Módulo 1: Gestión y Cumplimiento

1.1.2 - Gestión

La gobernanza de seguridad de TI determina quién está autorizado a tomar decisiones sobre los riesgos de ciberseguridad dentro de una organización. Demuestra responsabilidad y proporciona supervisión para garantizar que cualquier riesgo se mitigue adecuadamente y que las estrategias de seguridad estén alineadas con los objetivos comerciales de la organización y cumplan con las regulaciones.

La gobernanza de la seguridad de TI no debe confundirse con la administración de la seguridad de TI, la cual definir e implementa los controles que una organización necesita para mitigar los riesgos. De manera similar, la gobernanza de datos en particular determina quién está autorizado a tomar decisiones sobre los datos dentro de una organización.

Hay varios roles clave en los buenos programas de gobernanza de datos.

Seleccione los encabezados para obtener más información sobre ellos.

Propietario de datos: Una persona que garantiza el cumplimiento de las políticas y procedimientos, asigna la clasificación adecuada a los recursos de información y determina los criterios para acceder a los recursos de información.

Controlador de datos: Una persona que determina los fines para los cuales, y la manera en la cual, son procesan los datos personales.

Procesador de datos: Una persona u organización que procesa datos personales en nombre del controlador de datos.

Custodio de datos: Una persona que implementa la clasificación y los controles de seguridad de los datos de acuerdo con las reglas establecidas por el propietario de los datos. En otras palabras, los custodios de datos son responsables del control técnico de los datos.

Administrador de datos: Una persona que garantiza que los datos cumplan las necesidades empresariales de una organización y cumplan con los requisitos reglamentarios.

Funcionario de protección de datos: Una persona que supervisa la estrategia de protección de datos de una organización.

1.1.3 Políticas de Ciberseguridad

Una política de ciberseguridad es un documento de alto nivel que describir la visión de una organización para la ciberseguridad, incluidos sus objetivos, necesidades, alcance y responsabilidades. Específicamente, esta:

• Demuestra el compromiso de una organización con la seguridad.

• Establece los estándares de comportamiento y requisitos de seguridad para llevar a cabo actividades, procesos y operaciones, y proteger los activos de tecnología e información dentro de una organización.

• Garantiza que la adquisición, el uso, el mantenimiento de la operación del sistema, software y hardware sean consistentes dentro de la organización.

• Definir las consecuencias legales de las violaciones a las políticas.

• Brinda al equipo de seguridad el soporte que necesitan de la alta gerencia.

Existen diversos tipos de políticas de ciberseguridad. Seleccione los iconos de pines para obtener más información sobre las más comunes.

• Política de seguridad

• Configurando su política de cortafuegos

• Política de uso aceptable de correo electrónico e internet

1.1.4.- Tipos de Políticas de Seguridad

• Política de identificación y autenticación: Especifica quién debe tener acceso a los recursos de red y qué procedimientos de verificación existen para facilitar esto.

• Política de contraseñas: Definir los requisitos mínimos de contraseña, como la cantidad y el tipo de caracteres utilizados y la frecuencia con la que deben cambiarse.

PRÁCTICA

1. Alto porcentaje de empleados que trabajan remotamente hacen clic en correos electrónicos de suplantación de identidad

Control recomendado: Realice una capacitación de conocimiento sobre seguridad

• Por qué: La capacitación es fundamental para enseñar a los empleados cómo identificar correos electrónicos de phishing, enlaces sospechosos y otras amenazas comunes. La concienciación de los empleados es uno de los controles preventivos más efectivos contra el phishing.

2. Los gerentes de proyecto pueden acceder a todos los datos de clientes de @Apollo en una unidad compartida, incluso para proyectos en los que no están trabajando

Control recomendado: Aplique controles de acceso de usuarios

• Por qué: Es importante limitar el acceso a la información según el principio de mínimos privilegios, asegurando que solo los empleados que necesitan ciertos datos puedan acceder a ellos. Se pueden usar roles de usuario y permisos específicos para garantizar que los gerentes de proyecto solo vean lo que realmente necesitan para sus tareas.

3. Los empleados del departamento de Diseño Gráfico en particular están descargando versiones no autorizadas de software en sus dispositivos de trabajo

Control recomendado: Habilitar monitoreo de IDS/IPS

• Por qué: Un IDS/IPS (Sistema de Detección/Prevención de Intrusiones) puede ayudar a identificar el tráfico sospechoso o los intentos de conexión a sitios no autorizados donde los empleados pueden estar descargando software malicioso o no aprobado. El monitoreo proactivo también puede detectar el tráfico de aplicaciones no deseadas.

4. Los empleados que trabajan remotamente están usando VPNs para ver películas en sus dispositivos de trabajo

Control recomendado: Realice el seguimiento y monitoree el comportamiento anormal de los empleados

• Por qué: Es importante monitorear el comportamiento de los usuarios para detectar usos inadecuados de los recursos de la empresa. El tráfico que no esté relacionado con el trabajo, como la transmisión de películas, puede comprometer la seguridad de la red. El monitoreo de actividad puede ayudar a detectar desviaciones del comportamiento esperado.

1.2.3 Los Diez Mandamientos de la Ética Informática

Situado en Washington, DC, el Instituto de Ética Informática es un recurso que identifica, evalúa y responde a problemas éticos en el sector de la tecnología de la información.

Fue una de las primeras organizaciones en reconocer los problemas de políticas públicas y éticas que surgían del rápido crecimiento del campo de la tecnología de la información.

Crearon los diez mandamientos de ética informática presentados aquí.

1.2.4 Explorando la Ética Cibernética

Su ética cibernética se someterá regularmente a prueba. Echemos un vistazo a algunas situaciones de empleados que usted ha presenciado en @Apollo. En cada caso, ¿puede identificar si el empleado tomó la decisión correcta o incorrecta?

Utilice los diez mandamientos de la ética informática como guía y seleccione "Correcto" si cree que el empleado ha tomado una decisión ética o "Incorrecto" si cree que el empleado ha tomado una decisión poco ética.

1.2.5 Delito Cibernético

El delito cibernético se divide en tres categorías:

1. El delito informático es donde una computadora es el blanco de actividades delictivas. Los ejemplos incluyen ataques de malware, el hackeo o ataques de denegación de servicio.

2. El delito asistido por computadora ocurre cuando una computadora se utiliza para cometer un delito, como robo o fraude.

3. Un delito incidental informático es cuando una computadora proporciona información incidental a un delito real. Por ejemplo, una computadora se utiliza para almacenar videos descargados ilegalmente, no la herramienta real utilizada para cometer el delito.

1.2.6 Derecho Cibernético

Las leyes existen para prohibir los comportamientos no deseados. En los Estados Unidos, hay tres fuentes principales de leyes y regulaciones, las cuales involucran aspectos de seguridad informática.

Ley estatutaria

El Congreso de los Estados Unidos ha establecido agencias administrativas federales y un marco de trabajo regulatorio que incluye sanciones civiles y penales para quienes incumplen las reglas.

Los derechos penales aplican un código moral comúnmente aceptado respaldado por la autoridad gubernamental. Por ejemplo, la Ley de Fraude y Abuso Informático es una ley estatutaria que prohíbe el acceso a una computadora sin autorización o en exceso de autorización. La violación de estas reglas puede dar lugar a una multa o una pena de prisión.

Derecho administrativo

Un marco legal que rige las actividades de las agencias administrativas del gobierno, el derecho administrativo garantiza que los organismos públicos actúen de conformidad con la ley.

Por ejemplo, la Comisión Federal de Comunicaciones (FCC) y la Comisión Federal de Comercio (FTC) se ocupan de problemas tales como el fraude y el robo de la propiedad intelectual.

Derecho común

Los casos de derecho común resuelven sus problemas a través del sistema judicial que proporciona precedentes y bases constitucionales para la elaboración de leyes.

• Finanzas: La Ley Gramm-Leach-Bliley (GLBA) es una ley que afecta principalmente la industria financiera.

• Contabilidad corporativa: Ley Sarbanes-Oxley (SOX) en 2002 para revisar los estándares contables financieros y corporativos.

• Tarjeta de crédito: El Estándar de seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de reglas contractuales que buscan proteger los datos de pago del titular de la tarjeta de pago durante una transacción y reducir el fraude.

• Criptografía: Las organizaciones que importan o exportan productos de cifrado comerciales están sujetas a regulaciones supervisadas por la Oficina de Industria y Seguridad del Departamento de Comercio.

1.2.10 Leyes de Notificación de Infracciones a la Seguridad

Las organizaciones grandes y pequeñas reconocen el valor de recopilar y analizar datos y, como resultado, recopilan una cantidad cada vez mayor de información personal sobre sus clientes. Los ciberdelincuentes siempre están buscando formas de obtener acceso a estos datos valiosos y aprovecharlos para su propio beneficio personal. Por lo tanto, todas las organizaciones que recopilan datos confidenciales deben ser buenos guardianes de estos datos.

- Ley de privacidad de las comunicaciones electrónicas: El objetivo de la ley ECPA es garantizar la privacidad en el lugar de trabajo y proteger una variedad de comunicaciones electrónicas, como correo electrónico y conversaciones telefónicas, contra la intercepción, el acceso, el uso y la divulgación no autorizado

-— Fraude y abuso informático: Promulgada en 1986 como enmienda a la Ley de Control Integral del Deilto de 1984, CFAA prohíbe el acceso no autorizado a los sistemas informáticos. A sabiendas, el acceso a una computadora del gobierno sin permiso o el acceso a cualquier computadora utilizada en el comercio interestatal o internacional es un delito penal. Así como el tráfico de contraseñas o información de acceso similar y la transmisión intencionada de un programa, un código o un comando que de como resultado un daño.

1.2.12 Leyes Internacionales

Con el crecimiento de Internet, el delito cibernético se ha convertido en una preocupación de seguridad, con consecuencias tanto nacionales como internacionales. Las leyes nacionales sobre ciberseguridad existen en muchos países, pero varían considerablemente, lo que dificulta la investigación y el procesamiento del delito cibernético que opera a través de las fronteras de los países.

Los esfuerzos internacionales para atacar el delito cibernético están creciendo. Con la ratificación de 65 estados, la Convención sobre el Delito Cibernético es el primer tratado internacional que busca abordar los delitos digitales y de Internet, en particular los relacionados con la infracción de derechos de autor, el fraude informático, la pornografía infantil y las violaciones de la seguridad de la red.

Mientras tanto, el Centro de Información de Privacidad Electrónica (EPIC) es un centro de investigación sin fines de lucro en Washington, cuyo objetivo es promover la privacidad y políticas y leyes de gobierno abierto. Con fuertes lazos con organizaciones de todo el mundo, EPIC tiene un enfoque global en la privacidad digital.

1.2.13 Leyes de Ciberseguridad Explicadas

¡Es correcto!

Ha preparado una presentación exhaustiva y ha informado al equipo de Recursos Humanos de @Apollo sobre sus obligaciones y responsabilidades en materia de privacidad y protección de datos.

• Conforme a la Ley de Privacidad y Registros de Educación Familiar, los registros de educación de los estudiantes menores de 18 años no pueden compartirse con una organización de terceros sin el consentimiento de los padres.

• La Ley de Protección de la Privacidad Infantil en Línea se aplica a los sitios web o servicios en línea operados con fines comerciales y establece que se debe obtener el consentimiento de los padres antes de recopilar y usar información personal de niños menores de 13 años.

• Aunque no es un requisito legal, las políticas de privacidad son una buena manera para que las organizaciones demuestren su cumplimiento de la ley.

• La evaluación del impacto en la privacidad es un proceso que ayuda a garantizar que la información de identificación personal se maneje correctamente en toda una organización.

1.3.2 Objetivos de Control y Controles

Estos doce dominios están formados por objetivos de control (ISO 27001) y controles (ISO 27002).

ISO 27001 - Objetivos de control

Los objetivos de control definen los requisitos de alto nivel para implementar un sistema integral de administración de seguridad de la información dentro de una organización, y generalmente proporcionan una lista de verificación para usar durante una auditoría de SGSI.

Pasar esta auditoría indica que una organización cumple con la norma ISO 27001 y le brinda a los socios confianza en la seguridad de los datos y en las operaciones de la organización.

ISO 27002 - Controles

Los controles establecen cómo lograr los objetivos de control de una organización. Establecen pautas para implementar, mantener y mejorar la administración de la seguridad de la información en una organización.

1.3.4 Mapa para el Control del ISO 27002

@Apollo se está preparando para una próxima auditoría del SGSI, pero aún queda trabajo por hacer. Necesitan desarrollar controles para algunos de sus objetivos de control. ¿Puede ayudarlos a especificar El control adecuado para cada objetivo de control?

1.3.5 ISO 27000 y la tríada de CIA

La norma ISO 27000 es un marco de trabajo universal aplicable a todo tipo de organización. Para utilizarlo eficientemente, una organización debe identificas cuales dominios, objetivos de control y controles debe aplicar a su entorno y sus operaciones.

La mayoría de las organizaciones hace esto mediante la elaboración de una declaración de aplicabilidad (SOA) que le permite adaptar los objetivos de control y los controles disponibles para satisfacer mejor sus prioridades en cuanto a confidencialidad, integridad y disponibilidad.

1.3.7 ISO 27000 y los Estados de los Datos

Los controles ISO abordan específicamente los objetivos de seguridad de los datos en cada uno de sus tres estados: en proceso, en reposo (en almacenamiento) y en tránsito.

