Cifrado de Datos
Hablemos de Cifrado de Datos El cifrado de datos es codificar información para que solo las partes autorizadas puedan descifrarla y acceder al contenido original. Esto ayuda a proteger la información frente a un tercer interceptor ya que niega el contenido inteligible sin necesidad de mantenerlo fuera del alcance. El cifrado ofrece una forma más segura de transferir y almacenar los datos, mejorando así la protección de los mismos. Por razones técnicas, un esquema de cifrado suele usar una clave de cifrado pseudoaleatoria generada por un determinado algoritmo. Aunque se puede entender el mensaje sin tener la clave, un buen sistema de encriptación necesita muchos recursos y habilidades para descifrarlo. Por lo tanto, poca gente podría hacerlo. Un destinatario autorizado puede leer un mensaje fácilmente con la clave del emisor, pero no los no autorizados. Históricamente, se han utilizado diversas formas de encriptación para ayudar a la criptografía. Las primeras técnicas de cifrado se utilizaban en la mensajería militar. Desde entonces han surgido nuevas técnicas que se han convertido en habituales en todos los ámbitos de la informática moderna. Actualmente, los esquemas modernos de encriptación utilizan los conceptos de clave pública y clave simétrica. Además, las técnicas modernas de encriptación garantizan la seguridad debido a que las computadoras de hoy en día son ineficaces para descifrar la encriptación. Tomado de https://www.innovaciondigital360.com/big-data/que-es-el-cifrado-de-datos/ Para qué sirve el cifrado de datos Sirve para proteger la información sensible y confidencial que se transmite o almacena en dispositivos electrónicos o en redes de comunicación. Su función principal es convertir los datos originales en un formato ilegible, conocido como texto cifrado, utilizando un algoritmo y una clave criptográfica. Este proceso garantiza que solo las personas autorizadas, que posean la clave adecuada, puedan acceder a la información y descifrarla nuevamente a su forma original. De esta manera, se evita que terceros no autorizados puedan acceder, leer o manipular los datos protegidos. El cifrado de datos se aplica en diversas situaciones para asegurar la privacidad y seguridad de la información. En las comunicaciones en línea, como correos electrónicos y mensajes instantáneos, el cifrado protege el contenido de los mensajes durante la transmisión. En el ámbito financiero, garantiza que las transacciones en línea, como compras y transferencias bancarias, sean seguras y resguardadas contra posibles robos de información. Además, el cifrado es fundamental para proteger los datos almacenados en dispositivos como computadoras, teléfonos inteligentes, unidades USB y servicios en la nube. En entornos corporativos, el cifrado asegura que la información sensible de las empresas esté protegida contra accesos no autorizados, previniendo el robo de secretos comerciales y datos estratégicos. Asimismo, en el ámbito gubernamental y militar, el cifrado es crucial para proteger la información clasificada y estratégica de los gobiernos y fuerzas armadas. El cifrado de datos protege la información que se envía entre un navegador y un servidor. Se utiliza tanto por usuarios individuales como por grandes empresas. La información puede ser de pagos o personal y confidencial. Se utiliza un software de cifrado o una clave para desarrollar un esquema de cifrado. En teoría, este esquema puede deshacerse con mucha potencia informática. Beneficios del cifrado de datos Con más y más organizaciones moviéndose a entornos híbridos y multinube, aumentan las preocupaciones sobre la seguridad de la nube pública y la protección de datos en entornos complejos. El cifrado de datos en toda la empresa y la gestión de claves de cifrado pueden ayudar a proteger los datos en las instalaciones y en la nube. Los proveedores de servicios en la nube (CSP) pueden ser responsables de la seguridad de la nube, pero los clientes son responsables de la seguridad en la nube, especialmente la seguridad de los datos. Los datos confidenciales de una organización deben protegerse y, al mismo tiempo, permitir que los usuarios autorizados realicen sus funciones laborales. Esta protección no solo debe cifrar los datos, sino que también debe proporcionar funciones sólidas de gestión de claves de cifrado, control de acceso y registro de auditoría. Las soluciones robustas de cifrado de datos y gestión de claves deben ofrecer: Una consola de administración centralizada para el cifrado de datos y las políticas y configuraciones de claves de cifrado Cifrado a nivel de archivo, base de datos y aplicación para datos locales y en la nube Controles de acceso basados en roles y grupos y registro de auditoría para ayudar a abordar el cumplimiento Procesos automatizados de ciclo de vida de claves para claves de cifrado locales y en la nube Tomado de https://www.ibm.com/mx-es/topics/encryption Existen varios métodos de cifrado diferentes, cada uno desarrollado teniendo en cuenta diferentes necesidades de seguridad y protección. Los dos tipos principales de cifrado de datos son el cifrado asimétrico y el cifrado simétrico. Métodos de cifrado asimétrico: El cifrado asimétrico, también conocido como criptografía de clave pública, cifra y descifra los datos utilizando dos claves asimétricas criptográficas independientes. Estas dos claves se conocen como “clave pública” y “clave privada”. Métodos comunes de cifrado asimétrico: RSA: RSA, que lleva el nombre de los científicos informáticos Ron Rivest, Adi Shamir y Leonard Adleman, es un algoritmo popular que se utiliza para cifrar datos con una clave pública y descifrarlos con una clave privada para una transmisión segura de datos. Infraestructura de clave pública (PKI): PKI es una forma de gestionar las claves de cifrado mediante la emisión y gestión de certificados digitales. Métodos de cifrado simétrico: El cifrado simétrico es un tipo de cifrado en el que solo se utiliza una clave simétrica secreta para cifrar el texto sin formato y descifrar el texto cifrado. Métodos comunes de cifrado simétrico: Estándares de cifrado de datos (DES): DES es un algoritmo de cifrado de bloques de cifrado de bajo nivel que convierte texto sin formato en bloques de 64 bits y los convierte en texto cifrado utilizando claves de 48 bits. Triple DES: Triple DES ejecuta el cifrado DES tres veces diferentes cifrando, descifrando y luego cifrando los datos nuevamente. Estándar de cifrado avanzado (AES): AES a menudo se conoce como el criterio de referencia para el cifrado de datos y se utiliza en todo el mundo como el estándar del gobierno de EE. UU.
