Mar. Dic 6th, 2022

COMPONENTE FORMATIVO 1

Introducción

¿Qué es la ciberseguridad? ¿Qué es la seguridad de la información?

Estas preguntas y muchas más serán respondidas a lo largo del componente formativo en este post , pero para comenzar, lo invitamos a ver el siguiente video.

1

Ciberseguridad

¿Qué es la ciberseguridad?

Cano, J (2011), nos dice que es:

El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno.

Y también incluye activos, bienes, servicios y datos de los dispositivos y usuarios conectados a una red; adicionalmente Cano (2011) agrega, que se pueden contar los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno en búsqueda de mantener las propiedades de seguridad en todos estos elementos de cualquier organización o persona sin importar cuál sea la red que frecuenta, su edad, su entorno y su uso.

Cano, J (2011)

Esto se da porque cada vez más y con mayor frecuencia se recurre al uso de las tecnologías de la información y las comunicaciones para apalancar los procesos operativos junto con las propuestas de valor de los negocios.

El desarrollo y evolución de la tecnología nos lleva a hacer uso de servicios como Internet, la interconexión entre sedes y con mayor frecuencia la utilización de tecnologías de computación en la nube.

Las redes sociales y en general el Internet hacen totalmente necesario proteger toda la información que se gestiona al ingresar en cualquiera de estos recursos digitales, solo de esa forma se puede mantener monitoreadas las amenazas de las cuales se puede ser víctimas.

Protegerse de los peligros de la actual coyuntura tecnológica, conlleva a diseñar y adoptar una serie de procesos que posibiliten la protección de los activos, recursos e información personal y empresarial de todos los seres digitales y para ello se recomienda la aplicación de las siguientes fases como paso inicial:

1.1 Marcos de referencia

Los ataques cibernéticos son cada vez más comunes y frecuentes, como se mencionó anteriormente debido a la inmersión de la tecnología en todos los procesos tanto personales como empresariales, es clara la necesidad de protección en recursos, información y activos, sin embargo el inicio puede ser lejano y para eso se hace el siguiente planteamiento:

Es ahí donde cobran importancia los marcos de referencia que se han venido desarrollando, porque con la adopción de estos marcos se tendrá clara y en orden, toda la información de valor y útil en el diseño de las estrategias de control y mitigación de riesgos de ciberseguridad.

Si bien se debe elegir un marco y trabajar con él, son solo una referencia y no una solución definitiva porque también es importante el enfoque del análisis de riesgos del cual se dará información más adelante. Son varios marcos, cada marco propone una serie de controles diferentes. Se debe elegir por su parte el marco indicado aplicable a su entorno y si se llegase a requerir algún ajuste se puede importar de alguno de los otros marcos y generar su propio marco de seguridad, es así como funciona esta información que con su prudente apropiación logra protección alta.

A continuación, se mencionan los marcos de referencia más utilizados y de mayor desarrollo, incluyendo algunos propósitos particulares para su adopción.

1

El primer marco es el dispuesto desde Norteamérica como CSF (Cybersecurity Framework).

2

El siguiente marco es el que presenta ISO denominado ISO / IEC 27001: 2013.

Creado y publicado por la Organización Internacional de Normalización (ISO), es un marco general que funciona bien para empresas de diversos tamaños en una variedad de industrias. Es similar al NIST CSF. El marco es respetado y ampliamente conocido internacionalmente. El enfoque de ISO 27001 es la protección de la confidencialidad, integridad y disponibilidad de la información en una empresa. Su filosofía se basa en la gestión de riesgos: investigar dónde están y luego tratarlos de manera sistemática tal como se presenta en la siguiente gráfica:

3

En tercer lugar se ubica la famosa COBIT que traduce Objetivos de Control para Información y Tecnologías Relacionadas. Proveniente del inglés Control Objectives for Information and related Technology.

COBIT fue desarrollado por ISACA, una organización global independiente sin fines de lucro que se enfoca en el gobierno de TI (Tecnologías de la Información) Este marco es similar al marco de NIST e ISO, ya que es un marco más general que la mayoría de las organizaciones pueden usar. También está enfocado en el negocio y orientado a procesos. COBIT a menudo es adoptado por auditores de empresas públicas y se utiliza como una herramienta de cumplimiento para Sarbanes-Oxley.

Es una guía de mejores prácticas, dirigida al control y supervisión de TI. Cuenta con una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo objetivos de control, mapas de auditoría, herramientas para su implementación y una guía de técnicas de gestión como se puede ver en la siguiente figura:

Figura 1 / Marco COBIT.

4

El cuarto y último marco del contenido a revisar es el marco HITRUST CSF (Health Information Trust Alliance – Cybersecurity Framework).

HITRUST CSF fue desarrollado por Health Information Trust Alliance (HITRUST) y es el marco de seguridad más adoptado en la industria de la salud de los Estados Unidos. HITRUST originalmente desarrolló su CSF (Cybersecurity Framework – Marco de ciberseguridad) para enfocarse en elementos clave y riesgos inherentes a la industria de la salud, como las consideraciones de HIPAA (Ley de Responsabilidad y Portabilidad de Seguros de Salud) pero desde entonces han actualizado el marco con controles más amplios que se aplicarían a cualquier organización.

HITRUST CSF es un marco basado en el riesgo y el cumplimiento y se actualiza con bastante frecuencia. También se puede adaptar según una variedad de factores, que incluyen el tipo de organización, el tamaño y los sistemas, así como los requisitos reglamentarios tal como se muestra en el siguiente gráfico.

1.2 Triada de la Seguridad de la Información

Seguridad de la información significa proteger la información y los sistemas de información de un acceso, uso, divulgación, alteración, modificación, lectura, inspección, registro o destrucción no autorizados. Soriano, M. (2014)

En el siguiente video nos presenta, de forma más completa, este concepto.

1.3 Amenazas

Se refieren a la posibilidad que se presente algún tipo de evento se pueda, en cualquier instante de tiempo, producir un daño material o inmaterial sobre los activos informáticos y los sistemas de información. Las amenazas son consideradas como los ataques cometidos por personas internas o externas, que pueden ocasionar daños a la infraestructura tecnológica, a los sistemas de información o a la misma información que circula en la organización.

Si bien cada vez son más y más especializadas, a continuación se mencionan algunas de las amenazas más comunes y que mayor afectación provocan en nuestros recursos y medios digitales utilizados frecuentemente.


Spam
Correo no deseado. Mucha gente se ve afectada cada año por correo no deseado que falsificó su información engañando al usuario para que siga algunos de los enlaces que normalmente contiene y que los redirecciona a sitios previamente programados o en ocasiones hace que se ejecuten algunos scripts o fragmento de código que realizarán alguna actividad prohibida sobre nuestros recursos tecnológicos.

Pharming

Tiene por principal objetivo convencer al usuario de que visite un sitio web malicioso e ilegítimo redireccionando la URL legítima u original a una URL ilegítima, una vez dentro, el objetivo de los cibercriminales es conseguir que el usuario les dé su información personal.

Phishing

Es una de las amenazas informáticas más fáciles de ejecutar. Consiste en enviar correos electrónicos falsos o mensajes que se parecen a los correos electrónicos enviados por compañías legítimas. Así, se hace pensar al usuario que es la compañía legítima y aumentan las probabilidades de que se comparta información personal y financiera, algunos ejemplos podemos encontrarlos en mensajes de banco o entidades financieras donde lo que se busca es robar las credenciales y contraseñas de acceso a sus cuentas.

Ransomware

Este tipo de amenaza busca secuestrar o restringir el acceso a las computadoras e información de sus víctimas para luego solicitar un pago a cambio de recuperar el control de sus datos.

Spyware

Es un programa de computador malicioso que parece un software legítimo. Mientras está instalado en el ordenador del usuario, se ejecuta automáticamente y espía su sistema capturando datos que permitan identificar el comportamiento del uso de los medios tecnológicos por parte del usuario o en algunas ocasiones elimina sus archivos.

Malware

Es un software malicioso, este es el nombre común dado a varias amenazas de seguridad que se infiltran y dañan un recurso informático.

Virus

Un virus informático es un tipo de programa o código malicioso escrito para modificar el funcionamiento de un equipo, siempre está oculto en un software o sitio web legítimo e infecta el ordenador afectado y puede extenderse todos los que se encuentran en su lista de contactos.

1.4 Vulnerabilidades

Una vulnerabilidad informática es una debilidad en el software o en el hardware que permite a un posible atacante comprometer cualquiera de los elementos de la triada de la seguridad como es la integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa.

Por errores en la configuración o parametrización de las herramientas que normalmente utilizamos por ejemplo al utilizar contraseñas no seguras, al no actualizar el sistema operativo o antivirus de nuestros dispositivos.

Para clasificarlos a continuación, se mencionan algunas de las vulnerabilidades más comunes:

1.5 Activos de información

Este término se relaciona con todos esos elementos tecnológicos o relacionados con la tecnología que la organización utiliza para el cumplimiento de sus metas o core del negocio. Según la norma ISO/IEC 27001 se entiende como activo todo aquello que es importante y que la organización valora por lo tanto debe de protegerse.

Desde el punto de vista personal, activos informáticos serán todos aquellos elementos o herramientas tecnológicas tanto hardware (computadores, celulares, tabletas, PDA, entre otros) o elementos software como aplicaciones, correo electrónico, redes sociales, entre otras que son utilizadas dentro del contexto laboral o uso personal.

De acuerdo a la norma ISO/IEC 27001, es necesario clasificar e inventariar todos los activos de información de una empresa luego de ser identificados, esto se hace como cumplimiento al Modelo de Seguridad y Privacidad de la Información, el cual presenta la siguiente forma:

La clasificación de un activo de información está dada por las propiedades de los datos, estas propiedades son:

Anteriormente se estudió que existen diferentes riesgos informáticos, algunos de los más frecuentes son generados gracias al uso de dispositivos (informática) y se debe tener mucho cuidado porque algunos son de bajo riesgo, pero pueden subir de nivel con rapidez y facilidad:

Fraude a través de redes o medios computacionales.

En los protocolos de seguridad de la información ya determinamos los riesgos y las amenazas que pueden atacar tanto los recursos físicos como digitales, ahora nos preguntamos:

Con relación a las redes sociales se dispone el siguiente paso:

Se deben tener los controles de manera preventiva antes de tener que actuar con los correctivos.

Una vez calculado el riesgo, se debe responder con mitigación inmediata por medio de estrategias activas. A continuación se hace mención de las cuatro estrategias principales que puede usar en el caso de requerir mitigar un riesgo:

2

Las redes sociales

Sabía que las redes sociales son mega estructuras creadas en Internet por grupos de personas que contactan entre sí para compartir intereses en común para de esa forma crear relaciones por gustos, pasiones, intereses o necesidades. Esta es la forma más rápida de relacionarse con una persona o empresa.

Las primeras redes sociales como tal no surgieron hasta la popularización de Internet a principios del siglo XXI, en la web 2.0, cuya principal característica era dar la posibilidad a los usuarios de elaborar y publicar sus propios contenidos online.

Pero, gracias a la popularización y cada vez más fácil el acceso a Internet y a elementos de comunicación móviles como los teléfonos inteligentes y las tabletas, las redes sociales han tomado una gran importancia y han incrementado el uso y acceso a este tipo de plataformas, donde el usuario busca la manera de conocerse y relacionarse e incluso busca la posibilidad de ofrecer y adquirir productos, hasta utilizarlas como estrategia para la búsqueda y consecución de empleo.

2.1 Tipos de redes sociales

Se puede pensar equivocadamente que las redes sociales son todas iguales, pero no es así. De hecho, por lo general se dividen en diferentes tipos, de acuerdo con el objetivo de los usuarios al crear un perfil, de esa forma una misma red social puede ser útil de más de una manera.

Normalmente las redes sociales que más se usan tienen el mismo propósito, pero en realidad existen muchas otras alternativas dispuestas dependiendo del objetivo al momento del registro y crear una cuenta en ellas. La clasificación más común es:
Red social de relaciones

Red social de relaciones

El principal objetivo de esta red social es el de conectar personas, el caso más conocido es Facebook. Pero podemos citar innumerables otras redes, que también encajan en los otros tipos, como Instagram, LinkedIn, Twitter, etc.

Red social de entretenimiento
Las redes sociales de entretenimiento son aquellas en las que el objetivo principal no es relacionarse con las personas, sino consumir contenido. El ejemplo más icónico es YouTube, la mayor plataforma de distribución de vídeos del mundo, en la que el objetivo es publicar y ver vídeos. Otro caso es el de Pinterest, en el que las personas publican y consumen imágenes.
Red social profesional

Son redes donde el usuario tiene como objetivo crear relaciones profesionales con otros usuarios, divulgar proyectos y conquistas profesionales, presentar su currículum y habilidades, además de conseguir indicaciones, empleos, etc.

LinkedIn es la red social profesional más conocida y utilizada, pero hay otras que también vienen ganando un espacio y posicionándose, como Behance, Bebee, Bayt, Xing y Viadeo.

Red social de nicho
Las redes sociales de nicho son aquellas dirigidas a un público específico, ya sea una categoría profesional o personas que tienen un interés específico en común.

Uno de los casos más emblemáticos es el de TripAdvisor, donde los usuarios atribuyen notas y comentarios a atracciones relacionadas con el sector gastronómico y turístico.

Si bien existen estas categorías de redes sociales, es importante mencionar que todas ellas fueron creadas con una visión o propósito inicial, pero que en la medida de su popularización y uso se han convertido en redes sociales que encajan perfectamente en varias de esta clasificación.

Es el caso de Facebook la cual originalmente fue creada como una red que conectara personas, en la actualidad viene siendo utilizada para ofertar productos y servicios, ofrecer entretenimiento y hasta ser un medio que facilita la publicación y contratación de oferta laboral.

2.2 Usos de las redes sociales

Este uso está determinado por el tipo de red elegida para crear una cuenta entre muchas opciones. Los usos más comunes son:

2.3 Características de seguridad en las redes sociales

Dada la proliferación o aumento de uso de las redes sociales, a continuación se mencionan algunas características de seguridad a tener en cuenta al momento de utilizarlas.

pdf

GLOSARIO

REPASO

FUENTE: SENA VIRTUAL COLOMBIA

¿Qué se debe hacer para enfrentar un riesgo digital?

ÚNETE A NUESTROS GRUPOS Y REDES SOCIALES PARA MANTENERTE ACTUALIZADO E INFORMADO EN EL TEMA REFERENTE A SEGURIDAD Y SALUD EN EL TRABAJO.

TU MERCADO SALUDABLE EN CALI

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *