Aucal Business School
El camino profesional de la Ciberseguridad
Edición y Colaboración: Rossana Benda Año 2017
Page !1 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Temario 1. Ciberseguridad, un concepto en crecimiento 2. ¿Qué es un hacker? 3. ¿Cuál ha sido la evolución del Ciberespacio? 4. ¿Cuál es la diferencia entre Ciberseguridad y Seguridad de la Información? 5. ¿Cómo se estructura un departamento de Ciberseguridad? 6. ¿Cuáles son los objetivos de un departamento de Ciberseguridad? 7. ¿Cuáles son los riesgos al que se enfrentan los departamentos de Ciberseguridad? 8. ¿Cuándo saber que es totalmente necesario crear un departamento de Ciberseguridad independiente en una empresa?. 9. ¿Qué tipo de profesional se necesita en el área de Ciberseguridad? 10. ¿Tengo vocación por esta área? Pequeño cuestionario de orientación de la profesión
Page !2 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Prologo Según la definición del Departamento de Seguridad Nacional de España, el desarrollo de las Tecnologías de Información y Comunicación (TIC) ha generado un nuevo espacio de relación en el que la rapidez y facilidad de los intercambios de información y comunicaciones han eliminado las barreras de distancia y tiempo. El ciberespacio, nombre por el que se designa al dominio global y dinámico compuesto por las infraestructuras de tecnología de la información –incluida Internet–, las redes y los sistemas de información y de telecomunicaciones, han venido a difuminar fronteras, haciendo partícipes a sus usuarios de una globalización sin precedentes que propicia nuevas oportunidades, a la vez que comporta nuevos retos, riesgos y amenazas. Este libro ha sido confeccionado con el objetivo de transmitir al lector la importancia que representa la Ciberseguridad en las empresas y detallar algunos conceptos fundamentales para quienes estén interesados en formarse en esta área. El contenido ha sido comprimido en secciones para un mejor entendimiento del lector, sin desarrollar cada punto en profundidad como se presenta en las formaciones relacionadas con el área. Espero les sea útil la información recopilada y pueda serviros de motivación para fortalecer el interés por convertirse en un profesional de la ciberseguridad, que en cualquier parte del mundo, se está transformando en una necesidad fundamental dentro de una organización.
Manuel Gonzalez Folgado
Page !3 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Page 4 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page 5 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Ciberseguridad, un concepto en crecimiento La mayor parte de la población ha escuchado el término Ciberseguridad, pero muy pocos saben lo que realmente significa. Según wikipedia, el término se asocia a la seguridad informática, o seguridad de tecnologías de la información, y se define como el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Más adelante veremos que para efectos de creación de los planes de seguridad de una empresa, existe una diferencia fundamental entre ciberseguridad y seguridad de la información. Según líderes del área y académicos, el concepto de ciberseguridad se asocia con el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Para entender más el significado práctico de ciberseguridad se puede definir como todos los conceptos que rigen la seguridad a través de Internet como los datos personales, información bancaria, claves, compras online, etc. Todos sabemos que la cantidad de información que circula por Internet es infinita y que los mayores riesgos se presentan para las personas, pero también para las empresas, las instituciones e incluso para los países. El ciberespacio es cada día más grande, y por ello la ciberseguridad debe garantizar la seguridad de todas nuestras acciones en la red.
Page 6 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Existen varias definiciones disponibles de ciberseguridad, se podría decir que no existe una definición concreta del término ni siquiera una interpretación común sobre su significado o una regla ortográfica de uso genérico. Para los profesionales que desean estudio más profundamente esta área, se les enseñan las diferencias, las definiciones según las principales organizaciones mundiales de seguridad, diferentes interpretaciones y enfoques de varios Estados y organizaciones, así como de organismos de estandarización y de algunos diccionarios. Reiteramos, existe mucha información sobre ciberseguridad en el mercado, y vemos muchos anuncios promocionados como la solución a todos los problemas de ciberseguridad, pero estas soluciones que muchas veces se presentan aisladas no van a proteger completamente ninguna empresa. Después de estas definiciones básicas y fundamentales de lo que puede representar la ciberseguridad para las empresas, debemos señalar algunos conceptos conocidos por la ciudadanía pero que muchas veces se cometen errores en su alcance. Sin entregar un orden según la importancia de cada concepto, veremos en términos generales los participantes más activos que rodean las acciones de ciberseguridad.
Page !7 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Page 8 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
¿Qué es un hacker? Si pensamos en el término hacker, erróneamente lo asociamos a un delincuente que busca violar la seguridad informática de cualquier empresa, o alguien con una máscara tipo “anonymus” que siempre está planeando buscar información prohibida para sacarla a la luz. Pero el término hacker va más allá de ser un programador muy avanzado, alguien que busca explicaciones profundas del funcionamiento de las cosas; no sólo le interesa cómo funcionan, sino por qué. Aquella persona que implementa soluciones para cualquier sistema, sea informático o no, de manera que éste pueda emplearse de formas no pensadas por quienes crearon dichos sistemas. Pero quizá la definición más acertada sea, por mucho, la de un experto en ciberseguridad. De forma errónea se ha catalogado a los hackers como una sola comunidad, sin embargo existe una clasificación dentro de ellos que separa las intenciones de cada uno. Veamos en seguida dichas clasificaciones que nos servirán para entender sus propósitos. 1. White Hat Hackers: estos son los chicos buenos encargados de la seguridad de los sistemas informáticos. Los White Hat Hackers también ejercen el control a la hora de vulnerar sistemas, sin embargo ellos lo hacen para estudiar y fortalecer los fallos encontrados. Se dice que algunos White Hat Hackers pertenecieron al bando de los Black Hat Hackers y hoy utilizan todo sus conocimientos para mejorar los sistemas en materia de seguridad. 2. Gray Hat Hackers: usan sus habilidades para traspasar los niveles de seguridad y luego ofrecen sus servicios como administradores de seguridad informática para corregir dichos errores. De esta forma atacando diferentes servicios demuestran sus conocimientos para luego ofrecer defenderlos.
Page 9 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
3. Black Hat Hackers: Conocidos como sombreros negros, son aquellos que realizan actividades para vulnerar la seguridad de sistemas, violentar y extraer información restringida con un fin monetario. Entre otras actividades, también son creadores de virus, spywares y malwares. 4. Crackers: Este tipo de hackers forman parte de la lista Black Hat pero su fin además de incrustar virus, malware y robar datos o contraseñas es violentar software original (de cualquier tipo) y extender sus funcionalidades. Dentro de su trabajo entran los famosos KeyGen y la piratería de software (distribuir software pago como gratuitos). 5. Phreaker: Es el Hacker encargado de las telecomunicaciones, móviles, voz sobre IP, etc. Su trabajo se centra en irrumpir dentro de este amplio mundo de las comunicaciones. 6. Newbie o Novato: Son aquellos usuarios que quieren llegar a ser hackers pero en realidad solo tienen conocimientos generales sobre los ordenadores y para lograr su objetivo se valen de tutoriales, sitios sobre hacking, software diseñado, etc.
Tipos de ataque más comunes
Page 10 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page !11 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
¿Cuál ha sido la evolución del Ciberespacio? Si, el Internet ha evolucionado a pasos agigantados sin darnos cuenta que pocos años atrás estábamos recién descubriendo lo que significaba “navegar” y las posibilidades de conexión con el mundo, pero hoy sabemos que con el internet todo es posible y se ha producido abundantes reflexiones sobre muchos aspectos relacionados con este mundo, mencionando solo algunos: • La capacidad cuantitativa que nos permite obtener información muy detallada. • Uso de las aplicaciones comerciales para nuestros negocios. • Los beneficios tecnológicos. • Posibilidad de hacer estudios de caso. • Las consecuencias en la productividad • Las alianzas empresariales. Pero falta construir un análisis sobre lo que este Ciberespacio ha ocasionado en el espacio público y la estructura del Estado. Lo que trato de decir con este punto es que, la existencia del internet ha producido cambios en la sociedad y cómo el Estado está administrando sus políticas, transformándose en parte íntegra de nuestra comunidad. La incorporación de nuevas tecnologías de información a nuestras vidas cotidianas (computadoras, banco de datos, videotextos, lenguajes digitales, satélites, telecomunicaciones, fibras ópticas, Internet, antenas parabólicas, cibermemoria, convergencia tecnológica, telemática, telefonía inalámbrica, etc.), no es una simple modernización más de los productos electrónicos que circulan en el mercado. Este fenómeno contiene los gérmenes de la radical transformación global del último tercio del siglo XX, que repercute profundamente en la estructura de las raíces económicas, políticas, Page 12 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
sociales y culturales de las sociedades que se han conformado como naciones a lo largo de muchas décadas. Aunque su existencia en el mundo contemporáneo ha dado pie a un fenómeno histórico nuevo denominado de varias maneras como son sociedad de la información, fase electrónica o aldea global, era electrónica, desarrollo postindustrial, sociedad del ocio, mundo postimperialista, comunidad de servicios, etapa espacial, etc.; lo que en realidad está emergiendo es un cambio tecnológico mayúsculo que señala una nueva etapa de la historia de desarrollo de los hombres. Con el surgimiento de estas tecnologías de información, la Tercera Revolución Industrial impacta en la historia de las sociedades modernas. Si la Primera Revolución Industrial introdujo en la segunda mitad del siglo XVIII al carbón que dio origen a la máquina de vapor como fuerza motriz del proceso productivo de la nación, y la Segunda Revolución Industrial incorporó en el último cuarto del siglo XIX al petróleo y la electricidad para introducir al motor eléctrico y de explosión al sistema económico; la Tercera Revolución Industrial añade entre las décadas de 1970 y 1990 la electrónica, la inteligencia artificial y la convergencia tecnológica para incorporar las máquinas electrónicas y todos sus derivados en los ámbitos nacionales. Así, surge una nueva fase de crecimiento caracterizada, por una lado, por el agotamiento del viejo modelo clásico de industrialización que maduró luego de la Segunda Guerra Mundial, y por el otro, por la emergencia de un nuevo "modelo biológico de economía" impulsado por la informática, la robótica, la biogenética la microelectrónica, la fisión nuclear, las telecomunicaciones y la conquista espacial. Enfrentamos, pues, el paso de una economía de energía a una de información que a su vez ha transformado radicalmente a la humanidad: La Sociedad de la Información.
Page !13 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Este cambio tecnológico e industrial se caracteriza por ser un modelo de producción que, en lugar de exigir el consumo de grandes volúmenes de energéticos, finca su éxito en la generación, difusión y consumo de grandes inputs de información. Su característica central es que su estructura descansa en el procesamiento de la información y no en la producción industrial. Es decir, "en la era industrial, el hombre podía usar su poder de procesamiento de información para diseñar máquinas que aumentaran enormemente su capacidad física. Esto es, el hombre suministraba la información necesaria para construir y controlar a las tecnologías que acrecentaran en gran parte su capacidad productiva y sustituyeron a la vez a la energía física humana". "En la era de la información, a la que estamos entrando, las nuevas máquinas son las que procesan la incrementar información es muy revoluciona
información, no ya para aumentar la energía física humana, sino para el procesamiento de la humana. Esta diferencia significativa porque todos los antecedentes
productivos, pues la energía utilizada se canaliza para manipular símbolos en lugar de objetos físicos y el consumo de energía y materiales puede reducirse arbitrariamente utilizando representaciones físicas de símbolos cada vez más pequeños en las máquinas de información". Esto significa, que "en la era de la información, es teóricamente posible tener un crecimiento económico ilimitado, aun cuando lleguemos a un estado constante de crecimiento-cero, en lo que se refiere a la energía y a las materias primas”. En este sentido, es importante destacar que el input que alimenta la fuerte dinámica de desarrollo de éste nuevo modelo de economía no se sustenta en las fuentes de energía tradicionales (electricidad, petróleo, vapor, carbón, minerales, etc.), sino en la información. Esto explica que "el tipo de empresas que surgen en el sector terciario (pero también en el cuaternario y quinario) experimentan una mutación, pues se convierten en sede de actividades industriales basadas, prioritariamente, en el conocimiento científico y en el Page 14 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
manejo de datos. En ellas, lo fundamentalmente decisivo es el carácter central del conocimiento teórico, pues éste último es el principio o la institución axial de la sociedad postindustrial. Es decir, el cuerpo económico produce una multitud de empresas, grandes y pequeñas, en las que el insumo por excelencia es de carácter científico”. Esta nueva economía revoluciona aceleradamente el desarrollo de las fuerzas productivas hacia la fase de la cibernetización. Ello, provoca el desplazamiento del antiguo modelo industrial (que emplea al músculo humano y al motor mecánico, como fuerza motriz del sistema productivo) por un sistema de fabricación nuevo, donde la mano de obra se traslada al sector de los servicios y la automatización y la cibernética reemplazan al personal que maneja las máquinas. Emerge, así, la reestructuración inaplazable de los modelos económicos occidentales, donde el impulso dinamizador de la economía no proviene ya de los fatigados sectores primarios (agricultura y sectores extractivos) y secundarios (industria de transformación) de la economía, sino del versátil sector terciario (los servicios). Dicho sector, se "convierte en la base material de la revolución tecnológica que tiene como sustrato fundamental la tendencia a la simplificación de procesos complejos de automatización industrial y de manejo de información. Todo esto, con el fin de reducir los costos de operación de las empresas, a través del incremento de la productividad del trabajo comandado por el capital”. Es por ello, que las actividades de la "Industria de la Información" constituyen cada vez más una parte sustancial y creciente en la elaboración del Producto Interno Bruto (PIB) de las naciones altamente desarrolladas. Por esta razón, se observa que la industria de la electrónica es el puntal en torno al cual se reestructurar la capacidad de inversión y de producción de la economía internacional, e incluso siguiendo la tendencia de pensamiento prospectivo del monopolio transnacional International Telephone and Telegraph (ITT), podemos decir que "en el siglo XXI, la creación del producto nacional bruto de un país dependerá en gran medida de su capacidad de producir y comunicar informaciones. De hecho, observamos que "los adelantos más recientes en la microelectrónica han conducido a una convergencia tecnológica creciente entre la información, la comunicación y el control. Esto, a su vez, ha abierto nuevas posibilidades para que las empresas transnacionales instalen redes cautivas de información en todo el mundo, con las cuales se unen las instalaciones fabriles de diferentes lugares como si fuesen meras divisiones de una misma fábrica".
Page 15 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
"Debido a estos adelantos tecnológicos, ha sido posible sincronizar en escala mundial la producción descentralizada, con un control estrictamente centralizado de las decisiones estratégicas, como son la administración global del efectivo, la coordinación logística, el control oportuno de la información y de los servicios complementarios de apoyo, particularmente, en el manejo de existencia y de la comercialización de bienes. Al mismo tiempo, esas redes de información abren nuevas posibilidades para que la dirección central presione a las filiales y a los países receptores, si es necesario, los fuerce a una despiadada competencia mutua. Por ejemplo, se pueden transmitir por radio o por satélite, a miles de kilómetros y en pocos segundos resultados de las operaciones, informaciones de retroalimentación y cifras de control de cualquier empresa afiliada, para que aparezcan en gráficas y cuadros en las oficinas centrales o en las filiales competidoras”. Por este motivo, la creación, manejo, transmisión y difusión de información, en sus múltiples formas, se ha constituido en uno de los sectores más dinámicos de la economía transnacional; y el incremento del porcentaje de la población económicamente activa dedicada a dicha industria, se ha convertido en la nueva tendencia que marca las pautas del empleo en el primer mundo. Esto explica, por una parte, la brusca caída de los precios del petróleo, los metales y casi todos los energéticos y, por otra, la demanda marcadamente ascendente de tecnología y bienes informáticos. Dicha realidad, hoy nos obliga a reflexionar seriamente sobre esta reciente alteración histórica, pues si la primera y la segunda transformaciones tecnológicas ocasionaron sustanciales trastornos estructurales en el modelo de desarrollo seguido por el país en tales periodos y que 140 años después no han sido superados; ahora, de igual forma, se puede pensar que el nuevo cambio industrial repercute bruscamente sobre los sectores humanos que componen nuestra sociedad. Esto es, generada primero en los centros capitalistas de los Estados Unidos de América (EUA), Japón, Alemania Federal y la Gran Bretaña, y posteriormente exportada a la periferia dependiente, el nuevo cambio industrial produce alteraciones económicas, políticas e ideológicas profundas que exigen un dramático reordenamiento del mundo.
Page 16 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page !17 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
¿Cuál es la diferencia entre Ciberseguridad y Seguridad de la Información? La comparación entre seguridad de la información y ciberseguridad no está aparentemente tan clara como el anterior concepto, pero si hacemos uso de las definiciones anteriormente expuestas podremos encontrar similitudes y diferencias. Tomemos una vez más las publicadas por el NIST46 donde se define la ciberseguridad como la capacidad para proteger y defender el uso del ciberespacio de los ciber ataques, mientras que como indicábamos en el apartado anterior la seguridad de la información se ocupa de la protección de la información y de sus sistemas frente al acceso, uso, divulgación, alteración, modificación o destrucción. Es decir que la ciberseguridad se centra principalmente en la protección y defensa de la información y de los sistemas que la almacenan y gestionan exclusivamente de ataques en el dominio cibernético, pero la seguridad de la información por definición incluye cualquier tipo o formato de información y de almacenamiento y gestión de ella por lo cual la protección se puede aplicar a diferentes entornos, incluyendo los que están fuera del ciberespacio lo cual es importante dada la gran cantidad de información que esta fuera de este dominio. De esto se deduce que en el dominio estricto de la información la ciberseguridad es un subconjunto de la seguridad de la información ya que cualquier riesgo en el espacio cibernético estaría inmerso en el de la seguridad de la información y de sus sistemas.
Page 18 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Sin embargo esta afirmación no se puede aplicar universalmente pues si bien en este ámbito de la información un término engloba al otro existen otros donde esto no se cumple. Como se expuso anteriormente la ciberseguridad debe proteger todos los activos, pero no solamente la información, extendiendo su campo de acción a múltiples formas de comunicación y dispositivos-equipos. Asimismo la seguridad cibernética no es únicamente de naturaleza técnica; muchas de las medidas de protección y defensa incluidas en ella no demandan respuestas técnicas sino también personales, de procedimientos, formación, políticas y estrategias corporativas o de la organización. En definitiva, como la información no es el único activo a proteger y existen riesgos que atañen no solamente a ella, la ciberseguridad debe ser más universal y tener un objetivo más amplio que la protección de información abarcando a otros elementos como pueden ser la seguridad de red, recuperación de incidentes y continuidad del negocio, la protección de las infraestructuras críticas o la ciberseguridad nacional.
Page 19 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page 20 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
¿Cómo se estructura un departamento de Ciberseguridad? Como Profesional del área y Director General de empresas, puedo señalar que no existe un método o fórmula fija para poder crear un área de Ciberseguridad en la Empresa, todo dependerá de los objetivos y necesidades que cada empresa tenga en ese momento, toda empresa es un mundo distinto y por ello la teoría no siempre es fiel reflejo de lo que se puede hacer en la realidad. En términos generales, y para orientar a los profesionales del área, entregaré una especie de guía resumida, pensando en una empresa de mediano tamaño que no cuenta con este departamento y que ha tenido ciertos problemas de vulnerabilidad en la seguridad que tiene almacenada en la nube. Pasos necesarios para establecer la Ciberseguridad en una empresa
1. Investigar sobre las leyes y requisitos sobre las medidas de protección de la seguridad de la información En cada país, las leyes que controlan y supervisan estas medidas de protección, pueden ser distintas y dependen de Organismos oficiales distintos, no existe una ley universal para ello. Page 21 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Una de las leyes más importantes y que toda empresa debiese cumplir como mínimo e implementar en una organización, es la ley de protección de datos personales, porque aunque no se manejen datos personales de los clientes en algunas empresas, si se manejan de los trabajadores de la misma empresa, y esos datos son exactamente tratados de igual manera por esta ley. Ser rigurosos en el cumplimiento de las diferentes leyes con respecto a este tema, ayudará a prevenir pagos de grandes sumas de dinero por concepto de multas. 2. Definir los beneficios y obtener el apoyo de la alta dirección Si se muestran los reales beneficios que podría tener una empresa implementando un departamento de Ciberseguridad, se puede obtener el soporte de la Directiva o de alguno de ellos para implementar este proyecto. Es muy difícil que un proyecto de Ciberseguridad tenga éxito sin el dinero ni profesionales necesarios para realizar la implementación. Las personas que tienen el poder para ofrecer estos recursos serán siempre el equipo de la alta dirección de la organización, si estos no apoyan el proyecto se puede demorar e incluso frenar por completo. ¿Qué tipos de beneficios se pueden obtener con un área de Ciberseguridad? Primero, hay que mostrar que habrá tranquilidad en torno a las leyes, ya que se cumplirán con todos los requisitos detectados y necesarios para implementar un área completa en seguridad de la información. Si se logra conseguir una certificación ISO se beneficiará a la empresa de forma inmediata en comparación con otras empresas de la industria, convirtiéndose en una ventaja de comercialización importante a la hora de conseguir más clientes. De todas maneras la inversión que se aplicará en crear este departamento será menor que todas las ganancias que se pueden obtener con estos 2 beneficios identificados. Uno de los mayores beneficios para las Empresas y los Directivos en tener este departamento es el gran ahorro que representa la prevención de ciberataques, ya que como todos sabemos, los costos potenciales de los incidentes son mucho mayores a la inversión de mantener el área de ciberseguridad.
Page 22 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Es muy difícil predecir la probabilidad y el costo total del daño, pero en general se utilizan datos estadísticos para determinar precios, que pueden ser de mucha ayuda a la hora de calcular el tipo de riesgo desde el punto de vista en el que se debe demostrar cómo se ha realizado la inversión.
Dado que la ciberseguridad obliga a la empresa a mantener procesos ordenados, claros y eficientes, otro beneficio a destacar que como consecuencia de ellos, la Empresa en su totalidad resulta con una mejor organización.
3. Establecer los objetivos para la ciberseguridad Siempre la definición de objetivos es la parte clave de cualquier estrategia. En Ciberseguridad se pueden establecer objetivos claros en cuanto a lo que se quiere lograr como Empresa, y especificar en base a estadísticas la cantidad y calidad de la información a proteger.
Page !23 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Desde el punto de vista como justificación de la inversión que se hará para implementar el departamento de ciberseguridad, los objetivos ayudan a que todos los miembros de la organización entiendan la importancia de tener esta área funcionando activamente. 4. Escoger el marco referencial para la implementación de la ciberseguridad Para poder implementar la ciberseguridad en una empresa, hay que escoger un marco referencial que es una guía para poder establecer de la manera correcta todos los procesos y roles involucrados. Hay muchos marcos referenciales (ISO 27001, NFPA 1600, entre otros muchos más), pero para escoger el más adecuado a la organización, se deben tener cuenta los siguientes puntos: • Requisitos legales • Requisitos contractuales • Beneficios deseados • Objetivos a lograr El marco referencial que se alinee con estos puntos, es el cuál se debiera elegir para la implementación del proyecto. 5. Organizar la implementación Dado que la estructura del proyecto es muy compleja, se necesita que se lleve a cabo un procedimiento profesional y a cargo de un especialista en proyectos, que podría ser un Director de Proyectos o Project Management, donde establezca responsabilidades a los integrantes del equipo de trabajo y se establezcan metas y plazos para cada etapa del proyecto. Lo que se debe decidir en esta instancia es si la ciberseguridad se implementará como una unidad parte de la empresa con sus empleados, con algún asesor externo que se contrate para la ocasión, o definitivamente como servicio externo con consultores o agencia especialista (exteriorizar el servicio de manera permanente). La decisión entre las 3 alternativas dependerá de los recursos con los que cuenta la empresa, profesionales involucrados, y tiempo suficiente para la implementación. Page !24 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Para calcular los recursos necesarios, que es el factor más influyente en la decisión, se deben estimar el tiempo y costo que les llevaría a los empleados de la organización realizar este proyecto como parte de la empresa, costo en tecnología, costo de asistencia externa, y costos de certificación. 6. Evaluación y mitigación de riesgos Para poder mitigar riesgos dentro de la empresa, es necesario crear procedimientos o medidas de protección que no estén relacionadas solo a TI, deben involucrar otras áreas de la organización para que sean efectivas las protección a la información general de la empresa. Esto se transforma en el eje central de la ciberseguridad, poder detectar lo más cercano a la realidad los posibles riesgos en que la empresa se enfrenta y está vulnerable ante el sistema. 7. Implementar las medidas de protección Cuando ya se han evaluado y determinado los posibles riesgos de la organización, es hora de la implementación de todas esas reglas y medidas definidas. El Director del Proyecto y los diferentes integrantes de la organización, realizarán sus tareas cuyo plan de acción es íntegramente parte del Plan del Proyecto. Algunas medidas que se van a tomar pasan desde definir nuevas reglas generales, implementación de nuevas tecnologías para invertir, cambiar parte de la estructura organizacional, nuevos integrantes especializados, entre otros. 8. Capacitación y concienciación El principal motivo de fracaso de un Proyecto de este tipo es la desinformación que puede haber con todos los integrantes de la organización. Es muy importante capacitar e informar los procesos involucrados a las diferentes áreas así como también transmitir la importancia de los objetivos de Ciberseguridad que se quieren integrar como parte de la empresa. Las nuevas medidas de protección como cambios de contraseñas, nuevos softwares involucrados, nuevos procedimientos tecnológicos o nuevos protocolos de seguridad a
Page !25 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
seguir, necesitan ser informados a través de capacitaciones permanentes dentro de la organización. 9. Acciones a largo plazo Para que la nueva área implementada en la empresa tenga el éxito esperado, es necesario mantener las reglas, procedimientos, normas, capacitaciones y todo tipo de protocolos de manera permanente hacia el futuro. La Ciberseguridad no se trata de un área que al ser implementada vaya a funcionar de forma metódica y automática, por el contrario, necesita estar actualizándose permanentemente ya que es el áreas más vulnerable de todas y la que más riesgos puede recibir si es víctima de un ataque cibernético. Los profesionales especialistas en Ciberseguridad, tienen los conocimientos y capacidades necesarias para que se implementen este tipo de acciones y se mantengan en el tiempo, y en ellos recae la responsabilidad y la confianza de que así sea.
Page !26 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Page !27 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
¿Cuáles son los objetivos de un departamento de Ciberseguridad? El objetivo primordial de un departamento de Ciberseguridad es fijar las directrices generales del uso seguro del ciberespacio, impulsando una visión integradora cuya aplicación ayude a garantizar a la empresa su seguridad y progreso, a través de la adecuada coordinación y cooperación de todas las áreas de la organización. Lograr que los funcionarios de la empresa hagan un uso seguro de los Sistemas de Información y Telecomunicaciones internas, es un reto de la Ciberseguridad, fortaleciendo las capacidades de prevención, defensa, detección y respuesta a los ciberataques que cada día son más sofisticados. Objetivo 1 Garantizar que los Sistemas de Información y Telecomunicaciones que utiliza la organización posee el adecuado nivel de ciberseguridad y resiliencia. Es imprescindible potenciar la implantación de un marco referencial, como vimos en el punto anterior, que sea coherente e integrado, de políticas, procedimientos y normas técnicas que ayuden a garantizar la protección de la información que maneja la empresa en su integridad. Objetivo 2 Impulsar la seguridad y resiliencia de los Sistemas de Información y Telecomunicaciones usados por la organización en general y los operadores de Infraestructuras Críticas en particular, ya sea como contratación externa o pertenezca a la empresa (opciones de la implementación del departamento vistos en el punto anterior). En pocas palabras, se debe asegurar la Protección del Patrimonio de la Empresa con una responsabilidad compartida entre las partes.
Objetivo 3 Potenciar las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el ciberespacio.
Page 28 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Si bien es un objetivo muy general que se practica a nivel país, es esencial que este objetivo se desarrolle en forma particular en la empresa, trabajando en armonía con la legislación vigente en el sector empresarial y por supuesto en el país. Objetivo 4 Sensibilizar a los empleados o profesionales de la empresa de los riesgos derivados del ciberespacio, a través de capacitaciones, charlas, seminarios o boletines electrónicos. Es de vital importancia que los trabajadores tomen conciencia de los peligros a los que se pueden enfrentar para que cada uno asuma la responsabilidad que corresponda. Los empleados deben ser conscientes de la responsabilidad en la seguridad de sus sistemas, la protección de la información de sus clientes y proveedores y la confiabilidad de los servicios que prestan al mercado. Objetivo 5 Alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita la organización para sustentar todos los objetivos de ciberseguridad. Se requiere fomentar y mantener una actividad de I+D+i en materia de ciberseguridad de manera efectiva. Con estos objetivos que pueden ser ajustables a cada empresa, dependiendo de su tamaño y objetivos corporativos, un proyecto de Ciberseguridad puede tener éxito. Más detalle de las acciones que se deben considerar en cada objetivos, se entregan en las formaciones para especializar a profesionales en el área, como el Máster en Dirección y Gestión de la Ciberseguridad.
Page !29 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Page !30 of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
¿Cuáles son los riesgos al que se enfrentan los departamentos de Ciberseguridad? Un informe de la consultora Necsia señala que un 44,6 % de las empresas no serían capaces de dar respuesta ante un ciberataque, en opinión de sus propios responsables, y que más del 85% de las grandes empresas a nivel global son totalmente vulnerables. En el informe, Necsia añade que las fugas de información, los fraudes y los robos son los mayores riesgos cibernéticos a los que se enfrentan las empresas, debido en gran parte a la vulnerabilidad de los filtros informativos que éstas instalan. Para poner freno a estas amenazas, no basta con que los empleados y los responsables de las compañías estén concienciados sobre los riesgos, también es preciso seguir desarrollando herramientas de software con las que puedan trabajar. Los cuatro tipos de incidentes de seguridad son dados por los siguientes factores: 1. 2. 3. 4.
Desastres naturales Ataques maliciosos (fuente externa) Ataque interno Fallas y errores humanos involuntarios
Según Zurich, una de las aseguradoras globales más importantes en el mundo, éstos son los principales riesgos a los que puede estar expuesta una empresa
1.
Manejo de TI interno. Si se tiene toda la estructura de TI internamente, sin subcontrataciones, se puede dar una acumulación de problemas difíciles de manejar para una sola organización.
2.
Asociaciones con contrapartes. Al trabajar en un proyecto conjunto con una organización externa, ya sea un competidor o socio, pueden existir riesgos de una interconexión directa entre ambas partes y que compartan información. Page !31 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
3.
Subcontratación de servicios. Se tiene que tomar precauciones al tener proveedores externos de servicios, como Recursos Humanos, Legal o de TI; hay que revisar que no se compartan datos de más entre las dos partes.
4.
Riesgos cibernéticos a cadenas de suministro. Las cadenas de suministro y logística tradicionales pueden sufrir severas interrupciones con ataques cibernéticos.
5.
Tecnologías disruptivas. Las nuevas tecnologías, como las redes inteligentes, traen consigo nuevos efectos inadvertidos, que todavía no están en la mira de los profesionales de informática.
6.
Infraestructura ascendente. Actualmente hay sociedades y economías que son sustentadas por infraestructuras informáticas, ya sean sus sistemas de electricidad o telecomunicaciones, que de sufrir alteraciones, como una potencial regulación de Internet, crearían riesgos para cualquier organización.
7.
Crisis externas. Los riesgos que están fuera del sistema, en los cuales la organización no tiene ningún control, tal como una pandemia de malware, pueden tener un efecto cascada.
Page !32 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Características de los ciberataques • Bajo Coste: muchas de las herramientas utilizadas por los atacantes pueden obtenerse de forma gratuita o a un coste muy reducido. • Ubicuidad y fácil ejecución: la ejecución de los ataques es independiente de la localización de los agresores, no siendo imprescindible, en muchos casos, grandes conocimientos técnicos. • Efectividad e impacto: si el ataque está bien diseñado, es posible que alcance los objetivos perseguidos. La ausencia de políticas de ciberseguridad, la insuficiencia de recursos y la falta de sensibilización y formación pueden facilitar este adverso resultado. • Reducido riesgo para el atacante: la facilidad de ocultación hace que no sea fácil atribuir la comisión de un ciberataque a su verdadero autor o autores, lo que, unido a un marco legal dispar o inexistente, dificulta la persecución de la acción.
Las ciberamenazas pueden proceder de delincuentes bien organizados, de hackers o de un sistema de espionaje promovido por los poderes públicos. Los costes directos e indirectos provocados por los ciberincidentes a nivel mundial se han estimado recientemente en unos 388.000 millones de dólares*; esto incluye, entre otro, los costes por robo, fraude, extorsión y pérdida de propiedad intelectual. Además del impacto financiero directo, incidentes recientes han puesto de manifiesto las graves implicaciones empresariales que suponen las ciberamenazas, desde el desplome del precio de las acciones y la pérdida del valor para los accionistas, hasta la pérdida de confianza por parte de los mercados y de los consumidores.
Page !33 of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page 34 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
¿Cuándo saber que es totalmente necesario crear un departamento de Ciberseguridad en una empresa? Una empresa, independiente de su tamaño, debería considerar la ciberseguridad como un área prioritaria e indispensable, pero si somos realistas, la necesidad de tener un departamento de ciberseguridad como los es el de RRHH, Comercial o Finanzas, dependerá de la cantidad de información que maneje, el sector en que se encuentra, la cantidad de trabajadores contratados, sus estrategias comerciales involucradas, presupuesto disponible para nuevas tecnologías y tipo de comunicación interno y externo que utiliza la empresa, entre otros factores que la Gerencia podría considerar. Por supuesto que si la empresa ya ha sido víctima de un ciberataque, la consideración de implementar la ciberseguridad es más probable que se haga realidad. Si se decide llevar a cabo el proyecto, y con todas las consideraciones señaladas en este libro anteriormente, el mejor camino para una empresa es empezar por definir el organigrama.
Page 35 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Qué se propone
• Gerencia de la Empresa: a la cabeza del organigrama y apoyando la Ciberseguridad. • Responsable departamento de Ciberseguridad: con un perfil de IT (Information Technologies) con conocimientos también de OT (Operation Technologies). • Equipo de trabajo: grupos multidisciplinares en los nuevos proyectos, en los que participasen profesionales de IT y OT e incluso los fabricantes de tecnología.
Page 36 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page 37 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
¿Qué tipo de profesional se necesita en el área de Ciberseguridad? Competencias especiales requeridas El Especialista en ciberseguridad requiere competencias para manejar sistemas operativos, redes y lenguajes de programación desde el punto de vista de la seguridad informática y de las comunicaciones; implantar protocolos criptográficos y herramientas de seguridad basadas en dichos protocolos; analizar y detectar amenazas de seguridad y desarrollar técnicas de prevención; Conocer e interpretar normativa de centros de respuesta a incidentes de seguridad; seguridad en centros financieros y de negocio, seguridad en infraestructuras de defensa y auditoría de sistemas; crear y desarrollar proyectos de seguridad informática y de las comunicaciones; análisis forense y análisis malware. Según el tamaño de la empresa, trabajarán en solitario realizando funciones polivalentes o en un equipo multidisciplinar, donde se realizan diferentes funciones dependiendo del puesto (Arquitecto, administrador, implementador, auditor, analista, gestor de riesgos, consultor, técnico, operador, hacker, comercial) y actividades de análisis de malware, computer forensics, incident handling, desarrollo y despliegue de herramientas de detección, monitorización y análisis así como otras relacionadas con investigación e innovación.
la
Page !38 of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Los conocimientos que se requiere a estos profesionales son básicamente los siguientes: • Diferentes entornos tecnológicos (SCADA, mobility, servidores, Smart Grid) y otras arquitecturas tecnológicas de propósito general. • Análisis forense: sistemas de archivos, adquisición de evidencias, timeline, análisis de memoria, file carving, reconstrucción de ficheros, criptografía, etc. • Análisis de malware: ASM x86/x64, determinación de funciones, métodos de infección y persistencia, desinfección del malware, ingeniería inversa/reversing, criptografía. Todo ello enfocado a diferentes tipos de formatos: PE, PDF, SWF, MS Office, APK, etc. • Análisis y evaluación de vulnerabilidades técnicas para el descubrimiento y explotación de vulnerabilidades tanto en servidores como en puestos: test de intrusión, análisis forense, etc. • Gestión de incidentes (Incident handling): sistemas operativos, networking, IDS, IPS, FW, análisis de logs, análisis del tráfico de red.
Formación requerida del profesional Los profesionales de las tecnologías de la información y las comunicaciones que quieren especializarse en el área de la ciberseguridad, suelen realizar másteres en ciberseguridad que les permiten acceder a diferentes puestos de trabajo. Las empresas valoran la formación que les capacite para evaluar, prevenir y reaccionar ante los riesgos de seguridad en entornos empresariales e industriales, las certificaciones profesionales en seguridad, la experiencia del candidato y la capacidad para utilizar herramientas y tecnologías. Certificaciones: CISA, CISM, CISSP, CDPP, CCSK, CHFI, CEH, DLP, IRM, GIAC, LOPD, SOX, PCI, LEAD AUDITOR CCNA, CCNP, ISO 27001, etc. Securización y virtualización de sistemas (UNIX, LINUX, WINDOWS, MAINFRAME). Metodologías: OSSTMM, ISSAF. Fundaciones: OWASP Tecnologías: FIREWALLS, IDS/IPS, SIEM, DLP, antimalware solutions, VPNS, CISCO. Herramientas de hacking: AppScan, Fortify; Políticas y normativas de seguridad.
Page 39 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Experiencia en el diseño y desarrollo de proyectos, planes, programas y herramientas de seguridad que den soporte o automaticen parte de las tareas a realizar. Auditoría de código fuente. Implantación de Sistemas de Gestión de la Seguridad en la Información (SGSIS): administración de cortafuegos, IPTABLES, FWBuilders, antivirus en sistemas android, symbian, blackberry y windows mobile; gestión de antivirus en entornos Microsoft y Linux. Resolución de incidencias; control de infraestructuras de seguridad TI, Seguridad Perimetral de Routing&Switching, WAN, LAN y wifi. Gestión de seguridad: hacking ético, análisis de vulnerabilidades, diseño de soluciones y herramientas, de mecanismos de autentificación y de autorización, encriptación de dispositivos de almacenamiento masivo y de dispositivos móviles. Idiomas: inglés es un requisito imprescindible
Acerca del profesional Las competencias generales que se valoran en el mercado laboral son: capacidad de aprendizaje autodidacta, colaboración y compromiso, innovación, creatividad, orientación al logro de resultados, disponibilidad, adaptabilidad y flexibilidad, capacidad de integración en equipos multidisciplinares, iniciativa y dinamismo. Las ofertas no manifiestan ninguna preferencia por la edad del candidato, ni por ningún colectivo en especial. Se ofertan distintos perfiles según la experiencia, los conocimientos y nivel de responsabilidad requeridos. No importa de qué universidad o centro provienen los títulos de estudios en ciberseguridad, lo importante es la especialización y conocimiento adquirido por el profesional. De las ofertas que solicitan en las empresas acerca de un nivel formativo determinado, el 57% prefieren títulos universitarios y el 39% titulados de formación profesional con título propio.
Page !40 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Otros datos de interés La contratación de estos profesionales suele realizarse, mayoritariamente, por empresas con un tamaño superior a 50 trabajadores. La mayoría de los contratos de esta ocupación tienen una duración inicial indeterminada, ya que las modalidades más utilizadas son Obra o servicio e Indefinido ordinario, de ahí la baja rotación de estos profesionales (1,08) frente a la media nacional (2,52). También debe señalarse que el desempeño del trabajo suele ser a jornada completa. Ni los servicios públicos de empleo ni las empresas de trabajo temporal intermedian de manera significativa en esta ocupación; las propias empresas utilizan otros canales de búsqueda para cubrir estos puestos de trabajo tan especializados.
Page 41 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Page !42 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
¿Tengo vocación por esta área? Pequeño cuestionario de orientación de la profesión Para finalizar este libro, he querido confeccionar un pequeño cuestionario dirigido principalmente a aquel profesional o estudiante que quiere especializarse en Ciberseguridad pero no está 100% seguro de que sea su vocación. Empecemos……
Responde en tu mente las siguientes preguntas con toda honestidad y transparencia, al final de este cuestionario, encontrarás la respuesta que buscas
1. ¿Tienes conocimientos informáticos? 2. ¿Conoces la legislación que rige a nivel global sobre los sistemas de información tecnológicos? 3. ¿Sabes lo que significa “protección de infraestructuras críticas”? 4. ¿Conoces las Organizaciones más importantes de ciberseguridad a nivel mundial? 5. ¿Sabes lo que es la CIA? 6. ¿Eres hacker? 7. ¿Cuántas horas pasas en internet? 8. ¿Trabajas actualmente en algo relacionado con los sistemas de información? Page 43 ! of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
Respuesta Si tu respuesta a todas las preguntas es si o no, no te preocupes, porque si lo que buscas es : • Formular y definir la estrategia de ciberseguridad de una organización. • Diseñar y elaborar el Plan Director de ciberseguridad. • Identificar, analizar y proponer soluciones para tratar los riesgos de ciberseguridad corporativos, así como el programa de gestión, evaluación y control de la ciberseguridad. • Conocer y comparar las diferentes políticas, estrategias y herramientas necesarias para la protección y reacción ante amenazas cibernéticas. • Realizar auditorías de ciberseguridad y tests de penetración, detectar deficiencias, analizar sus causas y las posibles soluciones. • Evaluar los impactos de los incidentes en la continuidad del negocio y diseñar e implementar medidas de recuperación y ciberresiliencia.
NO NECESITAS SER UN EXPERTO EN INFORMÁTICA NI HACKER PARA LOGRAR AQUELLO
La formación profesional adquirida con el Máster en Dirección y Gestión de la Ciberseguridad, posibilitará a diversos perfiles ingresar en esta área y dedicarse a aportar sus capacidades y competencias a la organización. •¿Eres Universitario y quieres iniciarte en esta área, mejorar o consolidar tu desarrollo profesional? Con esta formación lo puedes hacer y dedicarte a trabajar como Director, Administrador, Gestor o Consultor del área de ciberseguridad. •Si eres un Directivo de una empresa, al terminar este Máster podrás planificar y gestionar todos los aspectos
Page !44 of 47 !
Aucal Business School
El camino profesional de la Ciberseguridad
del área y desarrollar planes de ciberseguridad para la organización. • O si eres un Administrador o Gestor de empresas, y quieres integrar la ciberseguridad como valor añadido a tu negocio, esta formación es lo que necesitas para conocer los métodos, procedimientos y tecnologías necesarias para implementar este departamento como un área independiente y prioritaria.
Al terminar este Máster también el alumno podrá ser inscrito como Perito Judicial en los listados judiciales de Tribunales Superiores de Justicia, Audiencias Provinciales y Juzgados Decanos, así como, los juzgados de las provincias que seleccione.
Sobre el Director del Máster Fernando Dávara Rodriguez
Doctor “cum laude” en Ingeniería Informática, Licenciado en Enseñanza Superior Militar (General de Brigada (R) Diplomado de Estado Mayor) y Físico (Especialidad de Automática e Informática). Actualmente, entre otros, es director y patrono de la Fundación ESPAÑA DIGITAL, presidente y consultor sénior de “Círculo de Inteligencia” y presidente de APIC y de la Asociación Vertidos Cero. Ha dedicado más de 30 años de trabajo e investigación en los dominios del Espacio y sus aplicaciones, Gestión de Crisis, Seguridad Lógica y Ciberseguridad, Tecnologías de la Información y las Comunicaciones, Geomática, Inteligencia Económica y Competitiva, etc., siendo en estos ámbitos autor de numerosas publicaciones, trabajos y monografías, participado en gran número de seminarios y coloquios (nacionales e internacionales), llevado a cabo varias actividades investigadoras y ocupado diversos cargos en España y en organismos internacionales, entre ellos seis años como Director del Centro de Satélites de la Unión Europea (EUSC).
Page !45 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Referencias de contenido El contenido de este ebook fue respaldado en base a información propia de material del área de Aucal Business School y de los siguientes referentes en internet
• Wikipedia: https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica • U. Católica de Ávila: https://www.ucavila.es/blog/2015/07/03/ciberseguridad-que-es-y-para-que-sirve • Revista electrónica Razón y Palabra: http://www.razonypalabra.org.mx/anteriores/n36/jesteinou.html • Ciberseguridad en 9 pasos, Dejan Kosutic: https://advisera.com/wp-content/uploads/sites/9/2016/09/ Ciberseguridad_en_9_pasos_ES.pdf • Web Vix: http://www.vix.com/es/btg/tech/13182/que-es-un-hacker • Servicio Público de Empleo Estatal: especialistas en ciberseguridad • ESTRATEGIA DE CIBERSEGURIDAD NACIONAL 2013 PRESIDENCIA DEL GOBIERNO • Revista Onemagazine: http://www.onemagazine.es/one-hacker/consejos/empresas-ciberseguridad-necsia • Search Dsatacenter en español: http://searchdatacenter.techtarget.com/es/cronica/Los-7-principalesriesgos-de-TI-para-las-organizaciones-de-acuerdo-con-Zurich • Deloitte: https://www2.deloitte.com/content/dam/Deloitte/es/Documents/governance-risk-compliance/ Deloitte_ES_GRC_Ciberseguridad.pdf
Page !46 of !47
Aucal Business School
El camino profesional de la Ciberseguridad
Esperamos te haya gustado este libro destinado a explicar un poco más la importancia que tiene la Ciberseguridad en las Empresas
Cualquier duda o consulta referente a este Ebook, escribir directamente a
[email protected]
Page 47 ! of 47 !