Políticas de Seguridad
Hablemos de la Política de Seguridad La política de seguridad de información es el documento en el que una empresa define los lineamientos generales para proteger la información y minimizar los riesgos que pudieran afectarla. La debe cumplir todo el personal relacionado con la empresa. Así se asegura la integridad, disponibilidad y privacidad de las infraestructuras informáticas y de la información que contienen. Las políticas de seguridad informática son declaraciones formales de las reglas que debemos cumplir las personas que tenemos acceso a los activos de tecnología e información de una organización Se conjuntan en un documento madre del que se desprenden los demás (por ejemplo de aquí se desprenden la política de desarrollo seguro, procedimiento para la gestión de incidentes, plan de continuidad del negocio, plan de recuperación ante desastres, entre otros). Es por ello que es uno de los más importantes para cumplir con ISO 27001 y con normativas y regulaciones de seguridad, porque es donde declaras, a modo general, todas las medidas que pretendes tomar para resguardar tu información. En resumen, en la política de seguridad de la información se definen las medidas e intenciones de tu empresa a alto nivel. Esta es la definición según la RFC 2196 del Internet Engineering Task Force (IETF) de 1997 Existen dos grupos principales de políticas de seguridad informática: Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y prácticas que pueden poner en riego los sistemas y la información, como, por ejemplo: abrir archivos o enlaces sospechosos, compartir contraseñas o utilizar redes Wi-Fi abiertas. Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel de protección y seguridad. Por ejemplo: Cifrar archivos sensibles Implementar copias de respaldo Usar contraseñas y renovarlas de forma periódica Usar VPN Instalar software antivirus y antimalware ¿Cómo hacer la política de seguridad de la información? Hay distintas políticas de seguridad informática en las empresas según los objetivos y prioridades de esta. Sin embargo, todas las buenas políticas de seguridad informáticas tienen en común estas características: Concretas: tienen que poderse implementar a través de procedimientos, reglas y pautas claras. Claras: tienen que definir de forma clara las responsabilidades y obligaciones de los distintos tipos de usuarios: personal, administradores y dirección. Obligatorias: su cumplimiento tiene que hacerse respetar, mediante herramientas de seguridad o sanciones. El Instituto Nacional de Ciberseguridad, INCIBE (en España), pone a disposición en su página web ejemplos de las principales políticas de seguridad informática para una Pyme. La definición de una política de seguridad debe estar basada en una identificación y análisis previo de los riesgos a los que está expuesta la información y debe incluir todos los procesos, sistemas y personal de la organización. Además, tiene que haber sido aprobada por la dirección de la organización y comunicada a todo el personal. Se debe comenzar por: 1. Definir el objetivo, alcance y vigencia 2. Definir los responsables 3. Especificar la autoridad de emisión, revisión y publicación 4. Definir las medidas de seguridad “Reglas de aplicación” 5. Estrategia para comunicar la política a los empleados 6. Como se planea actualizar y revisar continuamente En este sentido, algunas áreas e políticas de seguridad informática que deben ser tocadas son: Pautas de compras de tecnologías y contratación de servicios Privacidad en el uso de herramientas de trabajo. Acceso y autenticación de usuarios y la definición de derechos y privilegios. Responsabilidad de los distintos tipos de usuarios. Disponibilidad de sistemas y recursos. Notificación de violaciones y brechas de seguridad. En el documento de la política de seguridad, el cuerpo normativo de seguridad de la información de una organización, debe constar principalmente de las siguientes políticas y procedimientos: Buenas prácticas El documento de “buenas prácticas de Seguridad de la Información”, puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc. Debería recoger, entre otras cosas, el uso aceptable de los sistemas y la información por parte del personal, las directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas entre otras Procedimiento de control de accesos Recoge las medidas técnicas y organizativas relacionadas con los permisos de acceso a las instalaciones y sistemas que albergan la información de la organización, así como el acceso a la propia información. Los controles de acceso pueden ser físicos o lógicos y algunos ejemplos de ellos son: Controles de acceso físico Mecanismos y sistemas implementados para controlar el acceso de personas a las instalaciones de la organización como, por ejemplo: barreras, cámaras, alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros ejemplos de controles de acceso físico son también: albergar la información en armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no permita el acceso no autorizado a la información. Controles de acceso lógico Sistemas implementados para controlar el acceso de los usuarios a los distintos sistemas que albergan la información o el acceso a la propia información. Ejemplos de controles de acceso lógico son la implementación de un NAC (control de acceso de equipos y usuarios a la red), la configuración de permisos de lectura y escritura sobre los propios archivos de información, sistemas de login en los distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a través de una VPN, etc. Procedimiento de gestión de usuarios Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de información, así como para la concesión de los permisos de acceso tanto físicos como lógicos que deberían tener a las instalaciones, sistemas y a la propia información. Este procedimiento se debería basar y recoger una definición clara y concisa de los diferentes roles y responsabilidades de los usuarios, es decir, en función de los roles y responsabilidades del personal se le tendrían que conceder diferentes accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo. Procedimiento de clasificación y tratamiento
