una ley estatutaria.
Administrativamente, la FCC y la Comisin Federal de Comercio se ocupan de problemas
tales como el fraude y el robo de la propiedad intelectual. Por ltimo, los casos de leyes
comunes resuelven sus problemas a travs del sistema judicial que ofrece precedentes y
bases constitucionales para las leyes.
Evaluacin de riesgos
Inventario anual de los sistemas de TI
Las empresas recopilan cantidades cada vez mayores de informacin personal sobre sus
clientes, desde contraseas de cuentas y direcciones de correo electrnico hasta
informacin mdica y financiera altamente confidencial. Las empresas grandes y
pequeas reconocen el valor del anlisis de datos masivos y datos. Esto fomenta a las
organizaciones a recopilar y almacenar informacin. Los ciberdelincuentes buscan
constantemente nuevas maneras de obtener dicha informacin o de acceder y atacar los
datos ms confidenciales de una empresa. Las organizaciones que recopilan datos
confidenciales deben ser buenos guardianes de datos. En respuesta a este crecimiento
en la recopilacin de datos, varias leyes requieren que las organizaciones que recopilan
datos de informacin personal notifiquen a las personas si se produce una violacin de
sus datos personales. Para ver una lista de estas leyes, haga clic aqu.
Proteccin de la privacidad
Las siguientes leyes estadounidenses protegen la privacidad.
Esta ley establece un Cdigo de prctica de informacin justa que rige la recopilacin, el
mantenimiento, el uso y la transmisin de la informacin de identificacin personal de los
individuos conservada en sistemas de registro por las agencias federales.
La FOIA permite el acceso pblico a los registros del gobierno estadounidense. La FOIA
lleva aparejada la presuncin de divulgacin, por lo que la carga recae en el gobierno
acerca de por qu no puede hacer pblica la informacin.
Esta ley federal concedi acceso a los estudiantes a los registros educativos. La FERPA
es opcional, dado que el estudiante debe aprobar la divulgacin de la informacin antes
de que suceda. Cuando un alumno cumple 18 aos o ingresa en una institucin
postsecundaria a cualquier edad, los derechos de la FERPA pasan de los padres del
estudiante al estudiante.
Esta ley federal se aplica a la recopilacin en lnea de informacin personal por parte de
personas o entidades bajo la jurisdiccin estadounidense para nios menores de 13 aos.
Antes de recopilar y utilizar la informacin de nios (de 13 aos o menos), se debe
obtener el permiso de los padres.
Esta ley federal se aplica a la recopilacin en lnea de informacin personal por parte de
personas o entidades bajo la jurisdiccin estadounidense para nios menores de 13 aos.
Antes de recopilar y utilizar la informacin de nios (de 13 aos o menos), se debe
obtener el permiso de los padres.
El Congreso de los Estados Unidos aprob la CIPA en el ao 2000 para proteger a los
nios menores de 17 aos de la exposicin a contenidos ofensivos y material obsceno de
Internet.
La Ley de Proteccin de Privacidad de Videos protege a las personas que rentan cintas
de video, DVD y juegos de la divulgacin a terceros. El estatuto ofrece proteccin de
forma predeterminada, por lo que requiere que las empresas de renta de videos obtengan
el consentimiento del arrendatario para optar por la exclusin de las protecciones si
desean divulgar informacin personal sobre las rentas. Muchos abogados de privacidad
consideran que la VPPA es la ley de privacidad ms fuerte de los EE. UU.
California fue el primer estado en aprobar una ley relacionada con la notificacin de la
divulgacin no autorizada de informacin de identificacin personal. Desde entonces,
muchos otros estados han seguido el ejemplo. Cada una de estas leyes de notificacin de
la divulgacin es diferente, lo que plantea el caso de un estatuto federal unificado
convincente. Esta ley requiere que las agencias notifiquen a los consumidores sus
derechos y responsabilidades. Exige que el estado notifique a los ciudadanos cuando se
pierde o divulga la PII. Desde que se aprob la SB 1386, muchos otros estados han
modelado su legislacin sobre este proyecto de ley.
