Ciberseguridad

Juan Carlos Escalier Rueda

– Licenciatura en Informática (UMSA)

– Diplomado en Gestión de la Seguridad (EMI)
– CISA - Certified Information System Auditor (ISACA)
– RM ISO 31000 – Risk Manager (PECB)
– BCM ISO 22301 – Business Continuity Manager (ERCA)
– Egresado de la Maestría de Seguridad de Tecnologías de la Información
(EMI)

Jefe Nacional de Auditoría de Sistemas en el Banco Unión S.A.

– Más de 17 años de experiencia, 6 en Ernst & Young Bolivia
– Trabajos realizados en Argentina, Chile, Paraguay y Bolivia
– Auditoría de sistemas, ethical hacking, diseño de políticas, análisis de
riesgos, entre otros
– En industrias como: banca, telecomunicaciones, laboratorios, petroleras,
aseguradoras, minería, generadoras y transportadoras de energía, otras.
Y ustedes son…??
Contenido básico

• Conceptualización de Ciberseguridad
• Análisis de casos locales e internacionales
• Diferencias básicas entre Seguridad de la Información
y Ciberseguridad
• Roles y responsabilidades
• Enfoque basado en procesos de negocio
• Ciberataques y Ciberdefensa
 Brainstorm

gobierno electrónico
automation
cryptocurrency
Comercio electrónico
IoT blockchain
servicios de salud en línea
banca en línea
Banca 4.0 FINTECH
Big data robótica
GOBIERNO ELECTRÓNICO Cloud computing
Brainstorm…
Brainstorm…
Brainstorm…
Brainstorm…
 Ciberseguridad y Seguridad de la
Información

• Seguridad de la información: Trata a la información sin tomar

en cuenta su formato. Abarca documentos en papel, digitales
y propiedad intelectual, y comunicaciones verbales o visuales

• Ciberseguridad: Se ocupa de la protección de activos digitales.

Desde redes, hardware y la información que es procesada,
almacenada o transportada por sistemas de información
interconectados
Conceptos generales

Triada de la seguridad
 Seguridad

• Confidencialidad: Algunas compañías necesitan proteger la

información de futuros productos antes de liberarlos

• Integridad: en una transferencia bancaria de $us10.000 a otra

institución, es importante que no cambia $us100.000 en el
intercambio

• Disponibilidad: salvaguardas que asegure que la información

no se borrada accidentalmente o intencionalmente
 Conceptos generales

•Confidencialidad •Control de acceso

•Integridad •Métricas de seguridad
•Disponibilidad •Gobierno
•Auditabilidad •Estrategia
•Identificación •Arquitectura
•Autenticación •Gerencia
•Autorización •Riesgo
•No repudio •Exposiciones
•Seguridad estratificada
 Conceptos generales

•Vulnerabilidades • Análisis diferencial

•Amenazas • Controles
•Riesgo residual • Contramedidas
•Impacto • Políticas
•Criticidad • Normas
•Sensibilidad • Ataques
•Análisis de impacto al • Clasificación de datos
negocio
•Análisis de dependencia del
negocio
Riesgos
 Qué hace un profesional en
ciberseguridad?
Los deberes del profesional de la ciberseguridad incluyen el
análisis de políticas, tendencias e inteligencia.

Usando la resolución de problemas y las habilidades de

detección, se esfuerzan por comprender mejor cómo un
adversario puede pensar o comportarse.

La complejidad inherente de su trabajo requiere que la fuerza

laboral de ciberseguridad posea no sólo una amplia gama de
habilidades técnicas de TI, sino también capacidades
analíticas avanzadas.

Un profesional de la ciberseguridad puede ser un profesional

o parte de la alta gerencia
 Qué hace un profesional en
ciberseguridad?
Figura 1.3—Relaciones jerárquicas del CISO

¿A que área/persona le reporta su CISO o funcionario de seguridad de información

equivalente?

C EO 21%
C IO ( con un depart ament o de seguridad int egrado al depart ament o de TI) 18%
C onsejo de A dminist ración 12%
C IO ( con un depart ament o de seguridad independient e al depart ament o de TI) 8%
C TO 5%
VP 5%
C FO 4%
C omit é de Seguridad 4%
A udit oria Int erna 4%
Ot ros 4%
C SO 3%
A dminist ración de R iesgos 3%
D irect or de la f unción de la privacidad 2%
Jurí dico 2%

0% 5% 10% 15% 20% 25%

Qué hace un profesional en
ciberseguridad?
RIESGO
Definición común
Definición Científica de Riesgo

Riesgo es la esperanza matemática de una función

de probabilidad de suceso
Riesgo y estadísticas
Riesgo

Efecto de la incertidumbre sobre los objetivos

de la organización

Fuente: ISO 31000:2009

La incertidumbre es el estado, incluso parcial,

de deficiencia en la información relativa a la
comprensión o al conocimiento de un suceso,
de sus consecuencias o de su probabilidad
 Enfoque de Ciberseguridad

En general, existen tres enfoques diferentes para

implementar la ciberseguridad. Se describe cada
enfoque brevemente a continuación:

Basado en el cumplimiento: también conocido como

seguridad basada en estándares, este enfoque se basa
en regulaciones o estándares para determinar las
implementaciones de seguridad. Los controles se
implementan independientemente de su aplicabilidad
o necesidad, que a menudo conduce a una actitud de
“checklist" hacia la seguridad.
 Enfoque de Ciberseguridad
Basado en el riesgo: la seguridad basada en el riesgo
se basa en identificar el riesgo único que enfrenta una
organización en particular y en diseñar y
implementar controles de seguridad para abordar ese
riesgo por encima y más allá de la tolerancia al riesgo
y las necesidades comerciales de la entidad.

Ad hoc: un enfoque ad hoc simplemente implementa

seguridad sin ninguna razón o criterio en particular.
Las implementaciones Ad hoc pueden ser impulsadas
por un proveedor, o pueden reflejar una experiencia
insuficiente en la materia, conocimiento o
capacitación en el diseño e implementación de
salvaguardas.
Hack
Hack
Hack
 Atributos de un ataque

Mientras que el riesgo se mide por la actividad

potencial, un ataque es la ocurrencia real de una
amenaza. Más específicamente, un el ataque es una
actividad de un agente de amenaza (o adversario)
contra un activo.

Desde el punto de vista de un atacante, el activo es

un objetivo, y la camino o ruta utilizada para obtener
acceso al objetivo (activo) se conoce como un vector
de ataque.
 Atributos de un ataque

Hay dos tipos de vectores de ataque: ingreso y egreso.

Mientras que la mayoría del análisis de ataque se
concentra en el ingreso, o la intrusión, en los sistemas,
algunos ataques están diseñados para eliminar datos
de sistemas y redes.

Por lo tanto, es importante considerar ambos tipos de

vectores de ataque.
 Proceso de ataque generalizado

Realizar reconocimiento: el adversario recopila

información mediante una variedad de técnicas, que
pueden incluir

• Sniffing o escanear el perímetro de la red

• Uso de información organizacional
• Ejecutar malware para identificar objetivos
potenciales
 Proceso de ataque generalizado

Crear herramientas de ataque: el adversario crea las

herramientas necesarias para llevar a cabo un ataque
futuro, que puede incluir:

• Ataques de phishing
• Creación de sitios web o certificados falsificados.
• Crear y operar organizaciones de fachada falsas
para inyectar componentes maliciosos en la cadena
de suministro
 Proceso de ataque generalizado
Transferencia de herramientas maliciosas : el adversario
inserta o instala lo que sea necesario para llevar a cabo el
ataque, que Puede incluir las siguientes tácticas:

• Introducción de malware en los sistemas de

información organizacional.
• Colocar a individuos “camuflados” en posiciones
privilegiadas dentro de la organización.
• Instalación de rastreadores o dispositivos de escaneo
en redes y sistemas específicos
• Inserción de hardware manipulado o componentes
críticos en sistemas organizativos o cadenas de
suministro
 Proceso de ataque generalizado

Explotar y comprometer: el adversario aprovecha la

información y los sistemas para comprometerlos, que
pueden implicar las siguientes acciones:

• Obtener acceso físico a las instalaciones de la

organización.
• Extracción de datos o información sensible.
• Explotación la característica “multitenancy “en un
entorno de nube.
• Lanzamiento de exploits de día cero.
 Proceso de ataque generalizado

Conducir el ataque: el adversario coordina las

herramientas de ataque o realiza actividades que
interfieren con funciones organizativas. Los posibles
métodos de ataque incluyen:

• Intercepción de la comunicación o ataques de

interferencia inalámbrica.
• Ataques de denegación de servicio (DoS) o de
denegación de servicio distribuido (DDoS)
• Interferencia remota o ataques físicos en instalaciones
o infraestructuras organizativas
• Ataques Session-hijacking o man-in-the-middle
 Proceso de ataque generalizado

Alcanzar resultados: el adversario causa un impacto

adverso, que puede incluir:

• Obtener acceso no autorizado a sistemas y / o

información confidencial
• Degradar servicios o capacidades organizacionales
• Crear, corromper o borrar datos críticos.
 Proceso de ataque generalizado

Mantener presencia o un conjunto de capacidades: el

adversario continúa explotando y comprometiendo el
sistema usando las siguientes técnicas:

• Ofuscando acciones adversas o interfiriendo con los

sistemas de detección de intrusos (IDS)
• Adaptación de ataques cibernéticos en respuesta a las
medidas de seguridad de la organización
 Proceso de ataque generalizado

Coordinar una campaña: el adversario coordina una

campaña contra la organización que puede involucrar al
siguientes medidas:

• Ataques de etapas múltiples

• Ataques internos y externos.
• Ataques de amplio expectro y adaptativos.
 Controles de ciberseguridad
Gestión de identidad

La ciberseguridad se basa en el establecimiento y mantenimiento de

perfiles de usuario que definen la autenticación, controles de
autorización y acceso para cada usuario.

Contratación y desvinculación

Contraseñas y derechos de acceso generalmente se asignan en

función de las obligaciones laborales de los usuarios. Esto puede ser
un proceso complicado, ya que los usuarios pueden necesitar acceso
a muchos recursos diferentes, como sistemas, bases de datos, correo
electrónico, aplicaciones y servicios remotos,

Cada uno de los cuales tiene su propio control de

acceso, contraseñas, claves de cifrado u otros
requisitos de autorización y autenticación.
 Controles de ciberseguridad
Autorización

El proceso de autorización utilizado para el control de acceso

requiere que el sistema pueda identificar y diferenciar entre
usuarios Las reglas de acceso (autorizaciones) especifican quién
puede acceder a qué.

Gestión de privilegios

El acceso privilegiado permite a los usuarios autorizados mantener y

proteger los sistemas y las redes. Los usuarios privilegiados pueden a
menudo acceder a cualquier información almacenada dentro de un
sistema, lo que significa que pueden modificar o eludir las
salvaguardas existentes tales como controles de acceso y registro.
 Controles de ciberseguridad

Gestión de privilegios (cont.)

Los controles comunes son:

• Limitar el acceso privilegiado sólo a aquellos que lo requieren

para realizar sus funciones de trabajo
• Realizar verificaciones de antecedentes en individuos con acceso
elevado
• Implementación de registro adicional de la actividad asociada con
cuentas privilegiadas
• Mantener la responsabilidad nunca compartiendo cuentas
privilegiadas
• Usar contraseñas más seguras u otros controles de autenticación
para proteger las cuentas privilegiadas del acceso no autorizado
• Revisar periódicamente las cuentas para los privilegios y eliminar
los que ya no son necesarios
 Controles de ciberseguridad
Gestión cambios

La gestión del cambio es esencial para la infraestructura de TI. Su

finalidad es garantizar que los cambios en los procesos, los sistemas,
software, aplicaciones, plataformas y configuración se introducen de
manera ordenada y controlada.

Los controles se implementan en forma de un proceso de revisión

estructurado destinado a evaluar y minimizar el potencial
para la interrupción que un cambio propuesto, actividad de
mantenimiento o parche puede introducir.

Los controles efectivos aseguran que todos los cambios son

categorizados, priorizados y autorizados. El proceso generalmente
incluye mecanismos de seguimiento y documentar los cambios para
demostrar la responsabilidad y el cumplimiento de las mejores
prácticas.
 Controles de ciberseguridad

Gestión de parches

Los parches son soluciones a errores de programación de software.

En muchos casos, las vulnerabilidades de seguridad son introducidas
por errores de codificación. Por lo tanto, es vital que los errores de
software que se identifican como vulnerabilidades de seguridad se
solucionen tan pronto como sea posible.

La mayoría de los proveedores de software lanzan actualizaciones y

parches de software a medida que se identifican las vulnerabilidades
y arreglado.
Gracias????

QUEJAS:

Lic. Juan Carlos Escalier Rueda,

CISA, RM ISO 31000, BCM ISO 22301
Cel. 77204008
Mail. jcescalier@hotmail.com