ISO 27001
Norma ISO 27001:2017 01 Esta norma esta orientada a Sistemas de Gestión de la Seguridad de la Información (SGSI). Esta norma recoge todos los requisitos necesarios con los que una organización o negocio deba contar para poder garantizar que su gestión de datos e información es segura. La ISO-27001:2017 es la versión de la norma actualmente vigente, por lo que en caso de que desee implantar en su organización un Sistema de Gestión de la Seguridad de la Información deberá hacerlo en base a los requisitos establecidos en esta versión. La versión ISO de la norma (2013) no se vio afectada por la publicación de 2017 y los cambios no introducen nuevos requisitos. En términos prácticos, muy poco ha cambiado entre los estándares ISO 27001 de 2013 y 2017, excepto por algunos puntos estéticos menores y un pequeño cambio de nombre. 02 Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de medidas y requisitos orientados a asegurar la protección de la información dentro de una organización frente a cualquier amenaza, como pueden ser ataques cibernéticos, malas prácticas de los propios empleados, intrusos o catástrofes naturales; a través de la aplicación de controles y el establecimiento de procedimientos de seguridad. 03 La norma ISO-27001 es un estándar certificable por una tercera parte independiente. Todo tipo de empresas, independientemente de su tamaño o sector, pueden implantar y certificar un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO-27001. La implantación de un Sistema de Gestión de la Seguridad de la Información según la norma ISO-27001 proporciona una serie de beneficios a la empresa: Prevenir o minimizar el riesgo de que produzca la pérdida o sustracción de información. Prevenir a la organización ante posibles sanciones legales derivadas de pérdida o mala gestión de la información. Establecer una política de seguridad de la información. Establecer controles que mejoren la gestión de la seguridad de la información. Proporciona un valor añadido a la empresa, diferenciándola respecto a la competencia. Aumentar la confianza de cara a clientes y proveedores, asegurando que su información será tratada con total confidencialidad. ISO-27001 exige una serie de requisitos imprescindibles: Desarrollar un Sistema de Gestión de la Seguridad de la Información de acuerdo a la norma ISO-27001. Recoger evidencias documentales de los procedimientos desarrollados, así como los registros asociados. Definir y comunicar una política de seguridad de la información. Desarrollar objetivos orientados a la mejora continua del sistema. Asegurar el compromiso de la dirección. Designar un responsable del Sistema de Gestión De la Seguridad de la Información. Realizar una evaluación de riesgos de seguridad de la información. Llevar a cabo un proceso de tratamiento de los riesgos. Listado del conjunto de normas que integran la norma 27001 ISO 27001:2013GUÍA DE IMPLANTACIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN Aspectos clave del diseño e implementación del ISO 27001 Sistema de Seguridad de la Información (SGSI) Norma ISO 27001:2013 para fines didácticos Documentos que ayudaran a la implementación y compresión de la Norma 27001 Solo con fines didácticos, aquí están las normas ISO 27001 ISO – IEC 27001 En español edición 2005 ISO – IEC 27001 Edición 2022 ISO – IEC 27002 Edición 2013 ISO – IEC 27003 Edición 2017 ISO – IEC 27004 Edición 2016 ISO – IEC 27005 Edición 2022 ISO – IEC 27006 Edición 2015 ISO – IEC 27006-2 Edición 2021 ISO – IEC 27007 Edición 2020 ISO – IEC 27008 Edición 2019 ISO – IEC 27009 Edición 2020
NIST-CSF
NIST CFS 2.0 01 El NIST CSF (marco de ciberseguridad) es un conjunto de pautas para organizar y mejorar el programa de ciberseguridad de una organización. Fue creado con la intención de tener un marco que evolucionara con el panorama de amenazas en evolución y sirviera como una guía para que las organizaciones protegieran sus activos e información frente a amenazas emergentes. NIST CSF es un marco voluntario que se puede adoptar para administrar y reducir los riesgos cibernéticos. Si bien su objetivo es similar al de otras normas de seguridad internacionales como la ISO 27001, el enfoque es ligeramente diferente. Las pautas bajo NIST CSF se basan en 5 medidas básicas. Identificar: Identificar activos, riesgos, vulnerabilidades, estrategias para superar amenazas, etc. Proteger: implementar controles, procesos y procedimientos de seguridad para proteger los activos. Detectar: Monitorear y detectar incidentes y anomalías de seguridad. Responder: plan para responder a eventos de seguridad y mitigar daños. Recuperar: restaurar sistemas y planificar mejoras para evitar futuros incidentes. 