Módulo 4: Protegiendo a

la Organización
Introducción a la Ciberseguridad
Objetivos del Módulo
Título del Módulo: Protegiendo a la Organización
Objetivo del Módulo: Explicar cómo las organizaciones pueden proteger sus operaciones contra estos
ataques.
Título del tema Objetivo del tema

Explique los diferentes firewalls, dispositivos de seguridad y software

Dispositivos y Tecnologías
que utilizan los profesionales de ciberseguridad para proteger la red,
de Ciberseguridad
los datos y los equipos de una organización.
Comportamiento a Seguir Explicar cómo detectar una amenaza cibernética a través de enfoques
en la Ciberseguridad de seguridad basados en el comportamiento.
Enfoque de Cisco para la Explicar el enfoque de Cisco a la ciberseguridad, incluyendo el equipo
Ciberseguridad CSIRT y el Manual de Seguridad.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 2
4.1 Dispositivos y Tecnologías
de Ciberseguridad

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 3
Dispositivos y Tecnologías de Ciberseguridad
Dispositivos de Seguridad

• Los dispositivos de seguridad pueden ser dispositivos independientes como un enrutador o

herramientas de software que se ejecutan en un dispositivo de red. Se dividen en seis categorías
generales.

• Enrutadores: Aunque el uso principal de un router es interconectar varios segmentos de

red, suelen proporcionar capacidades básicas de filtrado de tráfico. Esta información puede
ayudarlo a definir qué equipos de un segmento de red determinado pueden comunicarse
con qué segmentos de red.

• Los cortafuegos (firewalls) pueden examinar más a fondo el tráfico de la red para bloquear
comportamientos maliciosos. Los cortafuegos pueden tener políticas de seguridad
sofisticadas aplicadas al tráfico que pasa a través de ellos.

• Sistema de prevención de intrusiones: Los sistemas IPS utilizan un conjunto de firmas de

tráfico que coinciden y bloquean el tráfico y los ataques maliciosos.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 4
Dispositivos y Tecnologías de Ciberseguridad
Dispositivos de Seguridad (continuación)

• Redes privadas virtuales: Los sistemas VPN permiten a los empleados remotos utilizar un
túnel cifrado seguro desde su ordenador móvil y conectarse de forma segura a la red de la
organización. Los sistemas VPN también pueden interconectar de forma segura las
sucursales con la red de la oficina central.

• Antimalware o antivirus: Estos sistemas utilizan firmas o análisis del comportamiento de

las aplicaciones para identificar y bloquear la ejecución de código malicioso.

• Otros dispositivos de seguridad: Otros dispositivos de seguridad incluyen dispositivos de

seguridad web y de correo electrónico, dispositivos de descifrado, servidores de control de
acceso de clientes y sistemas de gestión de la seguridad.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 5
Dispositivos y Tecnologías de Ciberseguridad
Cortafuegos

• En redes informáticas, el diseño de un cortafuegos controla o filtra qué comunicaciones pueden

entrar y salir de un dispositivo o red. Puede instalar un cortafuegos en un único ordenador para
protegerlo (cortafuegos basado en host), o puede ser un dispositivo de red independiente que
cubra toda una red de ordenadores y todos los dispositivos host de esa red (cortafuegos basado
en red).

• A medida que los ataques informáticos y a la red se han vuelto más sofisticados, se han ido
desarrollando nuevos tipos de cortafuegos, que sirven para diferentes propósitos.

• Cortafuegos de capa de red: filtra las comunicaciones en función de las direcciones IP de

origen y destino.

• Cortafuegos de la capa de transporte: Filtra las comunicaciones en función de los puertos

de datos de origen y destino y de los estados de conexión.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 6
Dispositivos y Tecnologías de Ciberseguridad
Cortafuegos (continuación)
• Cortafuegos de capa de aplicación: Filtra las comunicaciones en función de una aplicación,
programa o servicio.

• Cortafuegos de capa sensible al contexto: Filtra las comunicaciones en función del usuario, el
dispositivo, el rol, el tipo de aplicación y el perfil de amenaza.

• Servidor proxy: Filtra solicitudes de contenido web como URL, nombres de dominio y tipos de
medios.

• Servidor proxy inverso: Colocados delante de los servidores web, los servidores proxy inversos
protegen, ocultan, descargan y distribuyen el acceso a los servidores web.

• Cortafuegos de traducción de direcciones de red (NAT): Este cortafuegos oculta o enmascara

las direcciones privadas de los hosts de la red.

• Cortafuegos basado en host: Filtra puertos y llamadas a servicios del sistema en un único
sistema operativo informático.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 7
Dispositivos y Tecnologías de Ciberseguridad
Escaneo de puertos

• En redes, a cada aplicación que se ejecuta en un dispositivo se le asigna un identificador llamado

número de puerto. Este número de puerto se utiliza en ambos extremos de la transmisión para
pasar los datos correctos a la aplicación correcta. El escaneo de puertos analiza un computador,
servidor u otro host de red en busca de puertos abiertos. Puede usarse maliciosamente como una
herramienta de reconocimiento para identificar el sistema operativo y los servicios que se ejecutan
en una computadora o host, o un administrador de red puede usarlo de manera inofensiva para
verificar las políticas de seguridad.

• Descargue e inicie una herramienta de escaneo de puertos como Zenmap. Ingrese la dirección IP
de su computadora, elija un perfil de escaneo predeterminado y presione 'escanear'.

• El escaneo informará sobre cualquier servicio en ejecución, como servicios web o de correo
electrónico, y sus números de puerto.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 8
Dispositivos y Tecnologías de Ciberseguridad
Escaneo de Puertos (continuación)

• El análisis también reportará una de las siguientes respuestas:

• "Abierto" o "Aceptado" significa que otros dispositivos de red pueden acceder al puerto o
servicio que se ejecuta en el ordenador.
• "Cerrado", "Denegado" o "No escucha" significa que el puerto o servicio no se está
ejecutando en el ordenador y, por lo tanto, no puede ser explotado.
• "Filtrado", "Descartado" o "Bloqueado" significa que un cortafuegos bloquea el acceso al
puerto o servicio y no es posible explotarlo.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 9
Dispositivos y Tecnologías de Ciberseguridad
Escaneo de Puertos (continuación)

• Para ejecutar un escaneo de puertos desde fuera de su red,

debe ejecutarlo contra la dirección IP pública de su
cortafuegos o router.

• Ingrese la consulta «¿cuál es mi dirección IP?» en un motor

de búsqueda como Google para encontrar esta información.

• Vaya a Nmap Online Port Scanner, introduzca su dirección IP

pública en el cuadro de entrada y presione 'Quick Nmap
Scan'. Si la respuesta es abierto para los puertos 21, 22, 25,
80, 443 o 3389, lo más probable es que el reenvío de puertos
se haya habilitado en su enrutador o firewall y tenga
habilitados los servidores en su red privada.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 10
Dispositivos y Tecnologías de Ciberseguridad
Sistemas de Detección y Prevención de Intrusiones
• Los sistemas de detección de intrusiones (IDS) y los sistemas de
prevención de intrusiones (IPS) son medidas de seguridad
implementadas en una red para detectar y prevenir actividades
maliciosas.
• Un IDS puede ser un dispositivo de red dedicado o una de varias
herramientas en un servidor, firewall o incluso un sistema operativo
de computadora host, como Windows o Linux, que escanea datos
contra una base de datos de reglas o firmas de ataques, en busca
de tráfico malicioso.
• Si se detecta una coincidencia, el IDS registrará la detección y
creará una alerta para un administrador de red. No tomará
medidas y, por lo tanto, no evitará que ocurran ataques. El trabajo
del IDS es simplemente detectar, registrar y generar informes.
• El análisis que realiza el IDS ralentiza la red (esto se denomina
latencia). Colocar un IDS fuera de línea, separado del tráfico
normal de la red, evita retrasos en la red. Los datos se copian o
duplican mediante un switch y luego se reenvían a los IDS para la
detección sin conexión.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 11
Dispositivos y Tecnologías de Ciberseguridad
Sistemas de Detección y Prevención de Intrusiones (continuación)

• Un IPS puede bloquear o denegar el tráfico según una regla positiva o una coincidencia de firma.
Uno de los IPS/IDS más reconocidos es Snort. La versión comercial de Snort es Sourcefire de
Cisco. Sourcefire puede realizar análisis de tráfico y puertos en tiempo real, registro, búsqueda y
comparación de contenidos, detección de sondas y ataques y ejecución de escaneos de puertos.
También se integra con herramientas de terceros para informes, rendimiento y análisis de
registros.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 12
Dispositivos y Tecnologías de Ciberseguridad
Detección en Tiempo Real

• Hoy en día, muchas organizaciones no pueden detectar los ataques hasta días o incluso meses
después de que se produzcan.

• La detección de ataques en tiempo real requiere un análisis activo de ataques mediante el uso de
firewall y dispositivos de red IDS/IPS. Ayudaría si también utilizara detección de malware de
cliente y servidor de última generación con conexiones a centros de amenazas globales en línea.
En la actualidad, el software y los dispositivos de análisis activos deben detectar anomalías de red
mediante la detección de comportamientos y el análisis basado en el comportamiento.

• El DDoS es uno de los ataques más potentes que requieren detección y respuesta en tiempo real.
Para muchas organizaciones, los ataques DDoS paralizan regularmente los servidores de Internet
y la disponibilidad de la red. Es extremadamente difícil defenderse de estos ataques porque se
originan en cientos, incluso miles, de hosts zombies, y los ataques aparecen como tráfico legítimo.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 13
Dispositivos y Tecnologías de Ciberseguridad
Protección contra el Malware

• Una forma de defenderse contra los ataques de día cero y las amenazas persistentes avanzadas
(APT) es utilizar una solución de detección de malware avanzada de nivel empresarial, como la
Red de Amenazas de Protección Avanzada contra Malware (AMP) de Cisco.

• Este software cliente/servidor puede implantarse en dispositivos finales del host, como servidor
independiente o en otros dispositivos de seguridad de la red. Analiza millones de archivos y los
correlaciona con cientos de millones de otros artefactos de malware interpretados en busca de
comportamientos que revelen una APT. Este enfoque proporciona una visión global de los ataques
de malware, las campañas y distribución.

• Equipo del Centro de Operaciones Seguras: La Red de Amenazas permite al equipo del
del Centro de Operaciones Seguras de Cisco recopilar datos más precisos y procesables.
• Equipo de Respuesta a Incidentes: El equipo de Respuesta a Incidentes tiene acceso a
información forense de utilidad a partir de la cual puede analizar y comprender más
rápidamente los comportamientos sospechosos.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 14
Dispositivos y Tecnologías de Ciberseguridad
Protección contra el Malware (continuación)

• Equipo de Inteligencia de Amenazas: Utilizando este análisis, el equipo de Inteligencia de

Amenazas puede mejorar proactivamente la infraestructura de seguridad de la
organización.
• Equipo de Ingeniería de Infraestructura de Seguridad: En general, el equipo de
Ingeniería de Infraestructura de Seguridad puede consumir y actuar sobre la información de
amenazas más rápido, a menudo de forma automatizada.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 15
Dispositivos y Tecnologías de Ciberseguridad
Buenas Prácticas de Seguridad

• Muchas organizaciones nacionales y profesionales han publicado listas de buenas prácticas de

seguridad. Puede encontrar algunas de las directrices más útiles en repositorios de
organizaciones como el Centro de Recursos de Seguridad Informática del Instituto Nacional de
Normas y Tecnología (NIST).

• Realice una evaluación de riesgos: Conocer y comprender el valor de lo que se protege

ayudará a justificar los gastos en seguridad.

• Cree una política de seguridad: Describe claramente las normas de la organización, las
funciones de los puestos, las responsabilidades y las expectativas de los empleados.

• Medida de seguridad física: Restringe el acceso a los armarios de red y a las ubicaciones
de los servidores y la extinción de incendios.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 16
Dispositivos y Tecnologías de Ciberseguridad
Buenas Prácticas de Seguridad (continuación)

• Medidas de seguridad de recursos humanos: Todos los empleados deben someterse a

una verificación de antecedentes.

• Realizar y probar copias de seguridad: Realice copias de seguridad de la información con

regularidad y pruebe la recuperación de datos a partir de las copias de seguridad.

• Mantener parches y actualizaciones de seguridad: Actualice periódicamente los sistemas

operativos y programas de servidores, clientes y dispositivos de red.

• Emplear controles de acceso: Configure funciones de usuario y niveles de privilegios, así

como una autenticación sólida de los usuarios.

• Probar periódicamente la respuesta a incidentes: Emplee un equipo de respuesta a

incidentes y pruebe escenarios de respuesta a emergencias.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 17
Dispositivos y Tecnologías de Ciberseguridad
Buenas Prácticas de Seguridad (continuación)

• Implementar una herramienta de supervisión, análisis y gestión de la red: Elija una

solución de supervisión de la seguridad que se integre con otras tecnologías.

• Implementar dispositivos de seguridad de red: Utilice enrutadores, cortafuegos y otros

dispositivos de seguridad de la siguiente generación.

• Implementar una solución integral de seguridad para dispositivos finales: Utilice

software antimalware y antivirus de nivel empresarial.

• Educar a los usuarios: Ofrezca formación a los empleados sobre los procedimientos de
seguridad. Una de las organizaciones más conocidas y respetadas para la capacitación en
ciberseguridad es el SANS Institute. Haga clic aquí para obtener más información sobre
SANS y los tipos de capacitación y certificaciones que ofrecen.

• Cifrar datos: Cifra todos los datos confidenciales de la organización, incluido el correo
electrónico.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 18
4.2 Comportamiento a Seguir
en la Ciberseguridad

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 19
Comportamiento a Seguir en la Ciberseguridad
Seguridad Basada en el Comportamiento
• La seguridad basada en el comportamiento es una forma de detección de
amenazas que captura y analiza el flujo de comunicación entre un usuario de
la red local y un destino local o remoto. Cualquier cambio en los patrones
normales de comportamiento se considera una anomalía y puede indicar un
ataque.

• Honeypots: Un honeypot es una herramienta de detección basada en

el comportamiento que atrae a los atacantes apelando a su patrón
previsto de comportamiento malicioso. Una vez que el atacante está
dentro del honeypot, el administrador de la red puede capturar,
registrar y analizar su comportamiento para poder construir una mejor
defensa.

• Arquitectura de la Solución de Defensa Frente a Ciberamenazas

de Cisco: Esta arquitectura de seguridad utiliza detección e
indicadores basados en el comportamiento para proporcionar mayor
visibilidad, contexto y control. El objetivo es saber quién está llevando a
cabo el ataque, qué ataque están realizando y dónde, cuándo y cómo
se está produciendo el ataque. Esta arquitectura de seguridad utiliza
muchas tecnologías de seguridad para lograr este objetivo.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 20
Comportamiento a Seguir en la Ciberseguridad
NetFlow

• El uso de la tecnología NetFlow es recopilar información sobre los

datos que fluyen por una red, incluyendo quién y qué dispositivos
están en la red y cuándo y cómo acceden los usuarios y
dispositivos a la red.

• NetFlow es un componente esencial del análisis y la detección

basados en el comportamiento. Switches, routers, and firewalls
equipped with NetFlow can report information about data entering,
leaving, and traveling through the network.

• Esta información se envía a los recopiladores de NetFlow que

recopilan, almacenan y analizan datos de NetFlow, para
establecer comportamientos de referencia en más de 90 atributos,
como la dirección IP de origen y destino.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 21
Comportamiento a Seguir en la Ciberseguridad
Pruebas de Penetración

• Las pruebas de penetración, comúnmente conocidas como pen testing, evalúan un sistema
informático, una red o una organización en busca de vulnerabilidades de seguridad. Una prueba
de penetración busca vulnerar sistemas, personas, procesos y código que podrían explotar
vulnerabilidades. Esta información mejora las defensas del sistema para garantizar que resista
mejor los ciberataques en el futuro.

• Paso 1. Planificación: El investigador (pen tester) recopila toda la información posible

sobre un sistema o red objetivo, sus vulnerabilidades potenciales y los ataques que puede
utilizar contra él. Esto implica llevar a cabo una vigilancia pasiva o activa (footprinting) y una
investigación de la vulnerabilidad.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 22
Comportamiento a Seguir en la Ciberseguridad
Pruebas de Penetración (continuación)

• Paso 2: Escaneo: El investigador (pen tester) lleva a cabo un reconocimiento activo para
sondear un sistema o red objetivo e identificar posibles puntos débiles que, de ser
explotados, podrían dar acceso a un atacante.

• La vigilancia activa puede incluir:

• escaneo de puertos para identificar puntos de acceso potenciales en un sistema de

destino
• análisis de vulnerabilidades para identificar posibles vulnerabilidades explotables de
un objetivo en particular
• Establece una conexión activa con un objetivo (enumeración) para identificar las
cuentas de usuario, sistema y administrador.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 23
Comportamiento a Seguir en la Ciberseguridad
Pruebas de Penetración (continuación)

• Paso 3: Obtener acceso: El pen tester intentará obtener acceso a un sistema objetivo y espiar el
tráfico de red, utilizando varios métodos para explotar el sistema, incluyendo:

• lanzar un exploit con una carga útil en el sistema

• traspasar las barreras físicas a los activos
• ingeniería social
• explotar las vulnerabilidades del sitio web
• explotar vulnerabilidades o configuraciones incorrectas de software y hardware
• violación de los controles de acceso de seguridad
• descifrar Wi-Fi encriptado débil.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 24
Comportamiento a Seguir en la Ciberseguridad
Pruebas de Penetración (continuación)

• Paso 4: Mantener el acceso: El pen tester mantendrá el acceso al objetivo para averiguar qué
datos y sistemas son vulnerables a la explotación. Deben pasar desapercibidos, por lo que suelen
utilizar puertas traseras, troyanos, rootkits y otros canales encubiertos para ocultar su presencia.

• Cuando esta infraestructura esté en marcha, el pen tester recopilará los datos que considere
valiosos.

• Paso 5: Análisis e informes: El investigador (pen tester) proporcionará información a través de un

informe recomendando actualizaciones de productos, políticas y formación para mejorar la
seguridad de una organización.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 25
Comportamiento a Seguir en la Ciberseguridad
Reducción del impacto

• Aunque hoy en día la mayoría de las organizaciones son conscientes de las amenazas a la
seguridad más comunes y realizan un esfuerzo considerable para prevenirlas, ninguna práctica de
seguridad es infalible. Por lo tanto, las organizaciones deben prepararse para contener el daño si
se produce una violación de la seguridad. ¡Y deben actuar rápido!

• Comunicar el problema: La comunicación crea transparencia, que es fundamental en esta

situación.
• La información a todos los empleados y la comunicación de un llamado claro a la
acción deben realizarse internamente.
• La información a todos los clientes mediante comunicación directa y anuncios oficiales
debe realizarse externamente.

• Sea sincero y responsable: Responda a la infracción con honestidad y sinceridad,

asumiendo la responsabilidad cuando la organización sea culpable.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 26
Comportamiento a Seguir en la Ciberseguridad
Reducción del impacto (continuación)
• Facilite los detalles: Sea abierto y explique por qué se ha producido la violación y qué
información se ha visto comprometida. Por lo general, las organizaciones se hacen cargo de
los costes de los clientes asociados a los servicios de suplantación de identidad requeridos
como consecuencia de una violación de la seguridad.

• Encontrar la causa: Tome medidas para comprender qué causó y facilitó la violación. Esto
puede implicar la contratación de expertos forenses para investigar y conocer los detalles.

• Aplicar las lecciones aprendidas: Asegúrese de que las lecciones aprendidas de las
investigaciones forenses se aplican para evitar que se produzcan violaciones similares.

• Compruebe y vuelva a comprobar: Los atacantes suelen intentar dejar una puerta trasera
para facilitar futuras intrusiones. Para evitarlo, debe asegurarse de que todos los sistemas
estén limpios, no desinstalar puertas traseras y no comprometer nada más.

• Educar: Sensibilizar, capacitar y educar a los empleados, socios y clientes sobre la

prevención de futuras violaciones.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 27
Comportamiento a Seguir en la Ciberseguridad
¿Qué es la Gestión de Riesgos?
• Gestión de riesgos: El proceso formal de identificar y evaluar continuamente el riesgo para
reducir el impacto de las amenazas y vulnerabilidades. No puede eliminar el riesgo, pero puede
determinar los niveles aceptables sopesando el impacto de una amenaza con el costo de
implementar controles para mitigarla. El costo de la energía siempre debe ser, como máximo, el
valor del activo que está protegiendo.

• Enmarcar el riesgo: Identificar las amenazas que aumentan el riesgo. Las amenazas
pueden incluir procesos, productos, ataques, posibles fallos o interrupciones de los
servicios, percepción negativa de la reputación de una organización, responsabilidad legal
potencial o pérdida de propiedad intelectual.

• Evaluar el riesgo: Determinar la gravedad que supone cada amenaza. Por ejemplo,
algunas amenazas pueden paralizar toda una organización, mientras que otras pueden ser
sólo pequeños inconvenientes. Puede priorizar el riesgo evaluando el impacto financiero (un
análisis cuantitativo) o el efecto a escala en el funcionamiento de una organización (análisis
cualitativo).

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 28
Comportamiento a Seguir en la Ciberseguridad
¿Qué es la Gestión de Riesgos? (continuación)

• Responder al riesgo: Desarrollar un plan de acción para reducir la exposición global al

riesgo de la organización, detallando dónde se puede eliminar, mitigar, transferir o aceptar el
riesgo.

• Monitorear el riesgo: Revisar continuamente cualquier riesgo reducido mediante acciones

de eliminación, mitigación o transferencia. Recuerde que no puede eliminar todos los
riesgos, por lo que debe monitorear de cerca las amenazas.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 29
4.3 Enfoque de Cisco para la
ciberseguridad

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 30
Enfoque de Cisco para la Ciberseguridad
CSIRT de Cisco
• Muchas organizaciones grandes tienen un Equipo de respuesta a incidentes
de seguridad informática (CSIRT) para recibir, revisar y responder a los
informes de incidentes de seguridad informática. Cisco CSIRT va un paso más
allá y proporciona evaluación proactiva de amenazas, planificación de
mitigación, análisis de tendencias de incidentes y revisión de la arquitectura de
seguridad para evitar que ocurran incidentes de seguridad.

• El CSIRT de Cisco adopta un enfoque proactivo, colaborando con el Foro de

equipos de seguridad y respuesta a incidentes (FIRST), el Intercambio de
información de seguridad nacional (NSIE), el Intercambio de información de
seguridad de defensa (DSIE) y el Centro de análisis e investigación de
operaciones de DNS (DNS-OARC). Esto garantiza que nos mantengamos
actualizados con los nuevos desarrollos.

