¿Evento o incidente de ciberseguridad? La diferencia clave que debe conocer

La seguridad de la información y la ciberseguridad son dos de las principales preocupaciones de las empresas y organizaciones en la era digital. La detección temprana de eventos y la respuesta rápida a incidentes son clave para minimizar los riesgos y limitar los daños. Sin embargo, es importante comprender la diferencia entre un evento y un incidente de ciberseguridad.

Un evento de ciberseguridad se refiere a cualquier actividad o acción que tenga el potencial de afectar negativamente la seguridad de la información. Por ejemplo, un evento de ciberseguridad podría ser un intento de ataque de phishing, una vulnerabilidad descubierta en un sistema o un intento de intrusión en una red. No todos los eventos de ciberseguridad son maliciosos, algunos pueden ser accidentales, como la eliminación accidental de datos o la pérdida de un dispositivo.

Por otro lado, un incidente de ciberseguridad se produce cuando un evento de ciberseguridad resulta en una violación de la seguridad de la información o en una amenaza real para la integridad, confidencialidad o disponibilidad de los sistemas o datos. En otras palabras, un evento se convierte en un incidente cuando se confirma que hay una pérdida de datos o que un ataque ha tenido éxito en comprometer la seguridad de un sistema.

Es importante destacar que aunque un evento de ciberseguridad puede ser detenido por un control establecido, todavía puede ser considerado un incidente si hay una amenaza real o potencial para la seguridad de la información. Por ejemplo, si un sistema detecta y bloquea un intento de ataque de phishing antes de que se produzca una pérdida de datos, todavía se considera un incidente de ciberseguridad.

Es crucial que las empresas y organizaciones tengan políticas y procedimientos claros para la detección y respuesta a eventos y incidentes de ciberseguridad. La rápida respuesta y la mitigación de los riesgos pueden reducir los daños y minimizar el impacto de los incidentes.

Te muestro como determinar el nivel de impacto de un incidente de ciberseguridad y donde obtener mas información

En algunas ocasiones es difícil el clasificar el nivel del impacto de un incidente de ciberseguridad, en este post vamos a ver como podemos clasificarlo de acuerdo con el tipo de incidente. 

Para la clasificación se utilizan cinco niveles: crítico, muy alto, alto, medio y bajo.

Los siguientes datos fueron adaptados para el uso en una organización privada, solo son una muestra de los datos para que tengas un punto de partida y puedas seguir más fácilmente.

Criterios para determinar el nivel de impacto de un incidente de ciberseguridad.

Crítico

• Afecta a una Infraestructura Crítica.
• Afecta a sistemas clasificados SECRETO.
• Afecta a más del 90% de los sistemas de la organización.
• Interrupción en la prestación del servicio superior a 24 horas y superior al 50% de los usuarios.
• Daños reputacionales muy elevados y cobertura continua en medios de comunicación internacionales.

Muy alto

• Afecta a un servicio esencial.
• Afecta a sistemas clasificados RESERVADO.
• Afecta a más del 75% de los sistemas de la organización.
• Interrupción en la prestación del servicio superior a 8 horas y superior al 35% de los usuarios.
• Daños reputacionales a la imagen de la organización.
• Daños reputacionales elevados y cobertura continua en medios de comunicación nacionales.

Alto

• Afecta a más del 50% de los sistemas de la organización.
• Interrupción en la prestación del servicio superior a 1 hora y superior al 10% de usuarios.
• Daños reputacionales de difícil reparación, con eco mediático (amplia cobertura en los medios de comunicación) y afectando a la reputación de terceros.

Medio

• Afecta a más del 20% de los sistemas de la organización.
• Interrupción en la presentación del servicio superior al 5% de usuarios.
• Daños reputacionales apreciables, con eco mediático (amplia cobertura en los medios de comunicación).

Bajo

• Afecta a los sistemas de la organización.
• Interrupción de la prestación de un servicio.
• Daños reputacionales puntuales, sin eco mediático

Sin impacto

• No hay ningún impacto apreciable.

Puedes obtener más datos en la siguiente link: Guía de INCIBE 

 

Te muestro como se clasifican los incidentes de seguridad y donde obtener más información

Una de las labores mas difícil es saber como clasificar un incidente de ciberseguridad, en este post te muestro las categorías en las cuales se pueden clasificar de acuerdo con la documentación publicada por el Instituto Nacional de Ciberseguridad INCIBE en el sitio web taxonomía de un incidente. 

La siguiente clasificación muestra la categoría, subcategoría y una descripción de cada una de ellas:   

• Contenido abusivo
• SPAM: correo electrónico masivo no solicitado. El receptor del contenido no ha otorgado autorización válida para recibir un mensaje colectivo.
• Delito de odio: contenido difamatorio o discriminatorio. Ejemplos: ciberacoso, racismo, amenazas a una persona o dirigidas contra colectivos.
• Pornografía infantil, contenido sexual o violento inadecuado: material que represente de manera visual contenido relacionado con pornografía infantil, apología de la violencia, etc.
• Contenido dañino
• Sistema infectado: sistema infectado con malware. Ejemplo: sistema, computadora o teléfono móvil infectado con un rootkit.
• Servidor C&C (Mando y Control): conexión con servidor de Mando y Control (C&C) mediante malware o sistemas infectados.
• Distribución de malware: recurso usado para distribución de malware. Ejemplo: recurso de una organización empleado para distribuir malware.
• Configuración de malware: recurso que aloje ficheros de configuración de malware. Ejemplo: ataque de webinjects para troyano.
• Malware dominio DGA: nombre de dominio generado mediante DGA (Algoritmo de Generación de Dominio), empleado por malware para contactar con un servidor de Mando y Control (C&C).
• Obtención de información
• Escaneo de redes (scanning): envío de peticiones a un sistema para descubrir posibles debilidades. Se incluyen también procesos de comprobación o testeo para recopilar información de alojamientos, servicios y cuentas. Ejemplos: peticiones DNS, ICMP, SMTP, escaneo de puertos.
• Análisis de paquetes (sniffing): observación y grabación del tráfico de redes.
• Ingeniería social: recopilación de información personal sin el uso de la tecnología. Ejemplos: mentiras, trucos, sobornos, amenazas.
• Intento de intrusión
• Explotación de vulnerabilidades conocidas: intento de compromiso de un sistema o de interrupción de un servicio mediante la explotación de vulnerabilidades con un identificador estandarizado (véase CVE). Ejemplos: desbordamiento de buffer, puertas traseras, cross site scripting (XSS).
• Intento de acceso con vulneración de credenciales: múltiples intentos de vulnerar credenciales. Ejemplos: intentos de ruptura de contraseñas, ataque por fuerza bruta.
• Ataque desconocido: ataque empleando exploit desconocido.
• Intrusión
• Compromiso de cuenta con privilegios: compromiso de un sistema en el que el atacante ha adquirido privilegios.
• Compromiso de cuenta sin privilegios: compromiso de un sistema empleando cuentas sin privilegios.
• Compromiso de aplicaciones: compromiso de una aplicación mediante la explotación de vulnerabilidades de software. Ejemplo: inyección SQL.
• Robo: intrusión física. Ejemplo: acceso no autorizado a Centro de Proceso de Datos y sustracción de equipo.
• Disponibilidad
• DoS (Denegación de Servicio): ataque de Denegación de Servicio. Ejemplo: envío de peticiones a una aplicación web que provoca la interrupción o ralentización en la prestación del servicio.
• DDoS (Denegación Distribuida de Servicio): ataque de Denegación Distribuida de Servicio. Ejemplos: inundación de paquetes SYN, ataques de reflexión y amplificación utilizando servicios basados en UDP.
• Sabotaje: sabotaje físico. Ejemplos: cortes de cableados de equipos o incendios provocados.
• Interrupciones: interrupciones por causas externas. Ejemplo: desastre natural.
• Compromiso de la información
• Acceso no autorizado a información: acceso no autorizado a información. Ejemplos: robo de credenciales de acceso mediante interceptación de tráfico o mediante el acceso a documentos físicos.
• Modificación no autorizada de información: modificación no autorizada de información. Ejemplos: modificación por un atacante empleando credenciales sustraídas de un sistema o aplicación o encriptado de datos mediante ransomware.
• Pérdida de datos: pérdida de información. Ejemplos: pérdida por fallo de disco duro o robo físico.
• Fraude
• Uso no autorizado de recursos: uso de recursos para propósitos inadecuados, incluyendo acciones con ánimo de lucro. Ejemplo: uso de correo electrónico para participar en estafas piramidales.
• Derechos de autor: ofrecimiento o instalación de software carente de licencia u otro material protegido por derechos de autor. Ejemplos: Warez.
• Suplantación: tipo de ataque en el que una entidad suplanta a otra para obtener beneficios ilegítimos.
• Phishing: suplantación de otra entidad con la finalidad de convencer al usuario para que revele sus credenciales privadas.
• Vulnerable
• Criptografía débil: servicios accesibles públicamente que pueden presentar criptografía débil. Ejemplo: servidores web susceptibles de ataques POODLE/FREAK.
• Amplificador DDoS: servicios accesibles públicamente que puedan ser empleados para la reflexión o amplificación de ataques DDoS. Ejemplos: DNS open-resolvers o Servidores NTP con monitorización monlist.
• Servicios con acceso potencial no deseado: servicios accesibles públicamente potencialmente no deseados. Ejemplos: Telnet, RDP o VNC.
• Revelación de información: acceso público a servicios en los que potencialmente pueda revelarse información sensible. Ejemplos: SNMP o Redis.
• Sistema vulnerable: sistema vulnerable. Ejemplos: mala configuración de proxy en cliente (WPAD), versiones desfasadas de sistema.
• Otros
• Otros: todo aquel incidente que no tenga cabida en ninguna categoría anterior.
• APT: ataques dirigidos contra organizaciones concretas, sustentados en mecanismos muy sofisticados de ocultación, anonimato y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería social para conseguir sus objetivos junto con el uso de procedimientos de ataque conocidos o genuinos.
• Ciberterrorismo: uso de redes o sistemas de información con fines de carácter terrorista.
• Daños informáticos PIC: borrado, dañado, alteración, supresión o inaccesibilidad de datos, programas informáticos o documentos electrónicos de una infraestructura crítica. Conductas graves relacionadas con los términos anteriores que afecten a la prestación de un servicio esencial.