02 El NIST CSF se creó por primera vez en 2014 en respuesta a una Orden Ejecutiva del Presidente de las Estados Unidos de América, que ordenaba una mayor seguridad cibernética de la infraestructura crítica de la nación. Desde entonces, el marco ha sido adoptado voluntariamente, o se ha exigido su adopción por regulaciones como la Ley de Educación del Estado de Nueva York 2-d, por organizaciones de todos los tamaños y en todas las industrias. El marco está organizado de acuerdo con cinco Funciones que definen las prácticas de alto nivel de cualquier programa de ciberseguridad: Identificar, Proteger, Detectar, Responder y Recuperar. Dentro de esas cinco funciones hay un total de 108 “subcategorías” o declaraciones discretas de tipo control que definen las prácticas que las organizaciones deben considerar al evaluar su propio programa de ciberseguridad. El NIST CSF está diseñado para ser independiente del proveedor y escalable. Tampoco es prescriptivo: el NIST CSF es una herramienta para usar, no una lista de verificación para seguir. NIST ha compartido varios cambios propuestos al CSF en un intento de hacerlo más útil y alineado con las mejores prácticas más recientes. Si bien se espera que la estructura central del NIST CSF permanezca igual, varios de los cambios propuestos son mejoras prometedoras para el marco. 03 Como se comento el NIST CSF nace de la orden ejecutiva del Presidente de los estados Unidos de América Executive Order (EO) 13636, Improving Critical Infrastructure Cybersecurity (Feb. 12, 2013) 04 Actualización a Febrero 2024 El marco de ciberseguridad (CSF) del NIST ahora apunta explícitamente a ayudar a todas las organizaciones, no solo a aquellas en infraestructura crítica, su público objetivo original, a gestionar y reducir los riesgos. NIST actualizó la guía principal del CSF y creó un conjunto de recursos para ayudar a todas las organizaciones a alcanzar sus objetivos de ciberseguridad, con mayor énfasis en la gobernanza y las cadenas de suministro. Esta actualización es el resultado de un proceso de varios años de discusiones y comentarios públicos destinados a hacer que el marco sea más efectivo. La liga a esta actualización aqui Esta es una guia rapida del NIST CFS 2.0 Una forma de introducción al marco de referencia NIST es a traves de este documento Los conceptos para entender el marco NIST CFS Resumen inicial del análisis de las respuestas a la solicitud de información (RFI) NIST Instituto Nacional de Estándares y Tecnología NIST CSF Marco para la mejora de la seguridad cibernética en infraestructuras críticas SIte oficial del NIST – CFS Sitio de documentación del marco de referencia Documentación El sitio oficial del NIST contiene mucha información sobre herramientas y guías de aplicación Guias y herramientas Traducción al español del NIST CSF v 1.1
Endurecimiento
Endurecimiento de los sistemas – Hardening* El endurecimiento de los sistemas sienta las bases de una infraestructura informática segura, algo así como “limpiar la casa” antes de introducir todas las herramientas y protocolos más avanzados que conforman una estrategia de seguridad total. *Tomado de ninjaOne ¿Qué es hardening? El endurecimiento de los sistemas se refiere a las herramientas, los métodos y las mejores prácticas utilizadas para reducir la superficie de ataque en la infraestructura tecnológica, incluyendo el software, los sistemas de datos y el hardware. El objetivo del endurecimiento de los sistemas es reducir el “perfil de amenaza” general o las áreas vulnerables del sistema. El endurecimiento de los sistemas implica la auditoría metódica, la identificación y la corrección de las posibles vulnerabilidades de seguridad en toda la organización, a menudo haciendo hincapié en la adaptación de diversos ajustes y configuraciones por defecto para hacerlos más seguros Con el endurecimiento del sistema, el objetivo es eliminar tantos riesgos de seguridad como sea posible. Al minimizar la superficie de ataque, los agentes maliciosos tienen menos medios de entrada o puntos de apoyo potenciales para iniciar un ciberataque. ¿Cuáles son las ventajas del hardening? El endurecimiento de los sistemas es una función esencial tanto para la seguridad como para el cumplimiento, y una parte crucial de una estrategia más amplia de seguridad de la información. El beneficio más claro del endurecimiento de los sistemas es la reducción del riesgo de ciberataques y del tiempo de inactividad y las sanciones reglamentarias asociadas. Desde el punto de vista de la seguridad, el endurecimiento del sistema es una excelente prioridad que debe adoptarse antes o junto a la implantación de soluciones de seguridad como las herramientas EDR. Al fin y al cabo, utilizar este tipo de soluciones en sistemas mal configurados es como instalar rejas en las ventanas y cámaras de seguridad en una casa, pero no cerrar la puerta trasera. Independientemente de lo avanzadas que sean las herramientas de seguridad, es probable que un sistema no reforzado siga teniendo vulnerabilidades que permitan eludir estas medidas. El endurecimiento del sistema debe considerarse a lo largo de todo el ciclo de vida de las TI, desde la instalación inicial, pasando por la configuración, el mantenimiento y hasta el final de la vida útil. El endurecimiento de los sistemas también es un mandato de los principales marcos de cumplimiento, como PCI, DSS e HIPAA. 5 tipos de hardening Aunque la definición de endurecimiento del sistema se aplica a toda la infraestructura de TI de una organización, hay varios subconjuntos de la idea que requieren diferentes enfoques y herramientas. 1) Hardening de la red 2) Hardening del servidor 3) Hardening de la aplicación 4) Hardening de la base de datos 5) Hardening del sistema operativo ¿Cuáles son las mejores prácticas de hardening en 2022? Comience con la planificación de su enfoque para el endurecimiento de los sistemas. El endurecimiento de toda una red puede parecer desalentador, por lo que la creación de una estrategia en torno a los cambios progresivos suele ser la mejor manera de gestionar el proceso. Priorice los riesgos identificados en su ecosistema tecnológico y utilice un enfoque gradual para abordar los defectos en un orden lógico. Aborde la aplicación de parches y la actualización de inmediato. Una herramienta de gestión de parches automatizada y completa es esencial para el endurecimiento de los sistemas. Este paso suele ser muy rápido y contribuye en gran medida a cerrar los posibles puntos de entrada. Proceso de Server Hardening: 9 pasos Un proceso de Server Hardening contiene muchas acciones que deben llevarse a cabo. No es necesario que se realicen en un orden determinado, pero cada paso debe completarse para garantizar que su servidor está reforzado y seguro contra los ciberataques. Ubicación segura del servidor Controlar los permisos de acceso Configura tu firewall Coloca tu servidor en un lugar seguro. Comprueba que los ajustes son ideales (temperatura, proximidad, etc.) y que la zona está cerrada y restringida sólo al personal autorizado. Instaurar el “principle of least privilege” es una forma eficaz de verificar que los sistemas, programas, configuraciones y otras operaciones importantes sólo sean accesibles para quienes los necesitan. Al limitar el acceso a la tecnología y a las operaciones más críticas de la empresa, se crea una capa adicional de seguridad que hace menos probable un compromiso del servidor. Un firewall es una barrera establecida para separar la red informática de cualquier fuente externa, y es un sistema de seguridad para su red informática que supervisa el tráfico entrante y saliente. Configurar el firewall es una forma inteligente de supervisar el tráfico dentro de la red y bloquear el tráfico no deseado procedente del exterior, lo que puede ayudar a evitar que los atacantes entren en la red en primer lugar. Gestionar las configuraciones Cuentas de usuario seguras Aplicar parches a las vulnerabilidades Hay múltiples tipos de configuraciones que gestionar en su entorno informático, como usuario, servidor, red y NTP (protocolo de tiempo de red). La gestión activa de estas diferentes configuraciones garantiza la coherencia en todos los sistemas que existen en su entorno informático. También te ayuda a obtener visibilidad de los sistemas en todo el servidor y a saber cómo influyen los unos en los otros. Proteje las cuentas de usuario de su servidor. Mantén los nombres de usuario y las contraseñas en privado, y hazlos fuertes y únicos. Además, considera el uso de MFA cuando sea posible para aumentar el nivel de seguridad. Aplica los parches de software tan pronto como puedas y asegúrate de que tu entorno informático se actualiza continuamente para garantizar la máxima seguridad. El software de servidor sin parches es fácilmente aprovechado por los ciberdelincuentes, así que asegúrese de instalar software actualizado para proteger esas vulnerabilidades. Para saber más sobre la aplicación efectiva de parches, lea sobre el proceso de gestión de parches. Eliminar el software innecesario Planificar una estrategia de respaldo Vigilar continuamente Mantén tu red ordenada eliminando el software y las aplicaciones que ya no utiliza. Los
ISACA – COBIT
ISACA 01 ISACA surgió en 1967 de un reducido grupo de personas con trabajos similares de auditoría de controles en sistemas informáticos que se estaban haciendo más críticos para las operaciones de sus organizaciones. Este grupo vio la necesidad de disponer de una fuente centralizada de información y orientación en este campo y se formalizó en 1969, instaurándose como la Asociación de Auditores de EDP (Electronic Data Process). En 1976, la asociación instituyó una fundación educativa para emprender iniciativas de investigación a gran escala que extendiesen el conocimiento y el valor en el ámbito del control y el gobierno de las TI. ISACA, anteriormente conocida como la Asociación de Auditoría y Control de Sistemas de Información®, ahora solo utiliza sus siglas para reflejar la amplia gama de profesionales de gobierno de TI a los que prestamos servicio. Hoy en día, las más de 165.000 personas que en todo el mundo están asociadas en ISACA se caracterizan por su diversidad. Estos profesionales residen y trabajan en más de 180 países, y desempeñan muy diversas ocupaciones profesionales relacionadas con las TI en las disciplinas de auditoría, riesgo, seguridad y gobierno de SI / TI, así como las de educadores, consultores y reguladores 02 COBIT (Control Objetives for Information and Related Technology) COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa. Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se estableció como un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc. La TI empresarial significa toda la tecnología y procesamiento de la información que una empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización. 03 COBIT sirve para proveer gobierno y gestión para la función de TI y hace una clara distinción entre estas dos disciplinas que abarcan distintos tipos de actividades, requieren distintas estructuras organizativas y sirven a diferentes propósitos. El gobierno asegura que: Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados. La dirección se establece a través de la priorización y la toma de decisiones. El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados. En la mayoría de las empresas, el gobierno en general es responsabilidad de la Junta Directiva o Consejo de Dirección bajo el liderazgo de su Presidente. Por su parte, la gestión tiene que ver con planificar, construir, ejecutar y monitorear actividades en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa. En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del director general ejecutivo (CEO). COBIT define los componentes para crear y sostener un sistema de gobierno: procesos, estructuras organizativas, políticas y procedimientos, flujos de información, cultura y comportamientos, habilidades e infraestructura, elementos conocidos en el modelo como Catalizadores. COBIT define los factores de diseño que deberían ser considerados por la empresa para crear un sistema de gobierno más adecuado y trata los asuntos de gobierno mediante la agrupación de componentes de gobierno relevantes dentro de objetivos de gobierno y gestión que pueden gestionarse según los niveles de capacidad requeridos. Tomado de Global Suite Para que la información y la tecnología contribuyan a los objetivos de la empresa, deberían alcanzarse una serie de objetivos de gobierno y gestión. Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo oscuro de la figura 1), mientras que un objetivo de gestión está relacionado con un proceso de gestión. Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante acciones que expresan el propósito clave y las áreas de actividad del objetivo que tienen: Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia. Los objetivos de gestión se agrupan en cuatro dominios: Alinear, Planificar y Organizar (APO) aborda la organización general, estrategia y actividades de apoyo para las I&T. Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de soluciones de TI y su integración en los procesos de negocio. Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de TI, incluida la seguridad. Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de TI con los objetivos de desempeño interno, los objetivos de control interno y los requerimientos externos En total el marco de trabajo considera 40 procesos, distribuidos en los 5 dominios, y cada proceso contiene una “caracterización del proceso” que incluye los siguientes componentes: Descripción y propósito general del proceso Encadenamiento con metas de negocio y metas de alineamiento (anteriormente conocidas como metas de TI) Métricas para medir el desempeño de las metas de negocio Métricas para medir el desempeño de las metas de alineamiento Prácticas de gobierno y/o gestión que forman parte del proceso y para cada una de ellas Métricas que permiten medir el desempeño de cada práctica de gobierno y/o gestión Actividades a realizar en cada práctica de gobierno y/o gestión y nivel de capacidad mínimo requerido Documentación relacionada (Estándares, Marcos, Requisitos de Cumplimiento) Matriz de roles de responsabilidad y rendición de cuentas Entradas y salidas de cada práctica
ITIL – Information Technology Infrastructure Library
ITIL 01 Information Technology Infrastructure Library – Biblioteca de Infraestructura de Tecnologías de Información. ITIL es una guía de buenas prácticas para la gestión de servicios de tecnologías de la información (TI). La guía ITIL ha sido elaborada para abarcar toda la infraestructura, desarrollo y operaciones de TI y gestionarla hacia la mejora de la calidad del servicio. ITIL es propiedad de Axelos y se comercializa en todo el mundo, pudiendo encontrar centros de certificación en diferentes ideamos y partes del mundo. 02 Los pilares de ITIL son los siguientes principios: Procesos, necesarios para la gestión de TI de acuerdo a la alineación de los mismos dentro de la organización. Calidad, entendida como la entrega a cliente del producto o servicio óptimos, es decir, incluyendo las características acordadas. Cliente, su satisfacción es el objetivo de la mejora de los servicios, siendo, por lo tanto el beneficiario directo de la implantación de las buenas prácticas de ITIL. Independencia, siempre deben mantenerse buenas prácticas a pesar de los métodos establecidos para cada proceso y de los proveedores existentes. Cabe destacar que, para enfocar ese camino hacia la calidad del servicio, es necesario contar con información fiable y segura, ya que es imprescindible que ésta sea completa y precisa para la toma de decisiones 03 ITIL v4 ITIL ha sido considerado durante mucho tiempo como la “biblia del Service Management”, es decir uno de los marcos de referencia más utilizados del mundo. Ha sido a principios de 2019 cuando se actualizó a la versión 4 de ITIL. Su lanzamiento ha sido necesario para la actualización de la Gestión de Servicios de TI, dado que la era tecnológica y de transformación digital en la que vivimos convierte la gestión de TI en un desafío cada vez más grande para