Ciberseguridad paso a paso
Autor/a : María Ángeles Caballero Velasco, Laura Baus Lerma, Diego Cilleros Serrano
¿Sabías que el 60 % de las empresas que son atacadas cierra su negocio a los 6 meses? En la nueva era digital, es vital elaborar una adecuada estrategia de ciberseguridad que nos permita protegernos de las amenazas de ciberseguridad y de los nuevos actores de amenazas del ciberespacio.
Índice
Agradecimientos Sobre los autores INTRODUCCIÓN 1. CIBERSEGURIDAD Y CÓMO CONSTRUIR TU ESTRATEGIA Vivimos en la nueva era digital Tecnología exponencial e hiperconectada Crecimiento exponencial tecnológico Tecnologías exponenciales - Ley de Moore - Ley de los rendimientos acelerados Internet of Things Big Data Inteligencia artificial Tecnologías emergentes Cibercrimen, un problema de trillones de euros ¿Cómo de protegidas están las empresas? ¿Qué es un hacker? Filosofía hacker y argot - White hat, sneaker o hacker ético - Black hats o crackers - Grey hats Conceptos básicos de ciberseguridad Conceptos básicos de seguridad: CIA Triángulo seguridad, funcionalidad y facilidad de uso Perímetro de seguridad y malla de ciberseguridad Zero Trust (cero confianza) Defensa en profundidad o enfoque de seguridad por capas Cómo construir tu estrategia de ciberseguridad ¿Qué es una estrategia de ciberseguridad? ¿Cuál es el objetivo de una estrategia de ciberseguridad? ¿Cómo construyo la estrategia de ciberseguridad para mi negocio? 4 pasos Paso 1. Entiende tu entorno de amenazas Paso 2. Evalúate a ti mismo: ¿dónde te encuentras? Paso 3. Define tu plan de ciberseguridad: ¿dónde quieres estar? Paso 4. Establece tu plan y evoluciónalo: mirando al futuro Macarena Bakes Un mismo punto de partida 2. PASO 1. ENTIENDE TU ENTORNO DE AMENAZAS Prepararse para la adversidad Panorama actual de las ciberamenazas Principales amenazas por sector Threat Actors Estado-nación Cibercriminales Hacktivistas Grupos terroristas Lobos solitarios Script kiddies Insiders Amenazas de ciberseguridad Malware y ransomware Phishing e ingeniería social Amenazas a los datos y filtraciones Distributed Denial of Service o denegación de servicio distribuido Supply Chain Attack Errores, entrega incorrecta y mala configuración Uso de credenciales robadas SIM Swapping1 Cryptojacking1 3. PASO 2. DÓNDE TE ENCUENTRAS. EVALÚATE A TI MISMO CON CABACI Por qué es importante evaluarse ¿Cómo nos vamos a evaluar? A través de un Cybersecurity Framework (CSF) Tipos de Cybersecurity Frameworks Algunos ejemplos de CSF Framework CABACI Dominios Controles y defensas - Controles básicos y avanzados - Controles - Controles para emprendedores - Defensas Niveles de ciberseguridad Define tu plan de ciberseguridad: AS-IS y TO-BE Próximos pasos 4. PASO 2.1. ORGANIZACIÓN Y RIESGOS Introducción Defensas-Básicas Control 1. Estrategia de negocio y organización - Defensa 1.1. Prioridades en la organización - Defensa 1.2. Organización de ciberseguridad - Defensa 1.3. Normativa de ciberseguridad Control 2. Diseño tecnológico y gestión de activos - Defensa 2.1. Diseño tecnológico y de ciberseguridad - Defensa 2.2. Gestión de activos tecnológicos e inventario Control 3. Gestiona tus ciberriesgos - Defensa 3.1. Identifica tus amenazas y riesgos - Defensa 3.2. Gestiona y prioriza tus riesgos - Defensa 3.3. Ciberseguro Control 4. Seguridad en proveedores - Defensa 4.1. Identifica a tus proveedores tecnológicos - Defensa 4.2. Evaluación continua de la ciberseguridad de tus proveedores Control C2. Cultura cibersegura - Defensa C2.1. Cultura cibersegura para empleados - Defensa C2.2. Cultura cibersegura para stakeholders 5. PASO 2.2. EVALÚATE A TI MISMO: PROTECCIÓN Introducción Protección de la red Firewalls - Firewalls de última generación Sistemas de detección/prevención de intrusos o IDS/IPS VPN Network Traffic Analyzer (NTA) NAC SIEM Seguridad wifi Arquitecturas de seguridad - ZTNA y SASE - CyberSecurity Mesh Architecture (CSMA) Protección de la red-Defensas Control 5. Protege tus redes wifi - Defensa 5.1. Segmentación de la red corporativa - Defensa 5.2. Configuraciones seguras en redes inalámbricas - Defensa 5.3. Redes de invitados y políticas de uso Control 15. Protección avanzada de redes - Defensa 15.1. Arquitectura segura - Defensa 15.2. Segmentación de redes - Defensa 15.3. Uso de firewalls de red - Defensa 15.4. Protección frente a intrusiones - Defensa 15.5. Protección de las conexiones remotas - Defensa 15.6. Uso de tecnologías avanzadas de protección de la red Control 16. Cloud cibersegura - Defensa 16.1. Política de ciberseguridad cloud - Defensa 16.2. Framework de controles cloud - Defensa 16.3. Protección de los datos y los repositorios cloud - Defensa 16.4. Protección de entornos SaaS - Defensa 16.5. Monitorización efectiva Protección de sistemas y dispositivos de usuario Seguridad física Isolation y sandboxing Protección frente amenazas Protección de las comunicaciones Protección de la información Usuarios privilegiados locales Configuración segura de vulnerabilidades Gobierno y control Protección del correo electrónico - Amenazas y riesgos - Capacidades de seguridad Protección de sistemas y dispositivos de usuario-Defensas Control 6. Protege tus dispositivos y sistemas - Defensa 6.1. Política de uso responsable de dispositivos o sistemas - Defensa 6.2. Control de inventariado y gestión de dispositivos - Defensa 6.3. Control de antimalware - Defensa 6.4. Implementación de firewall local - Defensa 6.5. Análisis de vulnerabilidades - Defensa 6.6. Parcheo de vulnerabilidades - Defensa 6.7. Protección de la navegación Control 7. Protege tu correo electrónico - Defensa 7.1. Antispam y antiphishing - Defensa 7.2. Ejercicios de phishing - Defensa 7.3. Protección frente al malware - Defensa 7.4. Medidas antispoofing - Defensa 7.5. Cifrado y firma de correos electrónicos Control 17. Protección avanzada de dispositivos y sistemas - Defensa 17.1. Implementación de IDS/IPS local - Defensa 17.2. Guías de bastionado - Defensa 17.3. Gestión de privilegios - Defensa 17.4. Uso de sandbox Protección de datos Estrategias Herramientas de seguridad - Data-centric - DAG - DLP256 - IRM258 - DAM/DAF - CASB Privacidad - Las evaluaciones de impacto - El DPO - El tratamiento de los datos - Incidentes Protección de datos-Defensas Control 8. Protege tus datos - Defensa 8.1. Protección de la información almacenada - Defensa 8.2. Prevención ante la pérdida o robo de información - Defensa 8.3. Gestión de claves de cifrado - Defensa 8.4. Segregación de información sensible - Defensa 8.5. Anonimización y pseudonimización de datos - Defensa 8.6. Cumplimiento de las regulaciones de privacidad Protección de las aplicaciones OWASP Top 10 Protección web - CDN - WAF - Denegaciones de servicio Seguridad en el desarrollo - Seguridad en el diseño - Gestión de accesos - Análisis de dependencias - Políticas de seguridad de contenido - Pruebas estáticas y dinámicas - Control de la integridad Protección de las aplicaciones-Defensas Control 9. Protege tu página web - Defensa 9.1. Uso de firewalls de aplicaciones web (WAF) - Defensa 9.2. Protección DDoS de las aplicaciones - Defensa 9.3. Uso de protocolos seguros en aplicaciones web - Defensa 9.4. Protección frente a bots - Defensa 9.5. Seguridad en APIs Control 18. Desarrolla de manera segura - Defensa 18.1. Política de desarrollo seguro de software (S-SDLC) e implementación en terceros - Defensa 18.2. Cumplimiento de normas de desarrollo seguras - Defensa 18.3. Auditoría de código y pruebas de intrusión - Defensa 18.4. Gestión segura de las sesiones de usuario - Defensa 18.5. Verificación de dependencias y componentes de terceros - Defensa 18.6. Implementación de políticas de seguridad de contenidos (CSP) Protección de la identidad y el acceso Gestión de identidades y control de accesos - Ciclo de vida de la identidad: alta/baja/modificaciones - Verificación, registro, autenticación, autorización y revocación Autenticación multifactor Gestión de cuentas privilegiadas SSO (Single Sign-On) Federación de identidades CIAM Protección de la identidad y el acceso-Defensas Control 10. Protege las credenciales de acceso - Defensa 10.1. Gestión del ciclo de vida de los usuarios - Defensa 10.2. Gestión de contraseñas robustas y rotación - Defensa 10.3. Uso de autenticación multifactor (MFA) - Defensa 10.4. Gestión de permisos y privilegios Control 19. Control de accesos avanzado - Defensa 19.1. Uso de sistemas de gestión de identidad y accesos (Identity and Access Management Systems, IAM) - Defensa 19.2. Segregación de funciones - Defensa 19.3. Gestión de cuentas privilegiadas - Defensa 19.4. Uso de Single Sign-On (SSO) - Defensa 19.5. Uso de la federación de identidades - Defensa 19.6. Uso de tecnologías CIAM (Customer Identity and Access Management) Protección de las redes sociales Riesgos Buenas prácticas Protección de las redes sociales-Defensas Control 11. Protege tus redes sociales - Defensa 11.1. Concienciación en protección de redes sociales - Defensa 11.2. Uso de credenciales robustas y autenticación de dos factores en redes sociales - Defensa 11.3. Configuraciones de seguridad y privacidad en redes sociales - Defensa 11.4. Seguimiento selectivo en redes sociales - Defensa 11.5. Prevención de phishing y fraude en redes sociales - Defensa 11.6. Prevención de phishing y fraude en redes sociales Cultura cibersegura-Defensas - Defensa C2.4. Cultura cibersegura en medidas de protección Conclusiones para una estrategia en protección Cómo implementar una estrategia en protección - Fase 1: Quick wins - Fase 2: Fundamentos de seguridad - Fase 3: Madurez en la ciberseguridad 6. DETECCIÓN, RESPUESTA Y RESILIENCIA Más allá de la protección Principales retos a los que nos enfrentamos Mantener la calma en la crisis Cyber Kill Chain MITRE ATT&CK Framework Cyber Kill Chain vs. MITRE ATT&CK Framework Defensas-Básicas Control 12. Responde a los ciberincidentes - Defensa 12.1. Plan de respuesta a incidentes actualizado - Defensa 12.2. Roles y responsabilidades en la respuesta - Defensa 12.3. Detección y evaluación del incidente - Defensa 12.4. Gestión y resolución del incidente - Defensa 12.5. Notificación del incidente Control 13. Copias de seguridad - Defensa 13.1. Copias de seguridad - Control 14. Feeds de información y brechas de seguridad - Control 14. Feeds de información y brechas de seguridad Defensas-Avanzadas Control 20. Monitorización continua de ciberseguridad - Defensa 20.1. Define los activos tecnológicos a monitorizar - Defensa 20.2. Registra tus logs - Defensa 20.3. Establece la monitorización de tu red - Defensa 20.4. Monitorización continua de seguridad - Defensa 20.5. Gestión de eventos de ciberseguridad (SIEM) - Defensa 20.6. Security Operations Center Control 21. Respuesta avanzada - Defensa 21.1. Capacitación de la respuesta - Defensa 21.2. Tecnología en la respuesta - Defensa 21.3. Ejecución de la respuesta a incidentes avanzada Control 22. Gestión continua de vulnerabilidades - Defensa 22.1. Ciclo de vida de la gestión de vulnerabilidades Control 23. Resiliencia Control 23.1. Recuperación de incidentes Control C2. Cultura cibersegura - Defensa