CSX por dentro (II) – Introducción a la Ciberseguridad

Dado que tenemos reciente nuestra certificación en CSX, queremos aprovechar el post de hoy para continuar con la serie de posts sobre la certificación CSX que ya introducimos unos meses atrás.

Con esta serie de post, queremos animaros a los indecisos a que os lancéis con esta certificación de cara a poder certificar vuestros conocimientos en ciberseguridad y ayudar a todos los que estén interesados en certificarse.

Esta serie de post son un apoyo en castellano al material original (en inglés) que podéis encontrar en las guías de estudio oficiales ISACA.

Por último, el examen se hace online desde tu propia casa, bajo la atenta mirada de un monitor de la plataforma online.

Hoy vamos a hablar del primer capítulo del temario: introducción y visión general a la Ciberseguridad, formado por los siguientes puntos:

  • Introducción a la ciberseguridad.
  • Diferencias entre Seguridad de la información y ciberseguridad.
  • Objetivos de la ciberseguridad.
  • Roles de la ciberseguridad.
  • Dominios de la ciberseguridad.

Introducción a la ciberseguridad:

¿Qué es la ciberseguridad?, para ISACA ciberseguridad es “la protección de los activos de información frente a las amenazas de la información procesada, almacenada y transportada por los sistemas de información interconectados”

Un eje central de la ciberseguridad es conocer los factores de negocio y las tecnologías que afecten a la seguridad de la información. Hay numerosos factores, tanto internos como externos, que pueden afectar directamente a una organización y su seguridad, pero principalmente tenemos que tener claro dos:

  • Los planes de negocio y el entorno empresarial
  • La tecnología de la información disponible en la entidad. Hay que conocer las particularidades de un proceso o sistema

Diferencias entre Seguridad de la información y ciberseguridad:

Hay que tener claro que ciberseguridad es parte de la seguridad de la información, se refiere a la protección de activos digitales (información, hardware y redes)  mientras que en la seguridad de la información, se incluye tanto activos digitales, como activos en papel.

Del National Institute of Standards and Technologhy (NIST) y de la European Union Agency for Network (ENISA), se obtienen las cinco funciones claves necesarias para la protección de activos digitales.

  • Identificar: Hay que utilizar el conocimiento organizacional para minimizar el riesgo para los sistemas, activos , datos y capacidades.
  • Proteger: Diseñar salvaguardas para limitar el impacto de los eventos potenciales sobre los servicios y las infraestructuras críticas
  • Detectar: Se deben implementar actividades para identificar la ocurrencia de un evento de ciberseguridad.
  • Responder: hay que tomar las medidas adecuadas después de enterarse de un evento de seguridad
  • Recuperar: Planificar la capacidad de recuperación y la reparación oportuna de capacidades y servicios comprometidos.

Objetivos de la ciberseguridad:

Los objetivos de la ciberseguridad son proteger la confidencialidad, la integridad y la disponibilidad. Estos tres conceptos son básicos en la seguridad de la información. A modo de resumen la siguiente tabla presenta cada uno de los conceptos de una manera breve, el impacto que presentan y los métodos de control contemplados.

impacto CID

El otro objetivo de la ciberseguridad planteado por CSX es el no repudio. El no repudio consiste en asegurar que el emisor de un mensaje en una comunicación ha enviado ese mensaje exacto de manera que no haya sido modificado y no pueda retractarse del envio, por lo que proporciona seguridad tanto para el emisor como para el receptor del mensaje..

Roles de la ciberseguridad:

Este apartado comienza explicando los conceptos de gobierno, gestión de riesgos y cumplimiento normativo. Una vez claros estos conceptos, CSX presenta su visión de los distintos roles que existen en la seguridad de la información y las tareas que le corresponde.

En la siguiente imagen, podemos ver la pirámide estructural de los roles.

roles ciberseguridadJunta directiva (Board of Directors):

Una gestión correcta de la ciberseguridad solo se puede lograr mediante la participación de la alta dirección al tener que dar su aprobación de la política y tener que realizar el seguimiento y control de las métricas.

