'Ciberseguridad paso a paso' es, evidentemente, un libro sobre ciberseguridad, pero más que seguir el esquema habitual de describir los tipos de ataques y las soluciones técnicas o procedimentales, se centra
en la gestión de la ciberseguridad pensando sobre todo en empresas pequeñas. Por ello los autores, adoptan el enfoque de los 'frameworks de ciberseguridad' pero, en lugar de elegir uno existente,
como pudiera ser el del NIST, proponen su propio framework al que denominan CABACI que, 'oficialmente' responde al acrónimo "Cybersecurity Analysis, Building, And Adaptive controls for Improvement" y que,
'casualmente' se corresponde con los apellidos de los autores: CAballero, BAus y CIlleros.
El framework es de naturaleza jerárquica, existiendo una primera división en tres grandes dominios, sobre los que se establecen controles y defensas asociadas, agrupando, además, controles y defensas en
niveles básico y avanzado.
Dado que una gran parte del libro se centra en desarrollar y explicar este framework, y a pesar de que sea un poco largo, me parece relevante resumir su estructura, que es como sigue:
- DOMINIO: ORGANIZACIÓN Y RIESGOS
- Nivel básico
- Control 1. Estrategia de negocio y organización.
- Defensa 1.1. Prioridades en la organización.
- Defensa 1.2. Organización de ciberseguridad.
- Defensa 1.3. Normativa de ciberseguridad.
- Control 2. Diseño tecnológico y gestión de activos.
- Defensa 2.1. Diseño tecnológico y de ciberseguridad.
- Defensa 2.2. Gestión de activos tecnológicos e inventario.
- Control 3. Gestiona tus ciberriesgos.
- Defensa 3.1. Identifica tus amenazas y riesgos.
- Defensa 3.2. Gestiona y prioriza tus riesgos.
- Defensa 3.3. Ciberseguro.
- Control 4. Seguridad en proveedores.
- Defensa 4.1. Identifica a tus proveedores tecnológicos.
- Defensa 4.2. Evaluación continua de la ciberseguridad de tus proveedores.
- Control C2. Cultura cibersegura.
- Defensa C2.1. Cultura cibersegura para empleados.
- Defensa C2.2. Cultura cibersegura para stakeholders.
- DOMINIO: PROTECCIÓN
- Nivel básico
- Control 5. Protege tus redes wifi.
- Defensa 5.1. Segmentación de la red corporativa.
- Defensa 5.2. Configuraciones seguras en redes inalámbricas.
- Defensa 5.3. Redes de invitados y políticas de uso.
- Control 6. Protege tus dispositivos y sistemas.
- Defensa 6.1. Política de uso responsable de dispositivos o sistemas.
- Defensa 6.2. Control de inventariado y gestión de dispositivos.
- Defensa 6.3. Control de antimalware.
- Defensa 6.4. Implementación de firewall local.
- Defensa 6.5. Análisis de vulnerabilidades.
- Defensa 6.6. Parcheo de vulnerabilidades.
- Defensa 6.7. Cifrado y firma de correos electrónicos.
- Control 7. Protege tu correo electrónico.
- Defensa 7.1. Antispam y antiphishing.
- Defensa 7.2. Ejercicios de phishing.
- Defensa 7.3. Protección frente al malware.
- Defensa 7.4. Medidas antispoofing.
- Defensa 7.5. Cifrado y firma de correos electrónicos.
- Control 8. Protege tus datos.
- Defensa 8.1. Protección de la información almacenada.
- Defensa 8.2. Prevención ante la pérdida o fuga de información.
- Defensa 8.3. Gestión de claves de cifrado.
- Defensa 8.4. Segregación de información sensible.
- Defensa 8.5. Anonimización y pseudonimización de datos.
- Defensa 8.6. Cumplimiento de las regulaciones de privacidad.
- Control 9. Protege tu página web.
- Defensa 9.1. Uso de firewalls de aplicaciones web (WAF).
- Defensa 9.2. Protección DDoS de las aplicaciones.
- Defensa 9.3. Uso de protocolos seguros en aplicaciones web.
- Defensa 9.4. Protección frente a bots.
- Defensa 9.5. Seguridad en APIs.
- Control 10. Protege las credenciales de acceso.
- Defensa 10.1. Gestión del ciclo de vida de los usuarios.
- Defensa 10.2. Gestión de contraseñas robustas y rotación.
- Defensa 10.3. Uso de autenticación multifactor (MFA).
- Defensa 10.4. Gestión de permisos y privilegios.
- Control 11. Protege tus redes sociales.
- Defensa 11.1. Concienciación en protección de redes sociales.
- Defensa 11.2. Uso de credenciales robustas y autenticación de dos factores en redes sociales.
- Defensa 11.3. Configuraciones de seguridad y privacidad.
- Defensa 11.4. Seguimiento selectivo en redes sociales.
- Defensa 11.5. Prevención de phishing y fraude en redes sociales.
- Defensa 11.6. Gestión de la reputación en línea en redes sociales.
- Nivel avanzado
- Control 15. Protección avanzada de redes.
- Defensa 15.1. Arquitectura segura.
- Defensa 15.2. Segmentación de redes.
- Defensa 15.3. Uso de firewalls de red.
- Defensa 15.4. Protección frente a intrusiones.
- Defensa 15.5. Protección de las conexiones remotas.
- Defensa 15.6. Uso de tecnologías avanzadas de protección de la red.
- Control 16. Cloud cibersegura.
- Defensa 16.1. Política de ciberseguridad cloud.
- Defensa 16.2. Framework de controles cloud.
- Defensa 16.3. Protección de los datos y repositorios cloud.
- Defensa 16.4. Protección de entornos SaaS.
- Defensa 16.5. Monitorización efectiva.
- Control 17. Protección avanzada de dispositivos y sistemas.
- Defensa 17.1. Implementación de IDS/IPS local.
- Defensa 17.2. Guías de bastionado.
- Defensa 17.3. Gestión de privilegios.
- Defensa 17.4. Uso de sandbox.
- Control 18. Desarrolla de manera segura.
- Defensa 18.1. Política de desarrollo seguro de software (S-SDLC) e implementación en terceros.
- Defensa 18.2. Guías de desarrollo seguro.
- Defensa 18.3. Auditoría de código y pruebas de intrusión.
- Defensa 18.4. Gestión segura de las sesiones de usuario.
- Defensa 18.5. Verificación de dependencias y componentes de terceros.
- Defensa 18.6. Política de seguridad de contenido (CSP).
- Control 19. Control de accesos avanzado.
- Defensa 19.1. Uso de sistemas de gestión de identidad y accesos (Identity and Access Management Systems, IAM).
- Defensa 19.2. Segregación de funciones.
- Defensa 19.3. Gestión de cuentas privilegiadas.
- Defensa 19.4. Uso de Single Sign-On (SSO).
- Defensa 19.5. Uso de la federación de identidades.
- Defensa 19.6. Uso de tecnologías CIAM (Customer Identity and Access Management).
- Control C2. Cultura cibersegura.
- Defensa C2.3. Cultura cibersegura sobre medidas de protección.
- DOMINIO: DETECCIÓN, RESPUESTA Y RESILIENCIA
- Nivel básico
- Control 12. Responde a los ciberincidentes.
- Defensa 12.1. Plan de respuesta a incidentes actualizado.
- Defensa 12.2. Roles y responsabilidades en la respuesta.
- Defensa 12.3. Detección y evaluación del incidente.
- Defensa 12.4. Gestión y resolución del incidente.
- Defensa 12.5. Notificación del incidente.
- Control 13. Copias de seguridad.
- Defensa 13.1. Copias de seguridad.
- Control 14. Feeds de información y brechas de seguridad.
- Control 14.1. Feeds de información y brechas de seguridad.
- Nivel avanzado
- Control 20. Monitorización continua de ciberseguridad.
- Defensa 20.1. Define los activos tecnológicos a monitorizar.
