RESUMEN CAPITULO 8 CIBERSEGURIDAD

UNIENDOSE AL ORDEN DE LOS HEROES CIBERNETICOS

El avance de la tecnología produjo varios dispositivos que se usan en la sociedad diariamente para
interconectar el mundo. Esta creciente conectividad, sin embargo, produce mayor riesgo de robo, fraude y
abuso en la infraestructura tecnológica. Este capítulo categoriza la infraestructura de la tecnología de la
información en siete dominios. Cada dominio requiere controles de seguridad adecuados para cumplir los
requisitos de la tríada CIA.

El capítulo analiza las leyes que afectan los requisitos de la ciberseguridad y la tecnología. Muchas de estas
leyes se centran en los diferentes tipos de datos que se encuentran en diversos sectores y contienen los
conceptos de privacidad y seguridad informática. Varias agencias dentro del gobierno estadounidense regulan
el cumplimiento de estos tipos de leyes por parte de una organización. Los especialistas en ciberseguridad
deben comprender cómo las leyes y los intereses de la organización ayudan a guiar las decisiones éticas. La
ética cibernética analiza el efecto del uso de computadoras y tecnologías en las personas y la sociedad.

Las organizaciones emplean a especialistas en ciberseguridad en varios puestos diferentes, como

analizadores de penetración, expertos en seguridad y otros profesionales de seguridad de la red. Los
especialistas en ciberseguridad ayudan a proteger los datos personales y la capacidad de utilizar los servicios
basados en la red. El capítulo analiza el camino para convertirse en un especialista en ciberseguridad. Por
último, este capítulo analiza varias herramientas disponibles para los especialistas en ciberseguridad.

VULNERABILIDADES Y AMENAZAS COMUNES A LOS USUARIOS

l dominio de usuario incluye a los usuarios que acceden al sistema de información de la organización. Los
usuarios pueden ser empleados, clientes, contratistas empresariales y otros individuos que deben acceder a
los datos. Los usuarios generalmente son el eslabón más débil en los sistemas de seguridad informática y
representan una amenaza importante para la confidencialidad, la integridad y la disponibilidad de los datos de
la organización.

A menudo, las prácticas de usuario riesgosas o deficientes socavan incluso hasta el mejor sistema de
seguridad. Las siguientes son amenazas comunes a los usuarios presentes en muchas organizaciones:

 Ningún reconocimiento de la seguridad: Los usuarios deben conocer los datos confidenciales, las
políticas y los procedimientos de seguridad, las tecnologías y las contramedidas proporcionados para
proteger la información y los sistemas de información.

 Políticas de seguridad mal aplicadas: Todos los usuarios deben conocer las políticas de seguridad y
las consecuencias del cumplimiento de las políticas de la organización.

 Robo de datos: El robo de datos por parte de los usuarios tiene un costo financiero para las
organizaciones; Esto genera daños en la reputación de las organizaciones o supone una
responsabilidad legal asociada a la divulgación de información confidencial.

 Descargas no autorizadas: Muchas infecciones y ataques a redes y estaciones de trabajo se

remontan a los usuarios que descargan correos electrónicos, fotos, música, juegos, aplicaciones,
programas y videos no autorizados en las estaciones de trabajo, las redes o los dispositivos de
almacenamiento.

 Medios no autorizados: El uso de medios no autorizados como CD, unidades USB y dispositivos de
almacenamiento en red pueden provocar infecciones y ataques de malware.

 VPN no autorizadas: Las VPN pueden ocultar el robo de información no autorizada. La encriptación
que normalmente se usa para proteger la confidencialidad no permite que el personal de seguridad de
TI vea la transmisión de datos sin la debida autorización.
  Sitios web no autorizados: El acceso a sitios web no autorizados puede representar un riesgo para
los datos del usuario, los dispositivos y la organización. Muchos sitios web solicitan a los visitantes que
descarguen scripts o complementos que contienen código malicioso o adware. Algunos de estos sitios
pueden apoderarse de dispositivos, como cámaras, y aplicaciones.

 Destrucción de sistemas, aplicaciones o datos: La destrucción accidental o deliberada; O el sabotaje

de sistemas, aplicaciones y datos supone un gran riesgo para todas las organizaciones. Los activistas,
los empleados descontentos y los competidores del sector pueden eliminar datos, destruir dispositivos o
configurar mal los dispositivos para que no pueda disponerse de los datos y los sistemas de
información.

Ninguna solución, control o contramedida técnica hace que los sistemas de información sean más seguros
que los comportamientos y los procesos de las personas que los usan.

AMENAZAS COMUNES A LOS DISPOSITOS

Un dispositivo es cualquier computadora de escritorio, PC portátil, tablet o smartphone que se conecta a la
red.

Las siguientes son amenazas a los dispositivos:

 Estaciones de trabajo desatendidas: Las estaciones de trabajo que se dejan encendidas y

desatendidas representan un riesgo de acceso no autorizado a los recursos de la red.

 Descargas del usuario: Los archivos, las fotos, la música o los videos descargados pueden ser un
vehículo para el código malicioso.

 Software sin parches: las vulnerabilidades en la seguridad del software ofrecen debilidades que los
cibercriminales pueden aprovechar.

 Malware: Nuevos virus, gusanos y otros códigos maliciosos salen a luz diariamente.

 Medios no autorizados: Los usuarios que insertan unidades USB, CD o DVD pueden introducir
malware o correr el riesgo de comprometer los datos almacenados en la estación de trabajo.

 Violación de la política de uso aceptable: Las políticas existen para proteger la infraestructura de TI
de la organización.

MANEJO DE LAS AMEZAS A LOS DISPOSITIVOS

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a los dispositivos:
  Establecer políticas para los umbrales de bloqueo y protección de contraseñas en todos los
dispositivos.

 Habilitar el bloqueo de la pantalla durante las horas de inactividad.

 Desactivar los derechos administrativos de los usuarios.

 Definir pautas, procedimientos, estándares y políticas de control de acceso.

 Actualizar y corregir todos los sistemas operativos y las aplicaciones de software.

 Implementar soluciones de antivirus automatizadas que exploren el sistema y actualizar el software

antivirus para proporcionar la protección adecuada.

 Desactivar todos los puertos USB, CD y DVD.

 Habilitar los análisis de antivirus automáticos para cualquier CD, DVD o unidad USB insertados.

 Usar el filtrado de contenido.

 Realizar capacitaciones de reconocimiento de seguridad anuales obligatorias o implementar

campañas y programas de concienciación sobre seguridad que se ejecuten durante todo el año.

La tabla que se muestra en la figura une las amenazas al dominio de dispositivo con las contramedidas
utilizadas para manejarlas.

AMENZAS COMUNES A LA LAN

La red de área local (LAN) es un conjunto de dispositivos interconectados mediante cables u ondas de radio.
El dominio de LAN requiere sólidos controles de acceso y seguridad, dado que los usuarios pueden acceder a
los sistemas, las aplicaciones y los datos del dominio de LAN de la organización.

Las siguientes son amenazas a la LAN:

 Acceso a la LAN no autorizado: Los armarios de cableado, los centros de datos y las salas de
computación deben permanecer seguras.

 Acceso no autorizado a sistemas, aplicaciones y datos.

 Vulnerabilidades de software del sistema operativo de la red.

 Actualizaciones del sistema operativo de la red.

 Acceso no autorizado de usuarios dudosos a las redes inalámbricas.

  Ataques a datos en tránsito.

 Servidores de LAN con diferentes sistemas operativos o hardware: Administrar y solucionar

problemas de los servidores se torna cada vez más difícil con las variadas configuraciones.

 Escaneo de puertos y sondeo de redes no autorizados.

 Firewall mal configurado.

MANEJO DE LAS AMANEZAS A LA LAN

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a la red de área local:

 Proteger los armarios de cableado, los centros de datos y las salas informáticas. Denegar el acceso
a cualquier persona sin las credenciales adecuadas.

 Definir pautas, procedimientos, estándares y políticas de control de acceso estrictos.

 Restringir los privilegios de acceso a determinadas carpetas y archivos en función de la necesidad.

 Requerir contraseñas o la autenticación para las redes inalámbricas.

 Implementar la encriptación entre los dispositivos y las redes inalámbricas para mantener la
confidencialidad.

 Implementar estándares de configuración del servidor de la LAN.

 Realizar pruebas de penetración posterior a la configuración.

 Deshabilitar el ping y escaneo de puertos.

La tabla que se muestra en la figura une las amenazas al dominio de LAN con las contramedidas utilizadas
para manejarlas.

AMANEZAS COMUNES A LA NUBE PRIVADA

El dominio de nube privada incluye servidores, recursos e infraestructura de TI privados disponibles para los
miembros de la organización a través de Internet.

Las siguientes son amenazas a la nube privada:

  Escaneo de puertos y sondeo de redes no autorizados.

 Acceso no autorizado a los recursos.

 Vulnerabilidades de software del sistema operativo del dispositivo de red, firewall o router.

 Error de configuración del dispositivo de red, firewall o router.

 Usuarios remotos que acceden a la infraestructura de la organización y descargan datos

confidenciales.

MANEJO DE LAS AMANEZAS A LA NUBE PRIVADA

Las organizaciones pueden implementar diversas medidas para manejar las amenazas a la nube privada:

 Desactivar el ping, el sondeo y el escaneo de puertos.

 Implementar sistemas de prevención y detección de intrusiones.

 Supervisar las anomalías del tráfico IP entrante.

 Actualizar los dispositivos con parches y correcciones de seguridad.

 Realizar pruebas de penetración posteriores a la configuración.

 Probar el tráfico entrante y saliente.

 Implementar un estándar de clasificación de datos.

 Implementar el escaneo y la supervisión de la transferencia de archivos para los tipos de archivos

desconocidos.

La tabla que se muestra en la figura une las amenazas al dominio de nube privada con las contramedidas
utilizadas para manejarlas.

AMENZAS COMUNES A LA NUBE PÚBLICA

El dominio de nube pública incluye los servicios alojados por un proveedor de la nube, un proveedor de
servicios o un proveedor de Internet. Los proveedores de la nube implementan controles de seguridad para
proteger el entorno de la nube, pero las organizaciones son responsables de proteger sus recursos en la
nube. Existen tres modelos de servicios diferentes entre los que una organización puede elegir:

 Software como servicio (SaaS): un modelo por suscripción que brinda acceso al software alojado de
manera centralizada al que los usuarios acceden mediante un navegador web.

 Plataforma como servicio (PaaS): proporciona una plataforma que permite que una organización
desarrolle, ejecute y administre sus aplicaciones en el hardware del servicio con herramientas provistas
por el servicio.

 Infraestructura como servicio (IaaS): proporciona recursos de computación virtualizados, como

hardware, software, servidores, almacenamiento y otros componentes de infraestructura en Internet.

Las siguientes son amenazas a la nube pública:

 Violaciones de datos.

 Pérdida o robo de propiedad intelectual.

 Credenciales comprometidas.

 Los repositorios de identidad federados son un objetivo de gran valor.

 Secuestro de una cuenta.

 Falta de comprensión por parte de la organización.

 Ataques de ingeniería social que atraen a la víctima.

 Violación del cumplimiento.

MANEJO DE LAS AMENZAS A LA NUBE PÚBLICA

Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones
físicas:

 Autenticación de varios factores.

 Uso de la encriptación.

 Implementación de contraseñas de un solo uso, autenticación telefónica y tarjetas inteligentes.

 Aplicaciones y datos de distribución a través de varias zonas.

 Procedimientos de copia de respaldo de datos.

 Diligencia debida.

 Programas de concientización de seguridad.

 Políticas.
La tabla que se muestra en la figura una las amenazas al dominio de nube pública con las contramedidas
utilizadas para manejarlas.

AMENZAS COMUNES A LAS INSTALACIONES FISICAS

El dominio de instalaciones físicas incluye todos los servicios utilizados por una organización, entre ellos, la
HVAC, el agua y la detección de incendios. Este dominio además incluye medidas de seguridad física
empleadas para proteger la instalación.

Las siguientes son amenazas a las instalaciones de la organización:

 Amenazas naturales, incluidos problemas meteorológicos y riesgos geológicos.

 Acceso no autorizado a las instalaciones.

 Interrupciones eléctricas.

 Ingeniería social para conocer los procedimientos de seguridad y las políticas de la oficina.

 Violación de las defensas del perímetro electrónico.

 Robo.

 Pasillos abiertos que permiten que un visitante camine directamente hacia las instalaciones internas.

 Centros de datos desbloqueados.

 Falta de vigilancia.

MANEJO DE LAS AMENZAS A LAS INSTALACIONES FISICAS

Las organizaciones pueden implementar varias medidas para manejar las amenazas a las instalaciones
físicas:

 Implementar el control de acceso y la cobertura de circuito de TV cerrado (CCTV) en todas las

entradas.

 Establecer políticas y procedimientos para los invitados que visitan la instalación.

 Probar la seguridad en edificios a través de medios cibernéticos y físicos para obtener acceso
encubierto.
  Implementar la encriptación de tarjetas de identificación para el acceso a las entradas.

 Desarrollar un plan de recuperación tras un desastre.

 Desarrollar un plan de continuidad empresarial.

 Realizar capacitaciones de concientización en seguridad periódicamente.

 Implementar un sistema de etiquetado de activos.

La tabla que se muestra en la figura une las amenazas al dominio de instalaciones físicas con las
contramedidas utilizadas para manejarlas.

MANEJO DE LAS AMENAZAS A LAS APLICAIONES

Las organizaciones pueden implementar diversas medidas para manejar las amenazas al dominio de
aplicación:

 Implementar políticas, estándares y procedimientos para que el personal y los visitantes se aseguren
de que las instalaciones están seguras.

 Realizar pruebas de software antes del lanzamiento.

 Implementar estándares de clasificación de datos.

 Desarrollar una política para abordar las actualizaciones del sistema operativo y el software de
aplicaciones.

 Implementar procedimientos de copia de respaldo.

 Desarrollar un plan de continuidad empresarial para que las aplicaciones críticas mantengan la
disponibilidad de las operaciones.

 Desarrollar un plan de recuperación tras un desastre para las aplicaciones y los datos críticos.

 Implementar inicios de sesión.

La tabla que se muestra en la figura une las amenazas al dominio de aplicación con las contramedidas
utilizadas para manejarlas.
ETICA DE LOS ESPECIALISTAS EN CIBERSEGURIDAD
La ética es la pequeña voz en segundo plano que orienta a los especialistas en ciberseguridad sobre qué
deben hacer, independientemente de si es legal. La organización encomienda a los especialistas en
ciberseguridad los recursos y los datos más confidenciales. Los especialistas en ciberseguridad deben
comprender cómo las leyes y los intereses de la organización ayudan a guiar las decisiones éticas.

Los ciberdelincuentes que ingresan en un sistema, roban números de tarjetas de crédito y liberan un gusano
realizan acciones poco éticas. ¿Cómo distingue una organización las acciones de un especialista en
ciberseguridad si son similares? Por ejemplo, un especialista en ciberseguridad puede detener la propagación
de un gusano de forma preventiva con un parche. De hecho, el especialista en ciberseguridad lanza un
gusano. Sin embargo, el gusano no es malicioso. ¿Se aprueban sus acciones en este caso?

Los siguientes sistemas éticos ven la ética desde varias perspectivas.

Ética de los servicios públicos

Durante el siglo XIX, Jeremy Benthan y John Stuart Mill desarrollaron la ética de los servicios públicos. El
principio rector es que cualquier acción en la que el bien supere al mal es una opción ética.

Enfoque de los derechos

El principio rector del enfoque de los derechos es que las personas tienen el derecho de tomar sus propias
decisiones. Esta perspectiva observa cómo una acción afecta los derechos de otras personas para evaluar si
una acción es correcta o incorrecta. Estos derechos incluyen el derecho a la verdad, la privacidad y la
seguridad; la sociedad debe aplicar las leyes equitativamente para todos sus miembros.

Enfoque del bien común

El enfoque del bien común propone que el bien común es lo que beneficia a la comunidad. En este caso, un
especialista en ciberseguridad observa cómo una acción afecta el bien común de la sociedad o la comunidad.

Ninguna respuesta inequívoca proporciona soluciones obvias para los problemas éticos a los que se
enfrentan los especialistas en ciberseguridad. La respuesta sobre qué es correcto o incorrecto puede cambiar
según la situación y la perspectiva ética.

INSTITUTO DE ETICA INFORMACION

El Instituto de Ética Informática es un recurso que identifica, evalúa y responde a problemas éticos en el
sector de la tecnología de la información. El CEI (por sus siglas en inglés) fue una de las primeras
organizaciones en reconocer los problemas de políticas públicas y éticas que surgían del rápido crecimiento
del campo de la tecnología de la información. La figura enumera los diez mandamientos de la ética informática
creados por el Instituto de Ética Informática.
DELITO CIBERNETICO
Las leyes prohíben los comportamientos no deseados. Desafortunadamente, los avances de las tecnologías
del sistema de información son mayores que los avances del sistema legal de avenencia y legislación. Cierta
cantidad de leyes y regulaciones afecta el ciberespacio. Varias leyes específicas rigen las políticas y los
procedimientos desarrollados por una organización para garantizar su cumplimiento.

Delito cibernético

Una computadora puede verse involucrada en un delito cibernético de diferentes maneras. Puede ser un
delito asistido por computadora, un delito dirigido a una computadora o un delito informático incidental. La
pornografía infantil es un ejemplo de delito informático incidental; La computadora es un dispositivo de
almacenamiento y no es la herramienta real utilizada para cometer el delito.

El crecimiento del delito cibernético se debe a varios motivos. Hoy en día existen muchas herramientas
ampliamente disponibles en Internet y los posibles usuarios no necesitan mucha experiencia para usarlas.

Organizaciones creadas para luchar contra el delito cibernético

Hay una cantidad de agencias y organizaciones que ayudan a combatir el delito cibernético. Haga clic en cada
uno de los enlaces en la figura para visitar los sitios web de estas organizaciones que ayudan a mantenerse al
día con los problemas importantes.

CIBERLEYES REGULATORIAS CIIVILES Y PENALES

En los Estados Unidos hay tres fuentes primarias de leyes y regulaciones: leyes estatutarias, leyes
administrativas y leyes comunes. Las tres fuentes involucran la seguridad informática. El Congreso de los
Estados Unidos estableció agencias administrativas federales y un marco de trabajo regulatorio que incluye
sanciones civiles y penales para quienes incumplen las reglas.

Los derechos penales aplican un código moral comúnmente aceptado respaldado por la autoridad
gubernamental. Las regulaciones establecen reglas diseñadas para abordar las consecuencias en una
sociedad en constante cambio que aplica sanciones por infringir dichas reglas. Por ejemplo, la Ley de Abuso y
Fraude Informático es una ley estatutaria. Administrativamente, la FCC y la Comisión Federal de Comercio se
ocupan de problemas tales como el fraude y el robo de la propiedad intelectual. Por último, los casos de leyes
comunes resuelven sus problemas a través del sistema judicial que ofrece precedentes y bases
constitucionales para las leyes.

Ley Federal de Administración de Seguridad de la Información (FISMA)

El Congreso elaboró la FISMA en 2002 para cambiar el enfoque del gobierno estadounidense respecto de la
seguridad informática. Como los mayores creadores y usuarios de información, los sistemas de TI federales
son objetivos de alto valor para los ciberdelincuentes. La FISMA se aplica a los sistemas de TI de las agencias
federales y estipula que las agencias deben crear un programa de seguridad de la información que incluya lo
siguiente:

 Evaluación de riesgos
  Inventario anual de los sistemas de TI

 Políticas y procedimientos para reducir el riesgo

 Capacitaciones de concientización en seguridad

 Prueba y evaluación de todos los controles del sistema de TI

 Procedimiento de respuesta ante los incidentes

 Continuidad del plan de operaciones

LEYES ESPECÍFICAS DEL SECTOR

Muchas leyes específicas del sector tienen un componente de privacidad o seguridad. El gobierno
estadounidense requiere el cumplimiento de las organizaciones de estos sectores. Los especialistas en
ciberseguridad deben ser capaces de traducir los requisitos legales en prácticas y políticas de seguridad.

Ley Gramm-Leach-Bliley (GLBA)

La Ley Gramm-Leach-Bliley es una ley que afecta principalmente el sector financiero. Parte de dicha ley, sin
embargo, incluye disposiciones de privacidad para los individuos. La disposición permite métodos de
exclusión voluntaria para que los individuos puedan controlar el uso de la información provista en una
transacción comercial con una organización que forma parte de la institución financiera. La GLBA restringe el
intercambio de información con firmas externas.

Ley Sarbanes-Oxley (SOX)

Después de varios escándalos contables corporativos de alto perfil en los Estados Unidos, el congreso aprobó
la Ley Sarbanes-Oxley (SOX). El propósito de la SOX era revisar los estándares contables corporativos y
financieros, específicamente los estándares de las firmas públicas comercializadas estadounidenses.

Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)

El sector privado también reconoce la importancia de los estándares uniformes y ejecutables. Un Consejo de
Estándares de Seguridad integrado por las principales corporaciones en el sector de las tarjetas de pago
diseñó una iniciativa del sector privado para mejorar la confidencialidad de las comunicaciones de red.

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de reglas
contractuales que rige cómo proteger los datos de las tarjetas de crédito cuando los bancos y los
comerciantes intercambian transacciones. El PCI DSS es (en teoría) un estándar voluntario y los
comerciantes/proveedores pueden elegir si desean cumplirlo. Sin embargo, el incumplimiento de los
proveedores puede provocar tasas de transacción significativamente mayores, multas de hasta USD 500 000
e incluso la pérdida de la capacidad para procesar tarjetas de crédito.

Restricciones a la importación/exportación de encriptación

Desde la Segunda Guerra Mundial, Estados Unidos ha regulado la exportación de la criptografía debido a
consideraciones de seguridad nacional. La Oficina de Industria y Seguridad del Departamento de Comercio
ahora controla las exportaciones criptográficas no militares. Aún hay restricciones de exportación para los
estados agresores y las organizaciones terroristas.

Los países pueden decidir si desean restringir la importación de las tecnologías criptográficas por los
siguientes motivos:

 La tecnología puede contener una puerta trasera o una vulnerabilidad en la seguridad.

  Los ciudadanos pueden comunicarse anónimamente y evitar el monitoreo.

 La criptografía puede aumentar los niveles de privacidad a un nivel aceptable.

LEYES DE NOTIFICACION DE INFRACCIONES A LA SEGURIDAD

Las empresas recopilan cantidades cada vez mayores de información personal sobre sus clientes, desde
contraseñas de cuentas y direcciones de correo electrónico hasta información médica y financiera altamente
confidencial. Las empresas grandes y pequeñas reconocen el valor del análisis de datos masivos y datos.
Esto fomenta a las organizaciones a recopilar y almacenar información. Los ciberdelincuentes buscan
constantemente nuevas maneras de obtener dicha información o de acceder y atacar los datos más
confidenciales de una empresa. Las organizaciones que recopilan datos confidenciales deben ser buenos
guardianes de datos. En respuesta a este crecimiento en la recopilación de datos, varias leyes requieren que
las organizaciones que recopilan datos de información personal notifiquen a las personas si se produce una
violación de sus datos personales. Para ver una lista de estas leyes, haga clic aquí.

Ley de Privacidad de Comunicaciones Electrónicas (ECPA)

La Ley de Privacidad de Comunicaciones Electrónicas (ECPA) aborda una infinidad de cuestiones legales de
privacidad que surgen del uso cada vez mayor de computadoras y otras tecnologías específicas para las
telecomunicaciones. Las secciones de esta ley abordan el correo electrónico, las comunicaciones celulares, la
privacidad del lugar de trabajo y el host, entre otros problemas relacionados con la comunicación electrónica.

Ley de Abuso y Fraude Informático (1986)

La Ley de Abuso y Fraude Informático (CFAA) ha estado en vigencia por más de 20 años. La CFAA
proporciona la base para las leyes estadounidenses que penalizan el acceso no autorizado a los sistemas
informáticos. La CFAA considera un delito acceder intencionadamente y sin permiso a una computadora del
gobierno o una computadora utilizada en el mercado interestatal. La CFAA también penaliza el uso de una
computadora en un delito de naturaleza interestatal.

La ley penaliza el tráfico de contraseñas o información de acceso similar y la transmisión intencionada de un

programa, un código o un comando que da como resultado un daño.

PROTECCION DE LA PRIVACIDAD
Las siguientes leyes estadounidenses protegen la privacidad.

Ley de Privacidad de 1974

Esta ley establece un Código de práctica de información justa que rige la recopilación, el mantenimiento, el
uso y la transmisión de la información de identificación personal de los individuos conservada en sistemas de
registro por las agencias federales.

Ley de Libertad de Información (FOIA)

La FOIA permite el acceso público a los registros del gobierno estadounidense. La FOIA lleva aparejada la
presunción de divulgación, por lo que la carga recae en el gobierno acerca de por qué no puede hacer pública
la información.

Hay nueve exenciones de divulgación relacionadas con la FOIA:

 Información de políticas externas y seguridad nacional.

 Prácticas y reglas para el personal interno de una agencia.

 Información específicamente exenta por estatuto.

  Información empresarial confidencial.

 Comunicación interinstitucional o intrainstitucional sujeta a procesos deliberativos, litigaciones y otros

privilegios.

 Información que, si se divulga, constituirá una clara invasión infundada a la privacidad personal.

 Registros de aplicación de las leyes que implican uno de varios problemas enumerados.

 Información de agencias de instituciones financieras.

 Información geológica y geofísica relacionada con los pozos.

Ley de Privacidad y Registros de Educación Familiar (FERPA)

Esta ley federal concedió acceso a los estudiantes a los registros educativos. La FERPA es opcional, dado
que el estudiante debe aprobar la divulgación de la información antes de que suceda. Cuando un alumno
cumple 18 años o ingresa en una institución postsecundaria a cualquier edad, los derechos de la FERPA
pasan de los padres del estudiante al estudiante.

Ley de Abuso y Fraude Informático (CFAA) de los Estados Unidos

Esta ley federal se aplica a la recopilación en línea de información personal por parte de personas o entidades
bajo la jurisdicción estadounidense para niños menores de 13 años. Antes de recopilar y utilizar la información
de niños (de 13 años o menos), se debe obtener el permiso de los padres.

Ley de Protección de la Privacidad Infantil en Línea (COPPA) de los Estados Unidos

Esta ley federal se aplica a la recopilación en línea de información personal por parte de personas o entidades
bajo la jurisdicción estadounidense para niños menores de 13 años. Antes de recopilar y utilizar la información
de niños (de 13 años o menos), se debe obtener el permiso de los padres.

Ley de Protección Infantil en Internet (CIPA) de los Estados Unidos

El Congreso de los Estados Unidos aprobó la CIPA en el año 2000 para proteger a los niños menores de
17 años de la exposición a contenidos ofensivos y material obsceno de Internet.

Ley de Protección de Privacidad de Videos (VPPA)

La Ley de Protección de Privacidad de Videos protege a las personas que rentan cintas de video, DVD y
juegos de la divulgación a terceros. El estatuto ofrece protección de forma predeterminada, por lo que
requiere que las empresas de renta de videos obtengan el consentimiento del arrendatario para optar por la
exclusión de las protecciones si desean divulgar información personal sobre las rentas. Muchos abogados de
privacidad consideran que la VPPA es la ley de privacidad más fuerte de los EE. UU.

Ley de Portabilidad y Responsabilidad del Seguro Médico

Los estándares exigen protecciones de seguridad para el almacenamiento físico, el mantenimiento, la

transmisión y el acceso de la información médica de las personas. La HIPAA exige que las organizaciones
que utilizan firmas electrónicas cumplan los estándares y garanticen la integridad de la información, la
autenticación del firmante y el no repudio.

Ley del Senado de California de 1386 (SB 1386)

California fue el primer estado en aprobar una ley relacionada con la notificación de la divulgación no
autorizada de información de identificación personal. Desde entonces, muchos otros estados han seguido el
ejemplo. Cada una de estas leyes de notificación de la divulgación es diferente, lo que plantea el caso de un
estatuto federal unificado convincente. Esta ley requiere que las agencias notifiquen a los consumidores sus
derechos y responsabilidades. Exige que el estado notifique a los ciudadanos cuando se pierde o divulga la
PII. Desde que se aprobó la SB 1386, muchos otros estados han modelado su legislación sobre este proyecto
de ley.

Políticas de privacidad

Las políticas son la mejor manera de garantizar el cumplimiento en una organización; Una política de
privacidad desempeña un rol importante dentro de una organización, especialmente con la cantidad de leyes
decretadas para proteger la privacidad. Uno de los resultados directos de los estatutos legales asociados a la
privacidad ha sido el desarrollo de la necesidad de políticas de privacidad corporativas relacionadas con la
recopilación de datos.

Evaluación del impacto en la privacidad (PIA)

La evaluación del impacto en la privacidad garantiza que la información de identificación personal (PII) esté
correctamente administrada dentro de una organización.

 Establezca el alcance de la PIA.

 Identifique las partes interesadas clave.

 Documente todos los contactos con la PII.

 Revise los requisitos legales y normativos.

 Documente los posibles problemas causados al comparar requisitos y prácticas.

 Revise los resultados con las partes interesadas clave.

LEYES INTERNACIONALES
Con el crecimiento de las conexiones de red global e Internet, el acceso no autorizado a un sistema
informático o la violación de una computadora son preocupaciones que pueden tener consecuencias
nacionales e internacionales. Las leyes nacionales sobre violaciones a una computadora existen en muchos
países, pero siempre existe la posibilidad de brechas en cómo estas naciones manejan este tipo de delito.

Convención sobre Delito Cibernético

La Convención sobre Delito Cibernético es el primer tratado internacional sobre delitos de Internet (UE,
Estados Unidos, Canadá, Japón y otros). Las políticas comunes manejan el delito cibernético y abordan lo
siguiente: infracción de derechos de autor, fraude relacionado con la computación, pornografía infantil e
infracciones a la seguridad de la red. 

BASE DE DATOS NACIONAL DE VULNERABILIDAD

La base de datos nacional de vulnerabilidades (NVD) es un repositorio de datos de administración de
vulnerabilidades basadas en estándares del gobierno estadounidense que utiliza el protocolo de
automatización de contenido de seguridad (SCAP). El SCAP es un método para utilizar estándares
específicos para automatizar la administración de vulnerabilidades, la medición y la evaluación del
cumplimiento de políticas. Haga clic aquí para visitar el sitio web de la base de datos nacional de
vulnerabilidades.

