Charla Ciberseguridad en los Negocios

La ciberseguridad en los
Negocios

Ciberseguridad
Con la evolución de las tecnologías de la información y las
comunicaciones ha generado un cambio de paradigma en la
forma en que vemos la seguridad; la tecnología actual nos
exige la adopción de procedimientos y herramientas
especializadas para la neutralización y control de las
amenazas cibernéticas.

El Ciberespacio
El ciberespacio​es el ámbito de
información que se encuentra
implementado dentro de los
ordenadores y de las redes digitales
de todo el mundo.
El ciberespacio sobrepasa los
límites de como y cuando
interactuar. Entre las
características del ciberespacio
están las siguientes: Identidad,
flexibilidad y anonimato: la falta de
interacción física cara a cara
causa un impacto en como la
gente presenta su identidad.

Puntos a considerar
LA CRECIENTE
DEPENDENCIA A
LA TECNOLOGÍA
LA
INTERCONEXIÓN
DE LOS SISTEMAS
DE INFORMACIÓN
LA CRECIENTE
COMPLEJIDAD DE
LA TECNOLOGÍA
EVOLUCIÓN DE
LAS
CIBERAMENAZAS

Tendencias 2020...2023
La creciente gama de amenazas a nivel mundial, ha obligado a las empresas y
organizaciones a intensificar sus inversiones en nuevas soluciones de seguridad de
la información como también en personal de ciberseguridad que esté capacitado
para enfrentar los retos a los que se enfrentan las corporaciones.
Según una investigación, se espera que el mercado global de seguridad de la
información registre una tendencia al alza de aquí al año 2023 de unos 151.200
millones.
El mercado de dicha tecnología incluye software, hardware y servicios relacionados
con la seguridad. Los ingresos de este mercado han ido notoriamente al alza, año
tras año.

Tendencias 2020...2023
Tipos de ciberataques
que veremos,
según el MIT
Filtración
masiva de
datos
Ciberterrorismo
Elecciones
ciberatacadas
Minería de
criptomonedas
Ransomware
en la nube

Que es la Ciberseguridad?
La Ciberseguridad es la práctica de defender de ataques maliciosos a los equipos
de infraestructura (servidores, dispositivos móviles, los sistemas electrónicos, las
redes y los datos).
También se define como seguridad de tecnología de la información.
El concepto se aplica en diferentes contextos como protección o seguridad: en
redes, en las aplicaciones, en la información, en la seguridad operativa, en la
recuperación frente a ataques y la continuidad del negocio y finalmente en la
capacitación del usuario.

Qué protege la Seguridad de la
Información?
La seguridad consta de tres elementos
fundamentales que forman parte de los
objetivos que intentan comprometer los
atacantes. Estos elementos son la
confidencialidad, la integridad y la
disponibilidad de los recursos.

Qué protege la Seguridad de la
Información?
Disponibilidad
•Acceso a la
información cuando
se requiera
Integridad
•Precisión, integridad y
validez de la
información
Confidencialidad
•Acceso a las
personas autorizadas

Fases de un ataque

Que busca un atacante?
DATOS
PERSONALES
Nombre y Apellido,
CI, teléfonos, email,
fecha de nacimiento
PLANES,
VACACIONES
UBICACIÓN ACTUAL
Pueden ser datos
que el atacante puede
usar en tu contra
COMPORTAMIENTOS
PERSONALES
Publicaciones intimas,
ofensivas, quejas,
fotos, etc.
INFORMACIÓN
BANCARIA
Cta.Cte., Tarjetas o
Débitos, etc.
INFORMACIÓN
SOBRE MENORES
Fotos, anécdotas,
Edad, colegios
INFORMACIÓN
CORPORATIVA
Funcionarios, servicios,
Clientes, productos,
Base de datos, etc.