- Defensa 20.2. Registra tus logs.
- Defensa 20.3. Establece la monitorización de tu red.
- Defensa 20.4. Monitorización continua de ciberseguridad.
- Defensa 20.5. Gestión de eventos de ciberseguridad (SIEM).
- Defensa 20.6. Security Operations Center.
- Control 21. Respuesta avanzada.
- Defensa 21.1. Capacitación de la respuesta.
- Defensa 21.2. Tecnología en la respuesta.
- Defensa 21.3. Ejecución de la respuesta a incidentes.
- Control 22. Gestión continua de vulnerabilidades.
- Defensa 22.1. Ciclo de vida de la gestión de vulnerabilidades.
- Control 23. Resiliencia.
- Control 23.1. Recuperación de incidentes.
- Control C2. Cultura cibersegura.
- Defensa C2.4. Ciberejercicios o simulacros de ataque.
Comienza el libro con un primer capítulo '1. Ciberseguridad y cómo construir tu estrategia' de naturaleza introductoria y en el que, tras una breve incursion sobre las tecnologías
digitales, se plantea el problema del cibercrimen, explica qué es un hacker, aporta conceptos básicos de ciberseguridad y luego ya se centra en el planteamiento de una estrategia de ciberseguridad.
Para la definición y gestión de la estrategia de ciberseguridad, los autores proponen un esquema con cuatro pasos, a saber:
- Entiende tu entorno de amenazas
- Evaluáte a ti mismo ¿Dónde te encuentras?
- Define tu plan de ciberseguridad ¿Dónde quieres estar?
- Establece tu plan y evoluciónalo mirando al futuro
La unión de estos cuatro pasos con el framework CABACI, proporcionan el marco y la estructura con base en el cual se desarrolla casi todo el contenido del libro.
Así, en los siguientes 7 capítulos se va describiendo el plan de acción siguiendo los cuatro pasos propuestos.
En '2. Paso 1. Entiende tu entorno de amenazas' se hace un resumen de las principales amenazas (actores)
y sus motivaciones además de describirse los principales tipos de ataques. En '3. Paso 2. Dónde te encuentras. Evaluate a ti mismo con CABACI.' se explica la idea de los frameworks de
ciberseguridad e introduce el framework CABACI.
Los siguientes tres capítulos '4. Paso 2.1. Organización u riesgos', '5. Paso 2.2. Protección' y
'6. Paso 2.3 Detección, respuesta y resiliencia' constituyen un largo y estructurado recorrido por los controles y defensas que propone el framework CABACI correspondiendo cada
capítulo a un dominio de los tres que lo componen.
'7. Paso 3. Define tu plan de ciberseguridad' habla de la definición del plan partiendo de una situación actual (AS-IS) y marcando la situación futura (TO-BE) y teniendo siempre en
cuenta las particularidades de la organización y su 'apetito de riesgo'.
'8. Paso 4. Establece tu plan y evoluciónalo' cierra el recorrido por los pasos y nos habla de la documentación y gobierno de la estrategia de ciberseguridad.
El resto de capítulos son un poco complementarios o de aplicación en ámbitos específicos. Así, '9. Ciberseguridad para emprendedores' hace una particularización y simplificación del
framework para el caso de emprendedores y en '10. Estrategia de ciberseguridad en cloud' se describen con bastante detalle los fundamentos de cloud computing y su tratamiento de la
seguridad, con particularizaciones en AWS, Azure y Google Cloud Platform.
Finaliza el libro con '11. Reglas de oro y guían de controles CABACI' en que los autores nos regalan las seis reglas más importantes a tener en cuenta y luego resumen todo el
framework CABACI.
'Ciberseguridad paso a paso' es una visión abarcadora de la ciberseguridad más desde el punto de vista de gestión que tecnológico. Se trata de un libro muy ordenado y estructurado, con pretensión de estar al
alcance de cualquiera, aunque me ha parecido que en ocasiones se deslizan términos y conceptos técnicos quizá no tan sencillos y que en cierto sentido además se dan por conocidos y eso, según el nivel del lector, pudiera
suponer una barrera.
Para una lectura lineal puede resultar en algunos momentos algo árido, especialmente en los capítulos centrales que recorren con detalle el framework. Sin embargo, por la misma razón, por ese recorrido
abarcador, estructurado, ordenado y sistemático, creo que puede ser un gran orientador y un valioso manual de referencia.
Buen recurso.
María Ángeles Caballero Velasco
(Fuente: Ficha de autora en Anaya Multimedia)
María Ángeles Caballero Velasco |
María Ángeles Caballero Velasco cuenta con más de 10 años de experiencia en el sector de la Ciberseguridad. Actualmente, lidera la transformación digital del Banco Santander como Head de Cyber en
CISO Corporación. Es ingeniera en Informática Técnica de Gestión y licenciada en Administración y Dirección de Empresas por la Universidad Carlos III de Madrid. También ha cursado el máster universitario
en Seguridad de las TIC por la UEM y máster en Design Thinking por el MIT.
Posee múltiples certificaciones como CISSP, SSCP, CEH o PMP y tiene numerosas publicaciones en libros, revistas y foros, habiendo publicado ocho libros de ciberseguridad hasta la fecha.
Ha participado en múltiples seminarios, conferencias y cursos, dado que le entusiasma la concienciación y la formación.
Finalmente, su pasión por el comportamiento humano le ha llevado a estar cursando actualmente el Grado de Psicología por la UNIR y a certificarse como coach profesional con la escuela americana IPEC.
Puedes conocer más de la autora visitando su perfil en LinkedIn o siguiéndola en Twitter donde se
identifica como @MAngelesCab.
Laura Baus Lerma
(Fuente: Ficha de autora en Tirant Lo Blanch)
Laura Baus Lerma |
Laura Baus cuenta con una extensa experiencia en el campo de la ciberseguridad, ha trabajado para algunas de las grandes empresas de telecomunicaciones y banca.
Actualmente lidera el equipo de Ciberdefensa en Vodafone como Cyber Defence Manager.
La mayoría de su carrera la ha dedicado a la estrategia de ciberseguridad como estratega y responsable de ciberseguridad.
Dispone de un máster en Ingeniería de Seguridad de la Información y las Comunicaciones, además de ser licenciada en Negocios Internacionales y Dirección Internacional de Empresas por universidades
nacionales e internacionales.
Su perfil mixto es resultado de su creencia en que las empresas no pueden tener éxito sin la digitalización y, al mismo tiempo, la digitalización no puede sobrevivir sin la seguridad. La ciberseguridad
debe convertirse en un habilitador del negocio y de la vida digital.
Con un fuerte compromiso por la divulgación del conocimiento, Laura participa proactivamente y colabora en conferencias, entrevistas, charlas y enseñanza.
Puedes conocer más de la autora visitando su perfil en LinkedIn.
Diego Cilleros Serrano
(Fuente: Ficha de autor en Anaya Multimedia)
Diego Cilleros Serrano |
Diego Cilleros Serrano es ingeniero superior de Telecomunicaciones por la Universidad Carlos III de Madrid y estudiante de grado de Criminología por la Universidad Internacional de La Rioja.
Su experiencia profesional ha estado siempre ligada al mundo de las redes de datos y de la ciberseguridad.
Trabaja actualmente como gerente senior de ciberseguridad en el área Cyber Risk Services de Deloitte España y es responsable de un equipo cercano a las cien personas dedicado a las arquitecturas
de seguridad y a la seguridad cloud.
Posee diferentes certificaciones de ciberseguridad que complementan su experiencia, como Offensive Security Certified Professional (OSCP), Certified SCADA Security Architect (CSSA), CISSP, CCSP, CSX y CISA,
y algunas relacionadas con AWS y Azure, entre otras. Ha participado en diferentes seminarios y cursos, y es coautor de diferentes publicaciones sobre ciberseguridad.
Puedes conocer más del autor visitando su perfil en LinkedIn.
No hay comentarios:
Publicar un comentario