La seguridad informática
Seguridad informática, ciberseguridad (ciberseguridad), o seguridad de la tecnología de la información (seguridad informática ) es la protección de los sistemas informáticos y las redes frente a ataques de actores maliciosos que pueden provocar la divulgación no autorizada de información, el robo o el daño del hardware, el software o los datos, así como la interrupción o el desvío de los servicios. ellos proveen.
El campo ha cobrado importancia debido a la mayor dependencia de los sistemas informáticos, Internet y los estándares de redes inalámbricas como Bluetooth y Wi-Fi, y debido al crecimiento de los dispositivos inteligentes, incluidos los teléfonos inteligentes, los televisores y los diversos dispositivos que constituyen el Internet de las cosas (IoT). La ciberseguridad es uno de los desafíos más importantes del mundo contemporáneo, tanto por la complejidad de los sistemas de información como por las sociedades que soportan. La seguridad es de especial importancia para los sistemas que gobiernan sistemas a gran escala con efectos físicos de gran alcance, como la distribución del poder, las elecciones y las finanzas.
Historia
Desde la llegada de Internet y con la transformación digital iniciada en los últimos años, la noción de ciberseguridad se ha convertido en un tema familiar tanto en nuestra vida profesional como personal. La ciberseguridad y las amenazas cibernéticas han estado constantemente presentes durante los últimos 50 años de cambio tecnológico. En las décadas de 1970 y 1980, la seguridad informática se limitó principalmente a la academia hasta la concepción de Internet, donde, con una mayor conectividad, los virus informáticos y las intrusiones en la red comenzaron a despegar. Después de la propagación de virus en la década de 1990, la década de 2000 marcó la institucionalización de las ciberamenazas y la ciberseguridad.
La sesión de abril de 1967 organizada por Willis Ware en la Spring Joint Computer Conference y la publicación posterior del Informe Ware fueron momentos fundamentales en la historia del campo de la seguridad informática. El trabajo de Ware abarcaba la intersección de preocupaciones materiales, culturales, políticas y sociales.
Una publicación del NIST de 1977 introdujo la tríada CIA de confidencialidad, integridad y disponibilidad como una forma clara y sencilla de describir los objetivos clave de seguridad. Si bien siguen siendo relevantes, desde entonces se han propuesto muchos marcos más elaborados.
Sin embargo, en las décadas de 1970 y 1980, no había amenazas informáticas graves porque las computadoras e Internet aún estaban en desarrollo, y las amenazas de seguridad eran fácilmente identificables. La mayoría de las veces, las amenazas procedían de personas internas maliciosas que obtuvieron acceso no autorizado a documentos y archivos confidenciales. Aunque el malware y las brechas en la red existieron durante los primeros años, no los usaron para obtener ganancias financieras. En la segunda mitad de la década de 1970, empresas informáticas establecidas como IBM comenzaron a ofrecer sistemas comerciales de control de acceso y productos de software de seguridad informática.
Uno de los primeros ejemplos de un ataque a una red informática fue el gusano informático Creeper escrito por Bob Thomas en BBN, que se propagó a través de ARPANET en 1971. El programa era de naturaleza puramente experimental y no llevaba ninguna carga maliciosa. Un programa posterior, Reaper, fue creado por Ray Tomlinson en 1972 y se utilizó para destruir Creeper.
Entre septiembre de 1986 y junio de 1987, un grupo de piratas informáticos alemanes realizó el primer caso documentado de ciberespionaje. El grupo pirateó contratistas de defensa estadounidenses, universidades y redes de bases militares y vendió la información recopilada a la KGB soviética. El grupo estaba dirigido por Markus Hess, quien fue arrestado el 29 de junio de 1987. Fue condenado por espionaje (junto con dos co-conspiradores) el 15 de febrero de 1990.
En 1988, uno de los primeros gusanos informáticos, llamado gusano Morris, se distribuyó a través de Internet. Ganó una importante atención de los medios de comunicación.
En 1993, Netscape comenzó a desarrollar el protocolo SSL, poco después de que el Centro Nacional para Aplicaciones de Supercomputación (NCSA) lanzara Mosaic 1.0, el primer navegador web, en 1993. Netscape tenía lista la versión 1.0 de SSL en 1994, pero nunca se lanzó al público debido a muchas vulnerabilidades de seguridad graves. Estas debilidades incluían ataques de reproducción y una vulnerabilidad que permitía a los piratas informáticos alterar las comunicaciones no cifradas enviadas por los usuarios. Sin embargo, en febrero de 1995, Netscape lanzó la versión 2.0.
Estrategia ofensiva fallida
La Agencia de Seguridad Nacional (NSA) es responsable de la protección de los sistemas de información de EE. UU. y también de recopilar inteligencia extranjera. Estos dos deberes están en conflicto entre sí. La protección de los sistemas de información incluye la evaluación del software, la identificación de fallas de seguridad y la adopción de medidas para corregir las fallas, lo cual es una acción defensiva. La recopilación de inteligencia incluye la explotación de fallas de seguridad para extraer información, lo cual es una acción ofensiva. La corrección de fallas de seguridad hace que las fallas no estén disponibles para la explotación de la NSA.
La agencia analiza software de uso común para encontrar fallas de seguridad, las cuales reserva con fines ofensivos contra competidores de Estados Unidos. La agencia rara vez toma medidas defensivas informando las fallas a los productores de software para que puedan eliminarlas.
La estrategia ofensiva funcionó durante un tiempo, pero finalmente, otras naciones, incluidas Rusia, Irán, Corea del Norte y China, adquirieron su propia capacidad ofensiva y tendieron a usarla contra Estados Unidos. Los contratistas de la NSA crearon y vendieron herramientas de ataque de hacer clic y disparar a agencias estadounidenses y aliados cercanos, pero finalmente, las herramientas llegaron a adversarios extranjeros. En 2016, las propias herramientas de piratería de la NSA fueron pirateadas y Rusia y Corea del Norte las han utilizado. Los empleados y contratistas de la NSA han sido reclutados con altos salarios por adversarios, ansiosos por competir en la guerra cibernética.
Por ejemplo, en 2007, Estados Unidos e Israel comenzaron a explotar fallas de seguridad en el sistema operativo Microsoft Windows para atacar y dañar el equipo utilizado en Irán para refinar materiales nucleares. Irán respondió invirtiendo fuertemente en su propia capacidad de guerra cibernética, que comenzó a usar contra Estados Unidos.
Vulnerabilidades y ataques
Una vulnerabilidad es una debilidad en el diseño, implementación, operación o control interno. La mayoría de las vulnerabilidades que se han descubierto están documentadas en la base de datos de vulnerabilidades y exposiciones comunes (CVE). Una vulnerabilidad explotable es aquella para la que existe al menos un ataque funcional o explotación. Las vulnerabilidades se pueden investigar, realizar ingeniería inversa, cazar o explotar utilizando herramientas automatizadas o scripts personalizados. Para proteger un sistema informático, es importante comprender los ataques que se pueden realizar contra él, y estas amenazas generalmente se pueden clasificar en una de las siguientes categorías:
Puerta trasera
Una puerta trasera en un sistema informático, un criptosistema o un algoritmo, es cualquier método secreto para eludir la autenticación normal o los controles de seguridad. Pueden existir por muchas razones, incluido el diseño original o una mala configuración. Pueden haber sido agregados por una parte autorizada para permitir algún acceso legítimo, o por un atacante por motivos maliciosos; pero independientemente de los motivos de su existencia, crean una vulnerabilidad. Las puertas traseras pueden ser muy difíciles de detectar y, por lo general, las descubre alguien que tiene acceso al código fuente de la aplicación o un conocimiento íntimo del sistema operativo de la computadora.
Ataque de denegación de servicio
Los ataques de denegación de servicio (DoS) están diseñados para hacer que una máquina o recurso de red no esté disponible para los usuarios previstos. Los atacantes pueden denegar el servicio a víctimas individuales, por ejemplo, ingresando deliberadamente una contraseña incorrecta suficientes veces consecutivas para bloquear la cuenta de la víctima, o pueden sobrecargar las capacidades de una máquina o red y bloquear a todos los usuarios a la vez. Si bien un ataque a la red desde una sola dirección IP se puede bloquear agregando una nueva regla de firewall, son posibles muchas formas de ataques de denegación de servicio distribuido (DDoS), donde el ataque proviene de una gran cantidad de puntos, y la defensa es mucho más difícil.. Dichos ataques pueden originarse en las computadoras zombies de una botnet o en una variedad de otras técnicas posibles, incluidos los ataques de reflexión y amplificación, donde se engaña a los sistemas inocentes para que envíen tráfico a la víctima.
Ataques de acceso directo
Lo más probable es que un usuario no autorizado que obtenga acceso físico a una computadora pueda copiar datos directamente de ella. También pueden comprometer la seguridad al realizar modificaciones en el sistema operativo, instalar gusanos de software, registradores de teclas, dispositivos de escucha encubiertos o usar micrófonos inalámbricos. Incluso cuando el sistema está protegido por medidas de seguridad estándar, estas pueden pasarse por alto iniciando otro sistema operativo o herramienta desde un CD-ROM u otro medio de inicio. El cifrado de disco y el módulo de plataforma segura están diseñados para evitar estos ataques.
Espionaje
Escuchar es el acto de escuchar subrepticiamente una conversación (comunicación) de una computadora privada, generalmente entre hosts en una red. Por ejemplo, la Oficina Federal de Investigaciones (FBI) y la NSA han utilizado programas como Carnivore y NarusInSight para espiar los sistemas de los proveedores de servicios de Internet. Incluso las máquinas que funcionan como un sistema cerrado (es decir, sin contacto con el mundo exterior) pueden ser espiadas monitoreando las débiles transmisiones electromagnéticas generadas por el hardware. TEMPEST es una especificación de la NSA que se refiere a estos ataques.
Ataques polimórficos multivectoriales
En 2017 surgió una nueva clase de ciberamenazas polimórficas y multivectoriales que combinaron varios tipos de ataques y cambiaron de forma para evitar los controles de ciberseguridad a medida que se propagaban.
Suplantación de identidad
Phishing es el intento de adquirir información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito, directamente de los usuarios engañándolos. El phishing generalmente se lleva a cabo mediante la suplantación de identidad por correo electrónico o la mensajería instantánea, y a menudo dirige a los usuarios a ingresar detalles en un sitio web falso cuya apariencia es casi idéntica a la del sitio web legítimo. El sitio web falso a menudo solicita información personal, como detalles de inicio de sesión y contraseñas. Esta información se puede usar para obtener acceso a la cuenta real de la persona en el sitio web real. Aprovechando la confianza de la víctima, el phishing puede clasificarse como una forma de ingeniería social. Los atacantes están utilizando formas creativas para obtener acceso a cuentas reales. Una estafa común es que los atacantes envíen facturas electrónicas falsas a personas que muestran que recientemente compraron música, aplicaciones u otros, y les indican que hagan clic en un enlace si las compras no fueron autorizadas. Un tipo de phishing más estratégico es el phishing selectivo, que aprovecha detalles personales o específicos de la organización para hacer que el atacante parezca una fuente confiable. Los ataques de phishing selectivo se dirigen a individuos específicos, en lugar de a la amplia red lanzada por los intentos de phishing.
Escalada de privilegios
La escalada de privilegios describe una situación en la que un atacante con algún nivel de acceso restringido puede, sin autorización, elevar sus privilegios o nivel de acceso. Por ejemplo, un usuario de computadora estándar puede explotar una vulnerabilidad en el sistema para obtener acceso a datos restringidos; o incluso convertirse en root y tener acceso completo sin restricciones a un sistema.
Ingeniería inversa
La ingeniería inversa es el proceso mediante el cual se deconstruye un objeto hecho por el hombre para revelar sus diseños, código y arquitectura, o para extraer conocimiento del objeto; similar a la investigación científica, con la única diferencia de que la investigación científica se trata de un fenómeno natural.
Ataque de canal lateral
Cualquier sistema computacional afecta su entorno de alguna forma. Este efecto que tiene sobre su entorno incluye una amplia gama de criterios, que pueden ir desde la radiación electromagnética, hasta el efecto residual en las celdas de RAM que, como consecuencia, hacen posible un ataque de arranque en frío, hasta fallas en la implementación del hardware que permiten el acceso y/o adivinar de otros valores que normalmente deberían ser inaccesibles. En los escenarios de ataque de canal lateral, el atacante recopilaría dicha información sobre un sistema o red para adivinar su estado interno y, como resultado, acceder a la información que la víctima supone que es segura.
Ingeniería social
La ingeniería social, en el contexto de la seguridad informática, tiene como objetivo convencer a un usuario para que revele secretos como contraseñas, números de tarjeta, etc. o para otorgar acceso físico, por ejemplo, haciéndose pasar por un alto ejecutivo, un banco, un contratista o Un cliente. Esto generalmente implica explotar la confianza de las personas y confiar en sus sesgos cognitivos. Una estafa común involucra correos electrónicos enviados al personal del departamento de contabilidad y finanzas, haciéndose pasar por su director ejecutivo y solicitando urgentemente alguna acción. A principios de 2016, el FBI informó que tales estafas de compromiso de correo electrónico comercial (BEC) habían costado a las empresas estadounidenses más de $ 2 mil millones en aproximadamente dos años.
En mayo de 2016, el equipo de la NBA de los Milwaukee Bucks fue víctima de este tipo de estafa cibernética en la que un perpetrador se hizo pasar por el presidente del equipo, Peter Feigin, lo que resultó en la entrega de todos los empleados del equipo.; Formularios de impuestos W-2 de 2015.
Suplantación de identidad
La suplantación de identidad es un acto de hacerse pasar por una entidad válida a través de la falsificación de datos (como una dirección IP o un nombre de usuario) para obtener acceso a información o recursos que, de otro modo, no estaría autorizado a obtener. Hay varios tipos de suplantación de identidad, que incluyen:
- Correo electrónico, es donde un atacante forja el envío (Desde, o fuente) dirección de un correo electrónico.
- IP address spoofing, where an attacker alters the source IP address in a network packet to hide their identity or impersonate another computing system.
- MAC spoofing, donde un atacante modifica la dirección Control de Acceso a los Medios (MAC) de su controlador de interfaz de red para ocultar su identidad, o para plantear como otro.
- Espoofía biométrica, donde un atacante produce una muestra biométrica falsa para plantear como otro usuario.
Manipulación
La manipulación describe una modificación o alteración maliciosa de los datos. Un acto intencional pero no autorizado que resulta en la modificación de un sistema, componentes de sistemas, su comportamiento previsto o datos. Los llamados ataques de Evil Maid y la plantación de servicios de seguridad de la capacidad de vigilancia en los enrutadores son ejemplos.
Malware
El software malicioso (malware) instalado en una computadora puede filtrar cualquier información, como información personal, información comercial y contraseñas, puede otorgar el control del sistema al atacante y puede corromper o eliminar datos de forma permanente.
Cultura de seguridad de la información
El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a diferentes segmentos de la organización a trabajar de manera efectiva o en contra de la efectividad hacia la seguridad de la información dentro de una organización. La cultura de seguridad de la información es el "...conjunto de patrones de comportamiento en una organización que contribuye a la protección de la información de todo tipo".
Andersson y Reimers (2014) descubrieron que los empleados a menudo no se ven a sí mismos como parte del esfuerzo de seguridad de la información de su organización y, a menudo, toman medidas que impiden los cambios organizacionales. De hecho, el Informe de investigaciones de violación de datos de Verizon 2020, que examinó 3950 violaciones de seguridad, descubrió que el 30 % de los incidentes de seguridad cibernética involucraban a actores internos dentro de una empresa. La investigación muestra que la cultura de seguridad de la información debe mejorarse continuamente. En "Cultura de seguridad de la información del análisis al cambio", los autores comentaron: "Es un proceso interminable, un ciclo de evaluación y cambio o mantenimiento." Para gestionar la cultura de seguridad de la información se deben seguir cinco pasos: preevaluación, planificación estratégica, planificación operativa, implementación y postevaluación.
- Evaluación previa: Identificar la conciencia de la seguridad de la información dentro de los empleados y analizar las políticas de seguridad actuales.
- Planificación estratégica: Para crear un mejor programa de conciencia, es necesario establecer objetivos claros. Crear un equipo de profesionales cualificados es útil para lograrlo.
- Planificación operacional: Se puede establecer una buena cultura de seguridad basada en la comunicación interna, la adquisición de gestión, la conciencia de seguridad y un programa de capacitación.
- Aplicación: Deben utilizarse cuatro etapas para aplicar la cultura de seguridad de la información. Son:
- Compromiso de la gestión
- Comunicación con los miembros de la organización
- Cursos para todos los miembros de la organización
- Compromiso de los empleados
- Evaluación posterior: Evaluar el éxito de la planificación y la ejecución y determinar las esferas de preocupación no resueltas.
Sistemas en riesgo
El crecimiento en la cantidad de sistemas informáticos y la creciente confianza en ellos por parte de individuos, empresas, industrias y gobiernos significa que hay una cantidad cada vez mayor de sistemas en riesgo.
Sistemas financieros
Los sistemas informáticos de los reguladores financieros y las instituciones financieras como la Comisión de Bolsa y Valores de EE. UU., SWIFT, los bancos de inversión y los bancos comerciales son objetivos importantes de piratería para los ciberdelincuentes interesados en manipular los mercados y obtener ganancias ilícitas. Los sitios web y las aplicaciones que aceptan o almacenan números de tarjetas de crédito, cuentas de corretaje e información de cuentas bancarias también son objetivos importantes de piratería, debido al potencial de ganancias financieras inmediatas de la transferencia de dinero, la realización de compras o la venta de información en el mercado negro. Los sistemas de pago en las tiendas y los cajeros automáticos también han sido manipulados para recopilar datos de cuentas y PIN de los clientes.
Utilidades y equipos industriales
Las computadoras controlan funciones en muchos servicios públicos, incluida la coordinación de telecomunicaciones, la red eléctrica, las plantas de energía nuclear y la apertura y cierre de válvulas en redes de agua y gas. Internet es un vector de ataque potencial para tales máquinas si están conectadas, pero el gusano Stuxnet demostró que incluso los equipos controlados por computadoras que no están conectadas a Internet pueden ser vulnerables. En 2014, el Equipo de preparación para emergencias informáticas, una división del Departamento de Seguridad Nacional, investigó 79 incidentes de piratería informática en empresas de energía.
Aviación
La industria de la aviación depende mucho de una serie de sistemas complejos que podrían ser atacados. Un simple corte de energía en un aeropuerto puede tener repercusiones en todo el mundo, gran parte del sistema se basa en transmisiones de radio que podrían verse interrumpidas, y el control de aeronaves sobre los océanos es especialmente peligroso porque la vigilancia por radar solo se extiende de 175 a 225 millas mar adentro. También existe la posibilidad de un ataque desde dentro de un avión.
En Europa, con el (Servicio de red paneuropeo) y NewPENS, y en EE. UU. con el programa NextGen, los proveedores de servicios de navegación aérea se están moviendo para crear sus propias redes dedicadas.
Las consecuencias de un ataque exitoso van desde la pérdida de confidencialidad hasta la pérdida de la integridad del sistema, interrupciones del control del tráfico aéreo, pérdida de aeronaves e incluso la pérdida de vidas.
Dispositivos de consumo
Los ordenadores de sobremesa y portátiles suelen ser el objetivo para recopilar contraseñas o información de cuentas financieras o para construir una red de bots para atacar a otro objetivo. Los teléfonos inteligentes, las tabletas, los relojes inteligentes y otros dispositivos móviles, como los dispositivos autónomos cuantificados, como los rastreadores de actividad, tienen sensores como cámaras, micrófonos, receptores GPS, brújulas y acelerómetros que podrían explotarse y recopilar información personal, incluida información de salud confidencial.. Las redes WiFi, Bluetooth y de telefonía celular en cualquiera de estos dispositivos podrían usarse como vectores de ataque, y los sensores podrían activarse de forma remota después de una violación exitosa.
El creciente número de dispositivos de automatización del hogar, como el termostato Nest, también son objetivos potenciales.
Grandes corporaciones
Las grandes corporaciones son objetivos comunes. En muchos casos, los ataques tienen como objetivo obtener ganancias financieras a través del robo de identidad e involucran violaciones de datos. Los ejemplos incluyen la pérdida de millones de clientes' tarjeta de crédito y detalles financieros de Home Depot, Staples, Target Corporation y Equifax.
En general, los registros médicos han sido el objetivo del robo de identidad, el fraude de seguros médicos y la suplantación de la identidad de los pacientes para obtener medicamentos recetados con fines recreativos o para revenderlos. Aunque las amenazas cibernéticas siguen aumentando, el 62 % de todas las organizaciones no aumentaron la capacitación en seguridad para sus negocios en 2015.
Sin embargo, no todos los ataques tienen una motivación financiera: la empresa de seguridad HBGary Federal sufrió una serie de ataques graves en 2011 del grupo hacktivista Anonymous en represalia porque el director ejecutivo de la empresa afirmó haberse infiltrado en su grupo, y Sony Pictures fue pirateada. en 2014 con el aparente doble motivo de avergonzar a la empresa a través de filtraciones de datos y paralizar la empresa borrando estaciones de trabajo y servidores.
Automóviles
Los vehículos están cada vez más computarizados, con sincronización del motor, control de crucero, frenos antibloqueo, tensores de cinturones de seguridad, cerraduras de puertas, bolsas de aire y sistemas avanzados de asistencia al conductor en muchos modelos. Además, los automóviles conectados pueden usar Wi-Fi y Bluetooth para comunicarse con los dispositivos de consumo a bordo y la red de telefonía celular. Se espera que los autos sin conductor sean aún más complejos. Todos estos sistemas conllevan algún riesgo de seguridad, y estos problemas han ganado mucha atención.
Ejemplos simples de riesgo incluyen un disco compacto malicioso que se usa como vector de ataque y los micrófonos a bordo del automóvil que se usan para escuchar a escondidas. Sin embargo, si se obtiene acceso a la red de área del controlador interno de un automóvil, el peligro es mucho mayor, y en una prueba ampliamente publicitada de 2015, los piratas informáticos secuestraron de forma remota un vehículo a 10 millas de distancia y lo condujeron a una zanja.
Los fabricantes están reaccionando de muchas maneras, con Tesla en 2016 lanzando algunas correcciones de seguridad por aire en sus autos' sistemas informáticos En el área de vehículos autónomos, en septiembre de 2016, el Departamento de Transporte de los Estados Unidos anunció algunos estándares de seguridad iniciales y pidió a los estados que propongan políticas uniformes.
Gobierno
Los sistemas informáticos gubernamentales y militares suelen ser atacados por activistas y potencias extranjeras. La infraestructura del gobierno local y regional, como los controles de los semáforos, las comunicaciones de la policía y las agencias de inteligencia, los registros del personal, los registros de los estudiantes y los sistemas financieros también son objetivos potenciales, ya que ahora están en gran parte informatizados. Los pasaportes y las tarjetas de identificación del gobierno que controlan el acceso a las instalaciones que usan RFID pueden ser vulnerables a la clonación.
Internet de las cosas y vulnerabilidades físicas
La Internet de las cosas (IoT) es la red de objetos físicos, como dispositivos, vehículos y edificios que están integrados con dispositivos electrónicos, software, sensores y conectividad de red que les permite recopilar e intercambiar datos. Se han planteado preocupaciones de que esto se está desarrollando sin la consideración adecuada de los desafíos de seguridad involucrados.
Si bien el IoT crea oportunidades para una integración más directa del mundo físico en los sistemas basados en computadoras, también proporciona oportunidades para el mal uso. En particular, a medida que el Internet de las cosas se extiende ampliamente, es probable que los ataques cibernéticos se conviertan en una amenaza cada vez más física (en lugar de simplemente virtual). Si la cerradura de una puerta de entrada está conectada a Internet y se puede bloquear/desbloquear desde un teléfono, entonces un delincuente podría ingresar a la casa con solo presionar un botón desde un teléfono robado o pirateado. Las personas podrían perder mucho más que sus números de tarjeta de crédito en un mundo controlado por dispositivos habilitados para IoT. Los ladrones también han utilizado medios electrónicos para eludir las cerraduras de las puertas de los hoteles que no están conectadas a Internet.
Un ataque que tiene como objetivo infraestructura física o vidas humanas a veces se denomina ataque cibercinético. A medida que los dispositivos y aparatos de IoT ganan terreno, los ataques cibercinéticos pueden generalizarse y ser significativamente dañinos.
Sistemas médicos
Los dispositivos médicos han sido atacados con éxito o se han demostrado vulnerabilidades potencialmente mortales, incluidos equipos de diagnóstico hospitalario y dispositivos implantados, incluidos marcapasos y bombas de insulina. Hay muchos informes de hospitales y organizaciones hospitalarias que han sido pirateados, incluidos ataques de ransomware, exploits de Windows XP, virus y violaciones de datos confidenciales almacenados en servidores de hospitales. El 28 de diciembre de 2016, la Administración de Drogas y Alimentos de EE. UU. publicó sus recomendaciones sobre cómo los fabricantes de dispositivos médicos deben mantener la seguridad de los dispositivos conectados a Internet, pero no una estructura para su cumplimiento.
Sector energético
En los sistemas de generación distribuida, el riesgo de un ciberataque es real, según Daily Energy Insider. Un ataque podría causar una pérdida de energía en un área grande durante un largo período de tiempo y tal ataque podría tener consecuencias tan graves como un desastre natural. El Distrito de Columbia está considerando crear una Autoridad de Recursos Energéticos Distribuidos (DER, por sus siglas en inglés) dentro de la ciudad, con el objetivo de que los clientes tengan más información sobre su propio uso de energía y brindarle a la compañía eléctrica local, Pepco, la oportunidad de estimar mejor la demanda de energía.. La propuesta de D.C., sin embargo, "permitiría a los proveedores externos crear numerosos puntos de distribución de energía, lo que potencialmente podría crear más oportunidades para que los atacantes cibernéticos amenacen la red eléctrica".
Impacto de las brechas de seguridad
Las brechas de seguridad han causado graves daños económicos, pero debido a que no existe un modelo estándar para estimar el costo de un incidente, los únicos datos disponibles son los que hacen públicos las organizaciones involucradas. "Varias firmas de consultoría en seguridad informática producen estimaciones de pérdidas mundiales totales atribuibles a ataques de virus y gusanos y a actos digitales hostiles en general. Las estimaciones de pérdidas para 2003 de estas empresas oscilan entre 13 000 millones de dólares (solamente gusanos y virus) y 226 000 millones de dólares (para todas las formas de ataques encubiertos). La confiabilidad de estas estimaciones a menudo se cuestiona; la metodología subyacente es básicamente anecdótica."
Sin embargo, las estimaciones razonables del costo financiero de las infracciones de seguridad pueden ayudar a las organizaciones a tomar decisiones de inversión racionales. De acuerdo con el modelo clásico de Gordon-Loeb que analiza el nivel óptimo de inversión en seguridad de la información, se puede concluir que la cantidad que una empresa gasta para proteger la información generalmente debe ser solo una pequeña fracción de la pérdida esperada (es decir, el valor esperado de la pérdida resultante). de una brecha de seguridad cibernética/de la información).
Motivación del atacante
Al igual que con la seguridad física, las motivaciones de las violaciones de la seguridad informática varían entre los atacantes. Algunos son buscadores de emociones o vándalos, algunos son activistas, otros son criminales que buscan ganancias financieras. Los atacantes patrocinados por el estado ahora son comunes y cuentan con muchos recursos, pero comenzaron con aficionados como Markus Hess, que pirateaba para la KGB, como cuenta Clifford Stoll en El huevo del cuco.
Además, las motivaciones de los atacantes recientes se remontan a organizaciones extremistas que buscan obtener una ventaja política o interrumpir las agendas sociales. El crecimiento de Internet, las tecnologías móviles y los dispositivos informáticos económicos han llevado a un aumento de las capacidades, pero también al riesgo para los entornos que se consideran vitales para las operaciones. Todos los entornos objetivo críticos son susceptibles de comprometerse y esto ha llevado a una serie de estudios proactivos sobre cómo migrar el riesgo teniendo en cuenta las motivaciones de este tipo de actores. Existen varias diferencias marcadas entre la motivación de los piratas informáticos y la de los actores del estado nación que buscan atacar en función de una preferencia ideológica.
Una parte estándar del modelado de amenazas para cualquier sistema en particular es identificar qué podría motivar un ataque en ese sistema y quién podría estar motivado para violarlo. El nivel y el detalle de las precauciones variarán según el sistema que se protegerá. Una computadora personal doméstica, un banco y una red militar clasificada enfrentan amenazas muy diferentes, incluso cuando las tecnologías subyacentes en uso son similares.
Protección informática (contramedidas)
En seguridad informática, una contramedida es una acción, dispositivo, procedimiento o técnica que reduce una amenaza, una vulnerabilidad o un ataque al eliminarlo o prevenirlo, al minimizar el daño que puede causar, o al descubrirlo e informarlo para que se pueden tomar medidas correctivas.
Algunas contramedidas comunes se enumeran en las siguientes secciones:
Seguridad por diseño
Seguridad por diseño, o alternativamente seguro por diseño, significa que el software ha sido diseñado desde cero para ser seguro. En este caso, la seguridad se considera como una característica principal.
Algunas de las técnicas de este enfoque incluyen:
- El principio de menos privilegio, donde cada parte del sistema tiene sólo los privilegios que se necesitan para su función. De esa manera, incluso si un atacante accede a esa parte, sólo tiene acceso limitado a todo el sistema.
- Teorema automatizado probar la corrección de los subsistemas de software cruciales.
- Reseñas de código y pruebas unitarias, enfoques para que los módulos sean más seguros cuando no sean posibles las pruebas de corrección formal.
- Defensa en profundidad, donde el diseño es tal que más de un subsistema debe ser violado para comprometer la integridad del sistema y la información que contiene.
- Ajustes predeterminados seguros, y diseño para fallo seguro en lugar de inseguro (ver seguridad de fallo para el equivalente en ingeniería de seguridad). Idealmente, un sistema seguro debe requerir una decisión deliberada, consciente, consciente y libre por parte de las autoridades legítimas para hacerlo inseguro.
- Las pistas de auditoría siguen la actividad del sistema para que cuando se produce una violación de seguridad, se pueda determinar el mecanismo y el alcance de la violación. Robar pistas de auditoría remotamente, donde sólo pueden ser anexadas, puede evitar que los intrusos cubran sus pistas.
- Información completa de todas las vulnerabilidades, para asegurar que ventana de vulnerabilidad se mantiene lo más corto posible cuando se descubren errores.
Arquitectura de seguridad
La organización Open Security Architecture define la arquitectura de seguridad de TI como "los artefactos de diseño que describen cómo se colocan los controles de seguridad (contramedidas de seguridad) y cómo se relacionan con la arquitectura general de tecnología de la información. Estos controles sirven para mantener los atributos de calidad del sistema: confidencialidad, integridad, disponibilidad, responsabilidad y aseguramiento de los servicios.
Techopedia define la arquitectura de seguridad como "un diseño de seguridad unificado que aborda las necesidades y los riesgos potenciales involucrados en un determinado escenario o entorno. También especifica cuándo y dónde aplicar los controles de seguridad. El proceso de diseño es generalmente reproducible." Los atributos clave de la arquitectura de seguridad son:
- la relación de diferentes componentes y cómo dependen el uno del otro.
- determinación de controles basados en la evaluación de riesgos, buenas prácticas, finanzas y asuntos jurídicos.
- la estandarización de los controles.
Practicar la arquitectura de seguridad proporciona la base adecuada para abordar sistemáticamente las preocupaciones comerciales, de TI y de seguridad en una organización.
Medidas de seguridad
Un estado de seguridad informática es el ideal conceptual, alcanzado mediante el uso de los tres procesos: prevención, detección y respuesta ante amenazas. Estos procesos se basan en varias políticas y componentes del sistema, que incluyen lo siguiente:
- Los controles de acceso a la cuenta de usuario y la criptografía pueden proteger archivos y datos de sistemas, respectivamente.
- Los cortafuegos son de lejos los sistemas de prevención más comunes desde una perspectiva de seguridad de la red, ya que pueden (si están correctamente configurados) proteger el acceso a los servicios de red interna, y bloquear ciertos tipos de ataques mediante el filtrado de paquetes. Firewalls puede ser tanto hardware como software.
- Los productos del Sistema de Detección de Intrusiones (IDS) están diseñados para detectar ataques de red en proceso y ayudar en forenses postataque, mientras que los rastros de auditoría y los registros sirven una función similar para sistemas individuales.
- Respuesta está necesariamente definida por los requisitos de seguridad evaluados de un sistema individual y puede abarcar el rango desde la simple actualización de las protecciones hasta la notificación de autoridades jurídicas, contraataques y similares. En algunos casos especiales, se favorece la destrucción completa del sistema comprometido, ya que puede suceder que no se detecten todos los recursos comprometidos.
Hoy en día, la seguridad informática consiste principalmente en medidas preventivas, como firewalls o un procedimiento de salida. Un cortafuegos se puede definir como una forma de filtrar datos de red entre un host o una red y otra red, como Internet, y se puede implementar como software que se ejecuta en la máquina, conectándose a la pila de red (o, en el caso de la mayoría de los sistemas operativos basados en UNIX, como Linux, integrados en el kernel del sistema operativo) para proporcionar filtrado y bloqueo en tiempo real. Otra implementación es el llamado firewall físico, que consiste en una máquina separada que filtra el tráfico de red. Los cortafuegos son comunes entre las máquinas que están permanentemente conectadas a Internet.
Algunas organizaciones están recurriendo a plataformas de macrodatos, como Apache Hadoop, para ampliar la accesibilidad de los datos y el aprendizaje automático para detectar amenazas persistentes avanzadas.
Sin embargo, relativamente pocas organizaciones mantienen sistemas informáticos con sistemas de detección efectivos, y menos aún cuentan con mecanismos de respuesta organizados. Como resultado, como señala Reuters: "Las empresas por primera vez informan que están perdiendo más con el robo electrónico de datos que con el robo físico de activos". El principal obstáculo para la erradicación efectiva del delito cibernético podría atribuirse a una dependencia excesiva de los cortafuegos y otros sistemas de detección automatizados. Sin embargo, es la recopilación de pruebas básicas mediante el uso de dispositivos de captura de paquetes lo que pone a los delincuentes tras las rejas.
Para garantizar una seguridad adecuada, se debe proteger la confidencialidad, integridad y disponibilidad de una red, mejor conocida como la tríada CIA, y se considera la base de la seguridad de la información. Para lograr esos objetivos, se deben emplear medidas de seguridad administrativas, físicas y técnicas. La cantidad de seguridad otorgada a un activo solo puede determinarse cuando se conoce su valor.
Gestión de vulnerabilidades
La gestión de vulnerabilidades es el ciclo de identificación, reparación o mitigación de vulnerabilidades, especialmente en software y firmware. La gestión de vulnerabilidades es parte integral de la seguridad informática y la seguridad de la red.
Las vulnerabilidades se pueden descubrir con un escáner de vulnerabilidades, que analiza un sistema informático en busca de vulnerabilidades conocidas, como puertos abiertos, configuración de software insegura y susceptibilidad al malware. Para que estas herramientas sean efectivas, deben mantenerse actualizadas con cada nueva actualización que publique el proveedor. Por lo general, estas actualizaciones buscarán las nuevas vulnerabilidades que se introdujeron recientemente.
Más allá del análisis de vulnerabilidades, muchas organizaciones contratan auditores de seguridad externos para ejecutar pruebas de penetración periódicas en sus sistemas para identificar vulnerabilidades. En algunos sectores, este es un requisito contractual.
Reducción de vulnerabilidades
Si bien la verificación formal de la corrección de los sistemas informáticos es posible, aún no es común. Los sistemas operativos verificados formalmente incluyen seL4 y PikeOS de SYSGO, pero estos representan un porcentaje muy pequeño del mercado.
La autenticación de dos factores es un método para mitigar el acceso no autorizado a un sistema o información confidencial. Requiere algo que sepas; una contraseña o PIN, y algo que tenga; una tarjeta, dongle, teléfono celular u otra pieza de hardware. Esto aumenta la seguridad ya que una persona no autorizada necesita ambos para obtener acceso.
Los ataques de ingeniería social y de acceso directo (físico) a la computadora solo se pueden prevenir por medios no informáticos, que pueden ser difíciles de aplicar, en relación con la confidencialidad de la información. A menudo se requiere capacitación para ayudar a mitigar este riesgo, pero incluso en entornos altamente disciplinados (por ejemplo, organizaciones militares), los ataques de ingeniería social aún pueden ser difíciles de prever y prevenir.
La inoculación, derivada de la teoría de la inoculación, busca prevenir la ingeniería social y otros trucos o trampas fraudulentos inculcando una resistencia a los intentos de persuasión a través de la exposición a intentos similares o relacionados.
Es posible reducir las posibilidades de un atacante manteniendo los sistemas actualizados con parches y actualizaciones de seguridad, utilizando un escáner de seguridad y/o contratando personas con experiencia en seguridad, aunque ninguno de estos garantiza la prevención de un ataque. Los efectos de la pérdida o el daño de los datos pueden reducirse mediante una cuidadosa copia de seguridad y un seguro.
Mecanismos de protección de hardware
Si bien el hardware puede ser una fuente de inseguridad, como las vulnerabilidades de microchip introducidas de forma maliciosa durante el proceso de fabricación, la seguridad informática asistida o basada en hardware también ofrece una alternativa a la seguridad informática basada únicamente en software. El uso de dispositivos y métodos como dongles, módulos de plataforma confiable, casos de detección de intrusiones, bloqueos de unidades, deshabilitación de puertos USB y acceso habilitado para dispositivos móviles puede considerarse más seguro debido al acceso físico (o acceso de puerta trasera sofisticado) requerido para ser comprometida. Cada uno de estos se trata con más detalle a continuación.
- Los dongles USB se utilizan típicamente en esquemas de licencias de software para desbloquear las capacidades de software, pero también se pueden ver como una manera de prevenir el acceso no autorizado a un ordenador u otro software del dispositivo. El dongle, o clave, esencialmente crea un túnel encriptado seguro entre la aplicación del software y la clave. El principio es que un esquema de cifrado en el dongle, como Advanced Encryption Standard (AES) proporciona una medida más fuerte de seguridad ya que es más difícil hackear y reproducir el dongle que simplemente copiar el software nativo a otra máquina y utilizarlo. Otra aplicación de seguridad para dongles es utilizarlos para acceder a contenidos basados en web como software de nube o redes privadas virtuales (VPNs). Además, se puede configurar un dongle USB para bloquear o desbloquear un ordenador.
- Los módulos de plataforma confiables (TPMs) aseguran dispositivos mediante la integración de las capacidades criptográficas en los dispositivos de acceso, mediante el uso de microprocesadores, o llamadas computadoras en un chip. Los TPMs utilizados conjuntamente con el software del lado del servidor ofrecen una manera de detectar y autenticar dispositivos de hardware, evitando la red no autorizada y el acceso a datos.
- La detección de intrusión de casos informáticos se refiere a un dispositivo, normalmente un interruptor de botón de empuje, que detecta cuando se abre un caso informático. El firmware o BIOS está programado para mostrar una alerta al operador cuando el ordenador se arranque la próxima vez.
- Las cerraduras de disco son esencialmente herramientas de software para cifrar discos duros, haciéndolos inaccesibles a ladrones. Existen herramientas específicas para cifrar las unidades externas también.
- Desactivar los puertos USB es una opción de seguridad para prevenir el acceso no autorizado y malicioso a un ordenador de otro modo seguro. Los dongleses USB infectados conectados a una red desde un ordenador dentro del cortafuegos son considerados por la revista Network World como la amenaza de hardware más común frente a las redes informáticas.
- Desconectar o desactivar dispositivos periféricos (como cámara, GPS, almacenamiento extraíble, etc.), que no están en uso.
- Los dispositivos de acceso habilitados para móviles están creciendo en popularidad debido a la naturaleza omnipresente de los teléfonos celulares. Capacidades integradas como Bluetooth, la nueva energía Bluetooth baja (LE), comunicación de campo cercano (NFC) en dispositivos no-iOS y validación biométrica, como lectores de huellas digitales, así como software de lector de códigos QR diseñado para dispositivos móviles, ofrecen nuevas formas seguras de conectarse a sistemas de control de acceso. Estos sistemas de control proporcionan seguridad informática y también pueden utilizarse para controlar el acceso a edificios seguros.
- Las IOMMUs permiten una caja de arena basada en hardware de componentes en computadoras móviles y de escritorio utilizando protecciones de acceso directo a la memoria.
Sistemas operativos seguros
Un uso del término seguridad informática se refiere a la tecnología que se utiliza para implementar sistemas operativos seguros. En la década de 1980, el Departamento de Defensa de los Estados Unidos (DoD) utilizó el "Libro naranja" estándares, pero el estándar internacional actual ISO/IEC 15408, Common Criteria, define una serie de niveles de garantía de evaluación progresivamente más estrictos. Muchos sistemas operativos comunes cumplen con el estándar EAL4 de "Diseñado, probado y revisado metódicamente", pero la verificación formal requerida para los niveles más altos significa que son poco comunes. Un ejemplo de un sistema EAL6 ("Semiformally Verified Design and Tested") es INTEGRITY-178B, que se utiliza en el Airbus A380 y varios jets militares.
Codificación segura
En ingeniería de software, la codificación segura tiene como objetivo proteger contra la introducción accidental de vulnerabilidades de seguridad. También es posible crear software diseñado desde cero para ser seguro. Dichos sistemas son seguros por diseño. Más allá de esto, la verificación formal tiene como objetivo probar la corrección de los algoritmos que subyacen a un sistema; importante para los protocolos criptográficos, por ejemplo.
Capacidades y listas de control de acceso
Dentro de los sistemas informáticos, dos de los principales modelos de seguridad capaces de imponer la separación de privilegios son las listas de control de acceso (ACL) y el control de acceso basado en roles (RBAC).
Una lista de control de acceso (ACL), con respecto a un sistema de archivos de computadora, es una lista de permisos asociados con un objeto. Una ACL especifica a qué usuarios o procesos del sistema se les otorga acceso a los objetos, así como qué operaciones se permiten en objetos determinados.
El control de acceso basado en roles es un enfoque para restringir el acceso al sistema a usuarios autorizados, utilizado por la mayoría de las empresas con más de 500 empleados, y puede implementar control de acceso obligatorio (MAC) o control de acceso discrecional (DAC).
Otro enfoque, la seguridad basada en capacidades se ha restringido principalmente a la investigación de sistemas operativos. Sin embargo, las capacidades también se pueden implementar a nivel de lenguaje, lo que lleva a un estilo de programación que es esencialmente un refinamiento del diseño estándar orientado a objetos. Un proyecto de código abierto en el área es el lenguaje E.
Formación de seguridad para usuarios finales
El usuario final es ampliamente reconocido como el eslabón más débil en la cadena de seguridad y se estima que más del 90 % de los incidentes y violaciones de seguridad involucran algún tipo de error humano. Entre las formas de errores y errores de juicio más comúnmente registradas se encuentran la gestión deficiente de contraseñas, el envío de correos electrónicos que contienen datos confidenciales y archivos adjuntos al destinatario equivocado, la incapacidad de reconocer direcciones URL engañosas y de identificar sitios web falsos y archivos adjuntos de correo electrónico peligrosos. Un error común que cometen los usuarios es guardar su identificación de usuario/contraseña en sus navegadores para facilitar el inicio de sesión en los sitios bancarios. Este es un regalo para los atacantes que han obtenido acceso a una máquina por algún medio. El riesgo puede mitigarse mediante el uso de autenticación de dos factores.
Dado que el componente humano del riesgo cibernético es particularmente relevante para determinar el riesgo cibernético global al que se enfrenta una organización, la capacitación en concienciación sobre seguridad, en todos los niveles, no solo brinda cumplimiento formal con los mandatos normativos y de la industria, sino que se considera esencial para reducir el riesgo cibernético. y proteger a personas y empresas de la gran mayoría de las ciberamenazas.
El enfoque en el usuario final representa un cambio cultural profundo para muchos profesionales de la seguridad, que tradicionalmente han abordado la seguridad cibernética exclusivamente desde una perspectiva técnica, y avanza en la línea sugerida por los principales centros de seguridad para desarrollar una cultura de conciencia cibernética dentro de la organización, reconociendo que un usuario consciente de la seguridad proporciona una importante línea de defensa contra los ataques cibernéticos.
Higiene digital
Relacionado con la formación del usuario final, la higiene digital o ciberhigiene es un principio fundamental relacionado con la seguridad de la información y, como muestra la analogía con la higiene personal, es el equivalente de establecer medidas rutinarias simples para minimizar los riesgos de las ciberamenazas. La suposición es que las buenas prácticas de higiene cibernética pueden brindar a los usuarios de la red otra capa de protección, reduciendo el riesgo de que un nodo vulnerable se use para montar ataques o comprometer otro nodo o red, especialmente de ataques cibernéticos comunes. La ciberhigiene tampoco debe confundirse con la ciberdefensa proactiva, un término militar.
A diferencia de una defensa contra amenazas basada puramente en la tecnología, la higiene cibernética se refiere principalmente a medidas de rutina que son técnicamente simples de implementar y que dependen principalmente de la disciplina o la educación. Puede pensarse como una lista abstracta de consejos o medidas que han demostrado tener un efecto positivo en la seguridad digital personal y/o colectiva. Como tal, estas medidas pueden ser realizadas por laicos, no solo por expertos en seguridad.
La ciberhigiene se relaciona con la higiene personal como los virus informáticos se relacionan con los virus biológicos (o patógenos). Sin embargo, mientras que el término virus informático se acuñó casi simultáneamente con la creación de los primeros virus informáticos en funcionamiento, el término ciberhigiene es una invención mucho más tardía, tal vez hasta el año 2000. por el pionero de Internet Vint Cerf. Desde entonces, ha sido adoptado por el Congreso y el Senado de los Estados Unidos, el FBI, las instituciones de la UE y los jefes de estado.
Respuesta a infracciones
Responder a intentos de infracciones de seguridad suele ser muy difícil por una variedad de razones, que incluyen:
- Identificar a los atacantes es difícil, ya que pueden operar a través de proxies, cuentas temporales anónimas de marcado, conexiones inalámbricas y otros procedimientos anónimos que dificultan el rastreo de espaldas - y a menudo se encuentran en otra jurisdicción. Si violan con éxito la seguridad, también a menudo han obtenido suficiente acceso administrativo para que puedan eliminar los registros para cubrir sus pistas.
- El gran número de intentos de ataques, a menudo por escáneres de vulnerabilidad automatizados y gusanos informáticos, es tan grande que las organizaciones no pueden pasar tiempo persiguiendo cada uno.
- Law enforcement officers often lack the skills, interest or budget to pursue attackers. Además, la identificación de los atacantes a través de una red puede requerir registros de varios puntos de la red y en muchos países, que pueden ser difíciles o consumen mucho tiempo para obtener.
Cuando un ataque tiene éxito y se produce una infracción, muchas jurisdicciones cuentan ahora con leyes obligatorias de notificación de infracciones de seguridad.
Tipos de seguridad y privacidad
- Control de acceso
- Anti-keyloggers
- Anti-malware
- Anti-spyware
- Software antisubversion
- Software antitamper
- Antirrobo
- Software antivirus
- Software criptográfico
- Despacho de computadora (CAD)
- Firewall
- Sistema de detección de intrusiones (IDS)
- Intrusion prevention system (IPS)
- Software de gestión de registros
- Control parental
- Gestión de expedientes
- Sandbox
- Gestión de la información sobre seguridad
- Información de seguridad y gestión de eventos (SIEM)
- Actualización de software y sistema operativo
- Gestión de la vulnerabilidad
Planificación de respuesta a incidentes
La respuesta a incidentes es un enfoque organizado para abordar y administrar las consecuencias de un incidente o compromiso de seguridad informática con el objetivo de prevenir una infracción o frustrar un ataque cibernético. Un incidente que no se identifica y gestiona en el momento de la intrusión normalmente se convierte en un evento más perjudicial, como una filtración de datos o un fallo del sistema. El resultado previsto de un plan de respuesta a incidentes de seguridad informática es contener el incidente, limitar los daños y ayudar a la recuperación de los negocios como de costumbre. Responder rápidamente a los compromisos puede mitigar las vulnerabilidades explotadas, restaurar servicios y procesos y minimizar las pérdidas. La planificación de respuesta a incidentes permite a una organización establecer una serie de mejores prácticas para detener una intrusión antes de que cause daños. Los planes típicos de respuesta a incidentes contienen un conjunto de instrucciones escritas que describen la respuesta de la organización a un ciberataque. Sin un plan documentado, es posible que una organización no detecte con éxito una intrusión o un compromiso y que las partes interesadas no entiendan sus funciones, procesos y procedimientos durante una escalada, lo que ralentiza la respuesta y la resolución de la organización.
Hay cuatro componentes clave de un plan de respuesta a incidentes de seguridad informática:
- Preparación: Preparar a los interesados sobre los procedimientos para tramitar los incidentes o compromisos de seguridad informática
- Detección y análisis: Determinación e investigación de actividades sospechosas para confirmar un incidente de seguridad, priorizando la respuesta basada en el impacto y la notificación de coordinación del incidente
- Contención, erradicación y recuperación: Solución de sistemas afectados para prevenir la escalada y limitar el impacto, señalando la génesis del incidente, eliminando malware, sistemas afectados y actores malos del medio ambiente y restaurando sistemas y datos cuando una amenaza ya no permanece
- Actividad posterior al incidente: Análisis post mortem del incidente, su causa raíz y la respuesta de la organización con la intención de mejorar el plan de respuesta a incidentes y futuros esfuerzos de respuesta.
Ataques e infracciones notables
A continuación se proporcionan algunos ejemplos ilustrativos de diferentes tipos de violaciones de la seguridad informática.
Robert Morris y el primer gusano informático
En 1988, 60.000 computadoras estaban conectadas a Internet y la mayoría eran mainframes, minicomputadoras y estaciones de trabajo profesionales. El 2 de noviembre de 1988, muchos comenzaron a ralentizarse porque estaban ejecutando un código malicioso que exigía tiempo de procesador y se propagó a otras computadoras: el primer gusano informático de Internet. El origen del software se remonta a Robert Tappan Morris, estudiante graduado de la Universidad de Cornell, de 23 años, quien dijo "quería contar cuántas máquinas estaban conectadas a Internet".
Laboratorio de Roma
En 1994, piratas informáticos no identificados invadieron más de cien veces el Laboratorio de Rome, el principal centro de mando e investigación de la Fuerza Aérea de los EE. UU. Usando caballos de Troya, los piratas informáticos pudieron obtener acceso sin restricciones a los sistemas de red de Rome y eliminar los rastros de sus actividades. Los intrusos pudieron obtener archivos clasificados, como datos de sistemas de orden de tareas aéreas y, además, pudieron penetrar en las redes conectadas del Centro de Vuelo Espacial Goddard de la Administración Nacional de Aeronáutica y del Espacio, la Base de la Fuerza Aérea Wright-Patterson, algunos contratistas de Defensa y otras organizaciones del sector privado, haciéndose pasar por un usuario de confianza del centro de Roma.
Datos de la tarjeta de crédito del cliente de TJX
A principios de 2007, la empresa estadounidense de ropa y artículos para el hogar TJX anunció que había sido víctima de una intrusión no autorizada en los sistemas informáticos y que los piratas informáticos habían accedido a un sistema que almacenaba datos sobre tarjetas de crédito, tarjetas de débito, cheques y transacciones de devolución de mercancías..
Ataque Stuxnet
En 2010, el gusano informático conocido como Stuxnet arruinó casi una quinta parte de las centrifugadoras nucleares de Irán. Lo hizo interrumpiendo los controladores lógicos programables (PLC) industriales en un ataque dirigido. En general, se cree que esto fue lanzado por Israel y Estados Unidos para interrumpir el programa nuclear de Irán, aunque ninguno de los dos lo ha admitido públicamente.
Divulgaciones de vigilancia global
A principios de 2013, documentos proporcionados por Edward Snowden fueron publicados por The Washington Post y The Guardian exponiendo la escala masiva de vigilancia global de la NSA. También hubo indicios de que la NSA pudo haber insertado una puerta trasera en un estándar NIST para el cifrado. Este estándar fue posteriormente retirado debido a las críticas generalizadas. También se reveló que la NSA había aprovechado los enlaces entre los centros de datos de Google.
Infracciones de Target y Home Depot
Un hacker ucraniano conocido como Rescator irrumpió en las computadoras de Target Corporation en 2013 y robó aproximadamente 40 millones de tarjetas de crédito, y luego en las computadoras de Home Depot en 2014, robó entre 53 y 56 millones de números de tarjetas de crédito. Se entregaron advertencias en ambas corporaciones, pero se ignoraron; Se cree que las infracciones de seguridad física que utilizan máquinas de autopago han jugado un papel importante. "El software malicioso utilizado es absolutamente sencillo y poco interesante," dice Jim Walter, director de operaciones de inteligencia de amenazas en la empresa de tecnología de seguridad McAfee, lo que significa que los atracos podrían haber sido detenidos fácilmente por el software antivirus existente si los administradores hubieran respondido a las advertencias. El tamaño de los robos ha llamado la atención de las autoridades estatales y federales de los Estados Unidos y la investigación está en curso.
Violación de datos de la Oficina de Administración de Personal
En abril de 2015, la Oficina de Administración de Personal descubrió que había sido pirateada más de un año antes en una violación de datos, lo que resultó en el robo de aproximadamente 21,5 millones de registros de personal que maneja la oficina. El hackeo de la Oficina de Administración de Personal ha sido descrito por funcionarios federales como una de las mayores violaciones de datos gubernamentales en la historia de los Estados Unidos. Los datos objeto de la violación incluían información de identificación personal, como números de Seguro Social, nombres, fechas y lugares de nacimiento, direcciones y huellas dactilares de empleados gubernamentales actuales y anteriores, así como de cualquier persona que se haya sometido a una verificación de antecedentes del gobierno. Se cree que el ataque fue perpetrado por piratas informáticos chinos.
Ashley Madison brecha
En julio de 2015, un grupo de piratas informáticos conocido como The Impact Team vulneró con éxito el sitio web de relaciones extramatrimoniales Ashley Madison, creado por Avid Life Media. El grupo afirmó que no solo habían tomado datos de la empresa, sino también datos de usuarios. Después de la violación, The Impact Team envió correos electrónicos del director ejecutivo de la empresa para probar su punto y amenazó con eliminar los datos de los clientes a menos que el sitio web fuera eliminado de forma permanente. Cuando Avid Life Media no desconectó el sitio, el grupo lanzó dos archivos comprimidos más, uno de 9,7 GB y el segundo de 20 GB. Después del segundo volcado de datos, el director ejecutivo de Avid Life Media, Noel Biderman, renunció; pero el sitio web siguió funcionando.
Ataque de ransomware de tubería colonial
En junio de 2021, el ataque cibernético derribó el oleoducto de combustible más grande de los EE. UU. y provocó una escasez en toda la costa este.
Cuestiones legales y regulación global
Los problemas legales internacionales de los ataques cibernéticos son de naturaleza complicada. No existe una base global de reglas comunes para juzgar, y eventualmente castigar, los delitos cibernéticos y los ciberdelincuentes, y cuando las empresas o agencias de seguridad localizan al ciberdelincuente detrás de la creación de una pieza particular de malware o forma de ciberataque, a menudo las autoridades locales no pueden tomar acción debido a la falta de leyes bajo las cuales enjuiciar. Probar la atribución de delitos cibernéticos y ataques cibernéticos también es un problema importante para todas las agencias de aplicación de la ley. “Los virus informáticos cambian de un país a otro, de una jurisdicción a otra, moviéndose por todo el mundo, aprovechando el hecho de que no tenemos la capacidad para controlar operaciones como esta a nivel mundial. Así que Internet es como si alguien [hubiera] dado boletos de avión gratis a todos los delincuentes en línea del mundo." El uso de técnicas como DNS dinámico, flujo rápido y servidores a prueba de balas se suman a la dificultad de la investigación y la aplicación.
Papel del gobierno
El papel del gobierno es hacer regulaciones para obligar a las empresas y organizaciones a proteger sus sistemas, infraestructura e información de cualquier ataque cibernético, pero también para proteger su propia infraestructura nacional, como la red eléctrica nacional.
La función reguladora del gobierno en el ciberespacio es complicada. Para algunos, el ciberespacio fue visto como un espacio virtual que permanecería libre de la intervención del gobierno, como se puede ver en muchas de las discusiones libertarias de blockchain y bitcoin de hoy.
Muchos funcionarios gubernamentales y expertos piensan que el gobierno debería hacer más y que existe una necesidad crucial de mejorar la regulación, principalmente debido al fracaso del sector privado para resolver de manera eficiente el problema de la seguridad cibernética. R. Clarke dijo durante un panel de discusión en la Conferencia de Seguridad de RSA en San Francisco, que cree que "la industria solo responde cuando amenaza con la regulación". Si la industria no responde (a la amenaza), debe seguir adelante." Por otro lado, los ejecutivos del sector privado coinciden en que las mejoras son necesarias, pero piensan que la intervención del gobierno afectaría su capacidad de innovar de manera eficiente. Daniel R. McCarthy analizó esta asociación público-privada en ciberseguridad y reflexionó sobre el papel de la ciberseguridad en la constitución más amplia del orden político.
El 22 de mayo de 2020, el Consejo de Seguridad de la ONU celebró su segunda reunión informal sobre ciberseguridad para centrarse en los desafíos cibernéticos para la paz internacional. Según el secretario general de la ONU, António Guterres, las nuevas tecnologías se utilizan con demasiada frecuencia para violar los derechos.
Acciones internacionales
Existen muchos equipos y organizaciones diferentes, entre ellos:
- The Forum of Incident Response and Security Teams (FIRST) is the global association of CSIRTs. El US-CERT, AT plagaT, Apple, Cisco, McAfee, Microsoft son todos miembros de este equipo internacional.
- El Consejo de Europa ayuda a proteger a las sociedades de todo el mundo contra la amenaza del delito cibernético mediante la Convención sobre el Delito Cibernético.
- El objetivo del Grupo de Trabajo contra el Abastecimiento (MAAWG) es reunir a la industria de mensajería para trabajar en colaboración y abordar con éxito las diversas formas de abuso de mensajería, como el spam, los virus, los ataques de denegación de servicio y otras explotaciones de mensajería. France Telecom, Facebook, AT plagaT, Apple, Cisco, Sprint son algunos de los miembros del MAAWG.
- ENISA: La Agencia Europea de Seguridad de la Red y la Información (ENISA) es una agencia de la Unión Europea con el objetivo de mejorar la seguridad de la red y la información en la Unión Europea.
Europa
El 14 de abril de 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron el Reglamento general de protección de datos (RGPD) (UE) 2016/679. GDPR, que entró en vigor a partir del 25 de mayo de 2018, proporciona protección de datos y privacidad para todas las personas dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE). GDPR requiere que los procesos comerciales que manejan datos personales se construyan con protección de datos por diseño y por defecto. GDPR también requiere que ciertas organizaciones designen un Oficial de Protección de Datos (DPO).
Acciones nacionales
Equipos de respuesta a emergencias informáticas
La mayoría de los países tienen su propio equipo de respuesta ante emergencias informáticas para proteger la seguridad de la red.
Canadá
Desde 2010, Canadá cuenta con una estrategia de ciberseguridad. Este funciona como un documento de contraparte a la Estrategia Nacional y Plan de Acción para Infraestructura Crítica. La estrategia tiene tres pilares principales: asegurar los sistemas gubernamentales, asegurar los sistemas cibernéticos privados vitales y ayudar a los canadienses a estar seguros en línea. También existe un marco de gestión de incidentes cibernéticos para proporcionar una respuesta coordinada en caso de un incidente cibernético.
El Centro Canadiense de Respuesta a Incidentes Cibernéticos (CCIRC) es responsable de mitigar y responder a las amenazas a la infraestructura crítica y los sistemas cibernéticos de Canadá. Brinda soporte para mitigar amenazas cibernéticas, soporte técnico para responder & amp; recuperarse de ataques cibernéticos dirigidos y proporciona herramientas en línea para miembros de los sectores de infraestructura crítica de Canadá. Publica periódicamente boletines de ciberseguridad & opera una herramienta de informes en línea donde las personas y las organizaciones pueden informar un incidente cibernético.
Para informar al público en general sobre cómo protegerse en línea, Public Safety Canada se asoció con STOP.THINK.CONNECT, una coalición de organizaciones gubernamentales, del sector privado y sin fines de lucro, y lanzó el Programa de Cooperación en Seguridad Cibernética. También ejecutan el portal GetCyberSafe para ciudadanos canadienses y el Mes de Concientización sobre Seguridad Cibernética durante octubre.
Public Safety Canada tiene como objetivo comenzar una evaluación de la estrategia de ciberseguridad de Canadá a principios de 2015.
China
El Grupo líder central de China para la seguridad e informatización de Internet (en chino: 中央网络安全和信息化领导小组) se estableció el 27 de febrero de 2014. Este pequeño líder Group (LSG) del Partido Comunista Chino está encabezado por el propio Secretario General Xi Jinping y cuenta con los responsables de la toma de decisiones relevantes del Partido y del Estado. El LSG fue creado para superar las políticas incoherentes y la superposición de responsabilidades que caracterizaron los antiguos mecanismos de toma de decisiones en el ciberespacio de China. El LSG supervisa la formulación de políticas en los campos económico, político, cultural, social y militar en relación con la seguridad de la red y la estrategia de TI. Este LSG también coordina importantes iniciativas políticas en el ámbito internacional que promueven normas y estándares favorecidos por el gobierno chino y que enfatizan el principio de soberanía nacional en el ciberespacio.
Alemania
Berlín inicia la Iniciativa Nacional de Defensa Cibernética: el 16 de junio de 2011, el Ministro del Interior alemán inauguró oficialmente el nuevo NCAZ (Centro Nacional de Defensa Cibernética) Nationales Cyber-Abwehrzentrum alemán ubicado en Bonn. La NCAZ coopera estrechamente con BSI (Oficina Federal para la Seguridad de la Información) Bundesamt für Sicherheit in der Informationstechnik, BKA (Organización de la Policía Federal) Bundeskriminalamt (Deutschland), BND (Servicio Federal de Inteligencia) Bundesnachrichtendienst, MAD (Servicio de Inteligencia Militar) Amt für den Militärischen Abschirmdienst y otras organizaciones nacionales en Alemania que se ocupan de los aspectos de seguridad nacional. Según el Ministro, la tarea principal de la nueva organización fundada el 23 de febrero de 2011 es detectar y prevenir ataques contra la infraestructura nacional e incidentes mencionados como Stuxnet. Alemania también ha establecido la institución de investigación más grande para la seguridad de TI en Europa, el Centro de Investigación en Seguridad y Privacidad (CRISP) en Darmstadt.
India
Algunas disposiciones para la seguridad cibernética se han incorporado a las reglas enmarcadas en la Ley de tecnología de la información de 2000.
La Política Nacional de Seguridad Cibernética 2013 es un marco de política del Ministerio de Electrónica y Tecnologías de la Información (MeitY) que tiene como objetivo proteger la infraestructura pública y privada de los ataques cibernéticos y salvaguardar la "información, como la información personal (de usuarios de la web), información financiera y bancaria y datos soberanos". CERT-In es la agencia nodal que monitorea las amenazas cibernéticas en el país. También se ha creado el puesto de Coordinador Nacional de Seguridad Cibernética en la Oficina del Primer Ministro (PMO).
La Ley de Empresas Indias de 2013 también ha introducido obligaciones en materia de ciberseguridad y legislación cibernética por parte de los directores indios. Algunas disposiciones para la seguridad cibernética se han incorporado en las reglas enmarcadas en la Actualización de la Ley de Tecnología de la Información de 2000 en 2013.
Corea del Sur
Luego de los ataques cibernéticos en la primera mitad de 2013, cuando el gobierno, los medios de comunicación, las estaciones de televisión y los sitios web de los bancos se vieron comprometidos, el gobierno nacional se comprometió a capacitar a 5000 nuevos expertos en seguridad cibernética para 2017. El gobierno de Corea del Sur culpó a sus contraparte de estos ataques, así como los incidentes ocurridos en 2009, 2011 y 2012, pero Pyongyang niega las acusaciones.
Estados Unidos
Legislación
El 18 U.S.C. de 1986 § 1030, la Ley de Abuso y Fraude Informático es la legislación clave. Prohíbe el acceso no autorizado o el daño de computadoras protegidas como se define en
. Aunque se han propuesto varias otras medidas, ninguna ha tenido éxito.En 2013, se firmó la orden ejecutiva 13636 Mejora de la ciberseguridad de la infraestructura crítica, que impulsó la creación del Marco de ciberseguridad del NIST.
En respuesta al ataque de ransomware Colonial Pipeline, el presidente Joe Biden firmó la Orden Ejecutiva 14028 el 12 de mayo de 2021 para aumentar los estándares de seguridad del software para las ventas al gobierno, reforzar la detección y la seguridad en los sistemas existentes, mejorar el intercambio de información y la capacitación, establecer una Junta de Revisión de Seguridad Cibernética y mejorar la respuesta a incidentes.
Servicios de pruebas gubernamentales estandarizados
La Administración de Servicios Generales (GSA, por sus siglas en inglés) ha estandarizado el servicio de prueba de penetración como un servicio de soporte previamente examinado, para abordar rápidamente posibles vulnerabilidades y detener a los adversarios antes de que afecten a los gobiernos federal, estatal y local de EE. UU.. Estos servicios se conocen comúnmente como Servicios de ciberseguridad altamente adaptables (HACS).
Agencias
El Departamento de Seguridad Nacional tiene una división dedicada responsable del sistema de respuesta, el programa de gestión de riesgos y los requisitos de seguridad cibernética en los Estados Unidos llamada División Nacional de Seguridad Cibernética. La división alberga las operaciones de US-CERT y el Sistema Nacional de Alerta Cibernética. El Centro Nacional de Integración de Comunicaciones y Ciberseguridad reúne a las organizaciones gubernamentales responsables de proteger las redes informáticas y la infraestructura en red.
La tercera prioridad del FBI es: "Proteger a los Estados Unidos contra ataques cibernéticos y delitos de alta tecnología", y ellos, junto con el Centro Nacional de Delitos de Cuello Blanco (NW3C), y la Oficina de Asistencia Judicial (BJA) son parte del grupo de trabajo de varias agencias, el Centro de Quejas de Delitos en Internet, también conocido como IC3.
Además de sus funciones específicas, el FBI participa junto con organizaciones sin fines de lucro como InfraGard.
La Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS) opera en la División Criminal del Departamento de Justicia de los Estados Unidos. El CCIPS se encarga de investigar los delitos informáticos y los delitos contra la propiedad intelectual y está especializado en la búsqueda e incautación de pruebas digitales en ordenadores y redes. En 2017, CCIPS publicó A Framework for a Vulnerability Disclosure Program for Online Systems para ayudar a las organizaciones a 'describir claramente la conducta autorizada de divulgación y descubrimiento de vulnerabilidades, reduciendo así sustancialmente la probabilidad de que dichas actividades descritas resulten en una violación civil o penal de la ley. bajo la Ley de Abuso y Fraude Informático (18 U.S.C. § 1030)."
El Comando Cibernético de los Estados Unidos, también conocido como USCYBERCOM, "tiene la misión de dirigir, sincronizar y coordinar la planificación y las operaciones del ciberespacio para defender y promover los intereses nacionales en colaboración con socios nacionales e internacionales". No tiene ningún papel en la protección de las redes civiles.
La función de la Comisión Federal de Comunicaciones de EE. UU. en la ciberseguridad es fortalecer la protección de la infraestructura de comunicaciones crítica, ayudar a mantener la confiabilidad de las redes durante los desastres, ayudar en la recuperación rápida después y garantizar que los primeros en responder tengan acceso a servicios de comunicación efectivos.
La Administración de Alimentos y Medicamentos ha emitido una guía para dispositivos médicos, y la Administración Nacional de Seguridad del Tráfico en Carreteras se preocupa por la ciberseguridad automotriz. Después de ser criticado por la Oficina de Responsabilidad Gubernamental, y luego de ataques exitosos en aeropuertos y ataques reclamados en aviones, la Administración Federal de Aviación ha dedicado fondos para asegurar los sistemas a bordo de los aviones de fabricantes privados y el Sistema de Informes y Direccionamiento de Comunicaciones de Aeronaves. También se han planteado preocupaciones sobre el futuro Sistema de Transporte Aéreo de Próxima Generación.
Equipo de preparación para emergencias informáticas
Equipo de respuesta a emergencias informáticas es un nombre que se le da a los grupos de expertos que manejan incidentes de seguridad informática. En los EE. UU., existen dos organizaciones distintas, aunque trabajan en estrecha colaboración.
- US-CERT: parte de la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de los Estados Unidos.
- CERT/CC: creado por la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) y dirigido por el Instituto de Ingeniería de Software (SEI).
Guerra moderna
Existe una creciente preocupación de que el ciberespacio se convierta en el próximo teatro de guerra. Como escribió Mark Clayton de The Christian Science Monitor en un artículo de 2015 titulado "La nueva carrera cibernética de armamentos":
En el futuro, las guerras no sólo serán combatidas por soldados con armas o con aviones que dejan bombas. También se lucharán con el clic de un ratón a medio mundo de distancia que desata programas informáticos cuidadosamente armados que interrumpen o destruyen industrias críticas como servicios públicos, transporte, comunicaciones y energía. Esos ataques también podrían desactivar las redes militares que controlan el movimiento de tropas, el camino de los cazas a reacción, el mando y el control de los buques de guerra.
Esto ha dado lugar a nuevos términos como guerra cibernética y ciberterrorismo. El Comando Cibernético de los Estados Unidos se creó en 2009 y muchos otros países tienen fuerzas similares.
Hay algunas voces críticas que cuestionan si la ciberseguridad es una amenaza tan importante como se pretende.
