Unidad 3 Controles de seguridad cibernética
March 2, 2023 | Author: Anonymous | Category: N/A
Short Description
Download Unidad 3 Controles de seguridad cibernética...
Description
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Fundamentos de Ciberseguridad basado en la ISO 27032 Ing Ximena Cuzcano Chávez xcuzcano@cnsd gob pe CENTRO NACIONAL DE SEGURIDAD DIGITAL
2
Unidad 3 Controles de seguridad cibernética
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Unidad 3 Controles de seguridad cibernética 3.1 Controles a nivel de aplicación 3.2 Protección del Servidor 3.3 Controles para los usuarios finales 3.4 Controles contra ataques de ingeniería social
CENTRO NACIONAL DE SEGURIDAD DIGITAL
4
Centro Nacional de Seguridad Digital
3.1 Controles a nivel de aplicación
CENTRO NACIONAL DE SEGURIDAD DIGITAL
5
5
Controles a nivel de aplicación ●
●
U Un na vez que se iden enttifi ficcan los riesgos sgos de ciber iberse segu guri rida dad d y se dise diseña ñan n las las dire direcctr tric ices es apropiadas, se pueden seleccionar e implementar cont co ntrol roles es de ci ciber berseg segur urid idad ad que apo apoya yan n a lo loss requisitos de seguridad.
Esta claveunidad de da cibuna ersevisión guridageneral d quede los se controles pueden implemen enttar para apoya oyar especificadas en la norma.
las
directrices
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles a nivel de aplicación Loss co Lo cont ntro role less a ni nive vell de ap apli lica caci ción ón in incl cluy uyen en::
●
Expone Expo nerr av avis isos os corto cortoss con res resúm úmene eness cl clar aros os y conc co ncis isos os (c (con on un le leng ngua uaje je simp simple le)) so sobr bre e la lass polí po lítticas icas on onlline ine es esen enci cial ales es de la com ompa pañí ñía. a. Medi Me dian ante te es esto toss av avis isos os,, los los us usua uari rios os pu pued eden en to toma marr de deci cisi sion ones es má máss info inform rmad adas as ac acer erca ca de compartir su información online.
6
CENTRO NACIONAL DE SEGURIDAD DIGITAL
7
Controles a nivel de aplicación Es Esta tass no nottific ificac acio ione ness o av avis isos os de debe berí rían an es esta tarr en confor con formi midad dad co con n todos todos los los re requi quisi sito toss nor norma mati tivos vos.. Tamb Ta mbié ién n se de debe ben n prov provee eerr link linkss a de decl clar arac acio ione ness completas y otra inform completas información ación rel relevante evante,, para que los usuarios puedan ver los detalles.
Con una sola notificación, los usuarios un acercamiento más consistente a lospueden activos tener de la compañía, compañ ía, con lo loss mismos est estándares ándares y expe expectati ctativas vas de privacidad.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles a nivel de aplicación ●
Aseg segurar el manejo de sesiones para las aplicaciones Web. Para ello, se debe incluir mecanismos online como cookies.
8
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles a nivel de aplicación
●
A segurar para la avapreve lidacinir ón ata y m anejo deunes las entradas par entradas prevenir ataques ques com comunes como la inyección SQL.
9
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles a nivel de aplicación
●
Asegurar el scripting de la página Web para par a pre preven venir ir ata ataques ques com comunes unes com como o Cross-site Scripting.
10
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles a nivel de aplicación ●
Revisar y testear la seg segur urid idad ad de dell có códi digo go por me medi dios os de en enti tidad dades es cu cual alif ific icad adas as apropiadamente.
11
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles a nivel de aplicación •
El serv servic icio io de de la organización se debería proveer de manera que el consumidor pueda autentificar dicho servicio.
•
Para ello, el proveedor debe usar un sub-dominio desde un nombre de dominio con la marca registrada de la organización y posiblemente el uso del protocolo HTTPS.
12
CENTRO NACIONAL DE SEGURIDAD DIGITAL
13
Centro Nacional de Seguridad Digital
3.2 Protección del Servidor
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Protección del Servidor Con los siguientes controles se puede proteger a los servidores contra accesos no autorizados y al hosting contra contenido malicioso.
●
Configurar los servido Configurar servidores, res, inc incluyend luyendo o los sistema sistemass operativos subyacentes, de acuerdo a una guía de configuración de seguridad base.
14
CENTRO NACIONAL DE SEGURIDAD DIGITAL
15
Protección del Servidor ●
E Ess im impo port rtan ante te incl inclui uirr un una a de defi fini nici ción ón ap apro ropi piad ada a de lo loss serv servid idor ores es ve vers rsus us lo loss admini adm inistr strador adores, es, refo reforzar rzar los contr controle oless de acceso en los director directorios ios y arc archiv hivos os de programa y sistema, y habilitar el registro de auditoría de la seguridad y otros eventos de fallos en el sistema.
Es más, se recomienda instalar un sistema mínimo en un servidor para reducir el vector de ataque.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
16
Protección del Servidor
●
Implem Impl emen enta tarr un sist sistem ema a pa para ra prob probar ar e implementar actualizaciones de seguridad.
●
Asegurarse de que el sistem Asegurarse sistema a operativ operativo o y las apli ap lica caci cion ones es de dell se serv rvid idor or se ma mant nten enga gan n actu actual aliz izado adoss ráp rápid idam amen ente te cu cuand ando o nuevas actualizaciones de seguridad.
ha hayan yan
CENTRO NACIONAL DE SEGURIDAD DIGITAL
17
Protección del Servidor ●
Realizar seguimiento del desempeño de seg egu uridad del ser servidor, a través de revisiones constantes de los registros de auditoría.
●
Revisar la configuración de seguridad en los servidores.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
18
Protección del Servidor ●
Ej Ejec ecut utar ar co cont ntrol roles es an anti ti ma malw lwar are e en el serv servid idor or.. Esca Escane near ar to todo do el co cont nten enid ido o aloj alojad ado o y su subi bido do,, de ma mane nera ra regu regula lar, r, usando controles actualizados.
●
Realiza Reali zarr esc escane aneos os co cons nstan tante tess en de vulnerabilidades.
bu busc sca a
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Protección del Servidor
●
Reali Rea lizar zar pr prue uebas bas de seg segur urid idad deweb ma maner nera a constante para aplicaciones y ad sitios para asegurarse de que mantienen su seguridad de manera adecuada.
19
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Centro Nacional de Seguridad Digital
3.3 Controles para los usuarios finales
20
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales Controles que los usuarios finales pueden usar para proteger sus sistemas contra ataques y abusos conocidos:
●
Usar sistemas operativos compatibles con los parches de seguridad más actualizados. ○
Los consumidores organizacionales tienen la responsabilidad de seguir una política organizacional relacionada a los sistemas operativos compatibles.
21
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales
●
●
Lo Los s co cons nsum umid ores es indi indivi vidu dual ales es operativos de debe berí rían an considerar el idor uso de los sistemas recomendados por el proveedor. En to todos dos lo loss caso casos, s, el sis siste tema ma ope opera rati tivo vo se debería actualizar con respecto a los parches de seguridad.
22
CENTRO NACIONAL DE SEGURIDAD DIGITAL
23
Controles para usuarios finales
●
Usar las últimas aplicaciones de software comp co mpat atib ible less co con n los los pa parc rche hess má máss ac actu tual aliz izad ados os.. Los co consu nsumi mido dores res org organi aniza zaci cion onal ales es ti tien enen en la responsabilidad de seguir una política organiz org anizaci acional onal rel relaci acionad onada a a las aplicac aplicacione ioness compatibles.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
24
Controles para usuarios finales
●
Lo Loss co cons nsum umid idor ores es in indi divi vidu dual ales es de debe berí rían an considerar el uso de software recomendado por el proveedor.
●
En tod todos os los ca casos, sos, e ell softwar software e de apli aplicac cación ión se de debe berí ría a ac actu tual aliz izar ar con con re resp spec ecto to a lo loss parches de seguridad.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales ●
Usarr her Usa herram ramien ientas tas ant anti-v i-viru iruss y ant antii-spy spywa ware re ○ Si es fac facti tibl ble, e, un pr prov oveed eedor or de ser servi vici cios os (como un ISP), debería considerar trabajar en conjunto con vendedores de seguridad confi co nfiabl ables, es, par para a ofr ofrec ecerl erle e a los los usu usuari arios os finales dichas herramientas como parte del paquete de suscripción al servicio. ○
Esto con el objetivo de que los controles de seg segur urid idad ad esté estén n disp dispon onib ible less lue ueg go de registrar la susc scrripc pciión o luego de su renovación.
25
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales
●
Los consumi consumidores dores organizacio organizacionales nales tienen la re respo spons nsabi abili lida dad d de seg segui uirr un una a po polí líti tica ca organizacional relacionada al uso de herramientas de software de seguridad.
26
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales
●
●
Los consumidores individuales deberían usar herramientas de seguridad. En todos los casos, el software de seguridad se debería actualizar con respecto a los parches de seguridad y a las bases de datos de firmas.
27
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales ●
Imple Im plemen mentar tar her herram ramien ientas tas ant antii-mal malwa ware re en nav navega egador dores es ○
Los na nave vegad gadore oress we web b co comu mune ness inco incorp rpor oran an ac actu tual alme ment nte e ca capac pacid idade adess co como mo bloqueadores bloquead ores de ventana e emergen mergente. te.
○
Algunos bloqueadores evitan que sitios web maliciosos muestren ventanas que contienen spywares o softwares engañosos que puedan abusar de las debilidades del sistema sistema o el navegador o incluso, pued pueden en usar ingenie ingeniería ría social par para a engañar a los usuarios con el objetivo de que descarguen e instalen malware en sus sistemas.
28
CENTRO NACIONAL DE SEGURIDAD DIGITAL
29
Controles para usuarios finales ●
La Lass org organ aniz izac acio ione ness pr prove oveedo edoras ras de ser servi vici cios os deber de bería ían n rec recop opil ilar ar un una a li list sta a de her herram ramie ient ntas as recomendadas.
●
Ta Tamb mbié ién, n, se debe debe fome foment ntar ar su us uso o en entr tre e lo loss usuari usu arios os final finales, es, con una orien orientac tación ión sobr sobre e sus habilit habi litaci aciones ones y perm permisos isos con conced cedido idoss para los sit sitios ios web a lo loss que que lo loss us usua uari rios os de dese sear aríían acceder.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales
●
Habilitar Habili tar blo bloqu quead eadore oress de scr script ipt Hab abiilitar bloqu que ead ador ore es de script o una configuración de seguridad web más alta para asegurarse de que sólo se ejecuten aquellos scripts que provengan de fuentes confiables.
30
CENTRO NACIONAL DE SEGURIDAD DIGITAL
31
Controles para usuarios finales ●
Usar Us ar filt filtro ross de su supl plan anta taci ción ón de id iden enti tida dad d ○ Los navegadores web y barras de herramientas de nav navegad egador or comu comunes nes suele suelen n incor incorpora porarr esta capacidad. ○
El uso de filtros podría determinar si el sitio que está visitando el usuario se encuentra en una base de datos de ssitios itios we web b de suplan suplantación tación de identidad conocidos, o si contiene patrones de sc scri ript pt qu que e se sean an si simi mila lare ress a aque aquell llos os qu que e se consideren como típicos sitios de suplantación de identidad.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
32
Controles para usuarios finales
●
E Ell na nave vega gado dorr po podr dría ía prov provee eerr al aler erta tass pa para ra advertir a los usuarios del potencial riesgo.
●
Las
org organi anizac zacion iones es deber deberían ían est establ ablecer ecer una una
política para habilitar el uso de dicha herramienta.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales
●
Usar ot Usar otro ross elem elemen ento toss de segu seguri rida dad d di disp spon onib ible les, s, para pa ra lo loss na nave vega gado dore ress We Web b A medida que surgen nuevos riesgos de ciberseguridad, los proveedores de navegadores web agregan agregan nue nuevas vas cap capaci acidad dades es de segu segurid ridad ad para proteger proteger a los usuar usuarios ios en contr contra a de riesgos.
33
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales ●
Los usuarios finales se deberían mantener actu actualizad alizados os acerca de estos desarroll desarrollos, os, al aprender acerca de dichas actualizaciones que son provistas normalmente por los proveedores de herramientas.
●
Las organiz organizacione acioness y proveedore proveedoress de servicios servicios deberían rrevisar evisar d de e manera sim similar, ilar, estas est as nuev nuevas as capa capacid cidades ades y act actual ualiza izarr las polí polític ticas as y servici servicios os pertine pertinentes ntes par para a cumplir de mejor manera las necesidades de sus organizaciones y consumidores, así como abordar los riesgos relacionados a la ciberseguridad.
34
CENTRO NACIONAL DE SEGURIDAD DIGITAL
35
Controles para usuarios finales ●
Habi Ha bili lita tarr un fi fire rewa wall ll y un HI HIDS DS pe pers rson onal ales es.. firewalls y HIDS son herramientas ○ Los importantes controlar servicios de red que acceden para al sistema de unlos usuario. ○
Varios Vari os si sist stem emas as oper operat ativ ivos os nu nuev evos os ti tien enen en fire fi rewal walls ls y HIDS HIDS per person sonal ales es in inco corp rpor orado ados. s. Si bien bien esto estoss el elem emen ento toss es está tán n habi habili lita tado doss de mane nerra pred ede etermina nad da, los usuar ariios o apli ap lica caci cion ones es pu pued eden en in inha habi bili lita tarl rlos os,, lo qu que e conl co nlle leva va a ex expo posi sici cion ones es no de dese sead adas as de la seguridad de la red.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
36
Controles para usuarios finales
●
Las organizac organizaciones iones deberían adopta adoptarr una política sobre el uso uso de un fire firewall wall y un HIDS personal personales es y evaluar evaluar herra herramie mienta ntass o product productos os adecu adecuados ados para implementar su uso por defecto.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
37
Controles para usuarios finales ●
Los proveedore proveedoress de servic servicios ios deberían foment fomentar ar el uso de funciones de firewall y HIDS personales
●
Tambi También én pu pued eden en su suge geri rirr ot otro ross prod produc ucto toss de firewall y HIDS de terceros que han sido eval ev alua uado doss y co cons nsid ider erad ados os co como mo co conf nfia iabl bles es,, ad adem emás ás de educ ucar ar y ay ayud ar básica a lo loss usua us rios osdea habilitar unaed seguridad deudar red a uari nivel usuario final.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales
•
Habilitarr actu Habilita actualiz alizacio aciones nes auto automáti máticas cas Si bien los controles controles de seguri seguridad dad técn técnicos icos descrit descritos os anteriormente son capaces de lidiar con la mayoría de los softwares maliciosos en sus respectivos niveles operacionales, éstos no son muy efectivos en contra del ab abuso uso de vu vuln lner erabi abili lidad dades es qu que e exi exist sten en en los productos de sistemas operativos y aplicaciones.
38
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles para usuarios finales ●
Par Para a pre preven venir ir dic dichos hos abu abusos, sos, se debe deben n habi habilit litar ar las actualizaciones automáticas disponibles en los sistemas operati sistemas operativos, vos, así como aquell aquellas as provist provistas as por las aplicaciones.