adaptarse a las nuevas necesidades de las organizaciones. Esta cuarta versión responde a los nuevos enfoques de gestión de servicios e identifica Agile, DevOps y Lean como nuevas prácticas emergentes compenetradas con ITIL. Debido a su incisión en la entrega de servicios eficiente, ITIL se define como “Sistema de Valores de Servicio” (SVS). Estos valores son las actividades y componentes de las organizaciones que a través del trabajo conjunto crean valor. Estos valores pueden ser tanto para las organizaciones como para sus clientes y el resto de partes interesadas. Además de los procesos, ITIL v4 incluye diversas prácticas: Prácticas generales de gestión: estratégica, gestión de riesgos y de la mejora continua. Prácticas de gestión de servicios: Diseño / Transición / Operación del Servicio y Service Desk. Prácticas técnicas: modelos de servicios en la nube. A su vez, cada una de las estas prácticas se basa en cuatro dimensiones: Organización y personas, a través de una cultura y competencias corporativas. Información y tecnología, entendido como el conocimiento y la información existentes. Proveedores y socios, aquellas partes interesadas directamente involucradas en el servicio. Flujos de valor y procesos, creación de valor a través de la integración de todas las partes de la organización. Tomado de Global Suite Los procesos a implantar son los siguientes Prácticas generales de gestión Prácticas de gestión de servicios Prácticas de gestión técnica Gestión de la arquitectura Mejora continua Gestión de la seguridad de la información Gestión del conocimiento Medición y notificación Gestión del cambio organizacional Gestión de la cartera Gestión de proyectos Gestión de las relaciones Gestión de riesgos Gestión financiera de los servicios Gestión de la estrategia Gestión de Suministradores Gestión de la fuerza de trabajo y del talento Gestión de la disponibilidad Análisis de negocio Gestión de la capacidad y el rendimiento Control de cambios Gestión de incidentes Gestión de activos de TI Monitoreo y gestión de eventos Gestión de problemas Gestión de versiones Gestión de catálogos de servicios Gestión de la configuración del servicio Gestión de la continuidad del servicio Diseño del servicio Servicio de atención al cliente Gestión del nivel de servicio Gestión de peticiones de servicio Validación y prueba del servicio Gestión de la implementación Gestión de infraestructuras y plataformas Desarrollo y gestión del software ¿Para que sirve ITIL? El ITIL sirve para construir un entorno de TI estable y escalable, promoviendo una mejor prestación de servicios y atención al cliente. El objetivo principal del ITIL es asegurar una gestión eficaz de sus procesos y garantizar una buena experiencia a los clientes. Por lo tanto, tiene como objetivo entregar un trabajo que garantice calidad y satisfacción al cliente, satisfaciendo sus necesidades y ofreciendo un alto estándar de seguridad y confiabilidad. No existe una fórmula ideal para garantizar que tus procesos sean eficientes. Sin embargo, pueden hacerse algunas recomendaciones prácticas sobre el tema. Una de ellas es comprobar el grado de especialización de los colaboradores contratados, comprobando si cuentan con Certificación ITIL. Para conseguirla, el profesional debe realizar un examen ITIL, que no es más que una prueba ofrecida por instituciones autorizadas. Existen diferentes niveles de Certificación ITIL, que varían según el grado de complejidad. El ITIL Foundation, por ejemplo, se refiere al nivel básico. Por tanto, este examen ITIL analiza los conocimientos básicos de los profesionales, quienes deben conocer las prácticas, procesos, las terminologías utilizadas y los objetivos de la gestión de servicio. Los certificados de los niveles siguientes son el ITIL Practitioner y el ITIL Master. Al adoptar la metodología ITIL, se organizan los procesos y las actividades de los profesionales de ITIL y se definen de manera más clara los roles y el desempeño de todo el equipo. Por lo tanto, el equipo comprende mejor cómo establecer prioridades y enfocarse en ellas, sabiendo diferenciar más claramente lo urgente de lo que puede ser atendido más tarde. ¿Cómo se implementa? Identifique sus procesos actuales: todas las empresas funcionan en diferentes formas. Por eso, antes de hacer cualquier cambio, es importante que documente sus procesos actuales. Realizar análisis de brecha: observe la brecha entre su situación actual y lo que es necesario para cumplir los estándares de ITIL. Con herramienta de análisis de brecha de 20000Academy usted puede determinar con precisión qué es
Seguridad Informática