1.3.8 ISO 27000 y Salvaguardas

Los controles ISO también proporcionan orientación técnica para los objetivos de control que se relacionan con las políticas, los procedimientos y las pautas de ciberseguridad establecidos por la alta gerencia dentro de una organización.

Por ejemplo, imaginemos que un equipo de alta gerencia establece una política para proteger todos los datos que ingresan o salen de una organización. La responsabilidad de implementar y configurar las redes, los sistemas y los equipos para poder cumplir con las directivas de políticas recaerá en los profesionales de TI correspondientes dentro de la organización, no en el equipo de alta gerencia.

.3.9 El Marco de la Fuerza Laboral Nacional de Ciberseguridad

El Instituto Nacional de Estándares y Tecnologías (NIST) creó el Marco de la Fuerza Laboral Nacional de Ciberseguridad para apoyar a las organizaciones que buscan profesionales en ciberseguridad. El marco de trabajo organiza el trabajo de ciberseguridad en siete categorías, delineando los principales roles de trabajo, responsabilidades y habilidades necesarias para cada uno.

• Operar y mantener

• Proteger y defender

• Investigar

• Recopilar y operar

• Analizar

• Supervisor y administrar

• Aprovisionamiento seguro

1.3.10 Los Controles Críticos de Seguridad CIS

Controles básico

Las organizaciones con recursos limitados y experiencia en ciberseguridad disponible deben implementar:

• Inventario y control de activos de hardware

• Inventario y control de activos de software

• Administración continua de vulnerabilidades

• Uso controlado de privilegios administrativos

• Configuraciones seguras para hardware y software

• Mantenimiento, monitoreo y análisis de registros de auditoría

Controles fundamentales

Las organizaciones con recursos moderados y experiencia en ciberseguridad disponible deben implementar los controles básicos, además de:

• Protección para correo electrónico y navegadores web

• Defensa contra malware

• Limitación y control de puertos de red, protocolos y servicios

• Capacidades de recuperación de datos

• Configuraciones seguras para dispositivos de red

• Defensa del límite

• Protección de datos

• Acceso controlado basado en el principio de 'necesidad de saber'

• Control de acceso inalámbrico

• Monitoreo y control de cuentas

Controles organizacionales

Las organizaciones con recursos significativos y experiencia en ciberseguridad disponible deben implementar los controles básicos y fundamentales, además de:

• Un programa de concientización y capacitación en seguridad.

• Seguridad del software de aplicación

• Administración y respuesta ante incidentes

• Pruebas de penetración y ejercicios de equipo rojo (ejercicios de ataque simulados para medir las capacidades de seguridad de una organización)

Parametros de referencias del CIS.

1.3.12 La Matriz de Controles de la Nube

La Alianza de Seguridad en la Nube (CSA) proporciona orientación de seguridad a cualquier organización que utilice computación en la nube o desee evaluar el riesgo de seguridad general de un proveedor de la nube.

Su matriz de controles en la nube (CCM) es un marco de control de ciberseguridad que asigna controles de seguridad específicos de la nube a los estándares principales, mejores prácticas y regulaciones. Está compuesto por 197 objetivos de control que se estructuran en 17 dominios que cubren todos los aspectos de la tecnología de la nube, incluidos la gobernanza y la administración de riesgos, los recursos humanos y la seguridad móvil.

El CCM se considera un estándar de facto para el aseguramiento y el cumplimiento de la seguridad en la nube.

Resumen

Gobernanza

La gobernanza de seguridad de TI determina quién está autorizado a tomar decisiones sobre los riesgos de ciberseguridad dentro de una organización. Demuestra responsabilidad y proporciona supervisión para garantizar que cualquier riesgo se mitigue adecuadamente y que las estrategias de seguridad estén alineadas con los objetivos comerciales de la organización y cumplan con las regulaciones. Los buenos programas de gobernanza de datos tienen un propietario de datos, un controlador, un procesador, un custodio, un administrador y un funcionario de protección. Una política de ciberseguridad es un documento de alto nivel que describir la visión de una organización para la ciberseguridad, incluidos sus objetivos, necesidades, alcance y responsabilidades. Las políticas de alto nivel de ciberseguridad incluyen: una política principal, una política específica del sistema y una política específica del problema. Las políticas de seguridad específicas incluyen: ID y autenticación, contraseña, uso aceptable, mantenimiento de la red, manejo de incidentes, datos, credenciales y organización. Los principios rectores de los recursos humanos para la gobernanza de la ciberseguridad incluyen: verificaciones de antecedentes, inducción/desvinculación, escritorio limpio, necesidad de saber, separación de funciones, vacaciones obligatorias y rotación laboral.

La Ética de la Ciberseguridad

Como especialista en ciberseguridad, debe comprender tanto la ley como los intereses de una organización. La teoría de la ética utilitarista se basa en el principio de que la consecuencia de una acción es el factor más importante para determinar si la acción es moral o no. El enfoque de derechos se guía por el principio que establece que un individuo tiene derecho a tomar sus propias decisiones, que no pueden ser violadas por la decisión de otra persona. El enfoque del bien común propone que las acciones éticas son las que benefician a toda la comunidad. Hay diez mandamientos de la ética informática. Generalmente cubren las cosas que no debe hacer con una computadora: no uses una computadora para dañar a otros, interfieras con el trabajo de otras personas, no espíes los archivos de otras personas, no uses una computadora para robar (incluidos software y producción intelectual) o mentir, no utilices los recursos informáticos de otras personas sin permiso y sin compensación, piensa en las consecuencias del programa que estás creando y siempre usa una computadora de maneras que demuestren respeto por los demás. Hay tres categorías de delitos cibernéticos: delito informático, asistidos por computadora e incidental informático. En los Estados Unidos, hay tres fuentes primarias de leyes y regulaciones: derecho estatutario, derecho administrativo y derecho común. FISMA fue creado por el Congreso de los Estados Unidos para cubrir los sistemas de TI de las agencias federales. Algunas industrias también tienen leyes específicas sobre el delito cibernético: finanzas, contabilidad corporativa, tarjetas de crédito y criptografía. Dos leyes de notificaciones de violaciones de seguridad son ECPA y CFAA. Algunas leyes de privacidad de los Estados Unidos incluyen la Ley de Privacidad de 1974, FOIA, FERPA, COPPA, CIPA, VPPA, HIPAA y PIA. Los esfuerzos internacionales para atacar el delito cibernético están creciendo. Ratificada por 65 estados, la Convención sobre el Delito Cibernético es el primer tratado internacional que aborda los delitos digitales y de Internet, en particular los relacionados con la infracción de derechos de autor, el fraude informático, la pornografía infantil y las violaciones a la seguridad de las redes.

Marco de Trabajo para la Administración de la Seguridad de TI

Los 12 Dominios de la Ciberseguridad son: evaluación de riesgos, política de seguridad, organización de la seguridad de la información, administración de activos, seguridad de recursos humanos, seguridad física y ambiental, administración de comunicaciones y operaciones, adquisición y desarrollo y mantenimiento de sistemas de información, control de acceso, administración de incidentes de seguridad de la información, administración de la continuidad del negocio, y cumplimiento. Los objetivos de control definen los requisitos de alto nivel para implementar un sistema integral de administración de seguridad de la información dentro de una organización. Los controles muestran cómo lograr los objetivos de control de una organización. Establecen pautas para implementar, mantener y mejorar la administración de la seguridad de la información en una organización. La norma ISO 27000 es un marco de trabajo universal aplicable a todo tipo de organización. Una organización debe identificar cuales dominios, objetivos de control y controles debe aplicar a su ambiente y sus operaciones. La mayoría de las organizaciones elaboran un SOA que ajuste los objetivos de control y controles disponibles para cumplir mejor sus prioridades en cuanto a confidencialidad, integridad y disponibilidad. Los controles ISO abordan específicamente los objetivos de seguridad de los datos en proceso, en reposo (en almacenamiento) y en tránsito. NIST creó el Marco de la Fuerza Laboral Nacional de Ciberseguridad para apoyar a las organizaciones que buscan profesionales en ciberseguridad. CIS desarrolló un conjunto de controles de seguridad críticos (básicos, fundacionales y organizacionales) para ayudar a las organizaciones con diferentes niveles de recursos y experiencia a su disposición para mejorar sus ciberdefensas. El CSA proporciona orientación de seguridad a cualquier organización que utilice la computación en la nube o desee evaluar el riesgo general de seguridad de un proveedor de la nube. Su Matriz de Controles en la Nube (CCM) asigna controles de seguridad específicos de la nube a los estándares principales, mejores prácticas y regulaciones. El CSA CCM se considera un estándar de facto para el aseguramiento y el cumplimiento de la seguridad en la nube. Los proveedores de servicios deben garantizar a sus organizaciones clientes que los controles de seguridad que implementan están diseñados correctamente y funcionan con eficacia. Una constancia (SSAE o SOC) confirmará que los controles están implementados en un momento específico (Tipo I) o administrados durante un período de al menos seis meses (Tipo II). El CMMC establece cinco niveles de certificación que abarcan desde “prácticas básicas de higiene cibernética” hasta “prácticas mejoradas que proporcionan capacidades más sofisticadas para detectar y responder a los APT”.