ebook img

Best practices for Cybersecurity PDF

288 Pages·2014·9.89 MB·Spanish
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Best practices for Cybersecurity

1 informe final uit-D COMiSiÓN DE EStuDiO 1 4 1 0 2 - 0 1 0 Unión Internacional de Telecomunicaciones 2 Oficina de Desarrollo de las Telecomunicaciones CUESTIÓN 22-1/1 Place des Nations CH-1211 Ginebra 20 Suiza Garantía de seGuridad en las redes www.itu.int de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseGuridad : ... n ó i c a c i n u m o c y n ó i c a m r o f n i e d s e d e r s a l n e d a d i r u G e s e d a í t n a r a G 1: / 1 - 2 2 N 4 Ó 1 TI Impreso en Suiza 20 ES 5 . o P E R I O D O D E E S T U D I O S 2 0 1 0 - 2 0 1 4 Ginebra, 2014 01/ CU Sector de Desarrollo de las Telecomunicaciones Unión International de las Telecomunicaciones(UIT) Oficina de Desarrollo de las Telecomunicaciones (BDT) Oficina del Director Place des Nations CH-1211 Ginebra 20 – Suiza Correo-e: [email protected] Tel.: +41 22 730 5035/5435 Fax: +41 22 730 5484 Director Adjunto y Departamento de Infraestructura, Departamento de Innovación y Departamento de Apoyo a los Jefe del Departamento de Entorno Habilitador y Asociaciones (IP) Proyectos y Gestión del Administración y Coordinación Ciberaplicaciones (IEE) Conocimiento (PKM) de las Operaciones (DDR) Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Tel.: +41 22 730 5784 Tel.: +41 22 730 5421 Tel.: +41 22 730 5900 Tel.: +41 22 730 5447 Fax: +41 22 730 5484 Fax: +41 22 730 5484 Fax: +41 22 730 5484 Fax: +41 22 730 5484 África Etiopía Camerún Senegal Zimbabwe International Telecommunication Union internationale des Union internationale des International Telecommunication Union (ITU) télécommunications (UIT) télécommunications (UIT) Union (ITU) Oficina Regional Oficina de Zona Oficina de Zona Oficina de Zona de la UIT P.O. Box 60 005 Immeuble CAMPOST, 3e étage 19, Rue Parchappe x Amadou TelOne Centre for Learning Gambia Rd., Leghar ETC Building Boulevard du 20 mai Assane Ndoye Corner Samora Machel and 3rd floor Boîte postale 11017 Immeuble Fayçal, 4e étage Hampton Road Addis Ababa – Etiopía Yaoundé – Camerún B.P. 50202 Dakar RP P.O. Box BE 792 Belvedere Dakar – Senegal Harare – Zimbabwe Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Tel.: +251 11 551 4977 Tel.: + 237 22 22 9292 Tel.: +221 33 849 7720 Tel.: +263 4 77 5939 Tel.: +251 11 551 4855 Tel.: + 237 22 22 9291 Fax: +221 33 822 8013 Tel.: +263 4 77 5941 Tel.: +251 11 551 8328 Fax: + 237 22 22 9297 Fax: +263 4 77 1257 Fax: +251 11 551 7299 Américas Brasil Barbados Chile Honduras União Internacional de International Telecommunication Unión Internacional de Unión Internacional de Telecomunicações (UIT) Union (ITU) Telecomunicaciones (UIT) Telecomunicaciones (UIT) Oficina Regional Oficina de Zona Oficina de Representación de Área Oficina de Representación de Área SAUS Quadra 06, Bloco “E” United Nations House Merced 753, Piso 4 Colonia Palmira, Avenida Brasil 11º andar, Ala Sul Marine Gardens Casilla 50484 – Plaza de Armas Ed. COMTELCA/UIT, 4.º piso Ed. Luis Eduardo Magalhães (Anatel) Hastings, Christ Church Santiago de Chile – Chile P.O. Box 976 70070-940 Brasilia, DF – Brazil P.O. Box 1047 Tegucigalpa– Honduras Bridgetown – Barbados Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Tel.: +55 61 2312 2730-1 Tel.: +1 246 431 0343/4 Tel.: +56 2 632 6134/6147 Tel.: +504 22 201 074 Tel.: +55 61 2312 2733-5 Fax: +1 246 437 7403 Fax: +56 2 632 6154 Fax: +504 22 201 075 Fax: +55 61 2312 2738 Estados Árabes Asia-Pacífico Países de la CEI Egipto Tailandia Indonesia Federación de Rusia International Telecommunication International Telecommunication International Telecommunication International Telecommunication Union (ITU) Union (ITU) Union (ITU) Union (ITU) Oficina Regional Oficina de Zona Oficina de Zona Oficina de Zona Smart Village, Building B 147, 3rd floor Thailand Post Training Center ,5th floor Sapta Pesona Building, 13th floor 4, Building 1 Km 28 Cairo – Alexandria Desert Road 111 Chaengwattana Road, Laksi JI. Merdan Merdeka Barat No. 17 Sergiy Radonezhsky Str. Giza Governorate Bangkok 10210 – Tailandia Jakarta 10001 – Indonesia Moscú 105120 – Federación de Rusia Cairo – Egipto Dirección postal: Dirección postal: Dirección postal: P.O. Box 178, Laksi Post Office c/o UNDP – P.O. Box 2338 P.O. Box 25 – Moscú 105120 Laksi, Bangkok 10210, Tailandia Jakarta 10001 – Indonesia Federación de Rusia Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Correo-e: [email protected] Tel.: +202 3537 1777 Tel.: +66 2 575 0055 Tel.: +62 21 381 3572 Tel.: +7 495 926 6070 Fax: +202 3537 1888 Fax: +66 2 575 3507 Tel.: +62 21 380 2322 Fax: +7 495 926 6073 Tel.: +62 21 380 2324 Fax: +62 21 389 05521 Europa Suiza Union internationale des télécommunications (UIT) Oficina de Desarrollo de las Telecomunicaciones (BDT) Unidade Europa (EUR) CONTACTO Place des Nations Sitio web: www.itu.int/ITU-D/study_groups CH-1211 Ginebra 20 – Suiza Librería electrónica de la UIT: www.itu.int/pub/D-STG/ Correo-e: [email protected] Tel.: +41 22 730 5111 Correo electrónico: [email protected] Teléfono: +41 22 730 5999 CUESTIÓN 22-1/1: Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad Comisiones de Estudio del UIT-D Para apoyar el programa de divulgación de conocimientos y creación de capacidades de la Oficina de Desarrollo de las Telecomunicaciones, las Comisiones de Estudio del UIT-D ayudan a los países a alcanzar sus objetivos de desarrollo. Las Comisiones de Estudio del UIT-D, que actúan de catalizador creando, compartiendo y aplicando conocimientos de las TIC para reducir la pobreza y propiciar el desarrollo socioeconómico, contribuyen a crear condiciones propicias para que los Estados Miembros utilicen los conocimientos y alcancen más fácilmente sus objetivos de desarrollo. Plataforma de conocimientos Los resultados aprobados en las Comisiones de Estudio del UIT-D, así como el material de referencia conexo, se utilizan para implementar políticas, estrategias, proyectos e iniciativas especiales en los 193 Estados Miembros de la UIT. Esas actividades también permiten aumentar el acervo de conocimientos compartidos entre los Miembros. Centro de intercambio de información y divulgación de conocimientos Los temas de interés colectivo se comparten en reuniones físicas, foros electrónicos y reuniones con participación a distancia en una atmósfera propicia al debate abierto y el intercambio de información. Acervo de información Los Informes, directrices, prácticas idóneas y Recomendaciones se elaboran a partir de las contribuciones sometidas por los miembros de los Grupos. La información se reúne en encuestas, contribuciones y estudios de casos, y se divulga para que los miembros la puedan consultar fácilmente con instrumentos de gestión de contenido y publicación web. Comisión de Estudio 1 En el periodo de 2010-2014 se encargó a la Comisión de Estudio 1 que estudiara nueve Cuestiones en los ámbitos de entorno propicio, ciberseguridad, aplicaciones TIC y cuestiones relativas a Internet. Concentró su labor en políticas y estrategias nacionales de telecomunicaciones que permiten a los países aprovechar de forma óptima el ímpetu de las telecomunicaciones/TIC como motor de crecimiento sostenible, de la creación de empleo y del desarrollo económico, social y cultural, teniendo presentes las cuestiones prioritarias para los países en desarrollo. La labor comprendía las políticas de acceso a las telecomunicaciones/TIC, en particular, el acceso de las personas con discapacidad y con necesidades especiales, así como la seguridad en las redes de telecomunicaciones/TIC. También se concentró en políticas y modelos tarifarios para las redes de la próxima generación, cuestiones relativas a la convergencia, acceso universal a los servicios de banda ancha fijos y móviles, análisis de las repercusiones, y aplicación de principios de costes y contables, teniendo en cuenta los resultados de los estudios llevados a cabo por el UIT-R y el UIT-T, y las prioridades de los países en desarrollo. En la elaboración del presente informe han participado muchos voluntarios, provenientes de diversas administraciones y empresas. Cualquier mención de empresas o productos concretos no implica en ningún caso un apoyo o recomendación por parte de la UIT.  ITU 2014 Reservados todos los derechos. Ninguna parte de esta publicación puede reproducirse por ningún procedimiento sin previa autorización escrita por parte de la UIT. C22-1/1: Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad Índice Página 1 Introducción al Informe Final relativo a la Cuestión 22-1/1 sobre Ciberseguridad ................ 1 2 Prácticas óptimas en materia de ciberseguridad: guía para el establecimiento de un sistema de gestión nacional de la ciberseguridad ................................................................. 1 2.1 Introducción ...................................................................................................................... 1 2.2 Sistema de Gestión Nacional de la Ciberseguridad .......................................................... 2 2.3 Marco Nacional de Ciberseguridad................................................................................... 4 2.4 Matriz RACI ....................................................................................................................... 10 2.5 Guía de aplicación de la NCSec ......................................................................................... 11 2.6 Guía de aplicación ............................................................................................................. 12 2.7 Conclusión ......................................................................................................................... 13 3 Alianzas público-privadas en apoyo de las metas y los objetivos en materia de ciberseguridad .................................................................................................................... 13 3.1 Introducción ...................................................................................................................... 13 3.2 Principios de la asociación ................................................................................................ 14 3.3 Propuesta de valor ............................................................................................................ 15 3.4 Alianzas y gestión de los riesgos para la seguridad .......................................................... 17 3.5 Declaración final ............................................................................................................... 20 3.6 Estudio de caso: alianzas público-privadas en los Estados Unidos de América................ 20 3.7 Estudio de caso: algunas alianzas público-privadas en materia de ciberseguridad de los Estados Unidos de América .................................................................................... 23 4 Prácticas óptimas para la ciberseguridad nacional: creación de un sistema nacional de gestión de incidentes informáticos.................................................................... 26 4.1 Introducción ...................................................................................................................... 26 4.2 La importancia de una Estrategia nacional de ciberseguridad ......................................... 26 4.3 Principales partes interesadas en materia de ciberseguridad nacional ........................... 27 4.4 El papel especial del CIRT nacional ................................................................................... 29 4.5 Análisis de incidentes informáticos de seguridad para identificar conjuntos de intrusión ............................................................................................................................ 29 4.6 Creación de una cultura de ciberseguridad ...................................................................... 31 4.7 Objetivos estratégicos y metas coadyuvantes de los sistemas de gestión de los incidentes .......................................................................................................................... 31 4.8 Conclusión ......................................................................................................................... 43 iii C22-1/1: Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad Página 5 Prácticas óptimas en materia de ciberseguridad: gestión de un CIRT nacional con factores esenciales del éxito ................................................................................................ 44 5.1 Introducción ...................................................................................................................... 44 5.2 Factores esenciales del éxito (CSF) ................................................................................... 44 5.3 Ventajas de un enfoque basado en CSF ............................................................................ 45 5.4 Fuentes de CSF .................................................................................................................. 45 5.5 Identificación de CSF ......................................................................................................... 46 5.6 Definición del alcance ....................................................................................................... 47 5.7 Recogida de datos: recopilación de documentos y entrevistas ....................................... 47 5.8 Análisis de los datos .......................................................................................................... 48 5.9 Extracción de CSF .............................................................................................................. 49 5.10 Utilización de los factores esenciales del éxito para los CIRT nacionales ......................... 50 5.11 Creación de un sistema de gestión nacional de incidentes informáticos de seguridad ... 50 5.12 Selección de los servicios del CIRT nacional ..................................................................... 52 5.13 Identificación de prioridades para las mediciones y los parámetros ............................... 56 5.14 Conclusión ......................................................................................................................... 57 6 Prácticas óptimas en materia de ciberseguridad: protección de las redes de los proveedores de servicios de Internet (PSI) ................................................................. 58 6.1 Introducción ...................................................................................................................... 58 6.2 Objetivo, alcance y metodología ...................................................................................... 58 6.3 Análisis, conclusiones y recomendaciones ....................................................................... 61 6.4 Recomendaciones ............................................................................................................. 62 6.5 Conclusiones ..................................................................................................................... 63 7 Futuros trabajos .................................................................................................................. 63 APÉNDICE A: Introducción a las prácticas óptimas ..................................................................... 65 Prácticas óptimas en materia de prevención .............................................................................. 66 Prácticas óptimas en materia de detección ................................................................................ 70 Prácticas óptimas en materia de notificación ............................................................................. 72 Prácticas óptimas en materia de mitigación ............................................................................... 73 Prácticas óptimas en materia de consideraciones de privacidad................................................ 75 8 Prácticas óptimas para la ciberseguridad: curso de formación sobre la creación y la gestión de un CIRT ........................................................................................... 76 Introducción ................................................................................................................................ 76 iv C22-1/1: Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad Página ANNEXES Annex A: Best practices for Cybersecurity – Planning and Establishing a National CIRT ................ 79 Annex B: Best practices for Cybersecurity – Managing a National CIRT with Critical Success Factors ......................................................................................................................... 102 Annex C: Best practices for Cybersecurity – Guide for the Establishment of a National Cybersecurity Management System ............................................................................. 122 Annex D: Best practices for Cybersecurity – Internet Service Provider (ISP) Network Protection Best Practices ............................................................................................. 189 Annex E: Best practices for Cybersecurity – Training Course on Building and Managing National Computer Incident Response Teams (CIRTs) ................................................... 205 Annex F: Best practices for Cybersecurity – Survey on Measures Taken to Raise Awareness on Cybersecurity .......................................................................................................... 254 Annex G: Best practices for Cybersecurity – Public-Private Partnerships in Support of Cybersecurity Goals and Objectives ............................................................................. 268 Annex H: Compendium on Cybersecurity Country Case Studies ................................................... 270 Figuras Figura 1: Sistema de Gestión Nacional de la Ciberseguridad ....................................................... 2 Figura 2: Modelo de Marco NCSec .............................................................................................. 5 Figura 3: Radar para evaluar los niveles de madurez .................................................................. 9 Figura 4: Pasos de la guía de aplicación ...................................................................................... 11 Figura 5: Enfoque de la resolución NCSecIG ................................................................................ 12 Figura 6: Ciclo de vida de la gestión de riesgos ........................................................................... 18 Figura 7: Modelo de asociación sectorial del CIPAC .................................................................... 22 Figura 8: Ejemplo: tres objetivos del Plan Estratégico 2008-2013 del DHS ................................... 48 Figura 9: Comparación entre los CSF y los departamentos para determinar qué departamentos apoyan unos u otros factores esenciales del éxito ............................... 53 Cuadros Cuadro 1: Temas derivados del examen del documento ............................................................... 49 Cuadro 2: Preguntas a las que hay que responder al poner en marcha un CIRT nacional ............... 51 Cuadro 3: Matriz del análisis de afinidad para la elección de servicios del CIRT nacional ficticio ... 55 Cuadro 4: Ejemplos de medidas que apoyan la misión del CIRT nacional ...................................... 56 v C22-1/1: Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad CUESTIÓN 22-1/1 Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad 1 Introducción al Informe Final relativo a la Cuestión 22-1/1 sobre Ciberseguridad En el marco de la Cuestión 22-1/1 de la Comisión de Estudio 1 del UIT-D se elaboran informes sobre prácticas óptimas que atañen a distintos aspectos del ámbito de la ciberseguridad. El presente documento contiene el Informe final sobre las actividades que se han llevado a cabo en el marco de la Cuestión 22-1/1 del UIT-D durante el último ciclo de estudios de cuatro años, que abarcó el periodo comprendido entre 2010 y 2014. En su reunión de 2010 en Hyderabad (India), la Conferencia Mundial de Desarrollo de las Telecomunicaciones (CMDT) estableció el programa de trabajo de la Cuestión 22-1/1. Durante los últimos cuatro años, la