Análisis de Brechas en Ciberseguridad Empresarial

Clase 6 de 37 • Curso de Seguridad Informática para Equipos Técnicos

Resumen

¿Cómo identificar los ciber riesgos en mi empresa?

En el ámbito de la ciberseguridad empresarial, es esencial tener una visión clara de los ciber riesgos a los que se enfrenta tu organización. Este proceso no solo nos permite prever posibles amenazas, sino también implementar medidas de protección efectivas. Pero, ¿conoces realmente los ciber riesgos que pueden afectar tu empresa? Aquí te damos algunas pautas para analizar y fortalecer la ciberseguridad en tu organización.

¿Qué es un análisis de brecha o gap?

Un análisis de brecha, o "gap analysis", es una evaluación crucial en términos de ciberseguridad. Este proceso implica examinar de manera exhaustiva los procesos internos de la empresa, como la gestión de nóminas, el registro y control, y las transacciones interbancarias. Debes preguntarte:

¿Fluyen datos sensibles a través de estos procesos?
¿Existen ciber controles implementados en estos flujos de información?

Evaluar estos elementos ayuda a determinar las áreas vulnerables donde los controles de ciberseguridad deben ser aplicados o reforzados.

¿Qué amenazas cibernéticas debe considerar tu empresa?

Identificar las ciber amenazas potenciales es un paso crítico. Hazte las siguientes preguntas para obtener claridad sobre los riesgos:

¿Cuáles son las ciber amenazas que podrían impactar la información de mi empresa?
Si tienes un portal que interactúa con dispositivos IoT, ¿qué tipo de ciber ataques o delincuentes cibernéticos podrían amenazar estos dispositivos?

Estas interrogantes te guiarán para anticipar y preparar la respuesta adecuada a posibles ataques.

¿Qué activos de información son vulnerables a los ciberataques?

Conocer qué activos de información debes proteger es vital. Los activos incluyen servidores, bases de datos, servicios en la nube y, por supuesto, los recursos humanos. Determina:

¿Qué activos de información están involucrados en los procesos más críticos?
¿Dónde deberías enfocar tus controles de ciberseguridad?

Asegúrate de contar con sistemas de protección enfocados en estos activos esenciales.

¿Cómo puedes gestionar el riesgo cibernético?

Gestionar el riesgo no siempre es enfrentarlo solo. Considera estas opciones:

¿Podrías transferir el riesgo a un tercero?
Si tu infraestructura está alojada en la nube, verifica si el proveedor de servicios ofrece ciber controles adecuados. ¿Existe un modelo de responsabilidad compartida que te permita descansar tranquilo?

Evaluar estas opciones puede ayudarte a gestionar mejor los riesgos identificados.

¿Tienes respaldo para implementar medidas de ciberseguridad?

Implementar ciber controles requiere de ciertos recursos. Pregúntate:

¿Cuentas con apoyo económico, humano o de aliados para implementar las medidas necesarias?
¿Tu equipo directivo está comprometido con el fortalecimiento de la ciberseguridad?

Las respuestas a estas preguntas determinarán qué tan pronto y efectivamente puedes implementar las medidas necesarias para proteger tu empresa.

¿Cómo puedes fortalecer la ciberseguridad en tu organización?

Para fortalecer la ciberseguridad, puedes utilizar diversas herramientas y marcos de referencia. Un ejemplo es el Framework de Ciberseguridad de NIST, que en su fase de identificación sugiere evaluar, identificar y tratar los riesgos de manera sistemática.

Implementación y evaluación continua

Realiza una comprensión profunda de los procesos de tu organización, identificando qué sistemas de información y bases de datos están involucrados.
Estudia quiénes participan en estos procesos para poder mitigar los riesgos de manera efectiva.

Te recomendamos revisar uno de los procesos más críticos de tu organización, identificar los activos de información involucrados y descubrir los riesgos más relevantes. Implementa las acciones necesarias y sigue aprendiendo sobre ciberseguridad para mantener tus operaciones seguras. ¡El siguiente paso es fundamental para proteger el futuro de tu empresa!

Juan José Álvarez Pérez

student•

Entiende tus riesgos

Para conocer los riesgos de una organización, se debe realizar un análisis de brecha (Gap Analysis), el cual consiste en analizar todos los procesos internos, haciendo foco en la ciberseguridad, determinando si la información que fluye es sensible e identificando los puntos débiles para aplicar controles.