C2.4. Ciberejercicios o simulacros de ataque 7. PASO 3. DEFINE TU PLAN DE CIBERSEGURIDAD ¿Dónde nos encontramos? Define tu plan de ciberseguridad AS-IS - Macarena Bakes. AS-IS TO-BE - Macarena Bakes. AS-IS Macarena Bakes. Ejemplo de evaluación del dominio de Protección - Análisis inicial - Estado final - Fase 1: Quick Wins - Fase 2: Fundamentos de seguridad - Fase 3: Madurez en la ciberseguridad Construyendo mi plan de ciberseguridad - Macarena Bakes. Construyendo mi plan de ciberseguridad - Dominio de Organización y riesgos - Dominio de Protección - Dominio de Detección, respuesta y resiliencia Ya tenemos nuestro plan de ciberseguridad Apetito de riesgo del negocio y "buy in" Apetito de riesgo del negocio: determinante para la estrategia de ciberseguridad Planes de acción posibles cuando no se conoce el apetito de riesgo Alinéate y mantén una escucha activa con tus stakeholders Traduciendo plan y el riesgo en KRIs entendibles por negocio Trabajemos el apetito de riesgo Trabajemos los riesgos cyber-negocio Representemos los riesgos cyber-negocio Comuniquemos los riesgos cyber-negocio 8. PASO 4. ESTABLECE TU PLAN Y EVOLUCIÓNALO Documentemos la estrategia Definición de la estrategia y sus programas Ciclo de vida del plan Procedimientos y políticas cyber Gobernemos la estrategia Evolucionemos la estrategia 9. CIBERSEGURIDAD PARA EMPRENDEDORES Introducción Riesgos y amenazas específicas Proteger su negocio Sobre la organización y riesgos Sobre la protección - Protege tus redes wifi - Protege tus dispositivos y sistemas - Protege tu correo electrónico - Protege tus datos - Protege tu página web - Protege las credenciales de acceso - Protege tus redes sociales Sobre la detección, respuesta y resiliencia Buenas prácticas en la actuación ante un ciberincidente Concienciación Mantener la privacidad personal y profesional 10. ESTRATEGIA DE CIBERSEGURIDAD EN CLOUD Introducción Los conceptos a conocer - Tipos de nube - Modelos de entrega - Responsabilidad compartida Nube pública Riesgos Amazon Web Services (AWS) - Infraestructura IaaS de AWS como aspecto básico - Seguridad de la nube y seguridad para la nube Microsoft Azure - Infraestructura IaaS de Azure como aspecto básico - Seguridad de la nube y seguridad para la nube Google Cloud Platform (GCP) Estrategia de seguridad Buenas prácticas de seguridad Framework de controles y monitorización del cumplimiento - Framework CABACI - Certificación de servicios en nube Protección de los datos en entornos SaaS 11. REGLAS DE ORO Y GUÍA DE CONTROLES CABACI Y el final es solo el principio Las reglas de oro CABACI al completo Organización y riesgos - Control 1. Estrategia de negocio y organización - Control 2. Diseño tecnológico y gestión de activos - Control 3. Gestiona tus ciberriesgos - Control 4. Seguridad en proveedores - Control C2. Cultura cibersegura Protección - Control 5. Protege tus redes wifi - Control 6. Protege tus dispositivos y sistemas - Control 7. Protege tu correo electrónico - Control 8. Protege tus datos - Control 9. Protege tu página web - Control 10. Protege las credenciales de acceso - Control 11. Protege tus redes sociales - Control 15. Protección avanzada de redes - Control 16. Cloud cibersegura - Control 17. Protección avanzada de dispositivos y sistemas - Control 18. Desarrolla de manera segura - Control 19. Control de accesos avanzado Detección, respuesta y resiliencia - Control 12. Responde a los ciberincidentes - Control 13. Copias de seguridad - Control 14. Feeds de información y brechas de seguridad - Control 20. Monitorización continua de ciberseguridad - Control 21. Respuesta avanzada - Control 22. Gestión continua de vulnerabilidades - Control 23. Resiliencia ÍNDICE ALFABÉTICO