Conoce como saber que servicios debes publicar en Internet y mantener segura la organización

El siguiente artículo solo se centra en la publicación de servicios como por ejemplo un sitio web, una base de datos, un servicio de acceso remoto y otros por el estilo, para servicios más complejos te recomiendo asesorarte de un consultor especializado.

Se publica en Internet, información que se desea poner de conocimiento público, como por ejemplo, un sitio web, si tienes dudas acerca de que si un servicio deba ser publicado, entonces te recomiendo el siguiente grupo de preguntas:

Primera pregunta: ¿Es necesario tener acceso al servicio desde fuera de la organización? 

Si la respuesta es "no" entonces no publique el servicio en Internet, si la respuesta es "si" entonces viene la siguiente pregunta:

Segunda pregunta: ¿Es necesario que todo el mundo tenga acceso al servicio?

Si la respuesta es "no" entonces debes preparar el acceso de quien deba tenerlo, mediante un servicio seguro como un acceso VPN. Si la respuesta es "si" entonces deberás evaluar que tan crítico es el servicio que deseas publicar.

Para proteger un servicio crítico publicado en Internet tienes varias opciones para protegerlo, como por ejemplo, en la medida de lo necesario trata de implementar un doble factor de autenticación, implementa un servicio WAF para evitar ataques, 

Anteriormente, era bastante costoso proteger un servicio publicado, actualmente los servicios de protección de sitios WEB como WAF son económicos y son fácilmente configurables tanto si tienes tus servicios On Premise (en sitio) como si los tienes en la On Cloud (en la nube). 

Sea cual fuere la opción que elegiste, recuerda que la conexión a servicios internos de la organización, "siempre" debe hacerse por medio de una conexión VPN, esta opción está disponible en la mayoría de las marcas de firewall, solo es cuestión de activarla y configurarla.  

Una conexión VPN es una forma segura de conectarte a los servicios de tu organización, por ello, si los servicios no son para consumo del público, lo más recomendado es no publicarlos y conectarse vía VPN a ellos.

No actives servicios sobre Internet que no sean necesarios, hacer esto, es invitar a los delincuentes a intentar vulnerarlos y posiblemente poner en riesgo toda la organización.

Como estar preparado para un incidente de ciberseguridad.

Detectar un incidente a tiempo es una buena medida para saber que su esquema de ciberseguridad esta operando adecuadamente, tener monitoreo y métricas adecuadas le puede permitir actuar acertadamente cuando se presente un incidente. 

Lo recomendado es que tenga preparado un “Plan de respuesta a incidentes de ciberseguridad” el cual contendrá los pasos necesarios para atender de forma organizada un incidente.  

El rollo comienza cuando no se han realizado las tareas para cerrar las posibles brechas por donde los atacantes puedan atentar contra la infraestructura, adicionalmente, si no se monitorean las alertas de las consolas que administradas los principales servicios de la organización no podrá detectar un posible ataque.  La aplicación de los controles preventivos le cierran la puerta a más del 90% de los incidentes de ciberseguridad.

Afortunadamente se existen protocolos que apoyan para saber como atender de forma organizada un posible incidente de ciberseguridad. El siguiente esquema esta basado en el NIST: Computer SecurityIncident Handling Guide.

Existen mucho otros protocolos para atención de incidentes, la mayoría contempla los siguientes paso:

Preparar: Capacitar al personal de seguridad para manejar posibles incidentes mediante entrenamiento, equipamiento y práctica.

Identificar: detectar y decidir si un incidente cumple las condiciones para ser considerado un incidente de seguridad para la organización, y valorar su severidad.

Contener: contención del incidente mediante el aislamiento de sistemas comprometidos para evitar daños transversales a otros sistemas.

Erradicar: detectar la causa raíz del incidente y eliminar las vulnerabilidades de los sistemas afectados.

Recuperar: restaurar los sistemas afectados y asegurar que todos los sistemas están libres de vulnerabilidades y amenazas.

Aprender: analizar los registros de incidentes, actualizar el plan de respuesta y completar la documentación del incidente.

Es más económico para la organización el tener controles preventivos que actuar reactivamente ante un incidente, adicionalmente el contar con un “plan de respuesta a incidentes de ciberseguridad” ayudara en saber como atender el caso, que se puede hacer y que no se debe hacer, por ejemplo reinstalar equipos sin preservar la evidencia para saber por donde fue que ocurrió el incidente.  

Un apunte adicional, si su organización no ha contemplado trabajar organizadamente los temas de ciberseguridad tenga en cuenta que una de estas tres cosas pueden pasar:

1. Fue atacado y no se dio cuenta.
2. Esta siendo atacado y no lo ha detectado.
3. Puede ser víctima de ataques y no se va a enterar.

Ciber-resiliencia: ¿Que tan rápido se puede recupera de un ciberataque?

Por definición: 

“capacidad de la organización para recuperarse de forma rápida ante un ciberataque.”

