1º PARTE - CONCEPTOS BÁSICOS
1
¿Qué es la Tríada de la CIA?
Tres principios de control y gestión de la seguridad. También conocidos como la tríada de seguridad de la información. También se los denomina en orden inverso la tríada AIC.
2
Confidencialidad
El objetivo fundamental de seguridad es mantener la información y las comunicaciones privadas y protegerlas del acceso no autorizado.
3
Integridad
El objetivo fundamental de seguridad es mantener la información de la organización precisa, libre de errores y sin modificaciones no autorizadas.
4
Disponibilidad
El objetivo fundamental de seguridad es garantizar que los sistemas informáticos funcionen de forma continua y que las personas autorizadas puedan acceder a los datos que necesitan.
5
No repudio
El objetivo de seguridad de garantizar que la parte que envió una transmisión o creó datos permanezca asociada con esos datos y no pueda negar el envío o la creación de esos datos.
6
Instituto Nacional de Estándares y Tecnología (NIST)
Desarrolla estándares de seguridad informática utilizados por agencias federales de EE. UU. y publica guías e investigaciones sobre mejores prácticas en ciberseguridad.
7
Marcos de ciberseguridad (CSF).
Estándares, mejores prácticas y pautas para una gestión eficaz de los riesgos de seguridad. Algunos marcos son de naturaleza general, mientras que otros son específicos de determinados sectores o tipos de tecnología.
8
Controles de seguridad
Una tecnología o procedimiento implementado para mitigar vulnerabilidades y riesgos y garantizar la confidencialidad, integridad y disponibilidad (CIA) de la información.
9
Análisis de brechas
Un análisis que mide la diferencia entre el estado actual y el deseado para ayudar a evaluar el alcance del trabajo incluido en un proyecto.
10
Gestión de identidad y acceso (IAM)
Un proceso de seguridad que proporciona mecanismos de identificación, autenticación y autorización para que los usuarios, computadoras y otras entidades trabajen con activos organizacionales como redes, sistemas operativos y aplicaciones.
11
Identificación
El proceso mediante el cual se asigna una cuenta de usuario (y sus credenciales) a la persona correcta. A veces se lo denomina inscripción.
12
Autenticación
Un método para validar las credenciales únicas de una entidad o individuo en particular.
13
Autorización
El proceso de determinar qué derechos y privilegios tiene una entidad particular.
14
Contabilidad
Seguimiento del uso autorizado de un recurso o del uso de derechos por parte de un sujeto y alerta cuando se detecta o intenta un uso no autorizado.
15
Autenticación, Autorización y Contabilidad (AAA)
Un concepto de seguridad donde una plataforma centralizada verifica la identificación del sujeto, garantiza que al sujeto se le asignen los permisos pertinentes y luego registra estas acciones para crear un registro de auditoría.
16
Control de seguridad
Una tecnología o procedimiento implementado para mitigar vulnerabilidades y riesgos y garantizar la confidencialidad, integridad y disponibilidad (CIA) de la información.
17
Gerencial
El control permite supervisar el sistema de información. Por ejemplo, puede tratarse de una identificación de riesgos o de una herramienta que permita evaluar y seleccionar otros controles de seguridad.
18
Operacional
Una categoría de control de seguridad que es implementada por personas.
19
Técnico
El control se implementa como un sistema (hardware, software o firmware). Por ejemplo, los firewalls, el software antivirus y los modelos de control de acceso a sistemas operativos son controles técnicos.
20
Físico
Los controles como alarmas, puertas de enlace, cerraduras, iluminación, cámaras de seguridad y guardias de seguridad que impiden y detectan el acceso a instalaciones y hardware a menudo se colocan en una categoría separada de los controles técnicos.
21
Preventivo
Un tipo de control de seguridad que actúa antes de un incidente para eliminar o reducir la probabilidad de que un ataque tenga éxito.
22
Listas de control de acceso (ACL)
La colección de entradas de control de acceso (ACE) que determina a qué sujetos (cuentas de usuario, direcciones IP de host, etc.) se les permite o deniega el acceso al objeto y los privilegios otorgados (solo lectura, lectura/escritura, etc.).
23
Detective
Un tipo de control de seguridad que actúa durante un incidente para identificar o registrar que está sucediendo.
24
Correctivo
Un tipo de control de seguridad que actúa después de un incidente para eliminar o minimizar su impacto.
25
Directiva
Un tipo de control que hace cumplir una regla de comportamiento a través de una política o contrato.
26
Disuasorio
Un tipo de control de seguridad que desalienta los intentos de intrusión.
27
Compensación
Una medida de seguridad que se encarga de mitigar el riesgo cuando un control primario falla o no puede cumplir completamente las expectativas.
28
Director de Información (CIO)
Un funcionario de la empresa con la responsabilidad principal de la gestión de los activos y procedimientos de tecnología de la información.
29
Director de Tecnología (CTO)
Un funcionario de la empresa cuya función principal es hacer un uso eficaz de las plataformas e innovaciones informáticas nuevas y emergentes.
30
Director de Seguridad (CSO)
Normalmente, el puesto de trabajo de la persona con responsabilidad general sobre la garantía de la información y la seguridad de los sistemas.
