1 00:00:00,960 --> 00:00:05,610 Bueno ahora tenemos gobernanza o gobernanza de la información. 2 00:00:05,610 --> 00:00:10,830 Esto significa que nosotros sabemos controlar sabemos que tenemos cómo la tenemos que vamos a hacer 3 00:00:10,840 --> 00:00:13,830 en dado caso pase algo no pase etcétera etcétera. 4 00:00:13,830 --> 00:00:17,090 Básicamente tener un buen control sobre la información que tenemos. 5 00:00:17,230 --> 00:00:20,030 Entonces para eso tenemos varios conceptos claves. 6 00:00:20,460 --> 00:00:23,400 Empecemos por políticas que son las políticas políticas. 7 00:00:23,400 --> 00:00:27,740 Podríamos decir que son los que nos dice el qué debemos hacer. 8 00:00:27,790 --> 00:00:33,570 Que esto es clave porque entonces entendemos que una política no entra a lo específico sino que nos 9 00:00:33,570 --> 00:00:37,560 dice por ejemplo una política puede ser usted debe encriptar información. 10 00:00:37,560 --> 00:00:39,240 Esa puede ser una política. 11 00:00:39,240 --> 00:00:46,230 Ahora bien nos podemos apoyar en procedimientos o procesos para entonces darle un detalle a esa política. 12 00:00:46,230 --> 00:00:51,270 Entonces ahí entraríamos en el cómo el proceso o el procedimiento nos podría decir el cómo entonces 13 00:00:51,460 --> 00:00:54,870 bajo la bajo el mismo ejemplo de encriptar la información. 14 00:00:54,870 --> 00:01:00,450 Podríamos decir entonces el proceso viene y nos dice hay que utilizar este algoritmo este software hay 15 00:01:00,450 --> 00:01:05,060 que darle clic a este icono etc. es algo más a detalle. 16 00:01:05,070 --> 00:01:12,150 Luego tenemos los estándares que tocamos en el capítulo anterior donde decimos donde dicen las buenas 17 00:01:12,150 --> 00:01:12,690 prácticas. 18 00:01:12,690 --> 00:01:19,110 Ojo que a mí no me gusta usar el término mejores prácticas porque nadie tiene la última palabra y lo 19 00:01:19,110 --> 00:01:22,140 que hace una persona no significa que va a ser mejor que la otra. 20 00:01:22,230 --> 00:01:27,210 Pero sí hay términos de buenas prácticas esto significa bueno hay que encriptar información. 21 00:01:27,220 --> 00:01:30,720 Esa es una buena práctica y que utilizaron árboles es una buena práctica. 22 00:01:30,720 --> 00:01:38,490 Entonces tenemos estándares como por ejemplo ISO para las tarjetas de crédito PCI para los hospitales 23 00:01:38,490 --> 00:01:44,340 y las organizaciones de salud en Estados Unidos tenemos IPS o por ejemplo tenemos los gavilanes que 24 00:01:44,340 --> 00:01:51,510 posiblemente no son tan estrictos y tan tan a detalle pero tan estricto tan mandatorio como los estándares 25 00:01:51,570 --> 00:01:52,590 o las leyes es verdad. 26 00:01:52,770 --> 00:01:57,090 Pero si tenemos Gavilanes o guías que podíamos seguir tenemos frameworks. 27 00:01:57,090 --> 00:02:02,220 Por ejemplo los Rainbows de la NESTS que nos pueden decir bueno hay que hacer esto hay que hacerlo otro 28 00:02:02,220 --> 00:02:08,970 por ejemplo Freiburg reembolse para continuar el negocio y tenemos bailarines verdad que son básicamente 29 00:02:09,170 --> 00:02:12,150 donde empezar o lo mínimo que podríamos tener verdad. 30 00:02:12,540 --> 00:02:17,190 Entonces esto podríamos decir por ejemplo política procedimiento y estándar pueden ser de un origen 31 00:02:17,190 --> 00:02:23,870 mandatorio mientras que los gavilanes y las y los bailarines las guías y las bases podrían ser discrecionales 32 00:02:23,950 --> 00:02:24,820 verdad. 33 00:02:24,960 --> 00:02:29,520 Luego tenemos la seguridad en el personal. 34 00:02:29,580 --> 00:02:36,270 Esto significa que vamos a hacer para para estar conscientes de que nuestro personal no vaya a ser también 35 00:02:36,360 --> 00:02:43,940 un problema porque recuérdense que un empleado enojado o como dicen en inglés Brown Rowntree Empoli 36 00:02:44,550 --> 00:02:50,250 puede puede causar mucho problema porque el atacante muchas veces no viene de fuera sino que viene de 37 00:02:50,250 --> 00:02:50,820 adentro. 38 00:02:51,060 --> 00:02:57,590 Entonces ahí tenemos que tomar en cuenta por ejemplo el entrenamiento y la Warnes hacia los usuarios 39 00:02:57,600 --> 00:03:03,660 es verdad enseñarles que son ataques por ejemplo shoulder surfing o es decir que alguien esté viendo 40 00:03:03,660 --> 00:03:11,250 mi pantalla mientras yo pongo mi contraseña por ejemplo ataques de Piggyback o tail Guerin en inglés 41 00:03:11,520 --> 00:03:13,940 que es básicamente colarse. 42 00:03:14,400 --> 00:03:21,240 Cuando alguien abre una puerta yo no tengo el batch porque yo soy el atacante u o el bueno el tipo malo. 43 00:03:21,600 --> 00:03:26,530 Yo no tengo un batch para entrar pero viene el empleado y por educación me deja la puerta abierta. 44 00:03:26,540 --> 00:03:28,820 Este se le llama Piggyback en un hotel gay. 45 00:03:28,820 --> 00:03:36,630 En verdad todo esto tenemos que darles a los usuarios un training y una Warnes para que no caigamos 46 00:03:36,630 --> 00:03:37,590 en ingeniería social. 47 00:03:37,590 --> 00:03:43,410 Por ejemplo viene un correo de phishing que puedan tener el olfato digámoslo así de poder detectar un 48 00:03:43,410 --> 00:03:45,190 ataque malicioso de phishing. 49 00:03:45,660 --> 00:03:53,410 Luego tenemos dos background checks o los chequeados de un historial policiaco. 50 00:03:53,820 --> 00:03:58,140 Por ejemplo si si el empleado tuvo algún problema con la policía si el empleado tuvo algún problema 51 00:03:58,410 --> 00:04:02,800 con el Gobierno si el empleado tuvo algún problema con su jefe anterior. 52 00:04:02,880 --> 00:04:09,630 Todos estos Bacanuchi de verdad muchas veces se vuelve un poco un tema un poco muy intrusivo en la vida 53 00:04:09,630 --> 00:04:15,540 del empleado porque muchas veces se hacen estudios socioeconómicos donde se va a ver dónde vive el empleado 54 00:04:15,570 --> 00:04:21,810 cómo vive qué dicen los vecinos del empleado pero a veces dependiendo del puesto se vuelve un poco necesario 55 00:04:22,230 --> 00:04:28,500 porque de repente la persona que estamos contratando o que se va a contratar va a haber temas financieros 56 00:04:28,830 --> 00:04:34,260 va a haber temas de los que tengan que ver con información muy delicada para la empresa. 57 00:04:34,260 --> 00:04:39,780 Entonces necesitamos estar muy seguros de que esta persona no viene de un origen malicioso o que no 58 00:04:39,780 --> 00:04:42,070 va a terminar haciéndole daño a la empresa. 59 00:04:42,540 --> 00:04:48,180 Luego tenemos cómo vamos a hacer alguna terminación de algún empleado que cuando se le notifica que 60 00:04:48,180 --> 00:04:55,350 se le notifica muchas veces el empleado nunca se entera hasta que llega al puesto de trabajo y lo están 61 00:04:55,530 --> 00:04:57,960 esperando en el escritorio como un policía. 62 00:04:57,960 --> 00:05:04,550 Soy un poco extremo soy un poco feo la situación puede ser incómoda pero si le damos una notificación 63 00:05:04,550 --> 00:05:09,970 al empleado y el empleado pues por estar molesto decide hacer algo que daña a la empresa pues también 64 00:05:09,980 --> 00:05:16,020 puede resultar en algo muy muy malicioso o poco beneficioso para nosotros. 65 00:05:16,430 --> 00:05:28,760 Luego tenemos el cómo se manejan los famosos parí o los proveedores consultores con tractos que le dicen 66 00:05:28,760 --> 00:05:35,020 en inglés verdad todo todo esto cómo se maneja todo el personal que no es empleado de la empresa verdad. 67 00:05:35,030 --> 00:05:41,060 También tenemos que tener ese contrato recuérdense que vimos el tema de ese se y contratos básicamente 68 00:05:41,210 --> 00:05:46,630 porque podríamos por ejemplo nosotros tenemos una empresa que nos da servicios de seguridad en el sentido 69 00:05:46,640 --> 00:05:49,640 física no policías etcétera etcétera. 70 00:05:49,640 --> 00:05:53,920 Cómo podríamos saber que el proceso de contratación de ellos está bien verdad. 71 00:05:53,960 --> 00:05:58,280 Cómo podríamos saber que el proceso de contratación de las personas que nos apoyan con la limpieza por 72 00:05:58,280 --> 00:06:04,910 ejemplo está bien no podríamos hacerlo entonces ahí donde podemos exigir decir Bueno ustedes y si van 73 00:06:04,910 --> 00:06:10,940 a ser mis proveedores deberían de seguir está ahí está esta línea chequear esto y esto y esto y entonces 74 00:06:10,940 --> 00:06:16,160 ya podemos hacer un trato para que ustedes sean los proveedores hay que tener mucho cuidado cuando contratamos 75 00:06:16,160 --> 00:06:24,780 proveedores y después tenemos el outsourcing y Offshoring como si nosotros vamos a poner un adsorción 76 00:06:24,800 --> 00:06:30,380 por ejemplo en nuestra empresa va a hacer outsourcing del Departamento de Desarrollo de Software otra 77 00:06:30,380 --> 00:06:30,920 vez. 78 00:06:30,920 --> 00:06:36,140 En qué países están localizados cuáles son las regulaciones de ese país o como hacen los background 79 00:06:36,140 --> 00:06:41,570 checks todo esto da porque por ejemplo no sólo tenemos que tomar en cuenta temas de seguridad sino temas 80 00:06:42,680 --> 00:06:48,500 de país temas de cultura verdad tal vez ellos no trabajan en el mismo horario que nosotros o trabajan 81 00:06:48,500 --> 00:06:49,950 una hora más una hora menos. 82 00:06:49,950 --> 00:06:54,500 No sé todo esto hay que tomarlo en cuenta porque al final recuérdense que tenemos tres pilares confidencialidad 83 00:06:54,500 --> 00:06:57,260 integridad así pero también disponibilidad. 84 00:06:57,260 --> 00:07:03,710 Si la empresa de outsourcing trabaja 12 horas después de nosotros por ejemplo al otro lado del mundo 85 00:07:04,400 --> 00:07:08,900 posiblemente para responder a un incidente o para responder a un requerimiento se va a tener que tardar 86 00:07:08,900 --> 00:07:14,450 esas 12 horas en lo que nosotros salimos del trabajo y ellos centran entonces todo esto hay que tomarlo 87 00:07:14,450 --> 00:07:21,380 en cuenta cuando hablamos de seguridad informática y bueno tenemos los controles bajo esa premisa sabiendo 88 00:07:21,380 --> 00:07:24,190 que tenemos que tener mucho cuidado de nuestros. 89 00:07:24,240 --> 00:07:31,460 De todo todas las personas que toca en nuestro sistema interno otra vez sean empleados de nosotros proveedores 90 00:07:31,460 --> 00:07:34,220 consultores constructores a outsourcing. 91 00:07:34,220 --> 00:07:39,050 Cualquier persona que toque en nuestro sistema tenemos que tenerla controlada y esto se va a lograr 92 00:07:39,050 --> 00:07:41,000 por medio de controles de acceso. 93 00:07:41,000 --> 00:07:48,470 Ahora bien tenemos seis categorías de controles de acceso preventivos de activos correctivos de recuperación 94 00:07:49,130 --> 00:07:51,530 repelentes y compensatorios. 95 00:07:51,530 --> 00:07:58,510 Ahora bien siempre más en la pregunta esto debería por ejemplo un árbol en qué categoría cae un control 96 00:07:58,520 --> 00:08:04,340 puede caer en muchas categorías no significa que caiga una categoría y ahí sí se olvida por ejemplo 97 00:08:04,340 --> 00:08:09,590 un GPS un GPS puede entrar dentro de preventivo porque estamos poniéndole de forma preventiva. 98 00:08:09,590 --> 00:08:14,870 No es que nos estén atacando ahorita pero queremos enterarnos de verdad puede entrar detective porque 99 00:08:14,870 --> 00:08:20,360 entonces al final el GPS va a detectar y puede entrar incluso en correctivo porque le pesa al detectar 100 00:08:20,360 --> 00:08:24,290 pues corrige de repente hay un hype malicioso ahí dando vueltas en la intranet. 101 00:08:24,290 --> 00:08:27,080 Entonces no sólo la reporta sino que la corta o la bloquea. 102 00:08:27,080 --> 00:08:32,900 Por ejemplo la manda al Blacklist entonces un control puede entrar en varias categorías pero tenemos 103 00:08:32,900 --> 00:08:39,530 que entender eso sí que hace cada categoría de preventivo pues está fácil un control preventivo que 104 00:08:39,530 --> 00:08:43,070 previene valga la redundancia el ataque. 105 00:08:43,310 --> 00:08:50,210 Esto puede ir incluso en temas físicos no como guardia de un guardia de seguridad una cámara todo lo 106 00:08:50,210 --> 00:08:52,150 que pueda prevenir verdad. 107 00:08:52,600 --> 00:08:58,530 Detectives pues ya ya nos están atacando y nos detectan aquí entran muchos controles. 108 00:08:58,610 --> 00:09:05,480 Por ejemplo un Farewell un GPS un antivirus etcétera etcétera todo todo eso dentro puede entrar dentro 109 00:09:05,480 --> 00:09:12,900 de detectives luego correctivos es decir Bueno se nos filtró Taltal o nos pasó tal información pues 110 00:09:13,190 --> 00:09:19,550 pongamos un elepé esto podría entrar en un correctivo por ejemplo pero ojo otra vez el DLP puede entrar 111 00:09:19,550 --> 00:09:26,540 también en otras categorías pues en este caso un correctivo podría ser un DLP Data duas prevención de 112 00:09:26,600 --> 00:09:27,560 recuperación. 113 00:09:27,560 --> 00:09:33,950 Esto podría ser un sitio alterno por ejemplo alta disponibilidad la famosa hiper convergencia que a 114 00:09:33,950 --> 00:09:39,830 mí me parece una tecnología muy muy buena para el tema de disponibilidad de alta disponibilidad perdón 115 00:09:41,150 --> 00:09:46,930 recuperación otra vez sitios alternos repelentes. 116 00:09:46,970 --> 00:09:55,100 Podría ser incluso yo sé que se van a reír conmigo pero de recuperación de repelentes podría entrar 117 00:09:55,130 --> 00:10:05,340 un perro un un por ejemplo un cartel que diga esta empresa está protegida o tiene la alarma puesta o 118 00:10:05,340 --> 00:10:11,160 está protegida por cierto grupo de seguridad etc. a todo lo que sea repelente. 119 00:10:11,160 --> 00:10:19,820 Incluso he visto a empresas con poco presupuesto que van a tiendas en línea y compran cámaras falsas. 120 00:10:19,850 --> 00:10:25,090 No sólo está la cámara se mira muy real pero no graba no toma fotos no hace nada simplemente está ahí 121 00:10:25,110 --> 00:10:29,760 puesta en la pared para que cuando un posible atacante llegue y diga Bueno hay cámaras. 122 00:10:29,760 --> 00:10:35,400 Entonces he visto incluso eso puede ser dentro de repelente y compensatorio es cuando de repente no 123 00:10:35,400 --> 00:10:39,830 tenemos el presupuesto adecuado para comprar la medida principal. 124 00:10:39,840 --> 00:10:47,370 Por ejemplo viene PCI nos pide un firewall pero de repente nosotros queremos marca X GZ pero no tenemos 125 00:10:47,370 --> 00:10:53,810 la plata para hacerlo entonces ponemos un firewall de software por ejemplo no muy bueno y picop y. 126 00:10:53,930 --> 00:10:55,240 La policía de la IP. 127 00:10:55,920 --> 00:11:00,110 Entonces este podría ser un control compensatorio o no precisamente un firewall en vez de un firewall. 128 00:11:00,120 --> 00:11:05,940 Pongo un esnifar o un DS y PSP Boggs North que es que es muy bueno y gratis. 129 00:11:06,060 --> 00:11:11,790 Entonces de repente ahí compensatorios recuérdense que lo que nosotros debemos reducir es el riesgo 130 00:11:12,120 --> 00:11:17,970 nunca vamos a llegar a reducir el riesgo a nivel cero a menos que lo evitemos pero los tratamientos 131 00:11:17,970 --> 00:11:23,040 de riesgo lo vamos a ver más adelante pero a menos que evitemos el riesgo es decir Bueno de repente 132 00:11:23,040 --> 00:11:27,360 yo tengo una página web y bueno ya no voy a tener presencia en la web que en estos tiempos sería un 133 00:11:27,360 --> 00:11:29,450 suicidio para la empresa. 134 00:11:29,460 --> 00:11:34,500 Pero yo no quiero tener presencia en la página web entonces si definitivamente tu riesgo relacionado 135 00:11:34,500 --> 00:11:35,980 a tu página web va a llegar a cero. 136 00:11:36,180 --> 00:11:41,190 De lo contrario tu riesgo nunca va a llegar a cero y siempre va a estar cambiando porque las vulnerabilidades 137 00:11:41,190 --> 00:11:46,530 cambian o existen nuevas vulnerabilidades conforme va pasando el tiempo. 138 00:11:46,710 --> 00:11:48,530 Y bueno eso es todo amigos. 139 00:11:48,570 --> 00:11:50,760 Espero les ha gustado y muy pronto.