Assessment Methodologies

Cybersecurity Basics

Que es la ciberseguridad?

Es la protección de sistemas informaticos y redes de informacion, divulgacion, robo, o dano a su software/hardware o datos electronicos

Que estamos protegindo?

  • Información de indentificacion personal

  • Informacion de atencion medica

  • Datos financieros

  • Propiedad Intelectual

  • Secretos comerciales

  • Operaciones comerciales

Asegurarlos de quien?

  • Criminales

  • Competidores

  • Amenazas internas

  • Actores maliciosos

La Triada CIA

Un modelo para describir la seguridad, se mueve y fluctua con las necesidades del negocio.

  • Confidencialidad: Solo para tus ojos

  • Integridad: Solo se producen cambios autorizados, la informacion no cambia

  • Disponibilidad: Informacion a disposicion de las personas adecuadas cuando lo requieres

  • Balance (Equilibrio): Equilibra los 3 compoennetes para satisfacer las necesidades comerciales.

Defense in Depth

Este concepto depende de lo que estes asegurdando, que tan importante sea y lo que esta pasando detras de el. Por lo cual uno debe de construir diferentes capas de seguridad.

Busines Needs

La seguridad depende de las necesidades del negocio y los objetivos de la misma, la empresa puede ser pequena, grande o un hospital, y sis objtivos son diferentes para cada empresa.

Risk Managment

El dinero llega aser un factor muy importante para un negocio,

  • Cuanto costara asegurar algo?, contra que?

  • Cual sera el costo si lo aseguramos de manera eficiente?

  • Puede reducir el seguro?

  • Puede reducirse a posibles juicios?

  • Puede reducirse ante una perdidas de la propuedad intelectual?

No solo es la ciberseguridad la que forma parte de la gestión de riesgos. Todas las decisiones comerciales en una organización se mezclaran con la gestión de riesgos.

  • Vamos a sacar este producto?

  • Vamos a continuar con esta campana de marketing?

  • Cual es el análisis de costo beneficio?, esa es una parte normal de las operaciones comerciales.

Compliance

Frameworks and Maturity

Auditing

Una empresa puede estar realizando una auditoria de cumplimiento. La auditoria es la forma en que una empresa puede verificar y ver si la organizacion estan en cumplimiento o un tercero puede venir y realizar una auditoria, para ver si estan siguiendo las pautas.

  1. Comenzar con entrevistas: Las entrevistas pueden ser al CISAO, a los administradores, o a cualquier persona quien esta creando usando informacion. Preguntas que se les puede hacer:

    a. Recibio algun entrenamiento de concientizacion sobre seguridad este ano?

    b. Que practicas conoces?

    c. Se puede conectar USB?

    d. Tiene acceso al edificio atraves de algun tipo de authenticacion multifactor?

    e. Tiene acceso a su maquina atraves de algun tipo de authenticacion multifactor?

    Al hacer estrevistas no solo obtiene la opnion de una persona, obtiene el alcance completo, imagen del todo el entorno.

  2. Review Paperwork: Revision de politicas, como almacenan la informacion, etc

  3. Assessments (Evaluacion - Pentest): Revision de Firewall, Antivirus, los cuales se puede completar con las herramientas, como un analisis de Nessus o herramientas de Auditoria Solar Winds. Para encontrar las vulnerabilidades correspondientes.

Como pentester, de una auditoria, evaluacion, o una prueba de penetracion. Es necesario tomar algunas buenas notas. Puede utilizar alguna de las siguientes herramientas

  • Joplin

  • Onenote

  • Sublimetext

Otra forma de compartir informacion, es utilizar un mapa mental "Mind Map"

  1. Reportes: No se recibe pago de la prueba de penetracion, si no del informa que proporciona valor para la organizacion. Escaneos, vulnerabilidades de cero dia, exploits. El informe debe de contener y provine de la experiencia tecnica, tambien de de tener algo de perspicacia y comprension de su negocio (necesidades), cuales son los marcos, cual es su cumplimineto y regulaciones. Convirtiendo en un paquete muy util para ellos.

PreviousAssessment Methodologies: Auditing FundamentalsNextPractice

Last updated