Ya se han tratado temas de riesgos digitales, amenazas cibernéticas, vulnerabilidades, activos y otros más, ahora, la respuesta a la siguiente  pregunta le permitirá saber que tan robusta es su organización en términos de ciberseguridad: ¿Qué tan rápido se puede recuperar de un ciberataque?

La respuesta a esta pregunta lo va a posicionar pasos adelante o pasos atrás de su competencia, esto debido a que si su competencia se recupera más rápido, podrá atender más rápidamente el mercado en el cual están compitiendo. Esta respuesta también puede influir en el impacto económico que pueda llegar a tener un ciber-ataque en su organización, ya que si no tiene operativos los servicios, no se puedrá facturar, por ende no habrá ingresos económicos. 

Tres de las ventajas de una organización ciber-resilente:

• Reducción del impacto económico
• Ventaja frente a la competencia
• Gestión y tratamiento de riesgos

Estos son los pasos recomendados para que la organización sea ciber-resilente:

Evaluación: Evaluar los riesgos poniendo la vista en la recuperación ágil de la operación en el caso de ocurrir un ciberataque.

Protección: Elegir los controles adecuados para proteger y mantener la operación, iniciando con los servicios básicos de la organización.

Monitorización: El monitorear contantemente del desempeño de los controles seleccionados y su correcta operación le darán esa ventaja que necesita para tomar las decisiones adecuada en el momento oportuno.

Solución: Aplicar las acciones necesarias para mejorar los controles de acuerdo con los datos obtenidos de la monitorización del desempeño de los mismos.

Recuperación: Aquí es importante abordar los temas de “plan de recuperación de desastres”, “plan de continuidad del negocio”, es saber qué hacer en el caso de que los controles fallen y se deba mantener la operación de la organización.

Ciber-resilente: recuperar la operación de los servicios básicos lo más rápido posible.

A menor tiempo de recuperación de los servicios esenciales de la organización, mayor es su grado de ciber-resilencia, por ende, mayor ventaja competitiva, mayores ingresos y  mejor imagen corporativa.

Métricas: la importancia de medir y controlar en ciberseguridad.

 

Las métricas en ciberseguridad permiten medir, controlar y tomar decisiones de acuerdo a sus resultados y metas definidas,  ajustándose a cada organización y a sus objetivos de negocio. En este post vamos a trabajar cinco métricas que pueden ayudarle a tomar decisiones relacionadas con la protección de los datos digitales de su organización.

Las métricas se deben medir por periodos de tiempo para permitir llevar estadísticas de su comportamiento y facilitar la toma de decisiones. En la mayoría de los casos, el periodo de tiempo se toma de forma mensual.

Relacionadas con la prevención de materialización de incidentes:

Tiempo medio para detectar o descubrir una vulnerabilidad.

Corresponde al tiempo que se demora la organización en detectar una posible vulnerabilidad presente en los activos y que puede llegar a ser explotada por alguna amenaza. Esta métrica se puede medir en días y el riesgo es directamente proporcional a esta métrica, a mayor número de días, mayor riesgo.

Tiempo medio de remediación de vulnerabilidades

Esta métrica corresponde al número de días que la organización se tarda en remediar  una vulnerabilidad una vez que ha sido detectada. Es de tener en cuenta que la no remediación de estas vulnerabilidades puede incidir en la materialización de los incidentes de ciberseguridad. A mayor tiempo de remediación, mayor riesgo.

Número de incidentes de ciberseguridad: reportados/solucionados

Corresponde al número de incidentes de ciberseguridad reportados en un periodo de tiempo y la atención y soluciones de estos incidentes.

Tiempo medio para detectar o descubrir la causa de un incidente

Se refiere al tiempo medio que se tarda en descubrir un problema. Mide el período entre la materialización del incidente y la cantidad de tiempo que le toma identificar la causa del mismo. El equipo de atención de incidentes debe tener tiempos cortos de detección para poder a entrar a trabajar sobre la causa.

Tiempo medio de resolución de un incidente

Se refiere al tiempo que lleva solucionar el incidente. Es una medida de la cantidad promedio de tiempo que se necesita para solucionar la materialización del incidente.

Cuando se habla de tiempos, lo más común es que sea en días, claro está que existen organizaciones que toman estos periodos de tiempo en horas, incluso minutos, ya que una hora de inactividad puede costar miles de dólares, ejemplo: sector financiero.

Una cita del famoso físico matemático británico, William Thomson Kelvin: “Lo que no se define no se puede medir. Lo que no se mide no se puede mejorar. Lo que no se mejora, se degrada siempre”.

Es importante definir las métricas adecuadas para la organización ya que esto facilita la toma de decisiones y el ajuste de procesos. No tener métricas es tomar decisiones a ciegas.

Otras métricas que pueden resultar de interés:

• Número de intentos de intrusión/contención
• Costo por incidente
• Número de usuarios con nivel de acceso "privilegiado".
• Número de días para desactivar las credenciales de los empleados.
• Frecuencia de revisión de accesos de terceros

Cuatro componentes para prevenir incidentes de ciberseguridad.

Uno de los pilares fundamentales sobre los cuales esta soportada gran parte de las organizaciones es la tecnología. Mantener este pilar operando es fundamental ya que en él se apoya el manejo de la información, los datos y las conexiones que necesita la organización para apalancar los procesos de negocio.

 

Para mantener este pilar en operación, son cuatro los componentes básicos que le pueden llegar a ayudar para minimizar el impacto de un posible incidente de seguridad: 

• Tecnología actualizada. 

• Ingenieros capacitados  con experiencia.

• usuario final concientizado.

• procedimientos adecuados. 

El primer paso es mantener equipos de protección perimetral actualizados y con los debidos contratos de mantenimiento, de la misma forma, el software de los servidores deberá estar actualizado y con sus respectivas licencias operativas, igualmente pasa con el software de los computadores del personal, deberán estar actualizados y operativos. 

De preferencia, todo el software de organización deberá esta inventariado y adquirido a un fabricante reconocido que le pueda brindar el soporte y la capacitación para la operación del mismo. El software libre o “gratis”  no ofrece el soporte que se puede llegar a requerir en caso de un incidente, adicional, en la mayoría de los casos la curva de aprendizaje es alta y no es fácil de conseguir personal para su operación, por todo esto lo recomendado es software comercial. 

Importante tener el personal de tecnología con experiencia y capacitado  en la operación de los equipos de cómputo y usuario final.  No se recomiendan practicantes o ingenieros recién egresados para administrar los equipos en donde se encuentra la información crítica de la organización. Dejar la operación del centro de cómputo a personas sin experiencia es igual a contratar a una persona que acaba de sacar su licencia de conducir  para transportar gente en un bus de servicio público.

El talón de Aquiles de toda empresa, “usuario final no capacitado”. Este es el eslabón más débil de la cadena de seguridad, un usuario final capacitado será nuestra primera línea de defensa, por ejemplo, reportará posibles ataques a través del correo electrónico. 

Procedimientos adecuados, para que recorrer a ciegas el camino  que muchas empresas ya lo han recorrido. Una buena práctica es alinear los procedimientos de la organización con las mejores prácticas en temas de ciberseguridad. Adoptar un marco de trabajo como el marco de ciberseguridad del NIST le puede ayudar a madurar  los procesos en temas de ciberseguridad. 

Para finalizar, recuerde siempre tener personal capacitado y usuario final concientizado, por lo demás, tener en cuenta las recomendaciones sobre los cuatro componentes básicos que le pueden ayudar en la prevención de la materialización de un incidente de ciberseguridad. 

Desenredando el ciber-nudo: un enfoque no informático.

El objetivo de esta entrada  es abordar las definiciones de los principales términos relacionados con ciberseguridad, de una forma clara y simple, que permita entender facilmente como estan relacionados y como afectan la ciberseguridad.