01 Seguridad TI? La seguridad informática, también conocida como ciberseguridad,1 es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo vinculado con la misma, y especialmente la información contenida en una computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas, y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información. Leer más En los últimos años, la seguridad informática se ha convertido en un tema de interés público. Tanto expertos en la materia como usuarios generales utilizan términos como “clave de usuario”, “contraseña (o password)”, “fraude informático”, “hacker”, etcétera. Hoy por hoy no solo es deseable, sino indispensable, tener conocimientos firmes relacionados con este tema, pues sin ellos el usuario de computadoras podría caer en un estado de ndefensión que ponga en peligro no solo su información o equipo, sino su propia integridad. Leer más Seguridad informática tienen como objetivo asegurar la confidencialidad, integridad y disponibilidad de la información, estos son llamados los tres pilares de la seguridad informática – CID La confidencialidad, que asegura que sólo las personas autorizadas tengan acceso a la información. La integridad, que salvaguarda la exactitud e integridad de la información y de los métodos de procesamiento. La disponibilidad, que asegura el acceso de los usuarios autorizados a la información y a los activos relacionados cuando es necesario. Existen autores que colocan un cuarto pilar llamado autenticación Existen autores que manejas 4 conceptos más que son: Eficacia ( satisface las necesidades del consumidor ), Eficiencia ( sí la información que satisface las necesidades ), Fiabilidad ( que se considera que es verdadera y creíble ) y Conformidad ( información debe ajustarse a unas especificaciones ). 02 Reglas Hablemos de estándares, protocolos, métodos, reglas, herramientas, y leyes Existen en el mercado diversos estándares que tratan de cubrir las áreas de protección de datos y la infraestructura de las empresas y negocios. Entre ellas podemos encontrar las normas ISO, BC, entre otras. Y existen marcos de trabajo, herramientas, procedimientos y mejores practicas para la implementación de estas normas 03 Algunas normas y marcos de trabajo Los marcos de trabajo son herramientas que sirven como referencia para llevar a cabo un buen gobierno corporativo, mediante el cual se planteen y ejecuten las estrategias pertinentes en torno a la gestión ideal de las tecnologías de la información (IT) La norma de seguridad de la información es la ISO 27001 1 Norama ISO 27001:2017 Se trata de la norma dedicada a Sistemas de Gestión de la Seguridad de la Información. Esta norma recoge todos los requisitos necesarios con los que una organización debe contar para poder garantizar que su gestión de datos e información es segura, asegurando su confidencialidad, integridad y disponibilidad. Leer más sobre ISO 27001 2 NIST Cybersecurity Framework (CSF) El Marco fue concebido bajo las premisas de identificarlas normas y directrices de seguridad aplicablesen todos los sectores de infraestructura crítica,proporcionando un enfoque flexible y repetible, quepermite la priorización de actividades y apunta aobtener un buen rendimiento de las infraestructuras,manteniéndose rentable para el negocio. Leer más sobre NIST-CSF 3 COBIT – ISACA Un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa. COBIT, un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) Leer más sobre COBIT 4 ITIL – Axelos Biblioteca de Infraestructura de Tecnologías de la Información (por sus siglas en inglés, Information Technology Infrastructure Library) Es una metodología que involucra una serie de buenas prácticas en la gestión de TI. Abarca la infraestructura del área, el mantenimiento y la operación de los servicios de TI. Su aplicabilidad incluye tanto a los sectores operativos como a los estratégicos. El ITIL sirve para construir un entorno de TI estable y escalable, promoviendo una mejor prestación de servicios y atención al cliente. Axelos es la propietaria de ITIL Leer más sobre ITIL 5 Otros estándares UNE – La Asociación Española de Normalización es el único organismo de normalización en España, designado por el Ministerio de Economía, Industria y Competitividad ante la Comisión Europea ISA – International Society of Automation. IEC – International Electrotechnical Commision. SO – International Organization for Standardization. NIST – National Institute of Standards and Technology. UAE National Electronic Secutiry Authority. API – American Petroleum Institute. AWWA – American Water Works Association. NERC – North american Electri Reliability Counci 04 Seguridad en hardware El objetivo es proteccion del hardware en categorias como Servidores Equipos de comunicación Equipos de escritorio Equipos portátiles El tema de endurecimiento es tocado en la siguiente sección “Endurecimiento” Leer más sobre Endurecimiento 05 Políticas de seguridad Este tema, por su importancia, debe tener un apartado especial ya que de esto depende toda la estructura de seguridad informática de un negocio o empresa Por esto hemos colocado todo un apartado aqui 06 Gestión de riesgos, evaluación de riesgos o análisis de riesgos Riesgo El riesgo es la posibilidad de que el resultado difiera de lo esperado . Generalmente, cuando hablamos de riesgo empresarial, nos referimos a posibles impactos y consecuencias negativos de un evento o decisión. En los negocios, siempre habrá un cierto grado de riesgo que cualquier organización deberá afrontar para alcanzar sus objetivos. En esencia, el riesgo es un requisito fundamental para el crecimiento, el desarrollo, las ganancias y la prosperidad. En una amplia gama de todas las industrias comerciales, incluida la atención médica, las finanzas, la contabilidad, la tecnología y la cadena de suministro , los riesgos gestionados eficazmente brindan caminos hacia el éxito. Pero como cualquier camino, es necesario conocer todos los recovecos, desvíos y peligros que se encuentran en el camino. Aunque los riesgos son parte de hacer negocios, debemos encontrar formas de identificarlos y gestionarlos de manera rápida y efectiva, ya que a menudo pueden surgir de la nada, creando