En el ámbito personal, la ciberseguridad forma parte de nuestro día a día, aunque no seamos conscientes. El uso de los diferentes servicios, como el correo electrónico, las redes sociales, nuestros dispositivos personales, etc., supone asumir determinadas conductas de riesgo de las que si desconocemos las amenazas podrían provocar problemas, como la suplantación de identidad, robo de credenciales, secuestro de dispositivos, etc. Si esto lo trasladamos a un ámbito corporativo o empresarial, las consecuencias podrían ser desastrosas.
A lo largo de esta Guía, se pretenden dar respuestas e información relacionada con los riesgos existentes y las medidas para protegernos frente a ellos, no sólo desde una perspectiva de concienciación, sino también desde la parte más operativa y práctica.
CAPÍTULO I
LA CIBERSEGURIDAD EN LA EMPRESA
I. AMENAZAS EXISTENTES EN INTERNET
1. Contexto actual y objetivo de los ciberdelincuentes
1.1. Introducción
1.2. Qué buscan los ciberdelincuentes
2. Las empresas en el punto de mira
2.1. Pymes
2.2. Qué ocurre en las grandes empresas
2.3. Wannacry: cuando todas se concienciaron en ciberseguridad
3.Cómo afectan los incidentes a las empresas
3.1. Perdida de reputación
A. Incidentes de ciberseguridad
B. Protección: marco legal
3.2. Sanciones económicas
3.3. Pérdidas económicas
3.4. Cese de la actividad y/o cierre
4. Qué amenazas afectan a la información de las empresas
4.1. Actores
A. Ciberdelincuentes
B. Empleados y exempleados
C. Empresas (competencia)
D. Hacktivistas
4.2. Amenazas cibernéticas
A. Malware
B. Ransomware
C. Fraudes
D. Otras
E. Otro tipo de amenazas
5. Ciberseguridad como elemento diferenciador y dependencia TEC
5.1. La ciberseguridad vista como inversión y no como gasto
5.2. Inconvenientes de la dependencia tecnológica
II. INGENIERÍA SOCIAL: LA TÉCNICA DEL ENGAÑO A LAS PERSONAS
1.Qué es la ingeniería social y por qué la usan los ciberdelincuentes
1.1.Definición
1.2.“Herramienta” preferida de los ciberdelincuentes
2.Por qué funciona este tipo de técnica
3. Cómo encuentran la información de los usuarios
3.1. Fuentes de información abiertas (OSINT)
3.2. Redes sociales
3.3. Metadatos
3.4. Qué valor tiene nuestra información
4. Qué tipos de ataques existen y cómo podemos identificarlos
4.1. A través del propio usuario (factor humano)
4.2. Mediante herramientas o software
A. Pop-up:
B. Phishing:
C. Webs maliciosas:
D. Spam con adjuntos o enlaces maliciosos:
E. Otro tipo de ataques:
5. Medidas necesarias para protegernos de esta amenaza
5.1. Formación y concienciación como principal herramienta
5.2. Políticas de seguridad
5.3. Recomendaciones
5.4. Mantenerse al día: Suscripción a servicios
III.NUESTROS ACTIVOS: LO QUE BUSCAN LOS CIBERDELINCUENTES. RIESGOS, ATAQUES Y CONTROLES
1.Identificación de los activos para protegerlos
1.1. Identificación
1.2.Activos intangibles
A. Datos personales
B. Propiedad intelectual
C. Secretos empresariales – Know how
D. Información confidencial propia o de clientes
E. Información privilegiada
F. Reputación corporativa
G. Información económica – Dinero
1.3. Activos tangibles
2. Control de los activos para protegerlos
2.1. Inventario
2.2. Clasificación y recogida de información
A. Clasificación por categorías
B. Información necesaria en el inventario
C. Actualización del inventario
3.Los riesgos más habituales
3.1. Riesgos que pueden provocar una divulgación de información confidencial y medidas de prevención
3.2. Ciberdelitos: la ciberseguridad en el Código Penal español
4. Gestión de los riesgos
4.1. Introducción
A. Nivel de riesgo del activo
B. Caso práctico
C. Matriz
4.2. “Gestión de riesgos”