Vamos a ir describiendo el significado de cada término y viendo su relación con el engranaje de ciberseguridad.

activo: cualquier información o elemento relacionado con el tratamiento de la  misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización.

Aqui, cabe anotar que estamos hablando de activos de información, los cuales son diferentes a los activos de una empresa. Por ejemplo, un ecritorio es un activo para la empresa, pero no es un activo de información, a menos que sirva para almacenar información importante para la empresa.

Cuando hablamos en terminos de ciberseguridad o seguridad de la información, (los más puritanos dirán que son dos cosas diferentes) la palabra activo se relaciona con todo aquello que involucre o este relacionado con  información ya sea escrita, digital o electrónica.

vulnerabilidad: Fallo o deficiencia  que puede permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas.

Las vulnerabilidades son fallas, errores o deficiencias que tienen o afectan a los activos y que de llegarsen a materializar pueden llegar a afectar al menos una de las tres principales características: la confidencialidad, la integridad o la  disponibilidad.

Siguiendo con el ejemplo del escritorio, una vulnerabilidad puede ser que los cajones donde se almacenan los informes secretos no se pueden cerrar con llave.

amenaza: Causa  potencial  de  un  incidente  no  deseado,  que  puede  provocar  daños  a  un sistema o a la organización.

Un activo puede tener vulnerabilidades, pero si no tiene amenazas que se aprovechen de estas, no hay riesgos. Regresando al ejemplo del escritorio y su vulnerabilidad en los cajones, una amenaza sería el ingreso de personas no autorizadas que puedan hacerse con los informes.

riesgo: Se relaciona con la posibilidad de que las amenazas exploten vulnerabilidades de un activo o grupo de activos de información y causen daño a una organización.

En este caso la definición es bastante clara, para que exista un riesgo se requiere de amenazas y  vulnerabilidades. Revisemos nuevamente el ejemplo del escritorio, cual es el riesgo de robo de los informes si no existe la vulnerabilidad de los cajones sin llave ? o cual es el riesgo si los cajones no tienen llave pero no hay quien los quiera robar ? ... en ambos casos el riesgo es cero.

En sintesis, al tener un activo con una vulnerabilidad y una amenaza, existe un riesgo sobre el activo. Cual es la probabilidad de que un riesgo se materialice? esa respuesta corresponde a un analisis de riesgos para determinar las vulnerabilidades y posibles amenazas sobre los activos de la empresa.

incidente: Cualquier suceso que afecte a la confidencialidad, integridad o disponibilidad de los activos de información de la empresa.

Un incidente es la materializacion del riesgo, es decir, la amenaza logró aprovechar la vulnerabilidad afectando el activo. Finalizando el ejempo, la persona no autorizada ingresó, abrió el cajón y robó los informes secreto de la empresa.

ciberseguridad: “Protección de activos de información, a través del tratamiento de  amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran  interconectados”.

En español, la ciberseguridad busca proteger los activos frente a las amenazas y vulnerabilidades.  La finalidad de la ciberseguridad es sugerir controles que eviten la materialización de los riegos. Para finalizar nuestro ejemplo, la ciberseguridad sugeriría poner cerrojos en cada uno de los cajones que contengan información secreta.

En la siguiente imagen puede revisar grficamente como estan relacionados cad uno de los términos tratados en esta entrada.

Con esta entrada espero haber ayudado a desnredar el complejo mundo de la ciberseguridad y sus términos anotando que esto es solo la punta del iceberg en cuanto a la jerga utilizada por los informáticos.

Podemos dar un pincelazo a nuestra próxima entrada diciendo que:

la ciberseguridad: tratando de los riesgos digitales a los cuales están expuestos los procesos empresariales.

fuentes de términos:

https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_metad.pdf

https://www.mintic.gov.co/portal/inicio/Glosario/
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html?n=55.html