Minimizar el Impacto al
Negocio Implementando
CIS Controls

FRAMEWORK
Framework
Sistemas de Gestión
Documentales
Framework Técnico
COBIT
Famila Nivel ISO 227000
CIS Controls
ITIL
MGCTI

Son marco de gestión de TI desarrollado para ayudar a las empresas a desarrollar,
organizar e implementar estrategias en torno a la gestión de la información y la
gobernanza de TI.
Evaluar Gestión de Riesgos
Definir la Estructura Organizativa
Establecer los Roles, las Responsabilidades y las Funciones
Definir y Mantener las Políticas
Identificar los Servicios
Gestionar los Cambios
Identificar y Registrar Activos
Gestionar la Seguridad de Red y Conexiones
Investigar y Diagnosticar los Problemas
Gestionar el Respaldo y la Restauración de Datos

Matriz RACI
La matriz nos ayuda a identificar a los responsables primarios o principales para
gestionar los procesos, prácticas y salidas,Identificados en el sistema de Gestión.
Los niveles mínimos de responsabilidad previstos son:
R (responsable de hacer): roles responsables que se encargan de realizar la
actividad principal esperada del proceso.
A (responsable de que se haga): roles responsables de que se cumpla la
actividad principal esperada del proceso;
C (consultado): indica los roles que proporcionan información o son consultados
respecto a las actividades del proceso;
I (informado): son los roles que son informados de los resultados de la actividad
principal del proceso.

Introducción
Consiste en un framework, un conjunto de mejores prácticas recomendadas para la
defensa cibernética, se aplican con el fin de mitigan los ataques más comunes
contra sistemas y redes.
Los Controles CIS son desarrollados en base a patrones de ataques comunes
publicados, Se elaboró y se mantiene, por una comunidad de expertos en
Tecnología, que aplican su experiencia de primera mano como defensores
cibernéticos para crear estas mejores prácticas de seguridad aceptadas
globalmente. Estos expertos provienen de una amplia gama de sectores que
incluyen industrias, salud, educación, gobierno, seguridad y otros.
Cis Controls son considerados como controles críticos de seguridad.

Origen de los CIS Controls
2008, cuando el instituto SANS inició un proyecto con el
objetivo de crear un marco de seguridad para el ámbito
informático.
2010 después esta iniciativa se transfirió al Council on Cyber
Security (CCS).
2015 fue transferido Center for Internet Security (CIS)
NOMBRES A LO LARGO DE LOS AÑOS
CIS 20 - SANS Top 20 - Nombre Oficial: CIS Controls.

Versiones del Cis Controls

Centro de Seguridad de Internet ( CIS )
El Centro de Seguridad de Internet (CIS) es una ONG sin fines
de lucro. Cuya misión es "identificar, desarrollar, validar,
promover y sostener soluciones de mejores prácticas para la
defensa cibernética, construir y liderar comunidades para
permitir un entorno de confianza en el ciberespacio "
Conformado por expertos en varias áreas (tenología, auditoría,
seguridad. etc) Utilizan un modelo cerrado de crowdsourcing
para identificar y refinar medidas de seguridad efectiva

Aceptación de CIS Controls
Los controles son reconocidos como una de las base de seguridad más
completas para la mayoría de los sistemas existentes en el mercado, es
posible ser aplicados a cualquier empresa/organización que utilice tecnologías.
El CIS Controls es recomendado por líderes de la industria informática y de
seguridad, como el Instituto Nacional de Estándares y Tecnología (NIST).

Principios
Los controles han seguido los cinco “principios críticos” en los que debe
apoyarse cualquier sistema de defensa que quiera ser efectivo:
1- El ataque informa a la defensa: Se usarán los conocimientos
adquiridos tras sufrir ataques reales para establecer un sistema de
defensa efectivo.
2- Priorización: Se priorizarán aquellos controles que más reduzcan
los riesgos y que brinden una protección mayor.

Principios
3- Mediciones y métricas: Se establecerán sistemas de medición y métricas comunes
para evaluar la efectividad de los controles, y éstas se expresarán en un lenguaje
homogéneo y entendible por todos (directivos, especialistas en TI, auditores, equipo de
seguridad, …).
4- Diagnóstico y mitigación continuos: Las mediciones se realizarán de forma
continua, de modo que si se detecta una situación anormal pueda trabajarse en su
mitigación cuanto antes.
5- Automatización: Los sistemas de defensa se automatizarán, de modo que las
organizaciones puedan lograr mediciones confiables, escalables y continuas de su
adecuación a los controles.

Beneficios de los CIS Controls
- El beneficio principal de los controles es que priorizan y enfocan un número
menor de acciones con altos resultados.
- Los controles fueron diseñados para ayudar a las organizaciones a definir e
identificar rápidamente el punto de partida para sus defensas.
- Invertir en recursos / herramientas con resultados inmediatos y de alto valor.
- Identificar, conocer y mitigar posibles riesgo que son exclusivas de su
negocio o misión.

CIS Controls: Tres grandes Categorías
CATEGORÍAS
BÁSICO
FUNDACIONALES
ORGANIZACIONALES

CONTROLES BÁSICOS
Incluye los 6 primeros controles y cubre aquellas acciones más
elementales que una organización debería hacer en materia de
seguridad:
conocer en todo momento cuáles son sus activos (inventariar),
comprobar de forma periódica qué vulnerabilidades podrían
afectarles,
establecer configuraciones seguras y mantener los registros de
auditoría.

CONTROLES FUNDACIONALES
Es la categoría que más controles abarca, concretamente 10, e incluye una
serie de prácticas que van un paso más allá y dotan a una organización de
herramientas capaces de prevenir un ataque dirigido o reponerse de él si éste
llega a suceder.
Defensa perimetral.
Control de puertos y protocolos en la red.
Control de las cuentas de acceso.
Recuperación de datos gracias a las copias backup de los sistemas.

CONTROLES ORGANIZACIONALES
Este grupo de 4 controles se ocupa, como su nombre indica, de acciones a
nivel organizativo que involucran distintos departamentos o equipos
interdisciplinares, como pueden ser los programas de formación y
concienciación o el plan de respuesta ante incidentes de seguridad en la
compañía.

CATEGORIAS

Referencias
https://www.cisecurity.org/
https://www.cert.gov.py/index.php/noticias/lanzamiento-de-la-guia-de-controles-criticos
https://www.cert.gov.py/guias-de-seguridad
https://www.cert.gov.py/application/files/7415/3625/3112/CIS_Controls_Version_7_Spanish_Translation.pd
f

GAP ANALISIS

CRONOGRAMA DE
IMPLEMENTACIÓN

¿Cómo Implementar los
controles?

IMPLEMENTACIÓN MEDIANTE FASES
Formas de
Implementar
Fase 1
20 Controles
Fase 2
171 Sub-Controles
Fase 3
CIS Benchmarcks
Nivel 1 Nivel 2

¿Como LNXnetwork SRL
puede apoyar el crecimiento
de su organización?

¿Que aporta Nuestro
Servicio?
1
La formación profesional
en Seguridad.
2
Implementacion de
procedimientos y prácticas
seguras.
3
Confeccion de sus
Manuales de Seguridad.
4
Evaluacion y Auditorias
Que indiquen el
nivel de seguridad.
5
Certificaciones
Internacionales de
sus especialistas.
6
Prestigio en el mercado.
7
Evitando cuantiosas
pérdidas monetarias
ocurren en los
ataques informáticos.

Muchas Gracias!
Preguntas.-

LNXnetwork SRL
Manuel Ortíz Guerrero nro. 838 e/Tacuarí y Parapití
Asunción, Paraguay.
TEL: (+595 21) 327 4568
http://www.lnxnetwork.com
https://www.facebook.com/LNXnetwork
email: comercial@lnxnetwork.com