Vulnerabilidades y amenazas comunes a los usuarios

El dominio de usuario incluye a los usuarios que acceden al sistema de informacin de la

organizacin. Los usuarios pueden ser empleados, clientes, contratistas empresariales y
otros individuos que deben acceder a los datos. Los usuarios generalmente son el
eslabn ms dbil en los sistemas de seguridad informtica y representan una amenaza
importante para la confidencialidad, la integridad y la disponibilidad de los datos de la
organizacin.

A menudo, las prcticas de usuario riesgosas o deficientes socavan incluso hasta el mejor
sistema de seguridad. Las siguientes son amenazas comunes a los usuarios presentes en
muchas organizaciones:

Ningn reconocimiento de la seguridad: Los usuarios deben conocer los datos

confidenciales, las polticas y los procedimientos de seguridad, las tecnologas y las
contramedidas proporcionados para proteger la informacin y los sistemas de
informacin.

Polticas de seguridad mal aplicadas: Todos los usuarios deben conocer las polticas
de seguridad y las consecuencias del cumplimiento de las polticas de la
organizacin.

Robo de datos: El robo de datos por parte de los usuarios tiene un costo financiero
para las organizaciones; Esto genera daos en la reputacin de las organizaciones o
supone una responsabilidad legal asociada a la divulgacin de informacin
confidencial.

Descargas no autorizadas: Muchas infecciones y ataques a redes y estaciones de

trabajo se remontan a los usuarios que descargan correos electrnicos, fotos,
msica, juegos, aplicaciones, programas y videos no autorizados en las estaciones
de trabajo, las redes o los dispositivos de almacenamiento.

Medios no autorizados: El uso de medios no autorizados como CD, unidades USB y

dispositivos de almacenamiento en red pueden provocar infecciones y ataques de
malware.

VPN no autorizadas: Las VPN pueden ocultar el robo de informacin no autorizada.

La encriptacin que normalmente se usa para proteger la confidencialidad no permite
que el personal de seguridad de TI vea la transmisin de datos sin la debida
autorizacin.

Sitios web no autorizados: El acceso a sitios web no autorizados puede representar

un riesgo para los datos del usuario, los dispositivos y la organizacin. Muchos sitios
web solicitan a los visitantes que descarguen scripts o complementos que contienen
cdigo malicioso o adware. Algunos de estos sitios pueden apoderarse de
dispositivos, como cmaras, y aplicaciones.

Destruccin de sistemas, aplicaciones o datos: La destruccin accidental o

deliberada; O el sabotaje de sistemas, aplicaciones y datos supone un gran riesgo
 para todas las organizaciones. Los activistas, los empleados descontentos y los
competidores del sector pueden eliminar datos, destruir dispositivos o configurar mal
los dispositivos para que no pueda disponerse de los datos y los sistemas de
informacin.

Ninguna solucin, control o contramedida tcnica hace que los sistemas de informacin
sean ms seguros que los comportamientos y los procesos de las personas que los usan.

Manejo de las amenazas a los usuarios

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
los usuarios:

Realizar capacitaciones de reconocimiento de seguridad mostrando carteles de

reconocimiento de seguridad, insertando recordatorios en anuncios de saludo y
enviando recordatorios por correo electrnico a los empleados.

Educar a los usuarios anualmente sobre las polticas, los manuales de personal y las
actualizaciones de guas.

Vincular el reconocimiento de seguridad con los objetivos de revisin del rendimiento.

Habilitar la deteccin del antivirus y el filtrado de contenido para los archivos adjuntos
por correo electrnico.

Utilizar el filtrado de contenido para aceptar o rechazar nombres de dominio

especficos conforme a las polticas de uso aceptable (AUP).

Deshabilitar los puertos USB y las unidades de CD internas.

Habilitar el anlisis antivirus automtico para medios insertados, archivos y adjuntos

por correo electrnico.

Restringir el acceso a los usuarios a solo aquellos sistemas, aplicaciones y datos

necesarios para realizar el trabajo.

Minimizar los permisos de escritura/eliminacin del propietario de datos nicamente.

Seguir y controlar el comportamiento anormal de los empleados, el rendimiento

laboral errtico y el uso de la infraestructura de TI en horarios no laborales.

Implementar procedimientos de bloqueo del control de acceso basados en el

monitoreo y el cumplimiento de las AUP.

Habilitar el sistema de deteccin de intrusiones y el sistema de prevencin de

intrusiones (IDS/IPS) que monitorean los accesos y puestos confidenciales de los
empleados.
La tabla que se muestra en la figura une las amenazas al dominio de usuario con las
contramedidas utilizadas para manejarlas.

Amenazas comunes a los dispositivos

Un dispositivo es cualquier computadora de escritorio, PC porttil, tablet o smartphone

que se conecta a la red.

Las siguientes son amenazas a los dispositivos:

Estaciones de trabajo desatendidas: Las estaciones de trabajo que se dejan

encendidas y desatendidas representan un riesgo de acceso no autorizado a los
recursos de la red.

Descargas del usuario: Los archivos, las fotos, la msica o los videos descargados
pueden ser un vehculo para el cdigo malicioso.

Software sin parches: las vulnerabilidades en la seguridad del software ofrecen

debilidades que los cibercriminales pueden aprovechar.

Malware: Nuevos virus, gusanos y otros cdigos maliciosos salen a luz diariamente.