●
Es Esto to
ase asegu gura rará rá que los sist sistem emas as se actu actual alic icen en
con últimos parches derrand seguridad cada que qu e los est estén én dis dispon ponib ible les, s, ce cerr ando o la br brec echa ha vez de tiempo para que se lleven a cabo los abusos.
39
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Centro Nacional de Seguridad Digital
3.4 Controles contra ataques de ingeniería social
40
CENTRO NACIONAL DE SEGURIDAD DIGITAL
41
Controles contra ataques de ingeniería social Los cibercriminales recurren cada vez más a tácticas psicológicas o de ingeniería social para tener éxito.
El uso de correos electrónicos que contienen URLs que dirige a los usuarios desprevenidos a sitios web de suplantación de identidad.
Correos electrónicos fraudulentos que piden a los usuarios dar su información de identificación personalao información relacionada propiedad intelectual corporativa.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social
42
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social
43
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social ●
La prolife proliferación ración de las red redes es sociales y los siti sitios os de co comu muni nida dad d prov provee een n nu nuev evas as fuen fuente tess qu que e habilitan aún más la realización de fraudes y estafas insólitas.
●
De manera creciente, dichos ataques también están trascendiendo la tecnología, aprov ovec ech hán ánd dos ose e del el uso de teléfo fono noss móv óvil iles es,, re rede dess inal inalám ámbr bric icas as (inc (inclu luye yend ndo o Bluetooth) y voz sobre IP (VolP).
44
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social ●
Est Esta a uni unidad dad prov provee ee un mar marco co de con contro troles les apli aplicab cable le para gesti gestionar onar y min minimi imizar zar los riesgos de ciberseguridad en relación a los ataques de ingeniería social.
●
La orientac orientación ión provist provista a se basa en la noción de que la única forma eficaz de mitig mitigar ar la amenaza de ingeniería social es través de la combinación de:
45
CENTRO NACIONAL DE SEGURIDAD DIGITAL
46
Controles contra ataques de ingeniería social Por lo tanto, el marco de trabajo abarca: Políticas
Métodos y procesos
Personas y organizaciones
Controles técnicos aplicables
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Políticas
●
Se deb ebe e de detterminar y documentar políticas básicas que gob obiiernen la creación, recopilación, almacenamiento, transmisión, intercambio, procesamiento y de información personal y uso ogeneral rganizacd ie onlaalinfor y mación de prpe oprsonal iedad intelectual en Internet y en el ciberespacio.
47
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Políticas
●
Particularmente, esto se relaciona con las aplica apl icacio ciones nes que norm normalm alment ente e est están án más all allá á del alcance de la red empresarial y la seguridad de la información.
●
Por ejemplo, la mensajer mensajería ía instantán instantánea, ea, el blogging, el intercambio de archivos P2P y las redes sociales.
48
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Políticas
●
Desarro Desarrollar llar y public publicar ar polít políticas icas administr administrativa ativass que pr prom omue uevan van la co conc ncien ienci cia a y ent enten endi dimi mient ento o de lo loss riesgos de ciberseguridad.
●
Fomentar el aprendizaje y desarrollo de competencias en contra de ataques de cibe ciberse rsegu guri ridad dad,, pa part rtic icul ularm arment ente, e, de at ataqu aques es de ingeniería ingen iería social. Esto debería inclu incluir ir requisi requisitos tos para la asi asist sten enci cia a co cons nstan tante te a ses sesion iones es infor informa mati tiva vass y capacitaciones.
49
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Políticas
●
Al pro promov mover er pol políti íticas cas y una con concie cienci ncia a adec adecuada uadass sobre los riesgos de ingeniería social, el personal ya no pueden declarar desconocimiento frente a dichos riesgos y requisitos.
●
El per person sonal al de debe be dec decla larar rar ent entend endim imie ient nto o de la lass buenas prácti prácticas cas y polít políticas icas esper esperadas adas de las red redes es sociales externas y otras aplicaciones del ciberespacio, por ejemplo, el acuerdo de política de seguridad del proveedor de servicios.
50
CENTRO NACIONAL DE SEGURIDAD DIGITAL
51
Controles contra ataques de ingeniería social Métodos y procesos
Catego Cat egoriz rizaci ación ón y cl clasi asific ficaci ación ón de la inf inform ormaci ación ón ●
Se deben implementar procesos para categorización y clasificación de información.
la
●
Con ello, se apoyan las políti políticas cas para promov promover er una conciencia y protección de la información cor orp porat atiiva clas asiifi ficcada y sen sensi sib ble pe perrson onal al,, incluyendo las propiedades intelectuales.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Métodos y procesos
●
Par ara a cada categorí oría y clasifi ficcación de la información involucradas, se deben desarrollar y documentar controles de seguridad específicos para la protección contra la exposición accidental y el acceso no autorizado intencional.
52
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Métodos y procesos
Conci Con cienc encia ia y for formac mación ión ●
La conciencia y formación de seguridad, incluyendo la actualización constante de cono co noci cimi mient entos os y apr apren endi diza zaje jess per perti tine nent ntes, es, son elementos element os important importantes contrarrestar rrestar ata ataques ques de ingeniería social. es para contra
53
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Métodos y procesos
●
Como parte del prog programa rama de ciberseg ciberseguridad uridad de una organi org anizac zación ión,, al per persona sonall y subc subcont ontrat ratist istas as se les debería requerir que cursen un mínimo de horas de formación para asegurar que estén conscientes de sus roles y responsabilidades en el Ciberespacio.
●
Además de los controles técnicos que éstos deberían implementar como individuos al usar el Ciberespacio.
54
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Métodos y procesos
●
Las or orga gani nizac zacio iones nes que pr prov oveen een apl aplic icac acio iones nes y se serv rvic icio ioss on onli line ne en el ci cibe bere resp spac acio io de debe berí rían an proveer mater ateriial edu duccat atiivo que cubra los contenidos anteriores dentro del contexto de sus aplicacion one es o ser servicios os,, pa parra prom omo over la conciencia entre los suscriptores o consumidores.
55
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Métodos y procesos
Pruebas El personal debería firmar un acuerdo, en el que aceptan y entienden los contenidos de la política de seguridad de la organización.
56
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Métodos y procesos
●
Como parte del proceso para mejorar la conciencia y asegura aseg urarr que se prest preste e atenc atención ión a los riesg riesgos, os, una or orga gani niza zaci ción ón deb deber ería ía co consi nsider derar ar la eje ejecu cuci ción ón de pr prue ueba bass pe peri riód ódic icas as pa para ra de dete term rmin inar ar el ni nive vell de con oncciencia y confo forrmidad con las polí olíticas y prácticas pertinentes.
57
CENTRO NACIONAL DE SEGURIDAD DIGITAL
58
Controles contra ataques de ingeniería social Métodos y procesos
●
●
El personal de una organización puede contestar una prueba escrit esc rita a para para determ determina inarr si entien ent ienden den los conten contenid idos os de las políticas de seguridad de la organización. Al conducir conducir dichas dichas pruebas, pruebas, es imp import ortan ante te asegur asegurars arse e de que:
El contenido de prueba esté dentro del control y comando del equipo de
Se presenten todos los resultados en un formato global, protegiendo la
prueba.
privacidad de un individuo.
Se involucren a profesionales que tienen experiencia previa en la conducción de dichas pruebas.
Los usuarios estén preparados para las pruebas por medio de programas programas de conciencia y formación.
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Personas y organizaciones
●
Si bi bien en los indiv individuos iduos sson on los primer primeros os blanco blancoss de los ataqu que es de ingeniería soc ociial, al, una organización organi zación tambi también én puede ser u una na potenc potencial ial víctima.
●
Si Sin n em emba barg rgo, o, las pe pers rson onas as sigu siguen en sie siend ndo o el punto de entrada principal para los ataques de ingeniería social.
59
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Personas y organizaciones
●
Como tal, las personas necesitan estar con onsc scie ient ntes es de los los ries riesgo goss rela relaci cion onad ados os al ciberespacio.
●
Las organizac organizaciones iones deberían establece establecerr políticas pertinen enttes y dar pa passos pro proac acttivos para patrocinar programas para asegurar la conciencia y competencia de las personas.
60
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Personas y organizaciones
●
Las Las or orga gani niza zaci cion ones es (i (inc nclu luye yend ndo o em empr pres esas as,, proveedores de servicios y gobiernos) deberían motivar a los consumidores en el ciberespacio a aprende apr enderr y ent entend ender er los ries riesgos gos de ing ingeni eniería ería soc ociial y los paso soss que deb ebe erían da darr par ara a protegerse a sí mismos contra ataques potenciales.
61
CENTRO NACIONAL DE SEGURIDAD DIGITAL
62
Controles contra ataques de ingeniería social Controles técnicos aplicables
●
Además de establecer polít políticas icas y práctica prácticass en cont co ntra ra de at ataq aque uess de inge ingeni nier ería ía so soci cial al,, se deberían considerar también controles técnicos y, adop adoptar tarlos los para min minimi imizar zar la expo exposici sición ón y potencial de malhechores.
abuso
por
parte
de ciber-
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Controles técnicos aplicables
Se debe deberían rían con consid siderar erar los sig siguie uiente ntess cont control roles es téc técnic nicos, os, úti útiles les en cont contra ra de ataq ataques ues específicos de ingeniería social:
●
Cuando hay información personal o corporativa involucrada en aplicaciones online, se debe considerarsensible la provisión de soluciones de autenticación sólidas, ya sea como parte de la autenticación de acceso o cuando se ejecuten transacciones críticas.
63
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Controles técnicos aplicables
●
Una só sólid lida a aute autenti nticac cación ión se re refier fiere e al uso de dos o más fa facctor ores es ad adiiciona nalles de verifi ficcación de identidad, más allá del uso del usuario y contraseña.
●
El segundo factor y los factores adicio adicionales nales p pueden ueden ser ser pro provi vist stos os ut util iliz izand ando o una ta tarj rjet eta a inte inteli lige gent nte, e, tokens biométricos u otros tokens de seguridad de mano.
64
CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Controles técnicos aplicables
●
Para los servicios basados en web, las or orga gani niza zaci cion ones es de debe berí rían an con onsi side dera rarr us usar ar un certificado digital de alta seguridad para proporcionar una seguridad adicional a los usuarios online.
●
Muchas auto autoridades ridades come comercial rciales es y navegadores de Interne Int ernett son capa capaces ces de sopor soportar tar el uso de dich dichos os certificados, lo que reduce la amenaza de ataques
65
de suplantación de identidad. CENTRO NACIONAL DE SEGURIDAD DIGITAL
Controles contra ataques de ingeniería social Controles técnicos aplicables
●
Par Para a asegur asegurar ar la segur segurida idad d de las com comput putador adoras as de los usuari usuarios os que se conec conectan tan al sitio o aplicación de la organización, o del proveedor de servicios en el ciberespacio, se deberían considerar controles adicionales para asegurar un nivel mínimo de seguridad, tales como la instalación de las últimas actualizaciones.
●
El uso de dich dichos os cont contro role less se debe deberí ría a pu publ blic icar ar en el Acue Acuerd rdo o de Serv Servic icio ioss de los usuarios finales y en la Política de seguridad y privacidad del sitio, según proceda.
66
CENTRO NACIONAL DE SEGURIDAD DIGITAL
¡Mucha chass gra gracia cias! s! ¡Mu
67
CENTRO NACIONAL DE SEGURIDAD DIGITAL
68
View more...
Comments