Carreras
La ciberseguridad es un campo de TI de rápido crecimiento que se preocupa por reducir las organizaciones' riesgo de hackeo o violación de datos. Según una investigación del Enterprise Strategy Group, el 46 % de las organizaciones dicen que tienen una "escasez problemática" de habilidades de seguridad cibernética en 2016, frente al 28% en 2015. Las organizaciones comerciales, gubernamentales y no gubernamentales emplean a profesionales de seguridad cibernética. Los aumentos más rápidos en la demanda de trabajadores de ciberseguridad se encuentran en industrias que gestionan volúmenes cada vez mayores de datos de consumidores, como finanzas, atención médica y venta minorista. Sin embargo, el uso del término ciberseguridad es más frecuente en las descripciones de puestos gubernamentales.
Los títulos y descripciones típicos de los trabajos de ciberseguridad incluyen:
Analista de seguridad
- Analiza y evalúa vulnerabilidades en la infraestructura (software, hardware, redes), investiga el uso de herramientas disponibles y contramedidas para remediar las vulnerabilidades detectadas y recomienda soluciones y mejores prácticas. Analyzes and assesses damage to the data/infrastructure as a result of security incidents, examines available recovery tools and processes, and recommends solutions. Pruebas para el cumplimiento de las políticas y procedimientos de seguridad. Puede ayudar en la creación, aplicación o gestión de soluciones de seguridad.
Ingeniero de seguridad
- Realiza análisis de seguridad, seguridad y datos/logs y análisis forenses para detectar incidentes de seguridad y aumentar la respuesta al incidente. Investiga y utiliza nuevas tecnologías y procesos para mejorar las capacidades de seguridad y aplicar mejoras. También puede revisar el código o realizar otras metodologías de ingeniería de seguridad.
Arquitecto de seguridad
- Diseña un sistema de seguridad o componentes principales de un sistema de seguridad, y puede dirigir un equipo de diseño de seguridad construyendo un nuevo sistema de seguridad.
Administrador de seguridad
- Instala y gestiona sistemas de seguridad de toda la organización. Esta posición también puede incluir asumir algunas de las tareas de un analista de seguridad en organizaciones más pequeñas.
Director de seguridad de la información (CISO)
- Una posición de gestión de alto nivel responsable de toda la división/staff de seguridad de la información. La posición puede incluir trabajo técnico práctico.
Directora de Seguridad (CSO)
(feminine)- Una posición de gestión de alto nivel responsable de toda la división de seguridad/staff. Ahora se considera necesaria una posición más reciente a medida que aumentan los riesgos de seguridad.
Delegado de Protección de Datos (RPD)
- A DPO is tasked with monitoring compliance with the UK GDPR and other data protection laws, our data protection policies, awareness-raising, training, and audits.
Consultor de Seguridad/Especialista/Inteligencia
- Títulos amplios que abarcan cualquiera de los otros roles o títulos que se encargan de proteger ordenadores, redes, software, datos o sistemas de información contra virus, gusanos, spyware, malware, detección de intrusiones, acceso no autorizado, ataques de denegación de servicio y una lista cada vez mayor de ataques de hackers actuando como individuos o como parte del crimen organizado o gobiernos extranjeros.
Los programas para estudiantes también están disponibles para las personas interesadas en comenzar una carrera en seguridad cibernética. Mientras tanto, una opción flexible y efectiva para que los profesionales de seguridad de la información de todos los niveles de experiencia sigan estudiando es la capacitación en seguridad en línea, incluidos los webcasts. También hay disponible una amplia gama de cursos certificados.
En el Reino Unido, se estableció un conjunto nacional de foros de seguridad cibernética, conocido como el Foro de Seguridad Cibernética del Reino Unido, con el apoyo de la estrategia de seguridad cibernética del gobierno para fomentar la creación de empresas y la innovación y abordar la brecha de habilidades. identificado por el gobierno del Reino Unido.
En Singapur, la Agencia de Seguridad Cibernética ha emitido un Marco de competencias de seguridad cibernética (OTCCF) de tecnología operativa (OT) de Singapur. El marco define los roles emergentes de ciberseguridad en la tecnología operativa. La OTCCF fue respaldada por la Autoridad de Desarrollo de Medios de Infocomm (IMDA). Describe los diferentes puestos de trabajo de ciberseguridad de OT, así como las habilidades técnicas y las competencias básicas necesarias. También describe las muchas trayectorias profesionales disponibles, incluidas las oportunidades de avance vertical y lateral.
Terminología
Los siguientes términos utilizados con respecto a la seguridad informática se explican a continuación:
- La autorización de acceso limita el acceso a un ordenador a un grupo de usuarios mediante el uso de sistemas de autenticación. Estos sistemas pueden proteger toda la computadora, como a través de una pantalla de inicio de sesión interactiva o servicios individuales, como un servidor FTP. Hay muchos métodos para identificar y autenticar usuarios, como contraseñas, tarjetas de identificación, tarjetas inteligentes y sistemas biométricos.
- El software antivirus consiste en programas informáticos que intentan identificar, frustrar y eliminar virus informáticos y otro software malicioso (malware).
- Las aplicaciones son código ejecutable, por lo que la práctica general es disuadir a los usuarios de la energía para instalarlos; instalar sólo los que se sabe que son reputables – y reducir la superficie de ataque instalando lo más pocos posible. Normalmente se ejecutan con menos privilegios, con un proceso robusto en su lugar para identificar, probar e instalar cualquier parche de seguridad liberado o actualizaciones para ellos.
- Las técnicas de autenticación se pueden utilizar para asegurar que los puntos finales de comunicación son quienes dicen que son.
- Se pueden utilizar pruebas de teorema automatizada y otras herramientas de verificación para permitir algoritmos críticos y código utilizado en sistemas seguros para ser matemáticamente probados para cumplir sus especificaciones.
- Las copias de seguridad son una o más copias guardadas de archivos de computadora importantes. Típicamente, se guardarán múltiples copias en diferentes lugares para que si una copia es robada o dañada, sigan existiendo otras copias.
- Las técnicas de la lista de control de capacidad y acceso pueden utilizarse para garantizar la separación de privilegios y el control obligatorio de acceso. Capacidades vs. ACLs discute su uso.
- La cadena de técnicas de confianza se puede utilizar para intentar asegurar que todo el software cargado ha sido certificado como auténtico por los diseñadores del sistema.
- La confidencialidad es la no divulgación de información excepto a otra persona autorizada.
- Se pueden utilizar técnicas críptográficas para defender datos en tránsito entre sistemas, reduciendo la probabilidad de que el intercambio de datos entre sistemas pueda ser interceptado o modificado.
- Cyberwarfare es un conflicto basado en Internet que implica ataques motivados políticamente contra sistemas de información e información. Esos ataques pueden, por ejemplo, desactivar los sitios web y las redes oficiales, interrumpir o desactivar los servicios esenciales, robar o alterar los datos clasificados y desactivar los sistemas financieros.
- La integridad de los datos es la exactitud y consistencia de los datos almacenados, indicados por una ausencia de alteración de los datos entre dos actualizaciones de un registro de datos.
- El cifrado se utiliza para proteger la confidencialidad de un mensaje. Cryptographically secure ciphers are designed to make any practical attempt of breaking them infeasible. Cifras de clave simétrica son adecuadas para la encriptación a granel mediante claves compartidas, y la encriptación de claves públicas mediante certificados digitales puede proporcionar una solución práctica para el problema de la comunicación segura cuando no se comparte ninguna clave de antemano.
- Endpoint Security software ayuda a las redes para prevenir la infección de malware y el robo de datos en los puntos de entrada de la red que son vulnerables por la prevalencia de dispositivos potencialmente infectados como portátiles, dispositivos móviles y unidades USB.
- Los cortafuegos sirven como sistema de portero entre las redes, permitiendo sólo el tráfico que coincide con las reglas definidas. A menudo incluyen registros detallados, y pueden incluir características de detección de intrusiones y prevención de intrusiones. Son casi universales entre las redes locales de la empresa y la Internet, pero también se pueden utilizar internamente para imponer reglas de tráfico entre las redes si se configura la segmentación de la red.
- Un hacker es alguien que busca violar defensas y explotar debilidades en un sistema informático o red.
- Las ollas de miel son computadoras que son intencionadamente dejadas vulnerables para atacar por las galletas. Se pueden utilizar para atrapar galletas y para identificar sus técnicas.
- Los sistemas de detección de intrusión son dispositivos o aplicaciones de software que monitorean redes o sistemas para actividades maliciosas o violaciones de políticas.
- Un microcarril es un enfoque para el diseño del sistema operativo que tiene sólo la cantidad casi mínima de código que funciona a nivel más privilegiado – y ejecuta otros elementos del sistema operativo como controladores de dispositivo, pilas de protocolo y sistemas de archivos, en el espacio de usuario más seguro y menos privilegiado.
- Ping. La aplicación estándar de ping se puede utilizar para probar si una dirección IP está en uso. Si lo es, los atacantes pueden probar un escaneo portuario para detectar qué servicios están expuestos.
- Un escaneo portuario se utiliza para sondear una dirección IP para puertos abiertos para identificar servicios de red accesibles y aplicaciones.
- Un registrador de teclas es spyware que captura y almacena silenciosamente cada pulsador de teclas que un usuario escribe en el teclado del ordenador.
- La ingeniería social es el uso del engaño para manipular a las personas para violar la seguridad.
- Las bombas lógicas es un tipo de malware añadido a un programa legítimo que está inactivo hasta que se activa por un evento específico.
- Zero trust security means that no one is reliable by default from inside or outside the network, and verification is required from everyone trying to gain access to resources on the network.
Académicas notables
(feminine)- Ross J. Anderson
- Annie Anton
- Adam Back
- Daniel J. Bernstein
- Matt Blaze
- Stefan Brands
- L. Jean Camp
- Lorrie Cranor
- Dorothy E. Denning
- Peter J. Denning
- Cynthia Dwork
- Chuck Easttom
- Deborah Estrin
- Joan Feigenbaum
- Ian Goldberg
- Shafi Goldwasser
- Lawrence A. Gordon
- Peter Gutmann
- Paul Kocher
- Monica S. Lam
- Butler Lampson
- Brian LaMacchia
- Susan Landau
- Carl Landwehr
- Kevin Mitnick
- Peter G. Neumann
- Susan Nycum
- Paul C. van Oorschot
- Roger R. Schell
- Bruce Schneier
- Dawn Song
- Gene Spafford
- Salvatore J. Stolfo
- Willis Ware
- Moti Yung
Contenido relacionado
Sinclavier
Redes ópticas síncronas
Telecomunicaciones en Camboya