El Diario del CISO El Diario del CISO (THE CISO JOURNAL) EDICIÓN 2/19 | Page 8

EL DIARIO DEL CISO (THE CISO JOURNAL) Pensando y Trabajando por un Líder de Seguridad Digital INFLUENCIADORES Confianza digital imperfecta: Un reto de simetría, reciprocidad y sinceridad Jeimy Cano, Ph.D, CFE Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas – ACIS ¿Cómo realizar ejercicios de Ciberseguridad? Sebastián Vargas CISO | Profesional de Tecnologías,Seguridad Introducción Revisando recientemente diferentes documentos sobre ciberseguridad, protección de datos, transformación digital y negocios digitales, la palabra que más se reitera en los Esta nueva entrega va enfocada para las personas que están iniciándose en el diferentes informes es confianza. Una palabra toma mucha relevancia ahora en un área de la Ciberseguridad defensiva. Tengo la suerte de ser amigo de algunos entorno cada vez más digital y tecnológicamente modificado. especialistas, y he podido entender, que no hay fórmula mágica, certificación o camino rápido para lograr las habilidades en tecnologías y técnicas que se La necesidad de confianza en los entornos digitales, surge no por el hecho del requieren para ser un mejor profesional de Ciberseguridad. reconocimiento del cliente, sino por la necesidad de un tratamiento responsable de la información y por otro lado, que los consumidores “sientan” que la tecnología le está ¿Qué es un ejercicio de Ciberseguridad? respondiendo a sus exigencias de seguridad y privacidad, sabiendo que ella, podrá en cualquier momento activar o desactivar las medidas propuestas. Para este caso en particular, son ejercicios donde se vulneran maquinas reales preparadas para ello sobre entornos controlados, con técnicas de De acuerdo con Sanz, Ruiz & Pérez (2009) “Una condición fundamental para establecer hacking ético, en un sentido amplio y quizás en otro capítulo podemos una relación de confianza entre dos partes es que se cumplan los siguientes principios llevarlos al Red-Team y Blue-Team. básicos: simetría, reciprocidad y sinceridad” (Sanz, Ruiz & Pérez, 2009, p.39). Se entiende por simetría que las dos partes están en igualdad de condiciones en el entorno, donde asumen por igual los riesgos y amenazas que se puedan identificar. La reciprocidad implica que ambas partes tienen la esperanza que se actuará de forma equivalente y ajustada a la relación inicialmente planteada, a pesar de las asimetrías de posición dominante que puedan existir. Finalmente, la sinceridad, es el compromiso de las partes de no ocultar información relevante, de tener un comportamiento consistente y abierto de la otra parte, que privilegie la transparencia de la relación. Si revisamos estos tres principios básicos a la luz del entorno digital y la necesidad por desarrollar una confianza digital, particularmente imperfecta, como quiera que no es posible un ejercicio de perfección y de “no eventos adversos” en un escenario de la conectividad, podemos visualizar un análisis básico de lo que de alguna forma deben comprender todos aquellos que se lanzan a conquistar a sus clientes en el escenario de propuestas tecnológicas y disruptivas. En primer lugar confianza digital imperfecta requiere comprender que la simetría es oscilante en un escenario conectado. Esto es, siempre estará latente la posibilidad de la explotación de una vulnerabilidad, que creará una situación incierta que a va comprometer la confiabilidad del sistema. Así mismo, a pesar del entorno inseguro donde opera el cliente de forma natural, sus comportamientos podrán ser inesperados, creando igualmente ambigüedades en la manera como se espera actúe la aplicación, aumentando la incertidumbre para los desarrolladores y sus expectativas de uso. Así las cosas, la igualdad de condiciones estará en la volatilidad inherente que implica la interacción entre la aplicación y el cliente. En segundo lugar la reciprocidad para una confianza digital imperfecta implica, ofrecer al consumidor la posibilidad de configurar sus condiciones y características de interacción con su aplicación. Es decir, tener la capacidad de influir y configurar su entorno y espacio de acción, donde tanto la empresa como el cliente comparten las bondades, restricciones y amenazas que se pueden revelar en el uso práctico de la propuesta que se genera. Cuando algo no sale bien en este ejercicio de relación mutua, se entiende que la inseguridad actúa y pone a prueba los compromisos vigentes, activando en ambos lados de la relación sus protocolos de atención de incidentes, que permiten no solamente asegurar los activos claves de las partes, sino proteger esta relación, de impactos que comprometan su imagen y operación en el futuro. Seguir leyendo ¿Para qué sirven los ejercicios de ciberseguridad? Estos ejercicios son un importante mecanismo para mantenernos alerta y preparados ante ciberamenazas, mejorar las técnicas, entender cómo se gestan ataques reales: https://blogdelciso.com/2019/01/31/que-es-el-cyber- kill-chain/- El objetivo principal de entrenar las técnicas ofensivas, es para mejorar nuestras defensas, y proteger de mejor manera los activos de la organización. ¿Qué es un CTF? Capture The Flag (en español, Captura la Bandera), una serie de desafíos informáticos enfocados a la seguridad, cada vez más populares en este sector. Con ellos pondremos a prueba nuestros conocimientos, e incluso aprenderemos nuevas técnicas. Los CTF se suelen dividir, generalmente, en las siguientes categorías: Análisis Forense [Forensics]: Lo más común; imágenes de memoria, de discos duros o capturas de red, las cuales almacenan diferentes tipos de información. Criptografía [Crypto]: Textos cifrados mediante un criptosistema determinado. Esteganografía [Stego]: Imágenes, sonidos o vídeos que ocultan información en su interior. Seguir leyendo