Marco de ciber-seguridad


Dentro del objetivo de garantizar la seguridad de la información, la ciberseguridad se refiere específicamente al suministro de hardware y software de procesamiento seguro. Las tareas de seguridad de la información y ciberseguridad se pueden clasificar en cinco funciones, siguiendo el marco desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST)

  • Identificar : desarrollar políticas y capacidades de seguridad. Evaluar riesgos, amenazas y vulnerabilidades y recomendar controles de seguridad para mitigarlos.
  • Proteger : adquirir/desarrollar, instalar, operar y desmantelar activos de hardware y software de TI con la seguridad como un requisito integrado en cada etapa del ciclo de vida de esta operación.
  • Detectar : ​​realizar una supervisión continua y proactiva para garantizar que los controles sean eficaces y capaces de proteger contra nuevos tipos de amenazas.
  • Responder: identificar, analizar, contener y erradicar amenazas a los sistemas y a la seguridad de los datos.
  • Recuperar : implementar resiliencia en materia de ciberseguridad para restaurar sistemas y datos si otros controles no pueden prevenir ataques.

Profundizando:

El marco de ciberseguridad del NIST divide las tareas de ciberseguridad en cinco funciones principales, que describen un enfoque completo para proteger los sistemas de información. Vamos a explicarlas de manera sencilla con ejemplos para cada una:

1. Identificar

¿Qué significa?
Consiste en entender los activos, riesgos y amenazas de una organización para diseñar políticas y capacidades de seguridad. Es la base para implementar controles adecuados.

Tareas:

  • Realizar evaluaciones de riesgos.
  • Identificar activos críticos (servidores, bases de datos, redes).
  • Detectar vulnerabilidades en sistemas o procesos.
  • Crear políticas de seguridad (por ejemplo, quién puede acceder a qué recursos).

Ejemplo:

  • Realizar un análisis para identificar que los servidores de bases de datos contienen información confidencial y necesitan medidas adicionales de protección.
  • Evaluar qué tipo de amenazas, como ransomware, podrían afectar la operación.

Analogia:
Es como hacer un inventario de los objetos valiosos de tu casa y analizar qué cosas podrían ser robadas o dañadas para decidir cómo protegerlas.


2. Proteger

¿Qué significa?
Se enfoca en implementar medidas de seguridad que reduzcan el impacto de las amenazas. Esto incluye proteger los activos durante todo su ciclo de vida, desde la instalación hasta su retiro.

Tareas:

  • Configurar firewalls, antivirus y controles de acceso.
  • Implementar autenticación multifactor para los usuarios.
  • Asegurarse de que las aplicaciones se desarrollen con buenas prácticas de seguridad (por ejemplo, evitando errores como inyecciones SQL).
  • Realizar actualizaciones y parches regulares para prevenir vulnerabilidades.

Ejemplo:

  • Configurar un firewall para bloquear conexiones no autorizadas.
  • Usar cifrado para proteger datos almacenados en un servidor y en tránsito a través de la red.

Analogia:
Es como instalar cerraduras en las puertas y ventanas de tu casa y agregar cámaras de seguridad para evitar que alguien entre.


3. Detectar

¿Qué significa?
Se trata de supervisar continuamente los sistemas para identificar amenazas nuevas o en curso y asegurar que los controles estén funcionando como se esperaba.

Tareas:

  • Configurar sistemas de detección de intrusos (IDS) para monitorear redes en busca de actividades sospechosas.
  • Revisar logs de auditoría regularmente.
  • Implementar sistemas de alerta que notifiquen anomalías (por ejemplo, intentos de acceso no autorizados).

Ejemplo:

  • Detectar un intento de acceso no autorizado a un sistema por múltiples intentos fallidos de inicio de sesión.
  • Recibir una alerta de un sistema SIEM (Security Information and Event Management) indicando tráfico inusual en la red.

Analogia:
Es como instalar un detector de movimiento en tu casa para que te avise si alguien intenta entrar cuando no estás.


4. Responder

¿Qué significa?
Implica tomar acciones inmediatas para analizar, contener y eliminar las amenazas cuando ocurren. El objetivo es limitar el daño y evitar que el incidente se propague.

Tareas:

  • Activar un plan de respuesta a incidentes (IRP).
  • Analizar la amenaza para entender cómo ocurrió.
  • Contener la amenaza (por ejemplo, aislar un dispositivo infectado).
  • Erradicar el malware o detener un ataque en curso.

Ejemplo:

  • Si un ransomware infecta un sistema, el equipo de respuesta detiene su propagación aislando la red afectada y comienza el proceso de eliminación del malware.
  • Identificar las cuentas comprometidas y restablecer sus contraseñas.

Analogia:
Es como apagar el fuego en tu cocina para que no se propague al resto de tu casa.


5. Recuperar

¿Qué significa?
Se enfoca en restaurar los sistemas y datos después de un incidente para que las operaciones vuelvan a la normalidad. La resiliencia es clave aquí.

Tareas:

  • Restaurar datos desde copias de seguridad.
  • Reconstruir sistemas comprometidos.
  • Revisar los controles existentes y hacer mejoras para prevenir futuros incidentes.
  • Comunicarse con clientes o partes interesadas afectadas.

Ejemplo:

  • Recuperar datos cifrados por ransomware desde una copia de seguridad reciente.
  • Reinstalar sistemas operativos en servidores comprometidos para garantizar su integridad.

Analogia:
Es como reconstruir una habitación dañada por un incendio, asegurándote de que sea más resistente en el futuro.


Resumen de las 5 funciones

Función -> ¿Qué hace? -> Ejemplos

1. Identificar: Reconocer activos, riesgos y vulnerabilidades. -> Identificar datos sensibles y evaluar riesgos como ataques de phishing.

2. Proteger ->Implementar medidas para evitar ataques. -> Configurar firewalls, usar cifrado, implementar autenticación multifactor.

3. Detectar -> Supervisar sistemas y encontrar amenazas. -> Usar un IDS para monitorear la red y recibir alertas de tráfico anómalo.

4. Responder -> Actuar contra amenazas cuando ocurren. -> Aislar un dispositivo infectado, detener un ataque DDoS, eliminar malware.

5. Recuperar-> Restaurar sistemas y datos afectados. -> Restaurar datos desde un respaldo, reconstruir servidores, mejorar los controles para prevenir futuros incidentes.

Este marco del NIST es una guía estructurada que ayuda a las organizaciones a abordar los desafíos de ciberseguridad de manera integral.

Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar