Número 3

Bienvenida

Bienvenidos al lugar de lectura de nuestra newsletter, dedicada especialmente a todos los miembros del Capítulo Español de ISC2.

En este número:

• Inteligencia Artificial y Ciberseguridad (Capítulo 3). Aprovechar el poder de la inteligencia artificial (AI) para la respuesta y mitigación automatizadas en ciberseguridad.

• La evolución de NIST Cybersecurity Framework (CSF) a la versión 2.0: un enfoque ampliado y actualizado.

• Introducción al mundo de la seguridad de aplicaciones y su relación con el SDLC: Una mirada hacia el CSSLP del ISC2. 

Noticias del ISC2:

• Top Five 2024 ISC2 Events – Networking, Créditos CPE y las Últimas Tendencias en Ciberseguridad. Especialmente queremos resaltar que si te perdiste el evento Spotlight on GRC, asegúrate de registrarte con anticipación para el próximo ISC2 Spotlight: Future API and Data Access el 29 y 30 de abril para asistir en directo. Solo aquellos que se registren con anticipación podrán acceder al contenido bajo demanda más tarde, ¡así que asegúrate de inscribirte!. 

• Un nuevo enfoque modernizado para nuestra certificación #Cyber Entry CC. ¡El camino para obtener tu certificación en #Cybersecurity es más fácil que nunca! Si tu o alguien de tu equipo está buscando formación GRATUITA, ha llegado el momento de empezar. Consulta la guía que te explica paso a paso el nuevo proceso:  #1MCC

Inteligencia Artificial y Ciberseguridad (Capítulo 3)

Aprovechar el poder de la inteligencia artificial (AI) para la respuesta y mitigación automatizadas en ciberseguridad

En el panorama dinámico de la ciberseguridad, la capacidad de responder con rapidez y eficacia a las ciberamenazas es primordial. A medida que las organizaciones enfrentan ataques cada vez más sofisticados, la intervención manual por sí sola ya no es suficiente para combatir las amenazas emergentes. La integración de tecnologías de inteligencia artificial (AI) promete un enfoque revolucionario de la ciberseguridad al permitir respuestas automatizadas y estrategias de mitigación. Este artículo explora cómo la AI está remodelando la ciberseguridad al facilitar la respuesta y mitigación automatizadas, sus metodologías, aplicaciones en el mundo real y las implicaciones para el futuro de la ciberdefensa.

Los sistemas automatizados de respuesta y mitigación impulsados por AI permiten a las organizaciones detectar, analizar y responder a las ciberamenazas en tiempo real sin intervención humana. Estos sistemas aprovechan algoritmos de aprendizaje automático, procesamiento del lenguaje natural (NLP) y análisis predictivos para identificar actividades maliciosas, priorizar alertas y orquestar acciones de respuesta en diversos entornos de ciberseguridad. Al automatizar las tareas rutinarias y los procesos de toma de decisiones, las soluciones impulsadas por la AI permiten a los equipos de seguridad centrar sus esfuerzos en la inteligencia estratégica sobre amenazas y las actividades de respuesta a incidentes.

Las aplicaciones de la respuesta y mitigación automatizadas impulsadas por la AI en ciberseguridad son amplias y diversas. En la seguridad de la red, los sistemas de prevención y detección de intrusiones (IDPS) impulsados por IA analizan los patrones de tráfico de la red y bloquean automáticamente las actividades sospechosas en tiempo real. De manera similar, en la seguridad de endpoints, las soluciones de detección y respuesta de endpoints (EDR) impulsadas por AI detectan y aíslan los dispositivos comprometidos, evitando el movimiento lateral y la filtración de datos. Además, las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) impulsadas por AI permiten a las organizaciones optimizar los flujos de trabajo de respuesta a incidentes, automatizar la ejecución del manual y orquestar acciones de respuesta a través de distintas herramientas de seguridad.

A pesar de su potencial transformador, la respuesta automatizada y la mitigación de la ciberseguridad impulsadas por la AI enfrentan varios desafíos. Estos incluyen la necesidad de modelos de IA robustos, la integración de diversas tecnologías de seguridad y el potencial de falsos positivos y negativos. Además, garantizar la transparencia y la rendición de cuentas de las decisiones impulsadas por la AI sigue siendo una consideración fundamental en las estrategias de mitigación y respuesta automatizada. Las direcciones futuras en ciberseguridad impulsada por la AI incluyen el desarrollo de modelos de AI explicables, la adopción de técnicas de aprendizaje federado para mejorar la privacidad y la seguridad, y la integración de marcos de colaboración entre humanos y máquinas para aumentar los procesos de toma de decisiones.