Medios no autorizados: Los usuarios que insertan unidades USB, CD o DVD pueden
introducir malware o correr el riesgo de comprometer los datos almacenados en la
estacin de trabajo.

Violacin de la poltica de uso aceptable: Las polticas existen para proteger la

infraestructura de TI de la organizacin.

Manejo de las amenazas a los dispositivos

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
los dispositivos:

Establecer polticas para los umbrales de bloqueo y proteccin de contraseas en

todos los dispositivos.

Habilitar el bloqueo de la pantalla durante las horas de inactividad.

Desactivar los derechos administrativos de los usuarios.

Definir pautas, procedimientos, estndares y polticas de control de acceso.

Actualizar y corregir todos los sistemas operativos y las aplicaciones de software.

Implementar soluciones de antivirus automatizadas que exploren el sistema y

actualizar el software antivirus para proporcionar la proteccin adecuada.
 Desactivar todos los puertos USB, CD y DVD.

Habilitar los anlisis de antivirus automticos para cualquier CD, DVD o unidad USB
insertados.

Usar el filtrado de contenido.

Realizar capacitaciones de reconocimiento de seguridad anuales obligatorias o

implementar campaas y programas de concienciacin sobre seguridad que se
ejecuten durante todo el ao.

La tabla que se muestra en la figura une las amenazas al dominio de dispositivo con las
contramedidas utilizadas para manejarlas.

Amenazas comunes a la LAN

La red de rea local (LAN) es un conjunto de dispositivos interconectados mediante

cables u ondas de radio. El dominio de LAN requiere slidos controles de acceso y
seguridad, dado que los usuarios pueden acceder a los sistemas, las aplicaciones y los
datos del dominio de LAN de la organizacin.

Las siguientes son amenazas a la LAN:

Acceso a la LAN no autorizado: Los armarios de cableado, los centros de datos y las
salas de computacin deben permanecer seguras.

Acceso no autorizado a sistemas, aplicaciones y datos.

Vulnerabilidades de software del sistema operativo de la red.

Actualizaciones del sistema operativo de la red.

Acceso no autorizado de usuarios dudosos a las redes inalmbricas.

Ataques a datos en trnsito.

Servidores de LAN con diferentes sistemas operativos o hardware: Administrar y

solucionar problemas de los servidores se torna cada vez ms difcil con las variadas
configuraciones.

Escaneo de puertos y sondeo de redes no autorizados.

Firewall mal configurado.

Manejo de las amenazas a la LAN

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
la red de rea local:

Proteger los armarios de cableado, los centros de datos y las salas informticas.
Denegar el acceso a cualquier persona sin las credenciales adecuadas.

Definir pautas, procedimientos, estndares y polticas de control de acceso estrictos.

Restringir los privilegios de acceso a determinadas carpetas y archivos en funcin de

la necesidad.

Requerir contraseas o la autenticacin para las redes inalmbricas.

Implementar la encriptacin entre los dispositivos y las redes inalmbricas para

mantener la confidencialidad.

Implementar estndares de configuracin del servidor de la LAN.

Realizar pruebas de penetracin posterior a la configuracin.

Deshabilitar el ping y escaneo de puertos.

La tabla que se muestra en la figura une las amenazas al dominio de LAN con las
contramedidas utilizadas para manejarlas.

Amenazas comunes a la nube privada

El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados

disponibles para los miembros de la organizacin a travs de Internet.

Las siguientes son amenazas a la nube privada:

Escaneo de puertos y sondeo de redes no autorizados.

Acceso no autorizado a los recursos.

Vulnerabilidades de software del sistema operativo del dispositivo de red, firewall o

router.

Error de configuracin del dispositivo de red, firewall o router.

Usuarios remotos que acceden a la infraestructura de la organizacin y descargan

datos confidenciales.

Manejo de las amenazas a la nube privada

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a
la nube privada:

Desactivar el ping, el sondeo y el escaneo de puertos.

Implementar sistemas de prevencin y deteccin de intrusiones.

Supervisar las anomalas del trfico IP entrante.

Actualizar los dispositivos con parches y correcciones de seguridad.

Realizar pruebas de penetracin posteriores a la configuracin.

Probar el trfico entrante y saliente.

Implementar un estndar de clasificacin de datos.

Implementar el escaneo y la supervisin de la transferencia de archivos para los tipos

de archivos desconocidos.

La tabla que se muestra en la figura une las amenazas al dominio de nube privada con las
contramedidas utilizadas para manejarlas.

Amenazas comunes a la nube pblica

El dominio de nube pblica incluye los servicios alojados por un proveedor de la nube, un
proveedor de servicios o un proveedor de Internet. Los proveedores de la nube
implementan controles de seguridad para proteger el entorno de la nube, pero las
organizaciones son responsables de proteger sus recursos en la nube. Existen tres
modelos de servicios diferentes entre los que una organizacin puede elegir:

Software como servicio (SaaS): un modelo por suscripcin que brinda acceso al
software alojado de manera centralizada al que los usuarios acceden mediante un
navegador web.

Plataforma como servicio (PaaS): proporciona una plataforma que permite que una
organizacin desarrolle, ejecute y administre sus aplicaciones en el hardware del
servicio con herramientas provistas por el servicio.

Infraestructura como servicio (IaaS): proporciona recursos de computacin

virtualizados, como hardware, software, servidores, almacenamiento y otros
componentes de infraestructura en Internet.

Las siguientes son amenazas a la nube pblica:

Violaciones de datos.

Prdida o robo de propiedad intelectual.

