Ciberseguridad: Control De Amenazas En Las Organizaciones con el Marco de Trabajo NIST CSF

Ciberseguridad: Control De Amenazas En Las Organizaciones con el Marco de Trabajo NIST CSF.

Aldo Jefferson Cardenas Toledo
U17214387@utp.edu.pe 
Lima,Peru

Iván Mijahuanga Chapilliquén
U19215781@utp.edu.pe 
Lima,Peru

 LaberianoMatias Andrade Arenas 
C1223@utp.edu.pe
Lima,Peru

Jimmy Walter Freyre Alvarado
U18307243@utp.edu.pe 
Lima,Peru

Abstract — This document describes the guidelines necessary to develop a risk control and management system using the NIST CSF. We also carry out an analysis based on reliable sources that provide services in the telecommunications industry. Among them is Cisco, who has provided relevant information on the latest threats that have affected corporations in the last three years and how the industry is prepared to face the future.Finally we can conclude with the main problem that companies deal with.

Key Words: Access Control, Computer Security, Control System, Network Security.

INTRODUCCION

Se muestran resultados de muchos estudios de conciencia de seguridad realizados a nivel mundial en este caso en estudiantes y profesionales en los Emiratos Árabes Unidos el 2010. Este análisis incluye una amplia encuesta de seguridad inalámbrica en la que se detectaron miles de puntos de acceso en Dubai y Sharjah, en su mayoría desprotegidos o con seguridad frágil [1]. En junio de 2017, una empresa de producción de alimentos llamada Cadburys fue atacada en Hobart, Australia. Como informa en The Guardian, el ransomware amenaza los sistemas OT en la fábrica y exigió un rescate de $ 300 en bitcoin. El malware detectado se identificó como ransomware Petya, aun cuando la pérdida "no fue  para desmesurado para la empresa, ha llevado a los involucrados de la industria alimentaria a gestionar sus problemas de seguridad [2].Aun las potencias como EE. UU no se ven ajeno a este problema, el 2014, el 28% de encuestados en la Encuesta sobre el Estado de la Ciberdelincuencia en EE. UU, informaron que habían sido víctimas de ataques internos y el 32% indicaron que estos ataques eran más críticos que los realizados por personas ajenas a la Organización. También preciso que el 31% de los encuestados reporto incidencias que no podían atribuirse con seguridad a personas de fuera o dentro, de la Organización.[3]. Los informes sobre ciberataques en la red eléctrica de Ucrania mostraron que muchos malwares fueron creados deliberadamente para atacar instalaciones industriales, y sistemas de energía como uno de los principales objetivos. Una vez que los ciber atacantes tienen acceso al sistema de control de la red eléctrica, un ataque podría desencadenar interrupciones en cascada y, por lo tanto, causar una pérdida de carga a gran escala. Estas amenazas de ciberseguridad han sido consideradas y analizadas por la Corporación de Fiabilidad Eléctrica de América del Norte desde el 2012. Por lo tanto, el propósito de este documento es desarrollar una herramienta, de uso potencial para entidades gubernamentales, para evaluar los efectos de tipos específicos de ciberataques que se modelan en los ataques de Ucrania [4]. Otro ejemplo en el sector el energético, ocurrió el 2014 en EE. UU donde recibió un 32% de dos ataques cibernéticos contra los servicios de infraestructura urbana en los Estados Unidos, según el informe anual del equipo de respuesta a emergencias cibernéticas de sistemas de control industrial. Clásicamente, el enfoque de la Ciberseguridad está relacionado con los sistemas de Tecnología de la Información, en su misión de proteger la información y los sistemas de información, con respecto al acceso no autorizado del uso, modificación o cualquier tipo de acción que pueda comprometer, la confidencialidad, integridad o disponibilidad de la información. A pesar de ello, la seguridad cibernética para redes inteligentes requiere un enfoque combinado de seguridad de la información para los sistemas de TI, la red de comunicación y el equipo físico de la red eléctrica [5].

En Latinoamérica el intercambio de bienes se realiza por mar, debido a ello Panamá cree necesario implementar un monitoreo cibernético continuo de los buques para detectar, reaccionar en consecuencia y detener cualquier amenaza entrante.

En otro estudio realizado por Digiware estimó que en Perú el impacto económico fue alto, de $ 4 mil millones, por lo que la gestión de riesgos debería considerarse un tema más serio dentro de las empresas. El resguardo adecuado de la información requiere que las empresas primero establezcan los riesgos a los que están expuestas, por lo que se recomienda adoptar un enfoque de gestión de riesgos, metodología, marcos de referencia o estándares de análisis de riesgos para la seguridad de la información, como ISO / IEC 27005 "Información Gestión de riesgos de seguridad [6].

El intercambio de Información de Seguridad Cibernética es una de las plataformas importantes que ha estado jugando un rol relevante en la implementación de un sistema de defensa cibernética, permitiendo a las Organizaciones compartir su información de seguridad cibernética. Finalmente, no hay forma de rastrear o mantener el registro de lo que cualquier Organización está compartiendo y es necesario mantener los registros en caso alguien lo niegue después de compartir información falsa. [7].

Según los antecedentes de la OEA “Ciberseguridad: ¿Estamos listos en América Latina y el Caribe?” [16] Publicado en 2016, los ámbitos vinculados a la política y táctica de ciberseguridad de los países es uno de los puntos a reforzar en toda la región de Latinoamérica y el Caribe; comprendemos que la acogida de este tipo de marcos puede ayudar en gran manera en la preparación de las tácticas de ciberseguridad de los gobiernos (en especial, en el cuidado de sus infraestructuras críticas) y en fortalecer las tareas o actividades de cooperación regional. [16]. El CSF tiene el gran reto de adecuarse a diversos sectores, industrias e incluso países. Este no hace uso de ningún estándar específico para cumplir los controles de ciberseguridad, sino que se abstrae de ellos empleando un enfoque conceptual y aconsejando una lista de múltiples posibles estándares para satisfacer los requerimientos del control. De esta forma permite ser usado en diversos ámbitos como Infraestructuras Críticas, Gobierno o sector privado.[14].

El principal estudio tiene como objetivo investigar y proporcionar un inventario de las vulnerabilidades de seguridad y privacidad en las organizaciones, investigar métodos de prevención y proponer medidas de mitigación de riesgos haciendo uso del NIST CSF.

1. Metodologia

El principal problema es la necesidad por parte de las organizaciones de determinar los riesgos a los que están expuestas y para ello se recomienda optar un enfoque de gestión de riesgos, metodologías, marcos de referencia o estándares de análisis de riesgos para la seguridad de la información.

...