Vista previa del material en texto
1 E E sc u el a P o lit éc n ic a S u p er io r d e Ja én DISEÑO DE UN PROGRAMA DE CIBERSEGURIDAD DE UNA EMPRESA BASADO EN EL MARCO DE TRABAJO NIST Alumno/a: Gómez Suarez, Álvaro José Tutor/a: Prof. D. Joaquín Cañada Bago Dpto.: Ingeniería de Telecomunicación Julio, 2019 Universidad de Jaén Escuela Politécnica Superior (Jaén) Trabajo fin de Master Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 2 Escuela Politécnica Superior de Jaén Universidad de Jaén Escuela Politécnica Superior de Jaén Departamento de Informática Don Joaquin Cañada Bago , tutor del Proyecto Fin de Master titulado: Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST, que presenta Álvaro José Gomez Suarez, autoriza su presentación para defensa y evaluación en la Escuela Politécnica Superior de Jaén. Jaén, Julio 10 de 2019 El alumno: Los tutores: Alvaro Jose Gomez Suarez Joaquin Cañada Bago Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 3 Escuela Politécnica Superior de Jaén Resumen En el area informatica y empresarial, se realiza una revision de los diferentes marcos de ciberseguridad actuales del mercado, enfocados en brindar seguridad y mitigacion de los activos informaticos mediante los metodos aplicados para la ciberseguridad de la organización empresarial. Se estipulan las diferentes caracteristicas de cada “framework”, mostando su utilizacion general y beneficios retribuidos gracias a la asignacion de dicho marco en la empresa. A su vez, se realiza una revision profunda y detallada de las caracteristicas, componenentes, modelos, medidas y controles que estipula el marco de ciberseguridad NIST, convirtiendolo en uno de los mas importantes y completos en lo que a ciberseguridad de la informacion y redes se refiere. En el cual se proyecta en diferentes areas de la organización, abarcando temas como personal, comunicación interna y externa y el control directo de cada zona de la organización en lo que a ciberseguridad se refiere. Se desgloza de manera detallada cada parte del marco NIST para brindar informacion completa de su implementacion. Basandose en las recomendaciones del modelo de red del fabricante CISCO, se estipula un diseño de red ideal, en el cual se debe asignar si la empresa desea adoptar el marco de ciberseguridad NIST, mostrando todos los activos fisicos y tecnologias desplegadas para brindar la seguridad adecuada y efectiva de la informacion. Este diseño, dependiendo del volumen de la empresa en que se desea aplicar, se gestionara en mayor o menor cantidades de dispostiivos; pero debe conservar la misma metodologia y elementos de gestion de red, brindando seguridad para conseervar el modelo ideal planteado teoricamente. Se establece mediante la fusion del modelo de red ideal y los controles del marco de ciberseguridad NIST, la estrategia de seguridad cibernetica para la organización que desee aplicarlo, ya que detalla las acciones especificas teoricas para cumplir cada control y gestionarlo de manera continua, en el cual se mantenga la seguridad de la informacion sin importar la escabilidad del modelo de negocio o infraestructura de red de la empresa. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 4 Escuela Politécnica Superior de Jaén Abstract In the IT and business area, a review of the different current cybersecurity frameworks of the market is carried out, focused on providing security and mitigation of IT assets through the methods applied for the cybersecurity of the business organization. The different characteristics of each framework are stipulated, showing its general use and benefits paid thanks to the assignment of this framework in the company. At the same time, a deep and detailed review of the characteristics, components, models, measures and controls stipulated by the NIST cybersecurity framework is carried out, making it one of the most important and complete in terms of cybersecurity of information and networks. In which it is projected in different areas of the organization, covering issues such as personnel, internal and external communication and direct control of each area of the organization as far as cybersecurity is concerned. Each part of the NIST framework is broken down in detail to provide complete information on its implementation. Based on the recommendations of the manufacturer's CISCO network model, an ideal network design is stipulated, which must be assigned if the company wishes to adopt the NIST cybersecurity framework, showing all the physical assets and technologies deployed to provide adequate and effective information security. This design, depending on the volume of the company in which it is desired to apply, will be managed in greater or lesser amounts of devices, but must retain the same methodology and network management elements, providing security to preserve the ideal model proposed theoretically. It is established by merging the ideal network model and the controls of the NIST cybersecurity framework, the cybersecurity strategy for the organization that wishes to apply it, as it details the specific theoretical actions to meet each control and manage it continuously, in which information security is maintained regardless of the scalability of the business model or network infrastructure of the company. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 5 Escuela Politécnica Superior de Jaén Agradecimientos Doy gracias al fondo de becas AUIP por la oportunidad brindada para establecer un logro académico más en mi planificación de vida. A las personas que me acompañaron en este intercambio cultural y social en España; a mi tutor, Joaquín Cañada Bago, quien se ha encargado de guiarme y enseñarme académicamente en el área de Redes y seguridad. Además, también doy gracias a mis padres, hermanos y a toda mi familia, que desde la distancia siempre confiaron en mí, para la ejecución y realización de este estudio tan importante en mi vida profesional; a mis amigos, que han estado a mi lado para brindarme una palabra de aliento en momentos difíciles. Una máquina puede hacer el trabajo de cincuenta hombres ordinarios. Ninguna máquina puede hacer el trabajo de un hombre extraordinario. Elbert Hubbard (Autor) Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 6 Escuela Politécnica Superior de Jaén Índice 1. INTRODUCCIÓN ............................................................................................................ 10 1.1. Objetivos .................................................................................................................. 13 2. MARCOS DE CIBERSEGURIDAD ................................................................................. 13 2.1. PCI-DSS .................................................................................................................. 14 2.1.1 Características ....................................................................................................... 15 2.1.2 Alcance .................................................................................................................. 17 2.1.3 Procesos habituales ............................................................................................... 18 2.2. ISO/IEC27001 – ISO/IEC27002 ............................................................................... 19 2.2.1Beneficios ............................................................................................................... 19 2.2.2 Riesgos .................................................................................................................. 21 2.2.3 Controles ................................................................................................................ 21 2.3 CIS: Critical Security Controls .................................................................................. 23 2.3.1 Principios fundamentales ....................................................................................... 24 2.3.2 Controles ................................................................................................................ 25 2.4 TC CYBER ............................................................................................................... 31 2.4.1 Ventajas ................................................................................................................. 32 2.4.1 Estándares ............................................................................................................. 33 2.5 COBIT ...................................................................................................................... 34 2.5.1 Ventajas ............................................................................................................ 36 2.5.2 Implementación ................................................................................................ 37 2.6 HITRUST CSF ......................................................................................................... 39 2.6.1 Ventajas ............................................................................................................ 40 2.6.2 Controles .......................................................................................................... 41 2.4 Conclusiones ........................................................................................................... 42 3 NIST FRAMEWORK ....................................................................................................... 44 3.1 Nucleo – Framework Core ....................................................................................... 48 3.2 Niveles de implementacion – Framework Implementation Tiers ............................ 52 3.3 Perfiles del marco – Framework Profiles ................................................................. 55 3.4 Implementación ........................................................................................................ 55 3.5 Conclusiones ........................................................................................................... 57 4 DISEÑO DE LA INFRAESTRUCTURA DE COMUNICACIÓN E INFORMATICA .......... 59 Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 7 Escuela Politécnica Superior de Jaén 4.1 Modelo CISCO ......................................................................................................... 60 4.2 Tecnologias de seguridad ........................................................................................ 62 4.3 Diseño ...................................................................................................................... 67 5 ESTRATEGIA DE SEGURIDAD PARA LA EMPRESA .................................................. 71 5.1 Identificar ................................................................................................................. 71 5.1.1 Gestión de activos ............................................................................................ 71 5.1.2 Entorno empresarial ......................................................................................... 72 5.1.3 Gobernanza ...................................................................................................... 73 5.1.4 Evaluación de riesgos ....................................................................................... 73 5.1.5 Estrategia de gestión de riesgos ...................................................................... 74 5.1.6 Gestión del riesgo de la cadena de suministro ................................................. 74 5.2 Proteger ................................................................................................................... 75 5.2.1. Gestión de identidad y control de acceso ......................................................... 75 5.2.2. Conciencia y capacitación ................................................................................ 78 5.2.3. Seguridad de datos ........................................................................................... 80 5.2.4. Procesos y procedimientos de protección de la información ............................ 83 5.2.5. Mantenimiento .................................................................................................. 85 5.2.6. Tecnología protectora ....................................................................................... 87 5.3 Detectar ................................................................................................................... 88 5.3.1. Anomalías y eventos ........................................................................................ 88 5.3.2. Monitoreo continuo de la red ............................................................................ 89 5.3.3. Procesos de detección ..................................................................................... 91 5.4 Responder ............................................................................................................... 93 5.4.1 Planificación de respuesta ................................................................................ 93 5.4.2 Comunicaciones ............................................................................................... 93 5.4.3 Análisis ............................................................................................................. 95 5.4.4 Mitigación .......................................................................................................... 96 5.4.5 Mejoras ............................................................................................................. 96 5.5 Recuperar ................................................................................................................ 97 5.5.1 Planificación de recuperación ........................................................................... 97 5.5.2 Mejoras ............................................................................................................. 97 5.5.3 Comunicaciones ............................................................................................... 98 6 CONCLUSIONES ........................................................................................................... 99 7 LINEAS A FUTURO ...................................................................................................... 100 8 GLOSARIO ................................................................................................................... 101 9 BIBLIOGRAFIA ............................................................................................................. 102 Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 8 Escuela Politécnica Superior de Jaén Tabla de Ilustraciones Ilustración 1. Requisitos PCI-DSS. Tomada de [11] ................................................. 15 Ilustración 2. Beneficios ISO:27001. Tomada de [15] ............................................... 20 Ilustración 3. Controles CIS. Tomada de [12] ........................................................... 26 Ilustración 4. Relaciones de entidad de sistemas.Tomada de [12] .......................... 27 Ilustración 5. Gobernanza y Gestión COBIT 5. Tomada de [19] ............................... 36 Ilustración 6. Implementación COBIT 5. Tomada de [20] ......................................... 38 Ilustración 7. CyberSeek NIST. Tomada de [23] ...................................................... 46 Ilustración 8. Estructura del núcleo NIST. Tomada de [4] ........................................ 50 Ilustración 9. Arquitectura NIST. Tomada de [25] ..................................................... 58 Ilustración 10. Topología CISCO. Tomada de [27] ................................................... 61 Ilustración 11. Diseño de red segura. Elaboración propia ........................................ 69 Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 9 Escuela Politécnica Superior de Jaén Lista de Tablas Tabla 1. Requisitos detallados PCI-DSS. Tomada de [11] ....................................... 16 Tabla 2. Algunos estandares de TC CYBER. Tomado de [16] ................................. 33 Tabla 3. Categorías en cada fase NIST. Tomada de [4] .......................................... 49 Tabla 4. Núcleo del marco, ejemplo. Tomado de [4] ................................................ 52 Tabla 5. Niveles de Implementación. Tomado de [4] ................................................ 54 Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 10 Escuela Politécnica Superior de Jaén 1. INTRODUCCIÓN La seguridad informática o ciberseguridad como se le conoce actualmente, son las técnicas y medidas de protección en el ámbito de la informática junto con telemática, las cuales combinadas generan un valor importante de defensa para la infraestructura tecnológica en cualquier campo de acción tanto en la vida social, corporativo y económica de las personas y/o empresas. Esta área se encarga de la protección del marco global de la información y sus agregados, para generar seguridad en el ámbito tecnológico. Teniendo en cuenta que se puede basar en percepciones como: estándares, tecnologías, dispositivos electrónicos, software, redes y computación, la seguridad informática nace para consolidar la transmisión, divulgación y exposición de la información de forma efectiva y segura mediante procesos informáticos protegidos. [1] De esta forma la ciberseguridad se basa en la prevención de acciones maliciosas tanto software como protocolos de comunicación utilizados de forma indebida para obtener el control o acceder a un dispositivo, tecnología o información relevante para la víctima, basándose en objetivos como: análisis y revisión de herramientas tecnológicas de malware, defender los activos tecnológicos de ataques cibernéticos indebidos y establecer políticas de seguridad para mitigar las vulnerabilidades informáticas. [2] Cabe destacar que la ciberseguridad solo cuenta con el 99% de permanencia o aplicabilidad en cualquier ámbito, ya que un sistema, dispositivo o tecnología nunca será totalmente segura, de esta forma y en la brecha de vulnerabilidad del 1%, existe la ciberdelincuencia, siendo uno de los delitos con mayor rentabilidad en el ámbito económico de robo de activos, tal y como se presenta en el libro Cybersecurity : Managing systems, conducting testing, and investigating intrusions [1] en el cual establece que esta cifra ha generado rentabilidades alrededor de $1 billón de dólares USD, yendo en aumento la acción de esta metodología de robo. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 11 Escuela Politécnica Superior de Jaén Por otra parte, y retomando la inseguridad parcial de las tecnologías y aplicativos, algunos son utilizados para la gestión de ciber espionaje por parte de gobiernos aplicados a la sociedad civil, como ciberdelincuentes destinando técnicas de espionaje informático a empresas gubernamentales y del sector privado, aprovechándose de las vulnerabilidades encontradas en sistemas financieros, tráfico aéreo y sistemas de telecomunicaciones, entre otros. De esta manera las empresas de cualquier ámbito económico deben implementar medidas de seguridad adecuadas, tanto políticas, estándares y tecnologías que permitan la protección de la información y sus activos informáticos, evitando así el robo o caída de su infraestructura especializada. Siendo un pilar importante (ciberseguridad) en la infraestructura de cualquier empresa, esta se debe gestionar de manera adecuada, transformándose en uno de los énfasis vitales para cualquier organización, ya que cualquier dispositivo o información conectado a internet o redes de comunicación tanto interna como externa, son un activo vigente de ataque informático previsto para cualquier eventualidad. [1] En los últimos tiempos la empresa han sido obligadas a realizar una renovación de métricas y objetivos de seguridad cibernética a consta de las vulnerabilidades que la misma representa, aplicando medidas de post-defensa informática, ya que no se estipula esta rama de la informática como una prioridad para un ente económico o empresarial, siendo repercusivo por culpa de terrorismo, organizaciones criminales, o acciones hostiles de un individuo, teniendo en cuenta que la masificación de tecnologías TICS se ha desplegado de forma acelerada, sumando vulnerabilidades posibles en cada factor de una organización [3] Por consiguiente, en cualquier tipo de organización empresarial se debe estipular un modelo de seguridad informática basado en un marco de seguridad de calidad elegido dependiendo su naturaleza y plan de acción, ya que contamos con diferentes tipos de marcos o “framework” de traducción al idioma inglés. Siendo los riesgos de seguridad informática aplicables a cualquier empresa afectando los costos e ingresos económicos de la misma. De esta forma el instituto “National Institute of Standards and Tecnology (NIST) genero un marco de ciberseguridad el cual se basa en la mitigación y demás políticas anti riesgo para la organización, con pie en las vulnerabilidades de la informática, siendo este mismo voluntario para su implementación, en el cual se debe captar los índices prioritarios de enfoque y Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 12 Escuela Politécnica Superior de Jaén personalización del “framework” en cada empresa, a pesar que contiene una estructura global, este puede ser modificado según el mapa de negocio e infraestructura tecnológica de la empresa, gestionando los riesgos de ciberseguridad. De allí parte la importancia de establecer una metodología de prevención de riesgos basados en enfoques informáticos, ya que la modalidad de negocio ha evolucionado de tal forma que para cualquier tipo de empresa, su mayor activo es la información y su infraestructura tecnológica, siendo la base de múltiples procesos sin importar el tipo de negocio de la organización, su tamaño o dependencia, los principios del marco de seguridad son aplicables en todo sentido para mejorar la resiliencia de riesgos. El marco de ciberseguridad proporciona modelos, normas y lineamientos para gestionar la seguridad informática, ya que es un marco global, sirve de ayuda para brindar un modelo de protección a todas las empresas en cualquier zona del planeta aplicándose a factores humanos, cibernéticos y físicos. Su implementación se basa en empresas dependientes de la informática, que, para nuestro énfasis actual, es casi todas las organizaciones que utilicen tecnologías de información (TI), sistemas ciber físicos (IOT), sistemas de control industrial (SCP) o dispositivos de conexión general a la red.Uno de sus mayores ámbitos es ayudar a la gestión de la privacidad de clientes, empleados y terceros que hagan parte de la organización que decida abordar este framework. Gracias a su personalización y división de zonas del marco, las empresas pueden aplicar el marco de ciberseguridad NIST para estipular: manejo de riesgos, análisis de vulnerabilidades, entre otros. [4] Las ventajas que ofrece implementar un marco de ciberseguridad en la empresa, son totalmente confiables y asertivas, ya que, al ser un enfoque global, se cumplen con los requisitos y medidas que traen superioridades en el nivel de protección de la información y el ámbito tecnológico de la organización. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 13 Escuela Politécnica Superior de Jaén 1.1. Objetivos En el actual Trabajo fin de Master se estipularon los siguientes objetivos de proyecto basados en la acción de consulta para el framework NIST de ciberseguridad: Realizar un estado del arte de los diferentes marcos de trabajo de ciberseguridad. Estudiar a profundidad el marco del NIST, enfocándose en el marco básico (Framework Core), niveles de implementación (Framework Implementation Tiers) y perfiles del marco (Framework Profiles) Diseñar una infraestructura de comunicaciones e informática basado en las recomendaciones del fabricante Cisco, incorporando tecnologías de seguridad. Diseñar la estrategia de seguridad para la empresa, basada en el marco de trabajo NIST. 2. MARCOS DE CIBERSEGURIDAD Teniendo en cuenta que el marco de ciberseguridad se utiliza de manera voluntaria y según lo asemeja la empresa que lo aplicara, correspondiente a su política de negocio o conveniencia empresarial, en el mercado actual se encuentran diferentes tipos de marco de ciberseguridad, según se adapte a las necesidades de la organización, en la cual una empresa puede adoptar diferentes marcos ya que algunos se centran en la protección de la información como tal y otros en los procesos que conlleva manejar estos datos. Existe también algunos casos que se aplican directamente a un solo país como es el marco de seguridad informática de Nueva Zelanda, como este país le llama, aunque realmente no es un marco global sino una serie de estrategias cibernéticas para ese país, llamado el “New Zeland 2011 Cyber Security Strategy” implementado por el gobierno de este país desde el año 2011 hasta su fecha. [5] A continuación, se detallará de manera general la estructura básica, ventajas y el enfoque de los marcos de ciberseguridad más utilizados e importantes en la industria actualmente. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 14 Escuela Politécnica Superior de Jaén 2.1. PCI-DSS El estándar de seguridad de datos para la industria de tarjeta de pago (Payment Card Industry Data Security Standard) fue fundado en por las principales compañías de tarjetas de crédito (American Express, Discover, JCB International, MasterCard y Visa Inc) siendo el marco que se encarga de regular todas las transacciones financieras que sean transportadas por un medio informático, basados en el documento “Matchmaking between PCI-DSS and Security” del autor Andre Marien publicado en la revista “Information Security Technical Report” en la cual se estipula que el alcance de la implementación de PCI-DSS puede ser más efectivo que solo proteger los productos financieros de tarjetas de crédito o debido para evitar su fraude. Este marco de ciberseguridad abarca tanto a cualquier tipo de empresa sin importar tu tamaño, ya que brinda seguridad antes las violaciones de derechos financieros. El framework PCI-DSS cuenta con un nivel de certificación para personas, convirtiéndolas en asesores de calidad calificados o como lo indica sus siglas en ingles “PCI Qualified Security Assessor” [10] el cual se debe encargar de las vulnerabilidades a tratar mediante este marco para definir un alcance forense y la causa del mismo. Además se cuenta con diferentes documentos publicados para la gestión del framework tal y como : “From Auditor e centric to Architecture-centric: SDLC for PCI DSS” [7] y “Incident response and compilance: a case study of the recent attacks” [8], en el cual el primero trata sobre las métricas que un auditor del framework PCI-DSS debe centrarse para su cumplimiento, siendo una media para su revisión y el segundo estudia casos de incidencias reales en el marco de ciberseguridad, viéndolo como un enfoque más realista. Además, se encuentra el documento “Compliance Complacency” de Andew Valentine [9], donde muestra casos reales con estadísticas en las que sitúa los tipos de ataques y vulnerabilidades que puede acarrear no tener este framework, este enfoque se realiza para concienciar a las empresas sobre una actuación premeditada a la explotación de vulnerabilidades y no un acto “después de” (post) a este tipo de incidencias, identificando como mayor vulnerabilidad al activo de pagos con tarjetas financieras. Estableciendo las soluciones que ofrece el framework se obtienen Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 15 Escuela Politécnica Superior de Jaén medidas como las estipuladas en el documento “How tokenization and encryption can enable” de Branden Williams [10], el cuales estipula por medio de métodos de encriptación y protección de datos, la ocultación o cifrado de la información cuando sea transmitida, almacenada y usadas. [6] 2.1.1 Características Este estándar definió la nueva versión 3.2.1 en mayo 2018, estableciendo los requisitos generales mostrados a continuación en la ilustración 1: Ilustración 1. Requisitos PCI-DSS. Tomada de [11] De acuerdo a su traducción al español y sus doce (12) fases internas descritas a continuación, se establecen los requisitos detallados para el marco PCI-DSS, mostrados en la tabla 1: Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 16 Escuela Politécnica Superior de Jaén Tabla 1. Requisitos detallados PCI-DSS. Tomada de [11] Según el aval del marco de seguridad, se deben cumplir estos requisitos mostrados anteriormente para establecer cobertura por el framework, contando además con procedimientos de pruebas, en los cuales el asesor de revisión debe confirmar la elaboración de estos procesos basado en los requisitos del marco de ciberseguridad. El marco PCI-DSS establece además unos requisitos adicionales, estipulados en tres (3) anexos en la norma: Requisitos de la PCI-DSS para proveedores de hosting compartido: establece normas para la protección de datos si el hosting de la organización es administrado por un tercero. Requisitos para las entidades que utilizan SSL/TLS para conexiones POS PI de tarjeta: estipula utilizar las últimas versiones de seguridad para conexión, basados en los requisitos de seguridad predeterminada por equipos. La idea es brindar un rango cero de vulnerabilidades posibles. Validación suplementaria de entidades designadas: aplica para las empresas que administran el “big data” del negocio relacionado con la información de tarjetas debito/crédito. [11] Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 17 Escuela Politécnica Superior de Jaén 2.1.2 Alcance Los requisitos anteriormente mencionados se aplican a todos los componentes del sistema de la empresa que abarquen el entorno de datos del titular de la tarjeta CDE, el cual se encarga de administrar, almacenar y operar toda la información que concierne al clientede la tarjeta financiera. Para el caso tecnológico, se refiere a los componentes del sistema como los siguientes énfasis informáticos: Servicios de seguridad que facilitan la operación del CDE, tales como firewalls, servidores DNS y web. Componentes de virtualización, tales como “virtual machines”, routers, dispositivos y aplicaciones virtuales, adicionando hipervisores. Componentes de red, tales como routers (físicos), firewalls, puntos de acceso AP, dispositivos de red, y aplicaciones de seguridad. Servidores, tales como, web, DNS, aplicación, base de datos, correo electrónico, proxy, entre otros. Aplicaciones, internas y externas que sean base de a prestación del servicio financiero del CDE, entre estos internet. Dispositivos adicionales físicos, virtuales y de red que estén conectados al funcionamiento debido del CDE. Para establecer un buen camino hacia la practica e implementación de PCI-DSS, se debe crear una segmentación de red para los datos del CDE, haciendo recomendación y mejora en el costo de la evaluación, dificultad de implementación, controles y riesgos del marco, estipulando una infraestructura de red adecuada mediante equipos como firewalls y routers para asignar listas de acceso ACL y permisos de administración de datos según los perfiles en la organización. Esto se estipula para evitar que una vulnerabilidad afecte todo el sistema y a toda su información. En el caso de las empresas terceras que prestan los servicios tecnológicos para el procesamiento, almacenamiento y transmisión de datos d la organización Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 18 Escuela Politécnica Superior de Jaén correspondientes al CDE, estas dos partes deben definir los activos que están en juego ante posibles vulnerabilidades, realizando revisiones periódicas de estado de los servicios que presta la empresa tercera a la organización que implementa el marco de ciberseguridad PCI-DSS, en la cual el externo debe demostrar la fiabilidad y seguridad de los datos mediante el cumplimiento del marco, estas revisiones se deben realizar anuales o múltiples bajo demanda, en donde la primera se estipula por cuenta propia del tercero proporcionando evidencia a la organización que lo contrata, y la segunda el cliente solicita al externo una revisión detallada del manejo de sus datos, en la cual el cliente puede participar e involucrarse.[11] 2.1.3 Procesos habituales La norma establece algunos procesos concurrentes aplicables a la organización que pueden mejorar la segmentación, red y manejo de la información, descritos a continuación, tales como: Monitorear los controles de seguridad, firewalls, IDS, sistemas de intrusión, integridad de archivos, antivirus, controles de acceso, comprobando su funcionalidad. Detección total de fallas, donde establece los procesos de protección y corrección en caso de una vulnerabilidad, restaurando el servicio el control de seguridad e identificando la falla y sus detalles. Comprobación de cambios, dado el caso que se adquiera nuevos sistemas o dispositivos informáticos, se debe revisar su ingreso en la red, evidenciando su impacto. Comunicados y revisiones periódicas, en las cuales se revisa la implementación y cumplimiento tanto de los equipos informáticos como del equipo humano para dar continuidad al cumplimiento del marco de ciberseguridad. Realizando una revisión completa del sistema. Tecnologías de hardware y software, por lo menos anualmente para comprobar su funcionamiento y veracidad de operatividad. Se realiza con más periodicidad si los servicios informáticos los presta un externo. [11] Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 19 Escuela Politécnica Superior de Jaén 2.2. ISO/IEC27001 – ISO/IEC27002 Este marco de seguridad informática, creado, implementado y auditado globalmente por la ISO (International Organization for Standardization) o como se refiere en español a la Organización Internacional de Estandarización con referencia en el año 2017, en el cual se estipulo una serie de medidas generales y detalladas para establecer, implementar y mantener en mejora continua un sistema de gestión de seguridad de la información, siendo este un conjunto de normas y parámetros para proteger de manera eficiente toda los datos con su naturaleza en imagen, papel, digital, proyectada, enviada por email, fax, etc. Sus parámetros generales se basan en brindar total integridad, confidencialidad y disponibilidad de la información tanto los sistemas implicados en la organización, con base en la gestión de riesgos. Este marco o sistema de seguridad, debe formar parte de los procesos de la compañía, estipulando seguridad adicionada para todas las tareas que asemeje la compañía, sin necesidad de ser netamente digital. Este marco habilita la gestión de la información de manera más global, siendo influyente en cualquier área de la organización. Su implementación se realiza para cumplir un estándar global y comprobar el manejo adecuado de la información por parte de la compañía que aplico dicho marco de ciberseguridad. Este framework se puede apoyar en normas ISO como: ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27002, e ISO/IEC/27005. [14] 2.2.1 Beneficios La implementación correcta de este framework de ciberseguridad, genera ciertos beneficios, no solo informáticos sino también de procesos globales en la organización, teniendo como pilar el factor digital o cibernético, a continuación, algunas ventajas: [13] Establece una política de seguridad de la información clara y detallada. Reducción de riesgos o robo de información. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 20 Escuela Politécnica Superior de Jaén Revisión continua de los controles. Confianza ante proveedores y clientes mediante la certificación obtenida al implementar esta norma en la organización. Se puede integrar son sistemas de gestión de calidad (ISO:9001) o Seguridad laboral (OHSAS:18001). Mejoramiento de procesos, ahorrando tiempo y dinero. Aumento de seguridad de la información y procesos estipulados que la enmarcan. A continuación, se muestra en la ilustración 2 los beneficios de manera más grafica mediante el siguiente diagrama: [15]: Ilustración 2. Beneficios ISO:27001. Tomada de [15] Detallando sus ventajas, tenemos las instancias mostradas en la ilustración anterior, como: Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 21 Escuela Politécnica Superior de Jaén Control de riesgos de tecnología Sistema de detección de vulnerabilidades Método estructurado de requerimientos. Genera competitividad al certificarse con este framework. Mitigación y mejora de riesgos de tecnología, relacionado en daños y costos. Reducción de brechas de seguridad informática. 2.2.2 Riesgos Implementar este framework de seguridad, conlleva a múltiples procesos externos al área de IT (tecnología) por lo cual puede generar trastornos en algunas modalidades del negocio de la empresa o la costumbre con que se operaba antiguamente, siendo relevante para el cambio a la certificación ISO:27001, ya que su naturaleza es implementar la mejor gestión posible de información y seguridad informática en la empresa. Denotando lo anterior, se pueden encontrar riesgos de implementación como: [13] Tiempos de implantación extensos, generados por gestión errónea de los procesos de seguridad de la información. Temor al cambio en los procesos o políticas de seguridad. Negar la seguridad informática como un activo fundamental de la empresa. Revisionesde auditoria extenuantes y muy constantes. Abundancia de medidas innecesarias en la seguridad de la información. Comunicación errónea entre el personal para los progresos de los procesos de seguridad de la información. Cabe destacar que la norma estipula los controles y subcontroles muy específicamente, detallando lo que se debe realizar tanto en documentación soportada por evidencias físicas y métricas de revisión que constate su periodicidad de uso y seguridad en cada proceso. [13] 2.2.3 Controles Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 22 Escuela Politécnica Superior de Jaén Los controles de seguridad de la información se dividen en trece (13) según lo estipulado por el framework ISO:27001 e ISO:27002, además implementa subcontroles, los cuales no se detallarán debido a su extenso contenido. Estos controles deben ser cumplidos estrictamente por la organización que desee implementar el framework. A continuación, se mostrará su detalle básico por sección, enumerados según lo enmarca la ISO:27002 (Norma Auxiliar de ISO:27001): 5. Políticas de seguridad de la información: Proporciona apoyo y guía a la gestión de la seguridad de la información de acuerdo con el énfasis del negocio, leyes y normativas determinadas. 6. Organización de seguridad de la información: establece la gestión para controlar la implementación y operación de la seguridad de la información en la empresa. 7. Seguridad relativa a Recursos Humanos: Se estipulan procesos y normas en las cuales los proveedores y empleados deben cumplir y conocer las normas de seguridad de la información estipuladas por la organización. Cabe destacar que estos procesos se acompañan de anexos en los contratos labores. 8. Gestión de activos: Estipulando los activos de la empresa, se debe organizar y gestionar dicha información definiendo responsabilidades, responsables y protecciones para dichos datos y procesos relacionados con todos los activos vitales para la organización. 9. Control de acceso: Se deben estipular políticas de perfiles de usuario, denegación de permisos para no autorizados, registro y baja de usuarios y privilegios de los mismos, aplicados en todos los sistemas e infraestructura de la red en la organización. 10. Criptografía: mediante medidas más específicas de controles criptográficos, se debe definir los subcontroles de cifrado, políticas, acciones y métodos de proteger la información mediante la gestión de claves. 11. seguridad física y del entorno: Allí se estipulan procesos para prevenir la intrusión física a alguna infraestructura de red y en la organización en general, Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 23 Escuela Politécnica Superior de Jaén mediante áreas seguras, seguridad en equipos, políticas de loggin y mantenimiento de equipos. Cabe destacar que es una de las fases más grande del marco, por consiguiente, define detalles muy específicos tales como: políticas de usuario desatendido en el equipo, conexiones VPN (remota). 12. Seguridad en operaciones: en esta fase se debe asegurar el funcionamiento de las instalaciones del tratamiento de información, gestionando cambios y recursos para controlar efectivamente su seguridad. 13. Seguridad en las comunicaciones: Asegurar la protección de las redes y recursos informáticos, relacionados con la seguridad de la información. 14. Adquisición, desarrollo y mantenimiento de sistemas de información: Mantener un ciclo de vida eficiente en la seguridad de la información mediante los sistemas implementados mediante la red. 15. Relación con proveedores: Así como se protegen los activos internos, también asegurar los activos que sean accesibles por proveedores o clientes de la organización. 16. Gestión de incidentes: Coordinar y manejar efectivamente la generación de incidentes de la seguridad de la información, mediante comunicación de eventos. 17. Aspectos de seguridad de la información: Se debe generar procesos continuos que establezcan la seguridad de la información de manera precisa y permanente. 18. Cumplimiento: Esta fase establece cumplir todas las obligaciones legales, reglamentarias o adicionales correspondientes a la seguridad de la información, ejemplo: Reglamento 2016/279 del Parlamento Europeo de 27 de abril de 2016 para la protección de datos de las personas y demás vigentes. [14] 2.3 CIS: Critical Security Controls Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 24 Escuela Politécnica Superior de Jaén El centro de seguridad para internet, conocido originalmente como CIS – Center for Internet Security, siendo una organización sin fines de lucro cuyo objetivo es establecer medidas en soluciones de ciberseguridad aplicables a cualquier organización, establecidos en la séptima y última versión actualizada de su marco de ciberseguridad, la cual representa un conjunto de acciones que conjuntamente establecen prácticas de mitigación de ataques contra la infraestructura informática. Estas normas se establecen gracias a la ayuda de personal proveniente de múltiples sectores de las zonas informáticas, entre ellas: salud, gobierno, defensa y fabricación. Estas medidas iniciaron para evitar la efectividad de ataques cibernéticos y a medida del tiempo se establecieron en un formato sólido para ser hoy un marco de seguridad informática, teniendo como prioridad prevenir, alertar y responder a estos ataques actuales. Mediante la colaboración de personal anteriormente mencionado se han estipulado conjuntos de información en las cuales: Se comparte información sobre ataques y vulnerabilidades para identificar su inicio y realizar su mitigación. Se documenta el historial de ataques y soluciones. Se comparten herramientas y ayudas posibles. Dar seguimiento y evolución a una vulnerabilidad detectada. La atribución del marco de seguridad, que en si es un conjunto de buenas prácticas de ciberseguridad en la empresa, también se enfocan en procesos tan delicados como los empresariales o gubernamentales, de forma que se puede adoptar por cualquier tipo de organización según su metodología de negocio. 2.3.1 Principios fundamentales El marco de ciberseguridad CIS establece cinco (5) principios fundamentales en los cuales se basa para implementar los controles los cuales se detallarán en el siguiente apartado. De momento se revisará los principios para determinar una defensa efectiva, mostrados a continuación: Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 25 Escuela Politécnica Superior de Jaén 1. La ofensiva informa a la defensiva: este principio establece que la organización debe aprovechar el conocimiento de las vulnerabilidades y ataques actuales o antiguas para establecer una base de aprendizaje continúo estableciendo medidas de seguridad completas y efectivas. 2. Priorizar: La empresa debe estipular los activos y controles que mayor nivel de mitigación ofrezcan, además que sean efectivos en relación del tiempo, ya que al determinar cuáles controles afectan y mitigan más a la organización, será más fácil y rápido evitar ciertos ataques o el aprovechamiento de los mismos. 3. Mediciones y métricas: Se debe establecer un lenguaje de parámetros global, para que personas del diferente ámbito informático (auditores, TI, ejecutivos) entiendan la gravedad de algún asunto y se establezca mitigaciones basadas en esta información suministrada por diferentes zonas de la empresa, midiendo la efectividad de los controles implementados. 4. Diagnóstico y mitigación: la empresa debe establecer medidas de prevención de riesgos continuas paraevitar un ataque a sus vulnerabilidades, esto se realiza mediante la medición de los controles que estipulan una seguridad determinada, dando prioridad a los controles que aplique en el momento. 5. Automatización: se debe establecer un estándar de prevención en las defensas para generar valores confiables de estadística, en los cuales se puede comprobar una estabilidad o seguimiento a los controles del CIS con base también en sus métricas resultantes. En el ámbito empresarial, se debe tener en cuenta que la base tecnológica de una organización podría generar un valor y consistencia de su modelo de negocio, ya que brinda soporte y estabilidad financiera al estilo de negocio estipulado, ayudando a casos de éxito en temas financieros. 2.3.2 Controles Como anteriormente se mencionó, el CIS cuenta con veinte (20) controles en los cuales se subdividen en sub-controles más específicos detallando el tipo de activo, función de seguridad, acción del control y la descripción del mismo, los cuales no se tratarán debido a su extenso contexto y contenido teórico. Además, los controles se categorizan como: Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 26 Escuela Politécnica Superior de Jaén Básica: del control 1 al 6. Estipulando controles claves que deben ser implementados en la organización, siendo esenciales para la ciberseguridad. Primordial: del control 7 al 16, proporcionan beneficios más avanzados de seguridad. Organizacional: del control 17 al 20, a diferencia de los anteriores controles técnicos, esta fase se enfoca en la parte humana para mitigar la ciberseguridad. A continuación, en la ilustración 3, se mostrará de forma sencilla todos los controles estipulados por el CIS Framework y sus categorías: Ilustración 3. Controles CIS. Tomada de [12] Cabe destacar que cada control cuenta con la fase de procedimiento y herramientas, en el cual se definen algunas medidas técnicas generales para hacer cumplir o determinar de manera eficaz el control. Basados en los controles estipulados en la ilustración 3, se detallará un poco el objetivo de cada uno de ellos, estableciendo una idea general de su desarrollo. 1. Inventario de dispositivos autorizados y no autorizados Este control establece una medida para todos los dispositivos tecnológicos de hardware en la red, con el cual se debe realizar un inventario seguimiento y Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 27 Escuela Politécnica Superior de Jaén corrección, definiendo sus permisos de acceso, estipulando que los dispositivos autorizados tengan el debido acceso y que los no autorizados y no gestionados sean detectados rápidamente y la mitigación de escalada de privilegios. Algunos de sus subprocesos son: realizar escaneos activos y pasivos (hacking ético) en la red, medidas DHCP logging actualizando el inventario de activos en la red, inventario manual, gestión de dispositivos no autorizados, controles de acceso y certificados de autenticación hardware. Para nuestro primer control se establece el siguiente diagrama de procedimiento estipulado en la ilustración 3: Ilustración 4. Relaciones de entidad de sistemas. Tomada de [12] En la anterior ilustración se detalla de manera gráfica la implementación de los procedimientos estipulados en el control, como ayuda para cumplir dicho proceso. En el cual se enfoca en medidas centralizadas de detección de equipos mediante una base de datos de inventario hardware. Para los siguientes controles se debe revisar la referencia del marco de ciberseguridad CIS estipulado. [12] 2. Inventario de software, autorizado y no autorizado. La organización debe gestionar activamente todo software implementado en la red, de tal manera que solo programas informáticos estipulados tengan acceso a su debido perfil, y aquellos que no, sea encontrado y gestionado mitigando su Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 28 Escuela Politécnica Superior de Jaén instalación y ejecución. En sus medidas se establece: rastreo de información, soporte del fabricante, listas blancas de librerías entre otros. 3. Gestión continua de vulnerabilidades Se debe revisar y tomar medidas frecuentemente sobre información actual para estipular vulnerabilidades, disminuyendo la brecha de seguridad por parte de los atacantes cibernéticos. En sus medidas establece: escaneo de vulnerabilidades, auditoria, parches de sistema, escaneos consecutivos de ciberseguridad y calificación de riesgos. 4. Gestión continua de vulnerabilidades Se establecen las herramientas y tareas a utilizar para controlar, perseguir, mitigar y corregir el uso y configuración de privilegios administrativos en computadores, redes y software. En sus medidas establece: cambio de contraseñas, utilización de scripts de seguridad, perfiles de usuario, doble autenticación entre otros. 5. Configuración segura para hardware y software en dispositivos móviles, computadores portátiles, estaciones de trabajo y servidores. Se debe establecer y gestionar activamente todas las configuraciones de seguridad de los dispositivos móviles, computadores portátiles, servidores y estaciones de trabajo, siendo rigurosos en la implementación y control de cambios para evitar que se aprovechen brechas de seguridad en los dispositivos o servicios vulnerables. Entre sus medidas están: configuraciones seguras, herramientas de gestión, monitoreo de configuración y demás. 6. Mantenimiento, monitoreo y análisis de logs de auditoria En esta fase se deben establecer un conjunto de información recolectada en la cual se determine auditorias de eventos para prevenir futuros ataques, basándose en: logs y registros de actividad, seguridad para dichos logs, revisar frecuentemente los registros para determinar actividades sospechosas. 7. Protección de correo electrónico y navegador web Determinar medidas para minimizar la interacción entre atacantes y personas, de tal forma que manipule al empleado de la organización con su interacción en Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 29 Escuela Politécnica Superior de Jaén navegadores web y correo electrónico, basándose en: soporte a usuario, limitación de uso de correo mediante scripts, filtros de url y servicios de filtración DNS entre otros. 8. Defensa contra malware La idea de esta fase es prevenir mediante los métodos estipulados por la organización y el marco CIS, controles para evitar la propagación e instalación de código malicioso dentro de la red, realizando también actualización automática de acciones correctivas, basándose en: software antimalware, firmas actualizadas, escaneo, evitar auto ejecuciones de código y registros de actividad mediante auditoria de línea de comando. 9. Limitación y control de puertos de red, protocolos y servicios Gestionar el uso activo de puertos, protocolos y servicios de red en los dispositivos informáticos, minimizando las brechas de seguridad disponibles, con base en procesos como: asociar puertos a los servicios, teniendo un inventario del mismo, escanear constantemente la red, filtración en firewall de puertos. 10. Procedimientos y herramientas Cada trimestre o adquisición de un nuevo equipo, se debe realizar pruebas aleatorias de copias de seguridad del sistema en la red, generando con anterioridad una copia verdadera en dado caso que la ejecución de la misma trastorne la red. 11. Configuración segura de los equipos de red, firewalls, routers y switches. Se debe gestionar activamente los firewalls, router y swtiches habilitados en la red, determinando un control de los mismos para evitarposibles propagaciones o infiltraciones de código malicioso u otro ataque informático. 12. Defensa de borde Gestionar activamente la información que se traspasa entre niveles de red, en el conjunto de redes de la organización, para encajar la propagación maliciosa en un sector y no infectar masivamente a todos los equipos, para esto se debe: mantener un inventario de equipos borde, ACL de IPs conocidas entre redes, Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 30 Escuela Politécnica Superior de Jaén registro de paquetes de red y gestión de sensores IDS (sistema de detección de intrusiones). 13. Protección de datos Mediante la utilización de diferentes herramientas se debe gestionar la exfiltración de datos, mitigando el efecto del traspaso de información a entes no autorizados, asegurando la integridad de los datos. Utilizando medidas como: bloquear tráfico de red, monitorear el cifrado y la gestión de medios físicos (USB). 14. Control de acceso Se deben establecer reglas de acceso a la información para personas y equipos informáticos, estableciendo controles como: firewalls entre VLANs, cifrado de información, proteger datos sensibles, asignación de ACLs, habilitar registro de acceso para determinar quién consulta los datos. 15. Control de acceso inalámbrico Se debe establecer medidas para proteger las redes WLAN de la compañía, mediante Wifi invitado, log on para el acceso a la red inalámbrica, detección y protección de los puntos de acceso AP, utilizar IDEs inalámbricos y limitar mediante reglas el acceso a sus servicios en a la red mediante la red no cableada. 16. Monitoreo y control de cuentas Asignar tiempos y controles para las cuentas de usuario de cualquier dispositivo informático o software en la red, de esta manera se evita el aprovechamiento de las credenciales en el caso de retiro laboral del empleado, esta gestión se debe hacer al instante y con la ayuda de sistemas de autenticación, log in centralizado, multi-factor y cifrado de las sesiones. [12] Controles del 17 al 20 Se estipulan medidas para el personal de la organización, en los cuales se estipula: Capacitación a los empleados sobre la seguridad informática de gestión en la organización. Seguridad del software de aplicación. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 31 Escuela Politécnica Superior de Jaén Gestión de incidentes de seguridad. Pruebas de penetración en la red. 2.4 TC CYBER TC CYBER o según su nombre en inglés “The Technical committe in cyber security”, es un comité subdivido del Instituto Europeo de Normas de Telecomunicaciones (ETSI), enfocándose en la implementación de un estándar para seguridad informática en la Unión Europea, aunque puede ser aplicado por cualquier ámbito empresarial en la medida global. Actualmente este departamento de ciber seguridad sigue implementando otros estándares para mejorar temas tan relevantes hoy en día como orientación a fabricantes de informática, educación sobre seguridad, mejoramiento de seguridad de dispositivos mediante diseños, seguridad en software y servicios. Este departamento encargado de la ciberseguridad, es reconocido como un gran aporte de conocimientos y confianza a las soluciones de estandarización que se necesitan en el mercado, brindando servicios a usuarios y fabricantes en todo el énfasis de la ciberseguridad. En énfasis de TC CYBER es trabajar de la mano con fabricantes colaboradores para aumentar la seguridad digital en empresas y personas alrededor de todo el mundo. [16] Esta sección del ETSI está abarcando temas de desarrollo en base a seguridad cibernética como: Seguridad en tecnológicas inalámbricas y móviles (3G,4G, Wifi, RRS…) Sistemas de transporte Marítimo Virtualización de redes Seguridad en algoritmos Indicadores de información de seguridad Internet de las cosas Actualmente la ETSI organiza una semana abierta a foros presenciales (ETSI Security Week) para mejorar la ciberseguridad de las implantaciones con TC CYBER, realizada del 17 al 21 de junio, cada año, en las cuales se tratan temas Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 32 Escuela Politécnica Superior de Jaén como: Análisis de ciberseguridad, Políticas de ciberseguridad, Inteligencia artificial y ciberseguridad entre otros. [17] 2.4.1 Ventajas Este marco de ciberseguridad también esta enlazado y hace referencia a la solicitud de incidentes de riesgos de vulnerabilidades basados en las normas Europeas RGPD, en el cual mediante la base legal y de notificación de una agencia nacional publica, se estipulan los mismos requisitos que esta, ya que la idea de TC CYBER es no duplicar requisitos que ya son solicitados por alguna entidad legal del país donde se aplicara el framework, esto permite la optimización de procesos y gestión de vulnerabilidades, ya que la empresa estará obligada a regularse por su estancia legal ( dependiendo el país) y a su preferencia el marco de ciberseguridad, evitando la solicitud duplicada de requisitos.[17] Estipula también una serie de métricas de incidentes clasificadas, la cual permite medir la eficiencia de los controles asignados en la organización, obteniendo un análisis detallado en cuestión del estado de la seguridad informática en la organización. El framework de la subdivisión del ETSI, se basa en las siguientes claves de solución al inconveniente de la ciberseguridad: Privacidad mediante el diseño: se debe establecer desde el diseño del software, las medidas de seguridad, controles y riesgos que acarrea el diseño del software, de esta manera se garantiza efectividad en el programa informático sin afectar mayoritariamente el presupuesto económico. Relacionando normas para la protección de datos personales obtenidos en primera fase. Intercambio de información: Se deben estipular canales de comunicación en dos vías con los medios públicos de ciberseguridad para enlazar procesos y evitar vulnerabilidades. Actualmente TC CYBER está preparando una estandarización para intercambio de información y amenazas cibernéticas. Estadísticas y métricas: Mediante la generación de información estadística, se estipulará bases en los tipos de ataque o vulnerabilidades expuestas Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 33 Escuela Politécnica Superior de Jaén frecuentemente. Todo esto genera un valor de calidad a la organización, llevando a cabo indicadores que midan su efectividad en el ámbito de ciberseguridad. Protección de la tecnología: En esta fase, TC CYBER establece mejoras para el ámbito global de la tecnología, ya que realiza foros de desarrollo con fabricantes, teniendo en cuenta la ciberseguridad como pilar de implementación. Por lo cual genera estándares actualizados y congruentes con las nuevas tecnologías que alguna empresa pueda adquirir. Su base parte de ir un paso al lado de la fabricación de nuevos dispositivos con nuevos tipos de comunicación o infraestructura tecnológica. [17] 2.4.1 Estándares Conociendo que el TC CYBER es un departamento dedicado a la ciberseguridad de varios temas en énfasis, enmarca varios documentos de estandarización para cada tipo de tema, en el cual se basa en la referencia de documentos técnicos TR103, mostrando algunos estándares en la tabla 2, expuesta a continuación: Estándar Nombre TR 103 421 Defensa de puerta de enlace TR103 306 Ecosistema global de ciberseguridad TR 103 305‐1 Controles de seguridad critica en cyberdefensa ‐ Controles TR 103 305‐2 Controles de seguridad critica en cyberdefensa ‐ Auditoria TR 103 305‐3 Controlesde seguridad critica en cyberdefensa ‐ Implementaciones del servicio TR 103 305‐4 Controles de seguridad critica en cyberdefensa ‐ Mecanismos de Facilitación TR 103 331 Intercambio estructurado de informacion sobre amenazas TR 103 304 Protección de la información de identificación personal (IIP) en servicios móviles y en la nube Tabla 2. Algunos estándares de TC CYBER. Tomado de [16] Definiendo también los últimos estándares asignados por ETSI y su departamento de ciberseguridad [17]: TR 103 456: Implementación de la red y seguridad de la información. En la cual se basa la implementación general de los demás marcos descritos. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 34 Escuela Politécnica Superior de Jaén TS 103 458, TS 103 532: Criptografía para el control de acceso e información personal cifrada. TR 103 570: Intercambios de claves de seguridad Quantum Safe De acuerdo con esto, la ETSI estipula junto con el TC CYBER medidas y controles como framework de ciberseguridad de manera independiente mediante diferentes áreas estipuladas, ya que se puede especificar que lineamiento se desea certificar, teniendo en cuenta sus ramas, a continuación, descritas: Ecosistemas de ciberseguridad Protección personal de datos y comunicación Ciberseguridad en infraestructuras criticas Actividades forenses Soporte legal Internet de las cosas (seguridad y privacidad) Ciberseguridad empresarial y personal Herramientas de ciberseguridad Criptografía quántica segura Al estipularse un debido estándar, este se hace de manera independiente de las demás ramas, por consecuente al revisar las acciones de framework de la TC CYBER se encuentran varios documentos referenciando sus medidas y mejoras para determinada área a aplicar en una empresa. [17] 2.5 COBIT El framework de ciberseguridad COBIT 5 (última versión actual), según sus silgas en inglés: “Control Objetive for Information and Related Tecnologies”, es un estándar basado en la gestión de tecnología, gobernanza y seguridad. Fue estipulado por la Asociación y control de sistemas de información ISACA, generando el desarrollo de metodologías para las auditorias informáticas, presentando a su vez el marco COBIT con acceso a su variada documentación de manera gratuita mediante su página web oficial. Además, cuenta con la fase de entrenamiento para el framework, por lo cual Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 35 Escuela Politécnica Superior de Jaén genera la capacitación y culminación de auditores de seguridad para enfocados en dicho marco. [18] Su función principal, es ayudar a las organizaciones a enfocarse en la seguridad de la información teniendo en cuenta procesos estipulados en el marco fusionados con el modelo de negocio de cada organización. A razón de esto, sus principios de implementación son: Satisfacer las necesidades de la organización, en cuanto ciberseguridad se refiere. Enmarcar todos los procesos de la organización basados en tecnología, cubrirla de extremo a extremo. Aplicar un marco de referencia único. Enfocar sus detalles en cada punto de un proceso mediante la continua implementación, sin perder el objetivo de la organización. Separar el gobierno de la gestión. [18] COBIT se divide en dos fases: Gobernanza y Gestión, basando sus objetivos en: la primera se garantizaría que las necesidades estipuladas se evalúen para acordar objetivos equilibrados en la organización, se prioriza la toma de decisiones y se revisa en un proceso “cara a cara” lo implementado contra lo acordado inicialmente, en la segunda fase, se estipula, evalúa, dirige y supervisa las actividades que se establecen en la gobernanza, en la cual el CEO (director ejecutivo) se encarga de comprobar estos procesos. Esto genera un proceso de monitorización organizacional para las fusionando las dos fases para alcanzar los objetivos de la empresa. Para entender un poco más sobre la diferencia de estas dos fases, se estipula en la ilustración 4, mostrada a continuación, los procesos en cada fase: Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 36 Escuela Politécnica Superior de Jaén Ilustración 5. Gobernanza y Gestión COBIT 5. Tomada de [19] Denotado anteriormente las dos fases estipulan dos partes diferentes pero conjuntas de la norma COBIT, en la cual las dos son aparte, pero se complementan para implementar la gestión debida del marco de ciberseguridad, realizando evaluaciones, orientaciones y supervisiones basadas en la planificación, construcción y ejecución de los procesos relacionados a TI. 2.5.1 Ventajas Una de las prioridades de COBIT 5 es su implementación de metas en cascada, donde se establecen prioridades y procesos consecuentes lineales para evadir cualquier faltante en la implementación del mismo. Algunas de sus otras ventajas son: Establece objetivos relevantes en varios niveles de responsabilidad, creando compromiso del proceso con el responsable. Asigna prioridades para la mejora y calidad de los procesos del gobierno de TI en la organización, teniendo como base las metas corporativas del negocio. Permite la evolución de procesos mediante metas corporativas, metas de TI y metas de auditoria. Puede ser utilizado para procesos diferentes a TI, siendo enfoque en informática, puede afianzarse a procesos de la empresa relacionados con el manejo de información estipulándola como activo. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 37 Escuela Politécnica Superior de Jaén Se puede implementar y fusionar con otros estándares de información y calidad, tales como ISO/IEC 31000, COSO, ISO/IEC 9000, ITIL entre otros. Emplea un módulo de habilitador (factor) llamado: cultura, ética y comportamiento, en los cuales se le da importancia al ente humano en la organización, definido como un factor de éxito latente en el marco de ciberseguridad. Su objetivo principal es cumplir las metas establecidas en la organización, sin importar el camino que se estipule para ello, esto quiere decir que su implementación es personalizada cubriendo los alcances de gobierno y gestión [18]. 2.5.2 Implementación Se desarrolla la implementación de COBIT 5 teniendo en cuenta los aspectos anteriormente mencionados de manera global, en los cuales enmarca funciones, procesos y complementos TI de la organización para su implementación y adecuación según el marco de ciberseguridad. Se gestiono este marco para ayudar a las organizaciones a establecer un estándar de buena gestión. Todo esto va apoyado de retos tanto humanos, tecnológicos y de procesos que se deben superar para aplicar el marco de seguridad, mediante el cual ISACA ha creado una guía de implementación y ayuda gratuita para ayudar a las empresas a su implementación [20]. Esto genera un índice de labor, colaborando con las empresas para inicializar el proceso de implementación. En la ilustración 5, se muestra el proceso cíclico de implementación de la norma COBIT 5 para un caso global: Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 38 Escuela Politécnica Superior de Jaén Ilustración 6. Implementación COBIT 5. Tomada de [20] En la anterior ilustración se detalla el enfoque cíclico que contiene la implementación del COBIT 5, asignado por la guía que la misma norma proporciona [20]. Estableciendo de manera detallada las fases por las cuales la implementación de la norma debe pasar en la organización y la solución de la actividad global a desarrollaren cada parte de su adaptación. Como se muestra en la Ilustración 5, instaura tres fases en cada parte de su desarrollo, la gestión del programa, la cual refiere la tarea global a implementar en esta fase, la habilitación del cambio: establece una actividad de mejora en cada suceso del proceso que conlleve a desarrollar el objetivo de la fase y por último, el ciclo de vida: la cual se define para auditar cada fase correspondiente a su implementación. Todas estas y cada una de las fases generan procesos adicionales y de cambio continuo, los cuales la empresa debe gestionar y realizar para la implementación del framework, la ejecución de cada fase puede ser demorada en algunos casos, ya que requerirá cambios inesperados conllevados por otro proceso, siendo siempre el objetivo de dar solución a cada fase de desarrollo COBIT 5. [20] Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 39 Escuela Politécnica Superior de Jaén 2.6 HITRUST CSF La empresa privada “Health Information Trusth Alliance HITRUST” originaria de los Estados Unidos de America EEUU, estableció y desarrollo el marco de ciberseguridad llamado: Marco común de seguridad, o como lo establece sus siglas en inglés : Common Security Framework (CSF), establecido para las organizaciones de la salud enfocado en procesos de tecnología, enfocándose en que estas organizaciones cumplan con los requisitos de gestión de la información en lo que a informática corresponde brindando una seguridad estable al activo. Su aplicabilidad es detalladamente al ámbito de la salud, aunque puede ser implementado por empresas de diferente sector, teniendo una aplicación global sin importar el modelo de negocio. El enfoque de estandarización de esta norma, utiliza y se basa en otros framework de seguridad, en los cuales influye los anteriormente vistos en este documento: COBIT, NIST, PCI, ISO y algunos otros de gran importancia como lo son: HITECH (Tecnología de información de saludo para la salud clínica y económica), Comisión Federal de comercio FTC y asemeje también al cumplimiento de la norma local de Estados unidos como lo es: La Ley de Portabilidad y Responsabilidad de seguros de la salud HIPAA y leyes estales. La implementación del CSF se basa y se personaliza dependiendo el tamaño de la organización, siendo equivalente a: mayor es la organización, mayores controles se deben implementar. Además, se basa en el riesgo de la información de la empresa, para establecer sus controles y procesos teniendo clara la estabilidad de la seguridad en cada fase a implementar y evaluando la implementación de la misma. El objetivo básico para cumplimentar todos los procesos estipulados con CSF, es la disponibilidad de que genera el marco de seguridad en su claridad y efectividad de la norma, utilizando e implementando los otros frameworks a su vez de forma continua, este framework CSF se basó en los requisitos que inicialmente especificaba los anteriores marcos mencionados, de tal forma que mejoro sus requisitos de seguridad para establecer los requerimientos que realmente debe cumplir y evaluar la empresa que optimice sus procesos de la tecnología de información con este marco CSF [16]. Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 40 Escuela Politécnica Superior de Jaén 2.6.1 Ventajas Dentro de su implementación en la organización, el marco de ciberseguridad CSF incluye tres grandes ventajas: Reducción de costos: La implementación del marco garantiza la efectividad de la gestión de cumplimiento de procesos objetivos referentes a la norma, persiguiendo siempre soluciones efectivas de seguridad de la información, en el cual el marco brinda a su vez procesos de evaluación aplicando mejoras continuas y constantes, por tal caso esta adecuación de procesos conlleva a reducir costos ineficientes o innecesarios para las empresas en su implementación. Gestión de riesgo: Las empresas gestionaran sus riesgos de manera más eficiente y mitigando a su vez los mismos para generar procesos de la información más seguros, mediante políticas de seguridad de la información establecidas en marcos de ciberseguridad en los que se basa CSF. Cumplimiento: Mediante la implementación a su vez de otros marcos o normas internacionales, la organización se suple de obtener evaluaciones positivas correspondientes a la seguridad de la información, ayudados en las normas legales de Estados unidos [21]. Además, obtener una certificación HISTRUST CSF establece otra ventaja, tales como: Competitividad: al obtener la certificación como empresa en el marco CSF, se estipulan beneficios de negocio para la organización, ya que obtener este sello de calidad en la seguridad de la información, puede afianzar contactos económicos sostenibles para la modalidad de negocio de la empresa. Por consecuente en elección de proveedores, las empresas revisan y dan prioridad a la obtención de esta certificación. Reducción de tiempo: al implementar este marco, estando basado en múltiples marcos de seguridad, se establece requisitos conjuntos para dar respuesta a los riesgos y demás factores negativos de seguridad, por consiguiente, se logra ahorrar tiempo en auditorias, ya que se mezcla una Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 41 Escuela Politécnica Superior de Jaén relación de muchos requisitos, en los cuales el proceso de implementación puede ser mayor, pero es más eficaz al momento de evaluar. Mejora en seguridad: La implementación del marco de seguridad CSF es más exhaustiva, en el cual el proceso de inicialización para medir riesgos y demás factores, es más complejo, abarcando detalles como registro de eventos, retención de datos entre otros. Establece un ámbito se escaneado inicial más amplio detallada, pero al final se verá reflejado en seguridad y efectividad todos los procesos [21]. 2.6.2 Controles El marco de seguridad CSF establece catorce (14) controles en los cuales establece cuarenta y nueve (49) objetivos de control. Establece los siguientes controles: 0.Information Security Management Program - Programa de Gestión de la Seguridad de la Información 1. Access Control – control de acceso 2. Human Resources Security – Seguridad de los recursos humanos 3. Risk Management – Gestión de los riesgos 4. Security Policy – Política de seguridad 5. Organization of Information Security – Organización de la seguridad de la información 6. Compliance - cumplimiento 7. Asset Management - Gestión de activos 8. Physical and Environmental Security -Seguridad física y ambiental 9. Communications and Operations Management – Gestión de comunicaciones y operaciones 10. Information Systems Acquisition, Development and Maintenance – Adquisición, desarrollo y mantenimiento de sistemas de información Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de una empresa basado en el marco de trabajo del NIST 42 Escuela Politécnica Superior de Jaén 11. Information Security Incident Management – Gestión de incidentes de seguridad de la información 12. Business Continuity Management – gestión de la continuidad del negocio 13. Privacy Practices – prácticas de privacidad El énfasis del control cero (0) se realiza para obtener un estimado de la organización y sus riesgos en seguridad de la información. Por medio se puede obtener identificación de objetivos y metas para lograr la aplicación del estándar CSF. Cada control tiene a su vez estos parámetros: Especificación del control: se refiere a las políticas o directrices tanto administrativas como técnicas para llegar al objetivo de control. Riesgo: listado de detalles organizacionales y regulatorios