 Credenciales comprometidas.

Los repositorios de identidad federados son un objetivo de gran valor.

Secuestro de una cuenta.

Falta de comprensin por parte de la organizacin.

Ataques de ingeniera social que atraen a la vctima.

Violacin del cumplimiento.

Manejo de las amenazas a la nube pblica

Las organizaciones pueden implementar varias medidas para manejar las amenazas a las
instalaciones fsicas:

Autenticacin de varios factores.

Uso de la encriptacin.

Implementacin de contraseas de un solo uso, autenticacin telefnica y tarjetas

inteligentes.

Aplicaciones y datos de distribucin a travs de varias zonas.

Procedimientos de copia de respaldo de datos.

Diligencia debida.

Programas de concientizacin de seguridad.

Polticas.

La tabla que se muestra en la figura una las amenazas al dominio de nube pblica con las
contramedidas utilizadas para manejarlas.

Amenazas comunes a las instalaciones fsicas

El dominio de instalaciones fsicas incluye todos los servicios utilizados por una
organizacin, entre ellos, la HVAC, el agua y la deteccin de incendios. Este dominio
adems incluye medidas de seguridad fsica empleadas para proteger la instalacin.

Las siguientes son amenazas a las instalaciones de la organizacin:

Amenazas naturales, incluidos problemas meteorolgicos y riesgos geolgicos.

 Acceso no autorizado a las instalaciones.

Interrupciones elctricas.

Ingeniera social para conocer los procedimientos de seguridad y las polticas de la

oficina.

Violacin de las defensas del permetro electrnico.

Robo.

Pasillos abiertos que permiten que un visitante camine directamente hacia las
instalaciones internas.

Centros de datos desbloqueados.

Falta de vigilancia.

Manejo de las amenazas a las instalaciones fsicas

Las organizaciones pueden implementar varias medidas para manejar las amenazas a las
instalaciones fsicas:

Implementar el control de acceso y la cobertura de circuito de TV cerrado (CCTV) en

todas las entradas.

Establecer polticas y procedimientos para los invitados que visitan la instalacin.

Probar la seguridad en edificios a travs de medios cibernticos y fsicos para

obtener acceso encubierto.

Implementar la encriptacin de tarjetas de identificacin para el acceso a las

entradas.

Desarrollar un plan de recuperacin tras un desastre.

Desarrollar un plan de continuidad empresarial.

Realizar capacitaciones de concientizacin en seguridad peridicamente.

Implementar un sistema de etiquetado de activos.

La tabla que se muestra en la figura une las amenazas al dominio de instalaciones fsicas
con las contramedidas utilizadas para manejarlas.

Amenazas comunes a las aplicaciones

El dominio de aplicacin incluye todos los sistemas crticos, las aplicaciones y los datos.
Adems, incluye hardware y cualquier diseo lgico requeridos. Las organizaciones estn
moviendo aplicaciones, como el correo electrnico, el monitoreo de la seguridad y la
administracin de la base de datos a la nube pblica.

Las siguientes son amenazas a las aplicaciones:

Acceso no autorizado a los centros de datos, las salas de computadoras y los

armarios de cableado.

Tiempo de inactividad del servidor para fines de mantenimiento.

Vulnerabilidades de software del sistema operativo de la red.

Acceso no autorizado a los sistemas.

Prdida de datos.

Tiempo de inactividad de los sistemas de TI durante un largo perodo.

Vulnerabilidades de desarrollo de aplicaciones web o de cliente/servidor.

Manejo de las amenazas a las aplicaciones

Las organizaciones pueden implementar diversas medidas para manejar las amenazas al
dominio de aplicacin:

Implementar polticas, estndares y procedimientos para que el personal y los

visitantes se aseguren de que las instalaciones estn seguras.

Realizar pruebas de software antes del lanzamiento.

Implementar estndares de clasificacin de datos.

Desarrollar una poltica para abordar las actualizaciones del sistema operativo y el
software de aplicaciones.

Implementar procedimientos de copia de respaldo.

Desarrollar un plan de continuidad empresarial para que las aplicaciones crticas

mantengan la disponibilidad de las operaciones.

Desarrollar un plan de recuperacin tras un desastre para las aplicaciones y los

datos crticos.

Implementar inicios de sesin.

La tabla que se muestra en la figura une las amenazas al dominio de aplicacin con las
contramedidas utilizadas para manejarlas.

tica de los especialistas en ciberseguridad

La tica es la pequea voz en segundo plano que orienta a los especialistas en

ciberseguridad sobre qu deben hacer, independientemente de si es legal. La
organizacin encomienda a los especialistas en ciberseguridad los recursos y los datos
ms confidenciales. Los especialistas en ciberseguridad deben comprender cmo las
leyes y los intereses de la organizacin ayudan a guiar las decisiones ticas.

Los ciberdelincuentes que ingresan en un sistema, roban nmeros de tarjetas de crdito y

liberan un gusano realizan acciones poco ticas. Cmo distingue una organizacin las
acciones de un especialista en ciberseguridad si son similares? Por ejemplo, un
especialista en ciberseguridad puede detener la propagacin de un gusano de forma
preventiva con un parche. De hecho, el especialista en ciberseguridad lanza un gusano.
Sin embargo, el gusano no es malicioso. Se aprueban sus acciones en este caso?

Los siguientes sistemas ticos ven la tica desde varias perspectivas.

tica de los servicios pblicos

Durante el siglo XIX, Jeremy Benthan y John Stuart Mill desarrollaron la tica de los
servicios pblicos. El principio rector es que cualquier accin en la que el bien supere al
mal es una opcin tica.