31
Responsable de seguridad de sistemas de información (ISSO)
Rol organizacional con responsabilidades técnicas para la implementación de políticas, marcos y controles de seguridad.
32
Centro de operaciones de seguridad (SOC)
La ubicación donde los profesionales de seguridad monitorean y protegen los activos de información críticos en una organización.
33
Desarrollo y operaciones (DevOps)
Una combinación de desarrollo de software y operaciones de sistemas, y se refiere a la práctica de integrar una disciplina con la otra.
34
Seguridad de desarrollo y operaciones
Una combinación de desarrollo de software, operaciones de seguridad y operaciones de sistemas, y se refiere a la práctica de integrar cada disciplina con las demás.
35
Equipo de respuesta a incidentes informáticos (CIRT)
Equipo responsable de la respuesta ante incidentes. El CSIRT debe tener experiencia en varios dominios empresariales (TI, RR. HH., legal y marketing, por ejemplo).
1
What is the CIA Triad?
Three principles of security control and management. Also known as the information security triad. Also referred to in reverse order as the AIC triad.
2
Confidentiality
The fundamental security goal of keeping information and communications private and protecting them from unauthorized access.
3
Integrity
The fundamental security goal of keeping organizational information accurate, free of errors, and without unauthorized modifications.
4
Availability
The fundamental security goal of ensuring that computer systems operate continuously and that authorized persons can access data that they need.
5
Non-repudiation
The security goal of ensuring that the party that sent a transmission or created data remains associated with that data and cannot deny sending or creating that data.
6
National Institute of Standards and Technology (NIST)
Develops computer security standards used by US federal agencies and publishes cybersecurity best practice guides and research.
7
cybersecurity frameworks (CSF).
Standards, best practices, and guidelines for effective security risk management. Some frameworks are general in nature, while others are specific to industry or technology types.
8
security controls
A technology or procedure put in place to mitigate vulnerabilities and risk and to ensure the confidentiality, integrity, and availability (CIA) of information.
9
Gap analysis
An analysis that measures the difference between the current and desired states in order to help assess the scope of work included in a project.
10
identity and access management (IAM)
A security process that provides identification, authentication, and authorization mechanisms for users, computers, and other entities to work with organizational assets like networks, operating systems, and applications.
11
Identification
The process by which a user account (and its credentials) is issued to the correct person. Sometimes referred to as enrollment.
12
Authentication
A method of validating a particular entity's or individual's unique credentials.
13
Authorization
The process of determining what rights and privileges a particular entity has.
14
Accounting
Tracking authorized usage of a resource or use of rights by a subject and alerting when unauthorized use is detected or attempted.
15
authentication, authorization, and accounting (AAA)
A security concept where a centralized platform verifies subject identification, ensures the subject is assigned relevant permissions, and then logs these actions to create an audit trail.
16
security control
A technology or procedure put in place to mitigate vulnerabilities and risk and to ensure the confidentiality, integrity, and availability (CIA) of information.
17
Managerial
The control gives oversight of the information system. Examples could include risk identification or a tool allowing the evaluation and selection of other security controls.
18
Operational
A category of security control that is implemented by people.
19
Technical
The control is implemented as a system (hardware, software, or firmware). For example, firewalls, antivirus software, and OS access control models are technical controls.
20
Physical
Controls such as alarms, gateways, locks, lighting, security cameras, and security guards that deter and detect access to premises and hardware are often placed in a separate category to technical controls.
21
Preventive
A type of security control that acts before an incident to eliminate or reduce the likelihood that an attack can succeed.
22
Access control lists (ACL)
The collection of access control entries (ACEs) that determines which subjects (user accounts, host IP addresses, and so on) are allowed or denied access to the object and the privileges given (read-only, read/write, and so on).
23
Detective
A type of security control that acts during an incident to identify or record that it is happening.
24
Corrective
A type of security control that acts after an incident to eliminate or minimize its impact.
25
Directive
A type of control that enforces a rule of behavior through a policy or contract.
26
Deterrent
A type of security control that discourages intrusion attempts.
27
Compensating
A security measure that takes on risk mitigation when a primary control fails or cannot completely meet expectations.
28
Chief Information Officer (CIO)
A company officer with the primary responsibility for management of information technology assets and procedures.
29
Chief Technology Officer (CTO)
A company officer with the primary role of making effective use of new and emerging computing platforms and innovations.
30
Chief Security Officer (CSO)
Typically the job title of the person with overall responsibility for information assurance and systems security.
31
Information Systems Security Officer (ISSO)
Organizational role with technical responsibilities for implementation of security policies, frameworks, and controls.
32
security operations center (SOC)
The location where security professionals monitor and protect critical information assets in an organization.
33
Development and operations (DevOps)
A combination of software development and systems operations, and refers to the practice of integrating one discipline with the other.
34
DevSecOps
A combination of software development, security operations, and systems operations, and refers to the practice of integrating each discipline with the others.
35
computer incident response team (CIRT)
Team with responsibility for incident response. The CSIRT must have expertise across a number of business domains (IT, HR, legal, and marketing, for instance).