El SCAP utiliza estándares abiertos para enumerar las fallas y los problemas de configuración del software de
seguridad. Las especificaciones organizan y miden la información relacionada con la seguridad de maneras
estandarizadas. La comunidad del SCAP es una asociación entre el sector de nubes públicas y privadas que
fomenta la estandarización de las operaciones de seguridad técnicas. Haga clic aquí para visitar el sitio web
del protocolo de automatización de contenido de seguridad (SCAP).
La NVD utiliza el sistema de calificación de vulnerabilidades comunes para evaluar el impacto de las
vulnerabilidades. Una organización puede usar las puntuaciones para clasificar la gravedad de las
vulnerabilidades que encuentra dentro de la red. Esto, a su vez, puede ayudar a determinar la estrategia de
mitigación.

El sitio además contiene varias listas de comprobación que proporcionan orientación sobre la configuración de
los sistemas operativos y las aplicaciones para un entorno protegido. Haga clic aquí para visitar el repositorio
nacional de programas de listas de comprobación.

CERT
El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon ayuda al gobierno y las
organizaciones del sector a desarrollar, operar y mantener sistemas de software innovadores, asequibles y
confiables. Se trata de un centro de investigación y desarrollo subvencionado por el gobierno federal
patrocinado por el Departamento de Defensa de los Estados Unidos.

La división del CERT del SEI estudia y resuelve los problemas en el área de la ciberseguridad, entre ellos, las
vulnerabilidades en la seguridad en los productos de software, los cambios en los sistemas de red y la
capacitación para mejorar la ciberseguridad. El CERT ofrece los siguientes servicios:

 Ayuda a resolver las vulnerabilidades del software.

 Desarrolla herramientas, productos y métodos para realizar exámenes de informática forense.

 Desarrolla herramientas, productos y métodos para analizar vulnerabilidades.

 Desarrolla herramientas, productos y métodos para supervisar grandes redes.

 Ayuda a las organizaciones a determinar cuán eficaces son las prácticas relacionadas con la
seguridad.

El CERT tiene una amplia base de datos de información sobre las vulnerabilidades del software y los códigos
maliciosos que ayuda a desarrollar soluciones y estrategias de corrección. Haga clic aquí para visitar el sitio
web del CERT.

INTERNET STORM CENTER Internet Storm Center (ISC) proporciona un servicio de análisis y
alerta gratuito a las organizaciones y los usuarios de Internet. También trabaja con los proveedores de
servicios de Internet para combatir a los ciberdelincuentes maliciosos. Internet Storm Center recopila millones
de entradas de registros de sistemas de detección de intrusiones cada día mediante sensores que cubren
500 000 direcciones IP en más de 50 países. El ISC identifica los sitios utilizados para los ataques y
proporciona datos sobre los tipos de ataques lanzados contra diversos sectores y regiones del mundo.

Haga clic aquí para visitar el Internet Storm Center. El sitio web ofrece los siguientes recursos:

 Un archivo de blog diario de seguridad informática.

 Podcasts, como Daily Stormcasts; Actualizaciones diarias de amenazas a la seguridad informática

que duran entre 5 y 10 minutos.

 Publicaciones de empleos de seguridad informática.

 Noticias sobre seguridad informática.

 Herramientas de seguridad informática.

 Informes de seguridad informática.

  Foros de seguridad informática para el ISC del SANS.

El SANS apoya el Internet Storm Center. El SANS es una fuente confiable para la investigación, la
certificación y la capacitación en seguridad informática.

CENTRO DE CIBERSEGURIDAD AVANZADA

El Centro de Ciberseguridad Avanzada (ACSC) es una organización sin fines de lucro que reúne a la
industria, los círculos académicos y el gobierno para abordar las ciberamenazas avanzadas. La organización
comparte información sobre ciberamenazas, participa en la investigación y el desarrollo de la ciberseguridad y
crea programas educativos para promover la profesión de la ciberseguridad.

El ACSC definió cuatro desafíos que definen sus prioridades:

 Desarrollar sistemas sólidos para recuperarse de ataques y fallas.

 Mejorar la seguridad móvil.

 Elaborar intercambios de amenazas en tiempo real.

 Integrar los riesgos cibernéticos con los marcos de trabajo de riesgo empresariales.

ESCANERES DE VULNERABILIDAD

Un escáner de vulnerabilidades evalúa las computadoras, los sistemas informáticos, las redes o las
aplicaciones en busca de debilidades. Los escáneres de vulnerabilidades ayudan a automatizar la auditoría de
seguridad escaneando la red en busca de riesgos de seguridad y produciendo una lista prioritaria para
abordar las debilidades. Un escáner de vulnerabilidades busca los siguientes tipos de vulnerabilidades:

 Uso de contraseñas predeterminadas o contraseñas comunes.

 Parches faltantes.

 Puertos abiertos.

 Errores de configuración del software y los sistemas operativos.

 Direcciones IP activas.