Enfoque de los derechos

El principio rector del enfoque de los derechos es que las personas tienen el derecho de
tomar sus propias decisiones. Esta perspectiva observa cmo una accin afecta los
derechos de otras personas para evaluar si una accin es correcta o incorrecta. Estos
derechos incluyen el derecho a la verdad, la privacidad y la seguridad; la sociedad debe
aplicar las leyes equitativamente para todos sus miembros.

Enfoque del bien comn

El enfoque del bien comn propone que el bien comn es lo que beneficia a la
comunidad. En este caso, un especialista en ciberseguridad observa cmo una accin
afecta el bien comn de la sociedad o la comunidad.

Ninguna respuesta inequvoca proporciona soluciones obvias para los problemas ticos a
los que se enfrentan los especialistas en ciberseguridad. La respuesta sobre qu es
correcto o incorrecto puede cambiar segn la situacin y la perspectiva tica.

Instituto de tica Informtica

El Instituto de tica Informtica es un recurso que identifica, evala y responde a

problemas ticos en el sector de la tecnologa de la informacin. El CEI (por sus siglas en
ingls) fue una de las primeras organizaciones en reconocer los problemas de polticas
pblicas y ticas que surgan del rpido crecimiento del campo de la tecnologa de la
informacin. La figura enumera los diez mandamientos de la tica informtica creados por
el Instituto de tica Informtica.

Delito ciberntico

Las leyes prohben los comportamientos no deseados. Desafortunadamente, los avances

de las tecnologas del sistema de informacin son mayores que los avances del sistema
legal de avenencia y legislacin. Cierta cantidad de leyes y regulaciones afecta el
ciberespacio. Varias leyes especficas rigen las polticas y los procedimientos
desarrollados por una organizacin para garantizar su cumplimiento.

Delito ciberntico

Una computadora puede verse involucrada en un delito ciberntico de diferentes

maneras. Puede ser un delito asistido por computadora, un delito dirigido a una
computadora o un delito informtico incidental. La pornografa infantil es un ejemplo de
delito informtico incidental; La computadora es un dispositivo de almacenamiento y no es
la herramienta real utilizada para cometer el delito.

El crecimiento del delito ciberntico se debe a varios motivos. Hoy en da existen muchas
herramientas ampliamente disponibles en Internet y los posibles usuarios no necesitan
mucha experiencia para usarlas.

Organizaciones creadas para luchar contra el delito ciberntico

Hay una cantidad de agencias y organizaciones que ayudan a combatir el delito

ciberntico. Haga clic en cada uno de los enlaces en la figura para visitar los sitios web de
estas organizaciones que ayudan a mantenerse al da con los problemas importantes.

Ciberleyes regulatorias, civiles y penales

En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes
estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la
seguridad informtica. El Congreso de los Estados Unidos estableci agencias
administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y
penales para quienes incumplen las reglas.

Los derechos penales aplican un cdigo moral comnmente aceptado respaldado por la
autoridad gubernamental. Las regulaciones establecen reglas diseadas para abordar las
consecuencias en una sociedad en constante cambio que aplica sanciones por infringir
dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informtico es una ley estatutaria.
Administrativamente, la FCC y la Comisin Federal de Comercio se ocupan de problemas
tales como el fraude y el robo de la propiedad intelectual. Por ltimo, los casos de leyes
comunes resuelven sus problemas a travs del sistema judicial que ofrece precedentes y
bases constitucionales para las leyes.

Ley Federal de Administracin de Seguridad de la Informacin (FISMA)

El Congreso elabor la FISMA en 2002 para cambiar el enfoque del gobierno
estadounidense respecto de la seguridad informtica. Como los mayores creadores y
usuarios de informacin, los sistemas de TI federales son objetivos de alto valor para los
ciberdelincuentes. La FISMA se aplica a los sistemas de TI de las agencias federales y
estipula que las agencias deben crear un programa de seguridad de la informacin que
incluya lo siguiente:

Evaluacin de riesgos

Inventario anual de los sistemas de TI

Polticas y procedimientos para reducir el riesgo

Capacitaciones de concientizacin en seguridad

Prueba y evaluacin de todos los controles del sistema de TI

Procedimiento de respuesta ante los incidentes

Continuidad del plan de operaciones

Ciberleyes regulatorias, civiles y penales

En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes
estatutarias, leyes administrativas y leyes comunes. Las tres fuentes involucran la
seguridad informtica. El Congreso de los Estados Unidos estableci agencias
administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y
penales para quienes incumplen las reglas.

Los derechos penales aplican un cdigo moral comnmente aceptado respaldado por la
autoridad gubernamental. Las regulaciones establecen reglas diseadas para abordar las
consecuencias en una sociedad en constante cambio que aplica sanciones por infringir
dichas reglas. Por ejemplo, la Ley de Abuso y Fraude Informtico es una ley estatutaria.
Administrativamente, la FCC y la Comisin Federal de Comercio se ocupan de problemas
tales como el fraude y el robo de la propiedad intelectual. Por ltimo, los casos de leyes
comunes resuelven sus problemas a travs del sistema judicial que ofrece precedentes y
bases constitucionales para las leyes.

Ley Federal de Administracin de Seguridad de la Informacin (FISMA)

El Congreso elabor la FISMA en 2002 para cambiar el enfoque del gobierno

estadounidense respecto de la seguridad informtica. Como los mayores creadores y
usuarios de informacin, los sistemas de TI federales son objetivos de alto valor para los
ciberdelincuentes. La FISMA se aplica a los sistemas de TI de las agencias federales y
estipula que las agencias deben crear un programa de seguridad de la informacin que
incluya lo siguiente:

Evaluacin de riesgos
 Inventario anual de los sistemas de TI

Polticas y procedimientos para reducir el riesgo

Capacitaciones de concientizacin en seguridad

Prueba y evaluacin de todos los controles del sistema de TI

Procedimiento de respuesta ante los incidentes

Continuidad del plan de operaciones

Leyes de notificacin de infracciones a la seguridad

Las empresas recopilan cantidades cada vez mayores de informacin personal sobre sus
clientes, desde contraseas de cuentas y direcciones de correo electrnico hasta
informacin mdica y financiera altamente confidencial. Las empresas grandes y
pequeas reconocen el valor del anlisis de datos masivos y datos. Esto fomenta a las
organizaciones a recopilar y almacenar informacin. Los ciberdelincuentes buscan
constantemente nuevas maneras de obtener dicha informacin o de acceder y atacar los
datos ms confidenciales de una empresa. Las organizaciones que recopilan datos
confidenciales deben ser buenos guardianes de datos. En respuesta a este crecimiento
en la recopilacin de datos, varias leyes requieren que las organizaciones que recopilan
datos de informacin personal notifiquen a las personas si se produce una violacin de
sus datos personales. Para ver una lista de estas leyes, haga clic aqu.

Ley de Privacidad de Comunicaciones Electrnicas (ECPA)

La Ley de Privacidad de Comunicaciones Electrnicas (ECPA) aborda una infinidad de

cuestiones legales de privacidad que surgen del uso cada vez mayor de computadoras y
otras tecnologas especficas para las telecomunicaciones. Las secciones de esta ley
abordan el correo electrnico, las comunicaciones celulares, la privacidad del lugar de
trabajo y el host, entre otros problemas relacionados con la comunicacin electrnica.

Ley de Abuso y Fraude Informtico (1986)

La Ley de Abuso y Fraude Informtico (CFAA) ha estado en vigencia por ms de 20 aos.

La CFAA proporciona la base para las leyes estadounidenses que penalizan el acceso no
autorizado a los sistemas informticos. La CFAA considera un delito acceder
intencionadamente y sin permiso a una computadora del gobierno o una computadora
utilizada en el mercado interestatal. La CFAA tambin penaliza el uso de una
computadora en un delito de naturaleza interestatal.

La ley penaliza el trfico de contraseas o informacin de acceso similar y la transmisin

intencionada de un programa, un cdigo o un comando que da como resultado un dao.

Proteccin de la privacidad
Las siguientes leyes estadounidenses protegen la privacidad.

Ley de Privacidad de 1974

Esta ley establece un Cdigo de prctica de informacin justa que rige la recopilacin, el
mantenimiento, el uso y la transmisin de la informacin de identificacin personal de los
individuos conservada en sistemas de registro por las agencias federales.

Ley de Libertad de Informacin (FOIA)

La FOIA permite el acceso pblico a los registros del gobierno estadounidense. La FOIA
lleva aparejada la presuncin de divulgacin, por lo que la carga recae en el gobierno
acerca de por qu no puede hacer pblica la informacin.

Hay nueve exenciones de divulgacin relacionadas con la FOIA:

Informacin de polticas externas y seguridad nacional.

Prcticas y reglas para el personal interno de una agencia.

Informacin especficamente exenta por estatuto.

Informacin empresarial confidencial.

Comunicacin interinstitucional o intrainstitucional sujeta a procesos deliberativos,

litigaciones y otros privilegios.

Informacin que, si se divulga, constituir una clara invasin infundada a la

privacidad personal.

Registros de aplicacin de las leyes que implican uno de varios problemas

enumerados.

Informacin de agencias de instituciones financieras.

Informacin geolgica y geofsica relacionada con los pozos.

Ley de Privacidad y Registros de Educacin Familiar (FERPA)

Esta ley federal concedi acceso a los estudiantes a los registros educativos. La FERPA
es opcional, dado que el estudiante debe aprobar la divulgacin de la informacin antes
de que suceda. Cuando un alumno cumple 18 aos o ingresa en una institucin
postsecundaria a cualquier edad, los derechos de la FERPA pasan de los padres del
estudiante al estudiante.

Ley de Abuso y Fraude Informtico (CFAA) de los Estados Unidos

Esta ley federal se aplica a la recopilacin en lnea de informacin personal por parte de
personas o entidades bajo la jurisdiccin estadounidense para nios menores de 13 aos.
Antes de recopilar y utilizar la informacin de nios (de 13 aos o menos), se debe
obtener el permiso de los padres.

Ley de Proteccin de la Privacidad Infantil en Lnea (COPPA) de los Estados Unidos

Esta ley federal se aplica a la recopilacin en lnea de informacin personal por parte de
personas o entidades bajo la jurisdiccin estadounidense para nios menores de 13 aos.
Antes de recopilar y utilizar la informacin de nios (de 13 aos o menos), se debe
obtener el permiso de los padres.

Ley de Proteccin Infantil en Internet (CIPA) de los Estados Unidos

El Congreso de los Estados Unidos aprob la CIPA en el ao 2000 para proteger a los
nios menores de 17 aos de la exposicin a contenidos ofensivos y material obsceno de
Internet.