Para llevar a cabo el análisis de brecha, se debe tener en cuenta las siguientes preguntas:

Amenazas: ¿Se conoce realmente las amenazas que existen?, ¿existen dispositivos vulnerables?, ¿quién puede querer atacar?
Alcance: ¿Que activos de información se debe proteger? (por ejemplo: bases de datos, servicios en la nube, recursos humanos)
Transferencia del riesgo: ¿Es posible apoyarse en servicios de terceros? (por ejemplo, si se contrató almacenamiento en la nube, el proveedor puede colaborar con los controles)
Apoyo: ¿Se tiene el respaldo para implementar los controles de seguridad? (económico, recursos humanos, aliados)

Existen frameworks de seguridad que ayudar a fortalecer la seguridad de las organizaciones. Un ejemplo es el framework NIST.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Juan Pablo Suaza Alvarez

student•

Gracias por el aporte =)

Laprovittera Carlos

student•

NIST SP 800-30: desarrollada por el National Institute of Standards and Technology. recomendaciones y tareas para la adecuada gestión de riesgos de la seguridad de la información, involucra a toda la organización para el cumplimiento de tales objetivos. Está desagregada en nueve pasos: a) caracterización del sistema; b) identificación de la amenaza; c) identificación de las vulnerabilidades; d) control del análisis; e) determinación del riesgo; f) análisis del impacto; g) determinación del riesgo; y h) recomendaciones del control.

Javier Ramos

student•

Excelente Resumen

Mateo González Marulanda

student•

++Entiende tus riesgos:++ ¿Conocemos realmente los riesgos que hay? Toda organización debería realizar un análisis de brechas en todos los procesos en términos de la ciberseguridad, es decir, analizando el flujo de infomación. Debemos preguntarnos:

++Amenazas:++ ¿Tengo claras las ciber-amenazas que podrían afectar la información de la empresa? (comunicación con artefactos IOT, tipos de ciber ataques, ciberdelincuentes potenciales...)
++Alcance:++ ¿Que activos de información debo proteger de Ciberataques? (Servidores, bases de datos, cloud, recursos humanos...)
++Transferencia del riesgo:++ ¿Podría buscar apoyo en el tratamiento de riesgos identificados? (Proveedores de servicios que deban compartir la responsabilidad)
++Apoyo:++ ¿Cuento con el respaldo para implementar Ciber-Controles? (Apoyo economico, recurso humano, aliados que me ayuden a reforzar estos controles)

En el Framework de ciberseguridad ++NIST++, en su fase de identificar los riesgos, de evaluarlos y tratarlos. En esta etapa debemos realizar una comprension de la organización con sus manejos y sistemas de información.

Miguel Angel Dominguez

student•

Thx!

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Joan Sebastian Roa Alvarado

student•

Normalmente analizamos nuestra arquitectura y los diferentes sistemas que la componen, pero el hueco de seguridad puede no estar ahí, tambien debemos exigirle a los proveedores o terceros con los que tengamos realación que deben cumplir con ciertos controles de seguridad.

Nuestra comunicación con ellos debe ser segura para evitar que intercepten las comunicaciones o que por medio de sus sistemas ingresen a los de nosotros.

Javier Ramos

student•

Una buena practica para tener una capa de seguridad adicional es Implementar tu propia VPN de esta forma tendras independencia del proveedor en cuanto a sus infraestructrura de seguridad en red, puesto que tus comunicaciones Internas viajaran dentro de tu propia VPN

Paulo Aquino

student•

El framework NIST no es un software, sino un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas

Nicolás Muñoz

student•

Les comparto el MindMap de la primera unidad.

Guillermo Rivadeneira

student•

Muy completo, pero algo confuso.

Javier Ramos

student•

Nada mejor que una descripción gráfica

Julio César Velásquez Mejía

student•

Aporte sobre Análisis GAP

El análisis GAP en ciberseguridad es una evaluación que se realiza para identificar las brechas o discrepancias entre el estado actual de la seguridad informática y el estado deseado o requerido según estándares o mejores prácticas.

Para comenzar a realizar este tipo de análisis, como persona interesada en fortalecer la ciberseguridad, te recomiendo seguir estos pasos:

Comprensión del contexto: Entender el entorno en el que se desarrolla la actividad. Esto implica conocer los activos críticos, las amenazas potenciales y las regulaciones aplicables.
Recopilación de información: Obtener información detallada sobre la infraestructura tecnológica, políticas de seguridad existentes, procedimientos y controles implementados.
Identificación de estándares de seguridad: Investigar y familiarizarse con los estándares de seguridad relevantes para tu industria o área de interés, como ISO 27001, NIST, CIS Controls, entre otros.
Evaluación de brechas: Comparar el estado actual de la seguridad con los requisitos y buenas prácticas establecidos en los estándares seleccionados. Identificar las brechas de seguridad y documentarlas adecuadamente.
Priorización de acciones correctivas: Clasificar las brechas identificadas según su criticidad y riesgo. Establecer un plan de acción para abordar primero aquellas brechas que representen mayores riesgos para la seguridad.
Implementación de medidas correctivas: Ejecutar las acciones correctivas necesarias para cerrar las brechas de seguridad identificadas. Esto puede incluir la actualización de políticas, la mejora de controles técnicos, la capacitación del personal, entre otras medidas.
Monitoreo y revisión continua: Establecer un proceso de monitoreo continuo para asegurarse de que las medidas correctivas implementadas sean efectivas y se mantengan alineadas con los estándares de seguridad establecidos. Realizar revisiones periódicas del análisis GAP para mantener la seguridad actualizada.