Polticas de privacidad
Las polticas son la mejor manera de garantizar el cumplimiento en una organizacin; Una
poltica de privacidad desempea un rol importante dentro de una organizacin,
especialmente con la cantidad de leyes decretadas para proteger la privacidad. Uno de
los resultados directos de los estatutos legales asociados a la privacidad ha sido el
desarrollo de la necesidad de polticas de privacidad corporativas relacionadas con la
recopilacin de datos.
Evaluacin del impacto en la privacidad (PIA)
Leyes internacionales
CERT
La divisin del CERT del SEI estudia y resuelve los problemas en el rea de la
ciberseguridad, entre ellos, las vulnerabilidades en la seguridad en los productos de
software, los cambios en los sistemas de red y la capacitacin para mejorar la
ciberseguridad. El CERT ofrece los siguientes servicios:
El CERT tiene una amplia base de datos de informacin sobre las vulnerabilidades del
software y los cdigos maliciosos que ayuda a desarrollar soluciones y estrategias de
correccin. Haga clic aqu para visitar el sitio web del CERT.
Haga clic aqu para visitar el Internet Storm Center. El sitio web ofrece los siguientes
recursos:
El SANS apoya el Internet Storm Center. El SANS es una fuente confiable para la
investigacin, la certificacin y la capacitacin en seguridad informtica.
El Centro de Ciberseguridad Avanzada (ACSC) es una organizacin sin fines de lucro que
rene a la industria, los crculos acadmicos y el gobierno para abordar las
ciberamenazas avanzadas. La organizacin comparte informacin sobre ciberamenazas,
participa en la investigacin y el desarrollo de la ciberseguridad y crea programas
educativos para promover la profesin de la ciberseguridad.
Integrar los riesgos cibernticos con los marcos de trabajo de riesgo empresariales.
Parches faltantes.
Puertos abiertos.
Direcciones IP activas.
Pruebas de penetracin
Uno de los motivos principales por los que una organizacin utiliza las evaluaciones de
intrusin es la bsqueda y la correccin de las vulnerabilidades antes de que lo hagan los
ciberdelincuentes. La prueba de penetracin tambin se conoce como hackeo tico.
Analizadores de paquetes
Los analizadores de paquetes (o analizadores de protocolos de paquetes) interceptan y
registran el trfico de red. El analizador de paquetes captura cada paquete, muestra los
valores de varios campos en el paquete y analiza el contenido. Un analizador de
protocolos puede capturar el trfico de red tanto en redes cableadas como inalmbricas.
Los analizadores de paquetes realizan las siguientes funciones:
Haga clic aqu para ver una comparacin de los analizadores de paquetes.
Herramientas de seguridad
Kali
Una organizacin debe tener la capacidad de supervisar las redes, analizar los datos
resultantes y detectar actividades maliciosas. Haga clic aqu para acceder a una serie de
herramientas de anlisis de trfico desarrolladas por el CERT.
Los constructores son los verdaderos tcnicos que crean e instalan soluciones de
seguridad.
Haga clic en los puestos de seguridad informtica que desempean una funcin clave en
cualquier organizacin para conocer los componentes clave de cada uno.
Indeed.com
Publicitado como el sitio de trabajo nmero uno del mundo, Indeed.com atrae a ms de
180 millones de visitantes exclusivos por mes de ms de 50 pases diferentes. Indeed es
verdaderamente un sitio de trabajo mundial. Indeed ayuda a las empresas de todos los
tamaos a contratar a los mejores talentos y ofrece las mejores oportunidades para
quienes buscan trabajo.
CareerBuilder.com
El gobierno federal publica cualquier vacante en USAJobs. Haga clic aqu para obtener
ms informacin sobre el proceso de aplicacin utilizado por el gobierno estadounidense.