Cuestión 22-1/1 se ha ocupado, parcial o totalmente, de todos los puntos del programa de trabajo. El Informe final de la Cuestión 22-1/1 se compone de una serie de informes sobre prácticas óptimas relativas a distintos aspectos de la ciberseguridad, entre otros: 1) una guía para el establecimiento de un sistema de gestión nacional de la ciberseguridad; 2) las prácticas óptimas para la creación de alianzas público-privadas de apoyo a las metas y objetivos en materia de ciberseguridad; 3) la creación de un centro de gestión nacional de incidentes informáticos de seguridad; 4) la gestión de un CIRT nacional a partir de factores esenciales del éxito, y 5) las prácticas óptimas para la protección de las redes de los proveedores de servicios de Internet (PSI). Además, el Anexo E al presente Informe contiene materiales de formación para la creación y la gestión de un CIRT. La Cuestión también recibió una contribución que describe cursos presenciales y en línea para niños de la Academia Nacional de Telecomunicaciones de Odessa A.S. Popov. La Comisión recibió igualmente información de la BDT sobre sus actividades mundiales y regionales. La labor relativa a la Cuestión 22-1/1 prosigue en varios informes más, entre ellos un informe sobre prácticas óptimas para luchar contra el correo basura, un estudio sobre los programas de sensibilización en los que participan los Estados Miembros y una recopilación de los informes que los países han presentado a la Cuestión 22-1/1 sobre las actividades que han llevado a cabo en materia de ciberseguridad. Esta labor debería concluir en el próximo ciclo de estudios. 2 Prácticas óptimas en materia de ciberseguridad: guía para el establecimiento de un sistema de gestión nacional de la ciberseguridad 2.1 Introducción En una era digitalmente avanzada en la que los países tienen que hacer frente a unos riesgos y unas vulnerabilidades reales en sus sistemas de información esenciales que sus adversarios pueden explotar, es fundamental insistir en la importancia de establecer un sistema de gestión nacional de la ciberseguridad. Actualmente, el ciberespacio está lejos de ser un lugar seguro, y es cada vez más urgente tomar medidas, tanto a nivel nacional como internacional, contra toda suerte de ciberamenazas. Corresponde a los gobiernos afrontar unos desafíos informáticos contra la seguridad que se ven acrecentados por la 1 C22-1/1: Garantía de seguridad en las redes de información y comunicación: prácticas óptimas para el desarrollo de una cultura de ciberseguridad ausencia de unas estructuras organizativas e institucionales adecuadas para ocuparse de este tipo de incidentes. En consecuencia, los sectores y las agencias principales deberían evaluar los entornos de fiabilidad, vulnerabilidad y amenazas de las infraestructuras y adoptar las respuestas y las medidas de protección que estimen adecuadas para protegerlas. La UIT ya ha propuesto un proceso para elaborar y aplicar un plan nacional de ciberseguridad. En la propuesta se define un método para implementar un Plan nacional de gobernanza de la ciberseguridad, que incluye un marco de Prácticas óptimas y un Modelo de madurez, a fin de evaluar los distintos aspectos relacionados con la ciberseguridad nacional. El Documento "Prácticas óptimas en materia de ciberseguridad nacional: guía para el establecimiento de un sistema de gestión nacional de la ciberseguridad" tiene por objetivo presentar el "NCSecMS", el "Sistema de Gestión Nacional de la Ciberseguridad", una guía para desarrollar unos mecanismos de ciberseguridad nacional efectivos. La aplicación de un Plan nacional de gobernanza de la ciberseguridad se garantiza a través de los cuatro componentes siguientes: "NCSec Framework" ["Marco NCSec"], que propone cinco dominios y 34 procesos para abarcar las cuestiones principales relacionadas con la ciberseguridad a escala nacional, como la norma ISO 27002 para organizaciones; 1 "NCSec Maturity Model" ["Modelo de madurez NCSec"], que clasifica los procesos de "NCSec Framework" según su nivel de madurez; 2 ""NCSec RACI chart" ["Gráfico RACI NCSec"], que ayuda a definir las funciones y las responsabilidades de las principales partes interesadas preocupadas por la ciberseguridad en un país o una región; 3 "NCSec Implementation Guide" ["Guía de aplicación NCSec"], que es una generalización de las normas ISO 27001 y 27003 a nivel nacional. Subraya las prácticas óptimas a las que pueden recurrir las organizaciones para medir su grado de preparación. 2.2 Sistema de Gestión Nacional de la Ciberseguridad El Sistema de Gestión Nacional de la Ciberseguridad, conocido como "NCSecMS", puede considerarse como una herramienta que tiene por fin facilitar, tanto a escala nacional como regional, la consecución de la ciberseguridad nacional. Consta de 4 pasos, que incluyen los componentes siguientes: Figura 1: Sistema de Gestión Nacional de la Ciberseguridad 2

Description:
(GCA). Inspirada plenamente en la norma ISO 270021, se trata de un . de tal manera que permita alcanzar los objetivos de la GCA y abordar los
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.