Ley de Proteccin de Privacidad de Videos (VPPA)

La Ley de Proteccin de Privacidad de Videos protege a las personas que rentan cintas
de video, DVD y juegos de la divulgacin a terceros. El estatuto ofrece proteccin de
forma predeterminada, por lo que requiere que las empresas de renta de videos obtengan
el consentimiento del arrendatario para optar por la exclusin de las protecciones si
desean divulgar informacin personal sobre las rentas. Muchos abogados de privacidad
consideran que la VPPA es la ley de privacidad ms fuerte de los EE. UU.

Ley de Portabilidad y Responsabilidad del Seguro Mdico

Los estndares exigen protecciones de seguridad para el almacenamiento fsico, el

mantenimiento, la transmisin y el acceso de la informacin mdica de las personas. La
HIPAA exige que las organizaciones que utilizan firmas electrnicas cumplan los
estndares y garanticen la integridad de la informacin, la autenticacin del firmante y el
no repudio.

Ley del Senado de California de 1386 (SB 1386)

California fue el primer estado en aprobar una ley relacionada con la notificacin de la
divulgacin no autorizada de informacin de identificacin personal. Desde entonces,
muchos otros estados han seguido el ejemplo. Cada una de estas leyes de notificacin de
la divulgacin es diferente, lo que plantea el caso de un estatuto federal unificado
convincente. Esta ley requiere que las agencias notifiquen a los consumidores sus
derechos y responsabilidades. Exige que el estado notifique a los ciudadanos cuando se
pierde o divulga la PII. Desde que se aprob la SB 1386, muchos otros estados han
modelado su legislacin sobre este proyecto de ley.

Polticas de privacidad

Las polticas son la mejor manera de garantizar el cumplimiento en una organizacin; Una
poltica de privacidad desempea un rol importante dentro de una organizacin,
especialmente con la cantidad de leyes decretadas para proteger la privacidad. Uno de
los resultados directos de los estatutos legales asociados a la privacidad ha sido el
desarrollo de la necesidad de polticas de privacidad corporativas relacionadas con la
recopilacin de datos.
Evaluacin del impacto en la privacidad (PIA)

La evaluacin del impacto en la privacidad garantiza que la informacin de identificacin

personal (PII) est correctamente administrada dentro de una organizacin.

Establezca el alcance de la PIA.

Identifique las partes interesadas clave.

Documente todos los contactos con la PII.

Revise los requisitos legales y normativos.

Documente los posibles problemas causados al comparar requisitos y prcticas.

Revise los resultados con las partes interesadas clave.

Leyes internacionales

Con el crecimiento de las conexiones de red global e Internet, el acceso no autorizado a

un sistema informtico o la violacin de una computadora son preocupaciones que
pueden tener consecuencias nacionales e internacionales. Las leyes nacionales sobre
violaciones a una computadora existen en muchos pases, pero siempre existe la
posibilidad de brechas en cmo estas naciones manejan este tipo de delito.

Convencin sobre Delito Ciberntico

La Convencin sobre Delito Ciberntico es el primer tratado internacional sobre delitos de

Internet (UE, Estados Unidos, Canad, Japn y otros). Las polticas comunes manejan el
delito ciberntico y abordan lo siguiente: infraccin de derechos de autor, fraude
relacionado con la computacin, pornografa infantil e infracciones a la seguridad de la
red. Haga clic aqu para leer ms sobre la Convencin sobre Delito Ciberntico.

Centro de Informacin sobre la Privacidad Electrnica (EPIC)

El EPIC promueve polticas y leyes gubernamentales abiertas y de privacidad

globalmente, pero se centra en las relaciones entre la UE y los Estados Unidos. Haga
clic aqupara ver las ltimas novedades.

Base de datos nacional de vulnerabilidades

La base de datos nacional de vulnerabilidades (NVD) es un repositorio de datos de

administracin de vulnerabilidades basadas en estndares del gobierno estadounidense
que utiliza el protocolo de automatizacin de contenido de seguridad (SCAP). El SCAP es
un mtodo para utilizar estndares especficos para automatizar la administracin de
vulnerabilidades, la medicin y la evaluacin del cumplimiento de polticas. Haga
clic aqu para visitar el sitio web de la base de datos nacional de vulnerabilidades.
El SCAP utiliza estndares abiertos para enumerar las fallas y los problemas de
configuracin del software de seguridad. Las especificaciones organizan y miden la
informacin relacionada con la seguridad de maneras estandarizadas. La comunidad del
SCAP es una asociacin entre el sector de nubes pblicas y privadas que fomenta la
estandarizacin de las operaciones de seguridad tcnicas. Haga clic aqu para visitar el
sitio web del protocolo de automatizacin de contenido de seguridad (SCAP).

La NVD utiliza el sistema de calificacin de vulnerabilidades comunes para evaluar el

impacto de las vulnerabilidades. Una organizacin puede usar las puntuaciones para
clasificar la gravedad de las vulnerabilidades que encuentra dentro de la red. Esto, a su
vez, puede ayudar a determinar la estrategia de mitigacin.

El sitio adems contiene varias listas de comprobacin que proporcionan orientacin

sobre la configuracin de los sistemas operativos y las aplicaciones para un entorno
protegido. Haga clic aqu para visitar el repositorio nacional de programas de listas de
comprobacin.