  • Tienen que ser conscientes de los activos de información de la organización y su criticidad.
  • El consejo periódicamente debe conocer el análisis de impacto de negocio(BIA)
  • La alta dirección debe dar un ejemplo positivo respetando las medidas de seguridad ya que el respaldo de la dirección ejecutiva de los requisitos de seguridad asegura que las expectativas de seguridad se cumplen en todos los niveles de la empresa
  • Debe definir sanciones por incumplimiento de las políticas de seguridad.
  • La junta tiene la obligación permanente de supervisar las actividades relacionadas con la ciberseguridad. La alta dirección tiene la responsabilidad legal y ética de ejercer el debido cuidado en la protección de los activos clave de la organización, incluyendo su información confidencial y crítica. Por lo tanto, se requiere su participación y supervisión.

Equipo de dirección (Executive Committee)

El equipo de dirección ejecutiva de una organización es el responsable de asegurar que las funciones de organización , recursos , e infraestructura de apoyo necesarias  están disponibles y se utilizan adecuadamente para cumplir con las directrices de la junta directiva, el cumplimiento normativo y otros posibles requerimientos.

Para ello se apoyan en el responsable de seguridad de la información (Chief Information Security Officer o CISO por sus siglas) o en el caso de no existir, se apoyan en el gerente de ciberseguridad de mayor nivel, quien debe definir el programa de seguridad de la información y su posterior gestión, siendo el encargado de presentárselo periódicamente a la dirección ejecutiva.

La dirección ejecutiva establece la preocupación en la gestión de la seguridad cibernética dentro de la organización. El nivel de implicación y la inclusión de la gestión de riesgos de la información en las actividades y decisiones clave del negocio indican al resto de gestores el nivel de importancia esperado para la gestión de riesgos en el resto de actividades de la organización.

Senior Information Security Management

El título exacto del puesto de trabajo de la persona que supervisa la seguridad de la información y la ciberseguridad varía de una organización a otra pero comúnmente es conocido como CISO, aunque en algunas organizaciones prefieren el término chief security officer (CSO), que indica la responsabilidad de todos los asuntos de seguridad , tanto físicos como digitales. Del mismo modo, las responsabilidades y la autoridad de los directores de seguridad de la información varían sustancialmente entre las organizaciones.

A continuación se listan las principales:

  • El desarrollo de la estrategia de seguridad
  • Supervisar el programa y las iniciativas de seguridad
  • La coordinación con los propietarios de los procesos de negocio para la alineación en curso
  • Asegurar que las evaluaciones de riesgos y de impacto de negocios se llevan a cabo
  • El desarrollo de estrategias de mitigación de riesgo
  • La aplicación de la política y el cumplimiento normativo
  • Control de la utilización y eficacia de los recursos de seguridad
  • Desarrollo e implementación de la monitorización y las métricas
  • dirigir y supervisar las actividades de seguridad.
  • La gestión de incidentes de seguridad cibernética y su resolución, así como incorporar al conocimiento general las lecciones aprendidas

Cybersecurity Practitioners

La tendencia en la mayoría de las organizaciones deberá ser que la ciberseguridad sea gestionado por un equipo de expertos en la materia,en los que se incluyen arquitectos, administradores de seguridad, analistas forenses y especialistas en seguridad de red. Estos equipos diseñan , implementan y gestionan los procesos y controles técnicos y responden a los eventos e incidentes que puedan ocurrir.

Estos profesionales trabajan dentro de la dirección, las políticas , directrices , mandatos y reglamentos establecidos por la junta de directiva, los ejecutivos y la gerencia de seguridad..

Dominios de la ciberseguridad:

Finalmente el capítulo presenta los dominios de la ciberseguridad, que son los conceptos y áreas que se van a tratar en los próximos capítulos

Con todos estos puntos, tendríamos claro el primero de los .6 capítulos en los que está dividido CSX.

En próximos post continuaremos con los siguientes capítulos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *