Upload File

implantacion de ciberseguridad en el entorno de los negocios electronicos

  • Home
  • Documents
  • Implantacion de Ciberseguridad en El Entorno de Los Negocios Electronicos
5
“Implantación de ciberseguridad en el entorno de los negocios electrónicos” Los principales objetivos de la ciberseguridad (tradicionalmente denominada Seguridad de la Información) en el entorno de los negocios electrónicos son la protección y el aseguramiento de la información (y sistemas de información) frente a posibles ciber-amenazas y ciber-vulnerabilidades fortuitas y/o intencionadas, tanto de forma proactiva como reactiva (proteger y defender significa restaurar sistemas de información atacados con capacidades de prevención, detección, generación de informes, reacción-restauración y respuesta). Esto significa la gestión profesional e inteligente de los riesgos en ciberseguridad en relación a la existencia, al uso, al procesamiento, al almacenamiento y a la transmisión de todo tipo de información (ruido sin codificar, datos elaborados, conocimiento, sabiduría, etc.) y recursos/activos. La ciberseguridad en negocios electrónicos habilitados por Internet presenta un creciente número de beneficios para las empresas como proteger las operaciones de los servicios de negocios, salvaguardar los activos, proporcionar recuperación en caso de desastres, asistir a la organización a la hora de satisfacer los requisitos regulatorios de cumplimiento, evitar revelaciones embarazosas debidas a fallos/errores de seguridad (por malicia, descuido, ignorancia, fallos físicos/lógicos, fuerzas de la naturaleza, etc.), proteger la reputación de las empresas, los niveles de audiencia de Internet, etc. En el mundo de los negocios nos encontramos con un creciente número de proyectos que surgen vía crowdfunding (aportaciones económicas de personas interesadas en promoverlos).  Ventajas que ofrece la ciberseguridad en los negocios electrónicos 1 / 5

Upload: moises-miranda

Post on 25-Oct-2015

30 views

Category:

Documents


1 download

Report

TRANSCRIPT

Page 1: Implantacion de Ciberseguridad en El Entorno de Los Negocios Electronicos

“Implantación de ciberseguridad en el entorno de los negocios electrónicos”

Los principales objetivos de la ciberseguridad (tradicionalmente denominada Seguridad de laInformación) en el entorno de los negocios electrónicos son la protección y el aseguramiento dela información (y sistemas de información) frente a posibles ciber-amenazas yciber-vulnerabilidades fortuitas y/o intencionadas, tanto de forma proactiva como reactiva(proteger y defender significa restaurar sistemas de información atacados con capacidades deprevención, detección, generación de informes, reacción-restauración y respuesta).

Esto significa la gestión profesional e inteligente de los riesgos en ciberseguridad en relación ala existencia, al uso, al procesamiento, al almacenamiento y a la transmisión de todo tipo deinformación (ruido sin codificar, datos elaborados, conocimiento, sabiduría, etc.) yrecursos/activos. La ciberseguridad en negocios electrónicos habilitados por Internet presentaun creciente número de beneficios para las empresas como proteger las  operaciones de losservicios de negocios, salvaguardar los activos, proporcionar recuperación en caso dedesastres, asistir a la organización a la hora de satisfacer los requisitos regulatorios decumplimiento, evitar revelaciones embarazosas debidas a fallos/errores de seguridad (pormalicia, descuido, ignorancia, fallos físicos/lógicos, fuerzas de la naturaleza, etc.), proteger lareputación de las empresas, los niveles de audiencia de Internet, etc. En el mundo de losnegocios nos encontramos con un creciente número de proyectos que surgen vía crowdfunding(aportaciones económicas de personas interesadas en promoverlos).   

Ventajas que ofrece la ciberseguridad en los negocios electrónicos

1 / 5

Page 2: Implantacion de Ciberseguridad en El Entorno de Los Negocios Electronicos

“Implantación de ciberseguridad en el entorno de los negocios electrónicos”

La importancia de la ciberseguridad en e-business/ciber-business es crucial ya que laspérdidas financieras atribuibles a los adversarios/atacantes/competidores sin escrúpulos, alespionaje corporativo on-line, a los procesos de secuestro de clientes (vía pharming, phishing,etc.), a los fraudes en el pago por clic (explotan marcas legales para su propio beneficio,disparando los costos de anunciantes legítimos) y a muchos otros delitos cibernéticos presentaun impacto creciente en la actividad comercial y de negocios de todo país. El CSI (ComputerSecurity Institute) estima que las pérdidas totales debidas a delitos relacionados condispositivos de computación son superiores a diez billones de dólares anuales principalmentedebidos a fraude financiero y robo/fuga de información corporativa. Aunque la ciberseguridadtiene un coste, existe un creciente número de motivos para implantarla: (i) Posibilidad depérdidas (cartera de clientes, ventas, conocimientos, innovación, etc.). (ii) Posible daño de lareputación/imagen de una organización/negocio. (iii) Es una ventaja competitiva. (iv) Es unaobligación de tipo legislativo y regulatorio, etc. La ciberseguridad al 100% es imposible en lapráctica ya que los sistemas del mundo real son complejos, la ciberseguridad no es unacaracterística de un producto sino parte de un proceso para gestionar el ciber-riesgo. Laplanificación de negocios electrónicos siempre implica un compromiso entre costo y beneficios.Los negocios son inherentemente para fines lucrativos, el despliegue de una infraestructura deciberseguridad en e-business requiere no sólo que los costos deben justificarse sino tambiénque satisfagan las necesidades de la organización y de los usuarios. Los costos vienen segúnvarias direcciones, si la carga de ciberseguridad es demasiado alta para los usuarios queinterfiere en su productividad, las funciones de ciberseguridad serán saltadas reduciendo laefectividad del sistema de protección. Según una encuesta reciente de Oracle una de lasprincipales razones de abandonar una transacción on-line (por ejemplo para comprar artículospor Internet) es que el proceso requiera demasiado tiempo; las personas optan por la velocidadfrente a otros factores.

2 / 5

Page 3: Implantacion de Ciberseguridad en El Entorno de Los Negocios Electronicos

“Implantación de ciberseguridad en el entorno de los negocios electrónicos”

Tipos de métricas en ciberseguridad en E-Business. Clasificación de ciberamenazasEl objetivo de las métricas en ciberseguridad es proporcionar información que necesita unaorganización/empresa para prevenir ciberataques estableciendo una base cuantitativa paramedir la ciberseguridad. Las métricas proporcionan medios a la hora de  comparar entrediversas alternativas. Las métricas cambian con el tiempo y posibilitan realizar “benchmarking”de una organización respecto a otras. Se pueden identificar diversos tipos de métricas: (1)Métricas ROI (Return On Investment). Sirven para medir el ROI en relación a los controles seciberseguridad operacional, de tecnologías de la información, de personal y de tipo físico conobjeto de guiar la inversión de capital. (2) Métricas de cumplimiento. Sirven para medir elcumplimiento con las regulaciones, leyes y estándares de ciberseguridad actuales como SOX,GLBA, LOPD-RMS, HIPAA, etc. (3) Métricas de resiliciencia. Sirven para medir la resistenciade los controles relacionados con ciberseguridad física, de personal, de tecnologías de lainformación y las comunicaciones y de tipo operacional, tanto antes como después de que unsistema, producto o red sea desplegado. La clasificación y priorización de ciberamenazas, nos permiten medir el nivel de protección deun sistema. Se pueden identificar diversos sistemas y modelos para priorizar ciberamenazas:(1) Modelo IIMF. Clasifica las ciber-vulnerabilidades potenciales de acuerdo a cuatrocategorías: Interceptación (una parte no autorizada gana acceso a un activo de información,por ejemplo comprometer los datos confidenciales con un sniffer de paquetes), Interrupción (unactivo se hace no utilizable, no disponible o se pierde, por ejemplo un ataque de DoS/DDoS aun sitio Web), Modificación (una parte no autorizada altera un activo, por ejemplo ataque parapintarrajear un sitio Web) y Fabricación (un activo ha sido falsificado, por ejemplo ataques despoofing en una red). (2) Sistema STRIDE. Permite clasificar ciberamenazas, no intentarealizar un ranking o priorizar cibervulnerabilidades sino clasificarlas: Spoofing(suplantación/falsificación), Tampering (alteración), Repudio, Information disclosure (revelaciónde información), Denegación de servicios y Elevación de privilegios. Muchascibervulnerabilidades pueden estar solapadas y algunas son ataques umbrales que conducen aotros. (3) Sistema CIA-AN. Permite clasificar las cibervulnerabilidades potenciales de acuerdo alas violaciones en los rasgos que deseamos que tenga un sistema (por ejemplo un sistema deinformación de una organización): Confidencialidad (se trata de asegurar que la información nose revele a entidades no autorizadas), Integridad (se trata de protección contra modificación noautorizada o destrucción de información. La información se encuentra completa y no corrupta),Availability (disponibilidad: se trata de acceso fiable y a tiempo a datos y servicios deinformación para usuarios autorizados. Los usuarios autorizados pueden acceder),Autenticidad—autenticación (se trata de medidas de ciberseguridad para establecer la validezde una transmisión, mensaje-PDU u originador. La información es genuina), No-repudio (setrata de asegurar que el emisor tenga prueba de entrega de datos y que el receptor tengaprueba de la identidad del emisor, de modo que posteriormente no puedan negar que hanrealizado dichas actividades de procesado de datos). A veces se añaden tres aspectos críticosadicionales: Precisión (la información esta libre de error y tiene el valor esperado), utilidad (lainformación tiene valor para el propósito deseado) y posesión (los datos están bajo lapropiedad y control autorizado).

La decadencia de datos hace referencia a que pueden perder valor y actualidad con el tiempoes decir des-actualizarse los datos de una base de datos. Es una cuestión clave que afecta porejemplo a las bases de datos CRM (Customer Relationship Management) de las empresas. (4)Sistema DREAD. Permite no sólo clasificar sino también hacer un ranking de potencialesciberamenazas. Calcula cinco aspectos potenciales para cada cibervulnerabilidad con unaescala de uno a diez; estos aspectos son: Daño potencial, Reproducibilidad/Reliability,Explotabilidad, Affected users (usuarios afectados) y Descubribilidad (este aspecto es polémicoy ha sido criticado). Para cada vulnerabilidad se suman los valores de los cinco aspectos y sedivide entre cinco. (5) Sistema CVSS (Common Vulnerabilty Scoring System). Es una métricacomún para tasar vulnerabilidades creada por un consorcio de organizaciones entre las quefiguran Cisco, eBay, MITRE, IBM, Microsoft, CMU-CERT, etc. y mantenida por FIRST (Forumof Incident Response and Security Teams). Permite tasar con una fórmula compleja cadacibervulnerabilidad en tres dimensiones en una escala de cero a diez. Estas tres dimensionesson: (i) Ecuaciones de base. Indica las características del objetivo de la vulnerabilidad. (ii)Marcador temporal. Indica cómo puede cambiar con el tiempo el riesgo.  (iii) Marcador deentorno. Indica cómo es la vulnerabilidad específica a tu organización. Uno de los calculadoresonline de CVSS esta en la URL de la NVD (Nacional Vulnerability Database):http://nvd.nist.gov/cvss.cfm?calculator. (4) Sistema CWE (Common Weakness Enumeration).Es una lista de tipos de vulnerabilidades software como: SQL Injection (CWE-89),Buffer-Overflow (CWE-120), Cifrado perdido de datos sensibles (CWE-311), Integer Overflow(CWE-190), uso de un algoritmo criptográfico roto o débil (CWE-327), CSRF/Cross-SiteRequest Forgery (CWE-352), etc. El MITRE junto con el Instituto SANS publican cada año lasveinticinco CWEs más peligrosas. Principales ciberamenazas a la información en E-Business. Guerra de información

3 / 5

Page 4: Implantacion de Ciberseguridad en El Entorno de Los Negocios Electronicos

“Implantación de ciberseguridad en el entorno de los negocios electrónicos”

Los ruidos son hechos en bruto, sin refinar con un sistema de codificación desconocido. Losdatos son hechos en bruto sin refinar con un sistema de codificación conocido. La informaciónson datos procesados, dotados de relevancia y propósito. Para convertir datos en informaciónse requiere cierto conocimiento. El conocimiento son hechos, principios o reglas generalesaceptadas que son útiles para dominios específicos. El conocimiento puede ser el resultado deinferencias e implicaciones producidas a partir de hechos de información simples. Lasprincipales características de la información son: precisión, consistencia, disponibilidad, quesea verificable, completa y que este a tiempo, es decir no sea copia. Las principalesciberamenazas a la información en e-business son: (1) Robo de activos electrónicos/físicos. Lapérdida de activos electrónicos es más difíciles de detectar que la pérdida de activos físicos. (2)Errores o fallos humanos. Son errores de usuarios autorizados que puede comprometerCIA-AN. (3) Compromiso de la propiedad intelectual. Como piratería software, violación delicencias software, duplicación no autorizada, etc. (4) Espionaje/entrada sin derecho. A su vezse pueden identificar tres subcategorías: (i) Espionaje industrial/corporativo. Las empresasrecogen información competitiva de otras empresas. Puede implicar a los servicios deinteligencia nacionales. (ii) Mirar por encima del hombro y buscar entre la basura. Es laadquisición oportunista de información descartada (discos duros en la basura) o guardada sinel cuidado necesario. (iii) Atacantes. Disponen de técnicas y herramientas (siniffers,keyloggers, hacking no-ético, etc.) para localizar y determinar vulnerabilidades para luegoacceder sin autorización. (5) Extorsión. Después de robar activos (números de tarjetas decrédito, ficheros sensibles, contraseñas, fotos comprometedoras, etc.) se envía un mensaje(blackmailing) a la víctima (persona física o jurídica) para que pague, en caso de que no paguelos activos pueden venderse a otros delincuentes. (6) Sabotaje. La forma más común consisteen pintarrajear páginas Web y sitios Web. Más peligroso es dañar sistemas de control deinfraestructuras críticas de telecomunicaciones, control de tráfico, bomberos, agua, defensa,etc. (7) Ataques de software vía malware. Se utilizan virus informáticos, gusanos, troyanos,ataques DoS/DDoS. (8) Fuerzas de la naturaleza (provocados o por azar). Desastres a granescala como incendios (provocados o fortuitos-negligencias-cortocircuitos), inundaciones,tsunami, terremotos (se pueden provocar utilizando explosivos en zonas geológicas sensibles),rayos, lluvias torrenciales, tornados, huracanes, maremotos, volcanes, desprendimientos, etc.Pueden mitigarse sus efectos utilizando seguros y un diseño físico adecuado (edificios aprueba de terremotos). Los ataques a pequeña escala como polvo, contaminación conductora,roedores, daños electrostáticos, explosiones nucleares de neutrones en atmósfera paraproducir impulsos electromagnéticos puntuales devastadores en infraestructuras electrónicas,etc. (9) Fallos de hardware y de software. Por ventilación física no adecuada o porbugs-software y por falta de depuración (análisis estático y dinámico) de las aplicaciones ymobile APPs. (10) Cuestiones de QoS. Los proveedores de servicios (de electricidad,conectividad de red) pueden tener fallos o degradación de la calidad que afecten a lasempresas. Los servicios de respaldo y backup pueden ayudar a atenuar sus efectos másnocivos. Por ejemplo disponer de más de un proveedor de telecomunicaciones o de suministroeléctrico o disponer de SAI/UPS. (11) Uso de tecnología obsoleta. Puede conducir a problemasde mantenimiento al no existir recambios o actualizaciones adecuadas. En el ámbito de laguerra de información (que puede realizarse a nivel de empresas/organizaciones, individuos onaciones bajo las tres ejes de motivo, medios y oportunidad) existe una parte ofensiva en formade operaciones de información y una parte defensiva en forma de aseguramiento de lainformación. Se pueden identificar tres grandes niveles: (i) Nivel I. Implica la gestión de lapercepción del oponente a través del engaño y las operaciones psicológicas, a vecesdenominadas proyección de la verdad. (ii) Nivel II. Implica denegar, destruir, degradar odistorsionar los flujos de información del oponente para trastornar su capacidad para realizary/o coordinar las operaciones. (iii) Nivel III. Recoger inteligencia explotando el uso de lossistemas de información del adversario/oponente/competidor. Los agentes ofensivos a lasorganizaciones pueden ser de diferentes tipos: (1) De dentro. Como empleados, contratistas,empleados antiguos, etc. Este grupo es la mayor amenaza. (2) Atacantes. Obtienen acceso noautorizado o rompen defensas en sistemas de información por dinero, desafío, poder, chantaje,etc. (3) Delincuentes. Su objetivo es la información que puede ser de valor para ellos comocuentas de banco, información de tarjetas de crédito, propiedad intelectual, etc. (4) Empresas.Buscan activamente inteligencia de competidores o roban secretos registrados. (5) Gobiernos yagencias. Buscan secretos económicos, diplomáticos y militares de gobiernos, empresas yadversarios extranjeros. También pueden dirigirse a adversarios domésticos. (6) Terroristas.Normalmente motivados políticamente-religiosamente buscan causar daño máximo ainfraestructuras de información poniendo en peligro vidas y propiedades.

Dominios y niveles en ciberseguridad. SalvaguardasEs posible identificar diversos dominios en ciberseguridad: (1) Ciberseguridad operacional.Implica la implantación de procedimientos de ciberseguridad operacional estándar que definanla naturaleza y frecuencia de la interacción entre usuarios, sistemas y recursos del sistema. Supropósito es llevar a cabo y mantener un estado de sistema seguro conocido en todo momentoy prevenir robo, liberación, destrucción, alteración, uso indebido y sabotaje de los recursos delsistema de forma accidental y/o intencionada. (2) Ciberseguridad física. Se refiere a laprotección del hardware, software y datos contra amenazas físicas con objeto de reducir oprevenir trastornos en las operaciones y servicios y pérdida de activos. (3) Ciberseguridad detecnologías de la información. Integra las funciones y características técnicas que contribuyen allevar a cabo una infraestructura de tecnologías de la información que mantenga laconfidencialidad, integridad, disponibilidad, responsabilidad-auditoria, autenticidad, fiabilidad,etc. (4) Ciberseguridad de personal. Integra un conjunto de medidas tomadas para reducir laprobabilidad y severidad de alteración, destrucción, apropiación indebida, uso indebido,configuración indebida, distribución no autorizada y no disponibilidad de activos físicos ylógicos de la organización como resultado de acciones o carencia de acciones por parte delpersonal de dentro de la organización o por parte de personal externo como socios denegocios, adversarios ajenos, etc. En ciberseguridad interactúan diversos componentes:tecnología, redes, datos, actividades y personas. Las salvaguardas en ciberseguridad puedenclasificarse en dos categorías: (1) Técnicas. Aquí se identifica el control de acceso físico/lógico,la identificación/autenticación/IAM (gestión de identidades federadas),criptogra-fía/esteganografía, IDS/IPS, DLP, AV, FW, VPN, etc. (2) No técnicas. Se identificanlos controles operacionales y de gestión (políticas de seguridad), procedimientosoperacionales, ciberseguridad medioambiental, física y del personal, etc. Existen tres formas de gastar en ciberseguridad: (i) Comprando seguros cibernéticos. (ii)Pagando después de la ocurrencia de un evento o incidente. (iii) Comprando y gestionandociberseguridad propia y/o delegando externalización. En un análisis coste-beneficios enciberseguridad para una empresa, el beneficio es el valor que recibe debido al uso de controlesy contramedidas asociadas a las vulnerabilidade/amenazas/riesgos relevantes. Algunasmétricas en esta área son: (i) SLE (Single-Loss-Expectancy). Es la pérdida si se explota unavulnerabilidad. El SLE es el producto del valor del activo por el porcentaje/factor de exposición.El factor de exposición es el impacto del riesgo sobre el activo o porcentaje de pérdida delactivo. El SLE es el coste potencial, por ejemplo por robo 50.000.000 euros€. (ii) ARO(Annualized Rateo of Occurence). Representa el número de veces que ocurrirá el ataque poraño. Es la incidencia/probabilidad por ejemplo 0,005. (iii) ALE (Annualized Loss Expectancy).Es el producto de SLE por ARO. Por ejemplo 50.000.000 x 0,005 = 250.000 euros€. (iv) Elcoste-beneficio se obtiene restando del ALE antes de colocar contramedidas, el ALE despuésde colocarlas y el costo de dichas contramedidas/salvaguardas. (v) ROI (Return OnInvestment). Sirve para comparar inversiones en ciberseguridad. Una posible fórmula como porcentaje beneficio/coste en un tiempo de tres años es: ROI = ( (a/(1+b)) + (a/(1+b)(1+b)) +a/(1+b)(1+b)(1+b) ) / c, donde a es el beneficio, b es la tasa de descuento y c es el coste inicial.De acuerdo a Security-500 del 14-2-11 el personal de seguridad de TI en pequeñas y medianasempresas gasta ciento veintisiete horas cada mes en gestionar su propia infraestructura deseguridad. La fiabilidad es la probabilidad de que un sistema (por ejemplo un servidor Web)dado realice la función requerida en las condiciones dadas en un período de tiempo concreto.La disponibilidad de un sistema/organización se calcula dividiendo el MTBF (Mean TimeBetween Failure) entre la suma del MTBF y el MTTR (Mean Time To Repair). En relación alMTTR después de un ataque, el objetivo es reducir los costos del tiempo de parada, así en elaño 2000 Amazon estimó que la pérdida debida al tiempo de caída después de un ataque/falloera de 180.000 dólares por hora. Una disponibilidad del 99,999% (los cinco nueves) se traduceen cinco minutos de parada cada año. La disponibilidad operacional debe tener en cuenta eltiempo entre mantenimiento, no sólo fallos/ataques y el tiempo de parada debido almantenimiento.

4 / 5

Page 5: Implantacion de Ciberseguridad en El Entorno de Los Negocios Electronicos

“Implantación de ciberseguridad en el entorno de los negocios electrónicos”

Consideraciones finalesActualmente en comercio-business electrónico la ciberseguridad es de absoluta prioridad nosólo para cuestiones de cumplimiento, subsistencia de los modelos de negocio desplegados,control de reputación sino para posibilitar una dinámica ágil e inteligente de cambios-mejorassin tener que asumir el incremento de riesgos graves que se generan y que conlleva. Nuestrogrupo de investigación lleva veinte años en el área de la protección en e-business/commerce.Este artículo se enmarca en las actividades desarrolladas dentro de LEFIS-Thematic Network. Autor: Prof. Dr. Javier Areitio Bertolín – E.Mail: [email protected]ático de la Facultad de Ingeniería.Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto BibliografíaAreitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”.Cengage Learning-Paraninfo. 2012. Areitio, J. “Evolución de amenazas y tendencias en seguridad de red en el contexto Web”.Revista Conectrónica. Nº 142. Noviembre 2010. Areitio, J. “Identificación y análisis de la protección de las aplicaciones Web”. RevistaConectrónica. Nº 143. Enero 2011. Schneier, B. “Economics of Information Security and Privacy”. Springer. 2011. Nicastro, F.M. “Security Patch Management”. CRC Press. 2011. Norman, T.L. “Risk Analysis and Security Countermeasure Selection”. CRC Press. 2009. Más información o presupuesto

5 / 5

index.php?option=com_contact&view=contact&catid=12:contacts&id=1-name

LIBRO DE IMPLANTACION

ANÁLISIS CIBERSEGURIDAD Estado Actual de la Ciberseguridad

Implantacion De Establecimientos Penitenciarios

17.implantacion iso

2asir Implantacion Aplicaciones Web

Implantacion Orden EsOK

1 Estrategias de Implantacion

Implantacion y Pruebas

Implantacion open erp

Fecundacion e implantacion

Materiales Y dispositivos Electronicos · •Los CIRCUITOS ELECTRONICOS se construyen utilizando DISPOSITIVOS ELECTRONICOS •Los DISPOSITIVOS ELECTRONICOS están fabricados con MATERIALES

Implantacion de sistemas_de_gestion_integral_en_pymes

IMPLANTACION PROYECTO NETWORKVIAL

Implantacion de sistemas informaticos

Elaboracion Planos de Implantacion

Implantacion de estrategias

Implantacion evalua cion 2

Tejido uterino implantacion

Lecheria Implantacion Alfalfa Villegas

Implantacion de Embrion

Implantacion sistema de_calidad

Modelo Implantacion SGI

Curso Implantacion Del SGC

Orde implantacion Primaria

implantacion de Sistemas Operativos

Guia Implantacion Osalan

05 implantacion m

Implantacion del iso_27001_2005

5 Implantacion Sistemas

Implantacion trabajo

Implantacion y tubulacion

Presentacion de implantacion

Implantacion Erp

Beneficios de Implantacion

Implantacion Sindesgaste Es