CERT

El Instituto de Ingeniera de Software (SEI) de la Universidad Carnegie Mellon ayuda al

gobierno y las organizaciones del sector a desarrollar, operar y mantener sistemas de
software innovadores, asequibles y confiables. Se trata de un centro de investigacin y
desarrollo subvencionado por el gobierno federal patrocinado por el Departamento de
Defensa de los Estados Unidos.

La divisin del CERT del SEI estudia y resuelve los problemas en el rea de la
ciberseguridad, entre ellos, las vulnerabilidades en la seguridad en los productos de
software, los cambios en los sistemas de red y la capacitacin para mejorar la
ciberseguridad. El CERT ofrece los siguientes servicios:

Ayuda a resolver las vulnerabilidades del software.

Desarrolla herramientas, productos y mtodos para realizar exmenes de informtica

forense.

Desarrolla herramientas, productos y mtodos para analizar vulnerabilidades.

Desarrolla herramientas, productos y mtodos para supervisar grandes redes.

Ayuda a las organizaciones a determinar cun eficaces son las prcticas

relacionadas con la seguridad.

El CERT tiene una amplia base de datos de informacin sobre las vulnerabilidades del
software y los cdigos maliciosos que ayuda a desarrollar soluciones y estrategias de
correccin. Haga clic aqu para visitar el sitio web del CERT.

Internet Storm Center

Internet Storm Center (ISC) proporciona un servicio de anlisis y alerta gratuito a las
organizaciones y los usuarios de Internet. Tambin trabaja con los proveedores de
servicios de Internet para combatir a los ciberdelincuentes maliciosos. Internet Storm
Center recopila millones de entradas de registros de sistemas de deteccin de intrusiones
cada da mediante sensores que cubren 500 000 direcciones IP en ms de 50 pases. El
ISC identifica los sitios utilizados para los ataques y proporciona datos sobre los tipos de
ataques lanzados contra diversos sectores y regiones del mundo.

Haga clic aqu para visitar el Internet Storm Center. El sitio web ofrece los siguientes
recursos:

Un archivo de blog diario de seguridad informtica.

Podcasts, como Daily Stormcasts; Actualizaciones diarias de amenazas a la

seguridad informtica que duran entre 5 y 10 minutos.

Publicaciones de empleos de seguridad informtica.

Noticias sobre seguridad informtica.

Herramientas de seguridad informtica.

Informes de seguridad informtica.

Foros de seguridad informtica para el ISC del SANS.

El SANS apoya el Internet Storm Center. El SANS es una fuente confiable para la
investigacin, la certificacin y la capacitacin en seguridad informtica.

Centro de Ciberseguridad Avanzada

El Centro de Ciberseguridad Avanzada (ACSC) es una organizacin sin fines de lucro que
rene a la industria, los crculos acadmicos y el gobierno para abordar las
ciberamenazas avanzadas. La organizacin comparte informacin sobre ciberamenazas,
participa en la investigacin y el desarrollo de la ciberseguridad y crea programas
educativos para promover la profesin de la ciberseguridad.

El ACSC defini cuatro desafos que definen sus prioridades:

Desarrollar sistemas slidos para recuperarse de ataques y fallas.

Mejorar la seguridad mvil.

Elaborar intercambios de amenazas en tiempo real.

Integrar los riesgos cibernticos con los marcos de trabajo de riesgo empresariales.

Haga clic aqu para visitar el Centro de Ciberseguridad Avanzada.

Escneres de vulnerabilidades

Un escner de vulnerabilidades evala las computadoras, los sistemas informticos, las

redes o las aplicaciones en busca de debilidades. Los escneres de vulnerabilidades
ayudan a automatizar la auditora de seguridad escaneando la red en busca de riesgos de
seguridad y produciendo una lista prioritaria para abordar las debilidades. Un escner de
vulnerabilidades busca los siguientes tipos de vulnerabilidades:

Uso de contraseas predeterminadas o contraseas comunes.

Parches faltantes.

Puertos abiertos.

Errores de configuracin del software y los sistemas operativos.

Direcciones IP activas.

Al momento de evaluar un escner de vulnerabilidades, observe cmo se clasifica su

precisin, confiabilidad, escalabilidad e informes. Existen dos tipos de escneres de
vulnerabilidades entre los que puede elegir: Basados en software o basados en la nube.

El anlisis de vulnerabilidades es fundamental para las organizaciones con redes que

incluyen una gran cantidad de segmentos de red, routers, firewalls, servidores y otros
dispositivos empresariales. Haga clic aqu para ver varias opciones disponibles tanto para
las versiones comerciales como gratuitas.

Pruebas de penetracin

La prueba de penetracin (evaluacin de intrusin) es un mtodo para probar las reas de

debilidades en los sistemas mediante diversas tcnicas maliciosas. La evaluacin de
intrusin no es lo mismo que la prueba de vulnerabilidades. La prueba de vulnerabilidades
identifica los posibles problemas. La evaluacin de intrusin involucra a un especialista en
ciberseguridad que hackea un sitio web, una red o un servidor con el permiso de la
organizacin para intentar obtener acceso a recursos sabiendo los nombres de usuario y
las contraseas o por otros medios normales. La diferencia ms importante entre los
ciberdelincuentes y los especialistas en ciberseguridad es que los especialistas en
ciberseguridad tienen el permiso de la organizacin para realizar estas pruebas.

Uno de los motivos principales por los que una organizacin utiliza las evaluaciones de
intrusin es la bsqueda y la correccin de las vulnerabilidades antes de que lo hagan los
ciberdelincuentes. La prueba de penetracin tambin se conoce como hackeo tico.