A. Tareas
B. Coste de protección
C. Qué hacer una vez detectado el riesgo
5. Controles de seguridad
5.1. Introducción
5.2. División de controles, según la ISO 27002
A. Controles de carácter físico
B. Controles de carácter técnico
C. Controles administrativos
5.3. Plan Director de Seguridad
A. ¿Qué es un Plan Director de Seguridad?
B. ¿Para qué sirve?
C. ¿Cómo implementarlo?
D. Tras llevarlo a cabo ¿Ya estoy seguro?
5.4. SGSI, el hermano mayor del plan director de seguridad
A. Concepto
B. Diferencias con el Plan Director de Seguridad
IV. CÓMO UTILIZAR LOS SERVICIOS DE MANERA SEGURA
1.El puesto de trabajo
1.1.Uso seguro de aplicaciones
A.Antivirus
B.Actualizaciones de seguridad
C.Copias de seguridad
D.Cifrado de información
E.Contraseñas seguras
1.2.Bloqueo del ordenador y mesa limpia
2.Mi información: clasificación y destrucción
2.1.Clasificación
2.2.Destrucción
3.Seguridad en dispositivos móviles
3.1.A qué amenazas están expuestos
A. Amenazas de ciberseguridad
B. Amenazas físicas
3.2. Cómo protegerlos: medidas para implementar ciberseguridad en cualquier tipo de dispositivo móvil
A. Control de acceso
B. Sistema operativo y aplicaciones
C. Conexiones
3.3. Qué hacer frente a un robo o pérdida
A. Copia de seguridad
B. Cifrado
C. Localización
D. Apagado del dispositivo
3.4. Gestión de dispositivos móviles en las empresas
A. Seguridad avanzada – MDM
B. Seguridad avanzada – Rooting y jailbreaking
4. La Nube como servicio
4.1.Qué es la Nube
4.2.Características
4.3.Ventajas y desventajas
A. Ventajas
B. Inconvenientes
4.4. Modelos de contratación
A. SaaS
B. PaaS
C. IaaS
4.5. Tipos de despliegue
A. Público
B. Privado
C. Híbrido
4.6. Contrato del servicio: recomendaciones
A. Escoger un proveedor
B. Acuerdos de confidencialidad y acuerdos de nivel de servicio
4.7. Riesgos de la nube
A. Amenazas internas o insiders dentro de la organización
B. Control de acceso
C. Uso compartido
D. Fuga de información
E. Ataques por ciberdelincuentes
F. Localización y separación de datos
G. Cumplimiento normativo
H. Recuperación y posibilidad de auditoría
4.8. Tipos de contrato
A. Negociado
B. Adhesión
C. Mixto
V. PROTECCIÓN DE DATOS
1.Introducción
1.1. Un poco de historia
1.2. Algunos conceptos que es necesario conocer
A. Datos de carácter personal
B. Fichero
C. Tratamiento de Datos
1.3. Otros datos de interés
A. Requerimientos para el tratamiento de los datos
B. Cuando el consentimiento no es necesario
VI. RIESGOS EN LA CONTRATACIÓN DE TERCEROS COMO PROVEEDORES
1. Introducción
2. Tipología de riesgos
3. Medidas para mitigar los posibles problemas
3.1. Evaluar la seguridad de los proveedores
A. Evaluación de las medidas de seguridad
B. Fases del procedimiento
3.2. Identificar al responsable del tratamiento de datos
3.3. Acuerdos que se deben establecer
A. Propiedad intelectual
B. Seguridad en correo electrónico
C. Cifrado de datos y canal de comunicación
D. Protección de datos
E. Acuerdo de confidencialidad
F. Acuerdo de nivel de servicio (ANS)
G. Acuerdo de nivel de servicio (ANS)
H. Finalización de contrato
4. Recomendaciones generales
VII. INCIDENTES
1. Qué es un incidente
1.1. Incidente o evento
1.2. Causas
2. Ejemplos de incidentes
3. Los incidentes en las empresas
3.1. Los más destacados
3.2. Pymes
4. La gestión de los incidentes y cómo manejarlos
4.1. Preparación
4.2. Detección y análisis
4.3. Contención, eliminación y recuperación
4.4. Acciones tras el incidente
5. Centros de respuesta a incidentes
5.1. Concepto
5.2. Objetivos de un CERT
5.3. CERTs en España
5.4. Cómo reportar un incidente a un CERT
VIII. OBJETIVO ESTRATÉGICO DE LOS SISTEMAS DE INFORMACIÓN: PROCESOS DE GESTIÓN
1. Objetivo de un proceso de gestión
2. La estrategia de los sistemas de información
2.1. Objetivo
2.2. Características principales
2.3. Funciones del Comité de Seguimiento
3. Políticas y procedimientos de TI
3.1. Políticas
3.2. Procedimientos
4. Procesos de gestión y objetivos
4.1. De riesgos y seguridad
A. Tareas
B. Objetivo principal
C. Actividades
D. Conclusiones
4.2. De la disponibilidad
A. Garantías
B. Objetivos
C. Indicadores del proceso
D. Beneficios
E. Dificultades
4.3. De la capacidad
A. Objetivo y funciones
B. Beneficios
4.4. De la continuidad del servicio
A. Objetivos
B. Beneficios
C. Dificultades
4.5. De la gestión financiera
IX.PREGUNTAS CON RESPUESTA
CAPÍTULO 2
NOCIONES TÉCNICAS DE CIBERSEGURIDAD
I. INTRODUCCIÓN A LOS SISTEMAS INFORMÁTICOS Y REDES
1. Evolución de la informática
1.1. Primera Generación (1940-1956)
1.2. Segunda Generación (1956-1963)
1.3. Tercera Generación (1964-1971)
1.4. Cuarta Generación (1971-actualidad)
1.5. Mas allá del PC
2. Componentes de un PC
2.1. Introducción
2.2. Hardware: Microprocesador o CPU
2.3. Hardware: Memoria RAM
2.4. Hardware: Memoria ROM
2.5. Hardware: Placa Base
2.6. Hardware: Periféricos Disco duro
2.7. Hardware: Otros Periféricos
2.8. Software: Sistema operativo
3. Internet
3.1. ¿Qué es internet?
3.2. Protocolos de internet
3.3. Modelo TCP/IP: Acceso a la red
3.4. Modelo TCP/IP: Internet
3.5. Modelo TCP/IP: Transporte
3.6. Modelo TCP/IP: Aplicación
II. EVOLUCIÓN DE LAS AMENAZAS Y RIESGOS
1. Introducción
1.1. Amenaza
1.2. Riesgo
1.3. Vulnerabilidad
1.4. Evolución de las amenazas
2. Primeros tiempos
2.1. Introducción
2.2. Vulnerabilidades de sistemas
2.3. Virus
3. La llegada de Internet
3.1. Introducción
3.2. Gusanos
3.3. SPAM
3.4. Phishing
3.5. Riesgos en aplicaciones web: OWASP
3.6. Medidas de protección
4. Profesionalización y crimen organizado
4.1. Introducción
4.2. Profesionalización
4.3. Ransomware
4.4. Botnet
4.5. Amenazas Avanzadas Persistentes
III. HERRAMIENTAS PARA PROTEGER LA INFORMACIÓN
1. Anonimato
1.1. Servidores Proxy
1.2. Anonimato con TOR y contramedidas
2. Recopilación de información
2.1. Introducción
2.2. “Footprinting” o recolección de información pública
2.3. Herramientas funcionales
2.4. Contramedidas para evitar la recolección de información
IV. ANÁLISIS DE VULNERABILIDADES
1. Conceptos y fuentes de información
1.1. Common Vulnerability Exposure (CVE)
1.2. Common Vulnerability Exposure (CVE) - Estructura del código
1.3. Common Weakness Enumeration (CWE)
1.4. Common Attack Pattern Enumeration and Classification (CAPEC)
1.5. Common Configuration Enumeration (CCE)
1.6. Common Platform Enumeratio (CPE)
1.7. Common Vulnerability Scoring System (CVSS)
1.8. Common Vulnerability Scoring System (CVSS) – Disclose: M-Base
1.9. Common Vulnerability Scoring System (CVSS) – Desglose: M-Temporales
1.10. Common Vulnerability Scoring System (CVSS) – Desglose: M-Entorno
2. Proceso de inspección
2.1. Introducción
2.2. Ámbitos y tipos
3. Aplicaciones para el análisis automatizado de vulnerabilidades
3.1. Introducción
3.2. Nessus
3.3. OpenVAS
4. Conceptos sobre exploits
V. PROCESO DE AUDITORÍA: CONCEPTOS BÁSICOS Y CLASES DE INCIDENTES
1. Introducción
2. Conceptos
2.1. Evidencia
2.2. Principio de Locard
2.3. Principio de Heisenberg
2.4. Cadena de Custodia
3. Clases de incidentes
3.1. Accesos no autorizados.
3.2. Código malicioso.
3.3. Interrupción del servicio.
3.4. Utilización no autorizada de servicios
VI. PREGUNTAS CON RESPUESTA