Al momento de evaluar un escáner de vulnerabilidades, observe cómo se clasifica su precisión, confiabilidad,

escalabilidad e informes. Existen dos tipos de escáneres de vulnerabilidades entre los que puede elegir:
Basados en software o basados en la nube.

El análisis de vulnerabilidades es fundamental para las organizaciones con redes que incluyen una gran
cantidad de segmentos de red, routers, firewalls, servidores y otros dispositivos empresariales.
PRUEBA DE PENETRACION

La prueba de penetración (evaluación de intrusión) es un método para probar las áreas de debilidades en los
sistemas mediante diversas técnicas maliciosas. La evaluación de intrusión no es lo mismo que la prueba de
vulnerabilidades. La prueba de vulnerabilidades identifica los posibles problemas. La evaluación de intrusión
involucra a un especialista en ciberseguridad que hackea un sitio web, una red o un servidor con el permiso
de la organización para intentar obtener acceso a recursos sabiendo los nombres de usuario y las
contraseñas o por otros medios normales. La diferencia más importante entre los ciberdelincuentes y los
especialistas en ciberseguridad es que los especialistas en ciberseguridad tienen el permiso de la
organización para realizar estas pruebas.

Uno de los motivos principales por los que una organización utiliza las evaluaciones de intrusión es la
búsqueda y la corrección de las vulnerabilidades antes de que lo hagan los ciberdelincuentes. La prueba de
penetración también se conoce como hackeo ético.

ANALIZADORES DE PAQUETE

Los analizadores de paquetes (o analizadores de protocolos de paquetes) interceptan y registran el tráfico de

red. El analizador de paquetes captura cada paquete, muestra los valores de varios campos en el paquete y
analiza el contenido. Un analizador de protocolos puede capturar el tráfico de red tanto en redes cableadas
como inalámbricas. Los analizadores de paquetes realizan las siguientes funciones:

 Análisis de problemas de red.

 Detección de intentos de intrusión en la red.

 Aislamiento del sistema explotado.

 Registro del tráfico.

 Detección de usos indebidos de la red.

HERRAMIENTAS DE SEGURIDAD

No existe un criterio único cuando se trata de las mejores herramientas de seguridad. Mucho depende de la
situación, la circunstancia y la preferencia del personal. Un especialista en ciberseguridad debe saber dónde
obtener información correcta.

Kali
Kali es una distribución de seguridad de Linux de código abierto. Los profesionales de TI usan Kali de Linux
para probar la seguridad de sus redes. Kali de Linux incorpora más de 300 pruebas de penetración y
programas de auditoría de seguridad en una plataforma de Linux. Haga clic aquí para visitar el sitio web.

Conocimiento de la situación de la red

DEFINICION DE LAS FUNCIONES DEL PALADIN DE CIBERSEGURIDAD

El estándar ISO define las funciones de los paladines de ciberseguridad. El marco de trabajo ISO 27000
requiere:

 Un alto directivo responsable de TI e ISM (generalmente el patrocinador de la auditoría).

 Profesionales de seguridad informática.

 Administradores de seguridad.

 Un administrador de seguridad física/en el sitio y contactos de las instalaciones.

 Un contacto de R.H. para los problemas de Recursos Humanos, como las capacitaciones y las
medidas disciplinarias.

 Administradores de redes y sistemas, arquitectos de seguridad y otros profesionales de TI.

Los tipos de puestos de seguridad informática se dividen de la siguiente manera:

 Los definidores proporcionan políticas, pautas y estándares e incluyen asesores, que realizan
evaluaciones de riesgos y desarrollan arquitecturas técnicas y productos, y personas en el más alto
nivel dentro de la organización, que tienen un conocimiento amplio pero poco profundo.

 Los constructores son los verdaderos técnicos que crean e instalan soluciones de seguridad.

 Los supervisores administran las herramientas de seguridad, realizan la función de monitoreo de

seguridad y mejoran los procesos.

HERRAMIENTAS DE BUSQUEDA LABORAL

Una variedad de sitios web y aplicaciones móviles publicita trabajos de tecnología de la información. Cada
sitio está dirigido a los diversos postulantes laborales y proporciona diferentes herramientas para los
candidatos que investigan el puesto de trabajo ideal. Muchos sitios son agregadores de sitios de trabajo, sitios
de búsqueda laboral que recopilan listas de otros sitios de empleos empresariales y bolsas laborales en una
única ubicación.

Indeed.com

Publicitado como el sitio de trabajo número uno del mundo, Indeed.com atrae a más de 180 millones de
visitantes exclusivos por mes de más de 50 países diferentes. Indeed es verdaderamente un sitio de trabajo
mundial. Indeed ayuda a las empresas de todos los tamaños a contratar a los mejores talentos y ofrece las
mejores oportunidades para quienes buscan trabajo.

CareerBuilder.com

CareerBuilder ayuda a muchas empresas grandes y prestigiosas. Como resultado, este sitio atrae a los
candidatos específicos que poseen la mayor educación y las credenciales más altas. Los empleadores que
publican en CareerBuilder comúnmente obtienen más candidatos con títulos universitarios, credenciales
avanzadas y certificaciones industriales.
USAJobs.gov

El gobierno federal publica cualquier vacante en USAJobs. Haga clic aquí para obtener más información sobre
el proceso de aplicación utilizado por el gobierno estadounidense.