Skip to content
Cyber Security
 / 
Amenazas

AMENAZAS

Perfil de Amenazas: Conozca a quienes podrían estar interesados en sus datos

ACTOR DE AMENAZA
MOTIVACIONES
Estados nacionales
Inteligencia competitiva
Crimen organizado
Espionaje cibernético
Hackers solitarios
Ganancia financiera
Hacktivistas
Impacto reputacional
Competidores
Competitors
Ex empleados
Atacante reputation-building
Interno
Externo

Elaboración de un Perfil de Amenazas

Los métodos de modelado de amenazas se utilizan para crear:

  • Una abstracción del sistema
  • Un perfil de los atacantes potenciales, incluidos sus objetivos y métodos
  • Un catálogo de las amenazas potenciales que pueden surgir
AMENAZA
PROPIEDAD VIOLADA
DEFINICIÓN DE AMENAZA
Identificar Spoofing
Autenticación
Fingir ser algo o alguien distinto de uno mismo
Manipulación con datos
Integridad
Modificar algo en el disco, la red, la memoria o en otro lugar.
Repudio
Asentimiento de repudio
Afirmar que no hiciste algo o que no fuiste responsable, puede ser honesto o falso
Divulgación de información
Confidencialidad
Proporcionar información a alguien no autorizado para acceder a ella
Negación de servicio
Disponibilidad
Agotar los recursos necesarios para prestar el servicio
Elevación de privilegios
Autorización
Permitir que alguien haga algo para lo que no está autorizado

Identificación de activos y perfil de amenazas

¿Cómo sabemos si el cliente necesita este servicio?
Evaluación y estrategia del programa de seguridad
  • Ausencia de personal de seguridad dedicado
  • Los riesgos de seguridad no están documentados
  • La falta de claridad en la comprensión de la relación entre los objetivos empresariales y los objetivos de seguridad
  • No se han documentado las futuras necesidades de seguridad
  • Decisiones incoherentes en el ámbito de la seguridad
  • Procedimientos de gestión de riesgos de seguridad no documentados
Documentos y análisis de requisitos de seguridad
  • Los requisitos de seguridad de la aplicación o del sistema no están documentados
  • La falta de uso sistemático del análisis de amenazas como parte integral del ciclo de vida del desarrollo
  • Falta de documentación de un procedimiento para aplicar estándares de seguridad a aplicaciones o sistemas
  • La postura de seguridad deseada/requerida de un sistema no está documentada
Evaluación del ciclo de vida del desarrollo de seguridad
  • Los requisitos de seguridad de la aplicación o del sistema no están documentados
  • El proceso de gestión de riesgos de seguridad no está estandarizado
  • La falta de integración de prácticas de seguridad con proyectos, lanzamientos, cambios y procesos de operaciones de TI
  • Seguridad Las tecnologías SAST, DAST, RAST, IAS no están implementadas
Desarrollo y revisión de políticas y estándares de seguridad
  • Las políticas y estándares de seguridad no están documentados
  • La documentación de seguridad no ha sido revisada en más de 12 meses
  • No existe un cronograma de revisión de documentación
  • Falta de una metodología para establecer políticas y estándares que se alineen con las necesidades comerciales
Pruebas de penetración de seguridad
  • Algunos organismos reguladores no exigen una prueba de penetración
  • Se ha realizado una prueba de penetración en más de un año.
  • No se requieren pruebas de penetración como parte de la fase de prueba del SDLC para sistemas críticos y altamente sensibles.
  • No existen prácticas para garantizar que los requisitos de seguridad se implementen según lo diseñado (trazabilidad)

Security Tech Stack: la defensa en profundidad y los niveles de seguridad en capas pueden ser complejos y costosos

Consideraciones sobre tecnología de seguridad
  • ¿Tengo varios proveedores que ofrecen las mismas capacidades?
  • ¿Estoy construyendo una defensa de seguridad en profundidad?
  • ¿Los proveedores de soluciones están escuchando mis necesidades/requisitos?
Categorías de tecnología de seguridad: ejemplos
  • Software de terminal o antivirus
  • Seguridad del correo electrónico en la nube o protección avanzada contra amenazas
  • Seguridad de autenticación y contraseña
  • Biometría
  • Cifrado
  • Cortafuegos (hardware o software)
  • Sistemas de detección de intrusos (IDS)
  • Registro y auditoría
  • Autenticación multifactor
  • Escáneres de vulnerabilidad
  • Capacitación en concientización sobre seguridad
  • Red privada virtual (VPN)
  • Sistemas de protección contra intrusiones (IPS)

Estrategia de seguridad cibernética: modelos de servicio

ETAPAS DE LA ESTRATEGIA DE CIBERSEGURIDAD​

E1

Nivel mínimo de seguridad
  • Recomendaciones
  • Aplicación
  • Infraestructura
  • Monitoreo
  • QuickHits
  • Revisión técnica

E2

Seguridad Preventiva
  • Oficina de seguridad en sitio
  • Indicadores de seguridad
  • Diagnóstico de vulnerabilidades
  • Compliance
  • Leyes de protección de datos
  • PIA (Análisis de Impacto en la Privacidad)

E3

Seguridad Activa
  • Monitoreo (SOC)
  • Protección perimetral
  • Protección en aplicaciones y BD
  • Protección de cuentas privilegiadas
  • Detección de incidentes de seguridad

E4

Seguridad Proactiva
  • Exploración de amenazas
  • Inteligencia de amenazas
  • Respuesta de incidentes

Soluciones relacionadas