Eloy Canelon

student•

El framework de NIST es un marco de trabajo que consiste en estándares, guías y prácticas para manejar riesgos de ciberseguridad. Su núcleo consiste elaborar planes para: Identificar los riesgos que puede tener la información Proteger los activos e información crítica de la empresa Detectar alguna vulnerabilidad o brecha de información Responder a algún ataque o brecha de información Recuperar el sistema lo mas pronto posible de ese ataque y fortalecerlo aún más

Javier Ramos

student•

Framework NIST

UC CUATRO UC

student•

¿Qué pasa con un Dia-zero con la norma NIST?

Diego Ademir Duarte Santana

Team Platzi•

NIST no es una norma, son estándares y buenas prácticas. El 0-day es un adjetivo que se le da a una falla o vulnerabilidad que no ha sido mitigada

Julio Burbano

student•

Existen varios tipos de ataques comunes que pueden afectar a una aplicación, entre ellos:

Inyección SQL: Consiste en insertar código SQL malicioso en las consultas a la base de datos.
Cross-Site Scripting (XSS): Permite la inyección de scripts maliciosos en páginas web.
Cross-Site Request Forgery (CSRF): Engaña al usuario para que realice acciones no deseadas en una aplicación web en la que está autenticado.
Denegación de Servicio (DoS): Busca hacer que un servicio no esté disponible al inundarlo de tráfico.

Es crucial realizar un análisis de brecha en tu aplicación para identificar y mitigar estos riesgos.

Guillermo Alomia Monjaraz

student•

Juliana Quintero Salazar

student•

También es importante capacitar el personal, darle inducciones sobre lo básico de la ciberseguridad, hemos hecho pruebas donde los funcionarios comparte las claves por el simple hecho de decir que son personas de seguridad.

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

Walter Omar Barrios Vazquez

student•

NIST: NATIONAL INSTITUTE OF STANDARDS AND

TECHNOLOGY - US DEPARTMENT OF COMMERCE

https://www.nist.gov/cyberframework

Luis Morel

student•

Cuando nos encontramos con organización que están iniciando en el mundo de la ciberseguridad. Es primordial realizar una auditoría que permita entender el panorama completo de los procesos de negocios de la organización. El Framework NIST CSF V1.1 es el más recomendado, ya que evalúa el nivel actual de una organización ante incidentes cibernéticos y te permite definir un plan a futuro aumentado el nivel de madurez.

Christian Gómez

student•

Toda Organización debe realizar un GAP Análisis (Análisis de brecha) a sus procesos en términos de ciberseguridad.

A que se le realiza el análisis:

Procesos internos como nominas
registros y control
transacciones bancarias

Para iniciar esta evaluación hay cuatro preguntas importantes:

Amenazas: ¿Tenemos claras las ciber-amenazas que nos podrían afectar?
Alcance: ¿Qué activos de información debo proteger de ciberataques?
Transferencia del riesgo: ¿Podría buscar apoyo en el tratamiento de riesgos identificados? Es decir, el proveedor de servicios en la nube por ejemplo, puede brindarnos apoyo para mitigar estos riesgos? o apuntar a las necesidades de mi negocio.
Apoyo: ¿Cuento con el respaldo para implementar ciber-controles? Esto es gerencial y procedimental. Es revisar si tenemos el presupuesto o el recurso humano para mitigar los riesgos.

Framework de seguridad NIST

Este tiene una sección de Evaluación de riesgos:

Identificar: Desarrollamos una comprensión organizacional para la gestión del riesgo.

John Fredy Ramirez Bedoya

student•

Riesgos: Toda organización debe realizar un GAP (Análisis de brecha), a los procesos en términos de ciberseguridad.

Autoevaluación:

Amenazas: tener claras la ciber-amenazas que pueden afectar la información de la empresa.
Alcance: que activos se deben proteger de los ciberataques (servidores, bases de datos, recursos humanos).
Transferencia del riesgo: si se centrara un servicio, revisar si el proveedor puede apoyar con los ciber-controles (responsabilidad compartida).
Apoyo: Respaldo para implementar ciber-controles.

Una de las herramientas para fortalecer la ciberseguridad en las empresas es el Framework de ciberseguridad NIST https://www.nist.gov/cyberframework.

FRANK MAIKOL CARRASCO MAMANI

student•

Para gestionar los riesgos de ciberseguridad, es importante que la organización realice un análisis de riesgos y autoevaluación para comprender las amenazas y el alcance de los activos de información que deben protegerse. También se debe considerar la transferencia del riesgo y contar con apoyo para implementar controles de ciberseguridad. El uso del NIST Cybersecurity Framework puede ser útil en este proceso para desarrollar una comprensión organizacional de la gestión del riesgo de ciberseguridad de sistemas, activos, datos y capacidades.