• Varias organizaciones CSIRT nacionales y públicas, como la División CERT

del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon,
están disponibles para ayudar a las organizaciones y CSIRT nacionales a
desarrollar, operar y mejorar sus capacidades de gestión de incidentes.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 31
Enfoque de Cisco para la Ciberseguridad
Manual de Seguridad

Una de las mejores formas de prepararse para una violación de seguridad es prevenirla. Las
organizaciones deben orientarse sobre lo siguiente:

• cómo identificar el riesgo de ciberseguridad para los sistemas, los activos, los datos y
capacidades
• la aplicación de salvaguardias y la capacitación del personal
• un plan de respuesta flexible que minimiza el impacto y el daño en caso de una violación de la
seguridad
• la implementación de medidas y procesos de seguridad debe producirse tras una violación de la
seguridad.

Toda esta información debe compilarse en un manual de seguridad.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 32
Enfoque de Cisco para la Ciberseguridad
Manual de Seguridad (continuación)

Un manual de seguridad es una colección de consultas o informes repetibles que describen un

proceso estandarizado de detección y respuesta a incidentes. Idealmente, un manual de seguridad
debería:

• Resaltar cómo identificar y automatizar la respuesta a las amenazas comunes, como la detección
de máquinas infectadas con malware, la actividad de red sospechosa o los intentos de
autenticación irregulares
• Describir y definir claramente el tráfico entrante y saliente
• Proporcionar información resumida, incluidas tendencias, estadísticas y recuentos
• Proporcionar acceso rápido y utilizable a estadísticas y métricas clave
• Establecer una correspondencia de eventos en todas las fuentes de datos relevantes.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 33
Enfoque de Cisco para la Ciberseguridad
Herramientas para Prevención y Detección de Incidentes

Existen diversas herramientas para detectar y prevenir incidentes de seguridad.

• Un Sistema de Gestión de Eventos e Información de Seguridad (SIEM) recopila y analiza

alertas de seguridad, registros y otros datos históricos y en tiempo real de los dispositivos de
seguridad de la red para facilitar la detección temprana de ciberataques.

• El objetivo de un sistema de Prevención de Pérdida de Datos (DLP) es impedir que los datos
sensibles sean robados de una red o escapen de ella. Supervisa y protege los datos en tres
estados diferentes: datos en uso (acceso a los datos por parte de un usuario), datos en
movimiento (datos que viajan por la red) y datos en reposo (datos almacenados en una red o
dispositivo informático).

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 34
Enfoque de Cisco para la ciberseguridad
ISE y TrustSec de Cisco

Cisco Identity Services Engine (ISE) y TrustSec aplican el acceso de los usuarios a los recursos de red
mediante la creación de políticas de control de acceso basadas en roles

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco
4.4 Prueba del Módulo

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 36
Protegiendo la Organización
¿Qué aprendí en este módulo?
• Los dispositivos de seguridad pueden ser dispositivos independientes como un enrutador o
herramientas de software que se ejecutan en un dispositivo de red.
• En redes informáticas, el diseño de un cortafuegos controla o filtra qué comunicaciones
pueden entrar y salir de un dispositivo o red.
• El escaneo de puertos analiza un computador, servidor u otro host de red en busca de
puertos abiertos.
• Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones
(IPS) son medidas de seguridad implementadas en una red para detectar y prevenir
actividades maliciosas.
• La detección de ataques en tiempo real requiere un análisis activo de ataques mediante el
uso de firewall y dispositivos de red IDS/IPS.
• La seguridad basada en el comportamiento es una forma de detección de amenazas que
captura y analiza el flujo de comunicación entre un usuario de la red local y un destino local o
remoto.
• NetFlow es un componente importante del análisis y la detección basados en el
comportamiento.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 37
Protegiendo la Organización
¿Qué aprendí en este módulo? (continuación)

• Una prueba de penetración busca vulnerar sistemas, personas, procesos y código que
podrían explotar vulnerabilidades.
• La gestión de riesgos es el proceso formal de identificar y evaluar continuamente el
riesgo para reducir el impacto de las amenazas y vulnerabilidades.
• Un manual de seguridad es una colección de consultas o informes repetibles que
describen un proceso estandarizado de detección y respuesta a incidentes.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información confidencial de Cisco 38