Analizadores de paquetes
Los analizadores de paquetes (o analizadores de protocolos de paquetes) interceptan y
registran el trfico de red. El analizador de paquetes captura cada paquete, muestra los
valores de varios campos en el paquete y analiza el contenido. Un analizador de
protocolos puede capturar el trfico de red tanto en redes cableadas como inalmbricas.
Los analizadores de paquetes realizan las siguientes funciones:

Anlisis de problemas de red.

Deteccin de intentos de intrusin en la red.

Aislamiento del sistema explotado.

Registro del trfico.

Deteccin de usos indebidos de la red.

Haga clic aqu para ver una comparacin de los analizadores de paquetes.

Herramientas de seguridad

No existe un criterio nico cuando se trata de las mejores herramientas de seguridad.

Mucho depende de la situacin, la circunstancia y la preferencia del personal. Un
especialista en ciberseguridad debe saber dnde obtener informacin correcta.

Kali

Kali es una distribucin de seguridad de Linux de cdigo abierto. Los profesionales de TI

usan Kali de Linux para probar la seguridad de sus redes. Kali de Linux incorpora ms de
300 pruebas de penetracin y programas de auditora de seguridad en una plataforma de
Linux. Haga clic aqu para visitar el sitio web.

Conocimiento de la situacin de la red

Una organizacin debe tener la capacidad de supervisar las redes, analizar los datos
resultantes y detectar actividades maliciosas. Haga clic aqu para acceder a una serie de
herramientas de anlisis de trfico desarrolladas por el CERT.

Definicin de las funciones del paladn de

ciberseguridad

El estndar ISO define las funciones de los paladines de ciberseguridad. El marco de

trabajo ISO 27000 requiere:

Un alto directivo responsable de TI e ISM (generalmente el patrocinador de la

auditora).

Profesionales de seguridad informtica.

 Administradores de seguridad.

Un administrador de seguridad fsica/en el sitio y contactos de las instalaciones.

Un contacto de R.H. para los problemas de Recursos Humanos, como las

capacitaciones y las medidas disciplinarias.

Administradores de redes y sistemas, arquitectos de seguridad y otros profesionales

de TI.

Los tipos de puestos de seguridad informtica se dividen de la siguiente manera:

Los definidores proporcionan polticas, pautas y estndares e incluyen asesores, que

realizan evaluaciones de riesgos y desarrollan arquitecturas tcnicas y productos, y
personas en el ms alto nivel dentro de la organizacin, que tienen un conocimiento
amplio pero poco profundo.

Los constructores son los verdaderos tcnicos que crean e instalan soluciones de
seguridad.

Los supervisores administran las herramientas de seguridad, realizan la funcin de

monitoreo de seguridad y mejoran los procesos.

Haga clic en los puestos de seguridad informtica que desempean una funcin clave en
cualquier organizacin para conocer los componentes clave de cada uno.

Herramientas de bsqueda laboral

Una variedad de sitios web y aplicaciones mviles publicita trabajos de tecnologa de la

informacin. Cada sitio est dirigido a los diversos postulantes laborales y proporciona
diferentes herramientas para los candidatos que investigan el puesto de trabajo ideal.
Muchos sitios son agregadores de sitios de trabajo, sitios de bsqueda laboral que
recopilan listas de otros sitios de empleos empresariales y bolsas laborales en una nica
ubicacin.

Indeed.com

Publicitado como el sitio de trabajo nmero uno del mundo, Indeed.com atrae a ms de
180 millones de visitantes exclusivos por mes de ms de 50 pases diferentes. Indeed es
verdaderamente un sitio de trabajo mundial. Indeed ayuda a las empresas de todos los
tamaos a contratar a los mejores talentos y ofrece las mejores oportunidades para
quienes buscan trabajo.

CareerBuilder.com

CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este

sitio atrae a los candidatos especficos que poseen la mayor educacin y las credenciales
ms altas. Los empleadores que publican en CareerBuilder comnmente obtienen ms
candidatos con ttulos universitarios, credenciales avanzadas y certificaciones industriales.
USAJobs.gov

El gobierno federal publica cualquier vacante en USAJobs. Haga clic aqu para obtener
ms informacin sobre el proceso de aplicacin utilizado por el gobierno estadounidense.

Captulo 8: Unindose al orden de los hroes

cibernticos

Este captulo categoriza la infraestructura de la tecnologa de la informacin creada por el

avance de la tecnologa en siete dominios. Un especialista en ciberseguridad exitoso debe
conocer los controles de seguridad adecuados de cada dominio requeridos para cumplir
con los requisitos de la trada de CID.

El captulo analiza las leyes que afectan la tecnologa y los requisitos de la

ciberseguridad. Las leyes, como FISMA, GLBA y FERPA, se centran en la proteccin de
la confidencialidad. Las leyes que se enfocan en la proteccin de la integridad incluyen la
FISMA, SOX y FERPA; las leyes relacionadas con la disponibilidad son la FISMA, GLBA,
SOX y CIPA. Adems de las leyes vigentes, los especialistas en ciberseguridad deben
comprender cmo el uso de las computadoras y la tecnologa afecta tanto a los individuos
como a la sociedad.

El captulo tambin explora la oportunidad de convertirse en un especialista en

ciberseguridad. Por ltimo, este captulo analiza varias herramientas disponibles para los
especialistas en ciberseguridad.