La respuesta y la mitigación automatizadas impulsadas por la AI representan un cambio de paradigma en la ciberseguridad, al ofrecer a las organizaciones capacidades avanzadas para defenderse de las amenazas en evolución. Al aprovechar el poder de las tecnologías de inteligencia artificial, las organizaciones pueden automatizar las tareas de seguridad rutinarias, acelerar la detección y respuesta a amenazas y mejorar la resiliencia cibernética general. A medida que las ciberamenazas sigan evolucionando, la respuesta y mitigación automatizadas impulsadas por la AI desempeñarán un papel cada vez más vital para salvaguardar los activos sensibles y preservar la integridad de las infraestructuras digitales. A través de la innovación, la colaboración y la inversión continuas en soluciones de ciberseguridad impulsadas por la AI, las organizaciones pueden adelantarse a las amenazas emergentes y construir defensas resistentes contra los ciberataques.

​En el próximos artículo de nuestra newsletter seguiremos explorando el tópico AI con el último tema:

• Desafíos y consideraciones éticas / regulaciones

Autor: Diogo Donadoni

La evolución de NIST Cybersecurity Framework (CSF) a la versión 2.0: un enfoque ampliado y actualizado:

Con el objetivo de dar respuesta a la Orden Ejecutiva 13636 del Gobierno de los Estados Unidos -bajo la presidencia de Barak Obama- de mejorar la ciberseguridad de las infraestructuras críticas de este país, su Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) publicó en 2014 un documento marco que constituye hoy día un enfoque mundialmente reconocido para la mejora de la ciberseguridad en organizaciones de todo tipo: el NIST Cibersecurity Framework (NIST CSF). 

El pasado 26 de febrero vio la luz la tan esperada versión 2.0 de este marco de referencia, reflejando y teniendo en cuenta tendencias y amenazas actuales con implicaciones en la ciberseguridad de cualquier institución. 

En esta última edición, el NIST CSF pone especial foco de atención en la gobernanza como función que  acompaña y da soporte a los procesos, personas y tecnología que habilitan la ciberseguridad, más en línea con otros modelos como el BMIS de ISACA, ISO/IEC 27001 o el propio concepto GRC, que trata de integrar el proceso de seguridad, garantizando que el Gobierno esté correctamente implantado antes de que se puedan gestionar los Riesgos de un modo efectivo, en pro de exigir y asegurar el Cumplimiento.

Igualmente, el NIST CSF 2.0 refleja ahora la relevancia de la cadena de suministro en el riesgo empresarial, en consonancia con las diferentes regulaciones que se están promulgando en los últimos años (como NIS2 y DORA que abordamos en nuestra última newsletter) y pone encima de la mesa nuevos riesgos promovidos por tecnologías emergentes, como aquellos relacionados con el uso de la inteligencia artificial. 

Este documento, no siendo ni mucho menos el único enfoque existente, es un modelo de alto nivel que las organizaciones pueden usar para desarrollar o mejorar su estrategia en cuanto a la seguridad de la información, así como para alinear su programa o sistema de gestión en esta materia, con sus objetivos de negocio. En definitiva, permite generar una hoja de ruta, en forma de plan o planes de acción, que consiga evolucionar la seguridad desde un estado actual a otro deseado (o marcado como objetivo) para la entidad en un ciclo de mejora continua.

Para ello, el NIST CSF 2.0 se apoya en los siguientes elementos:

CSF Core (funciones núcleo). 

Actividades clave en cualquier programa de seguridad de la información, agrupadas en 22 categorías y 106 subcategorías, dentro de cada una de las siguientes funciones:

• Gobernar. Permite establecer, comunicar y monitorizar la estrategia, expectativas y política de ciberseguridad de la organización.

• Identificar. Trata de determinar el riesgo de ciberseguridad actual y que este sea entendido.

• Proteger: Respalda la capacidad de utilizar salvaguardas para prevenir o reducir los riesgos.

• Detectar: Posibilita el descubrimiento y análisis de posibles ataques y compromisos.

• Responder: Habilita medidas con respecto a un incidente de ciberseguridad detectado.

• Recuperar: Implica actividades para restaurar activos y operaciones que se vean afectados por un incidente de ciberseguridad.

CSF Profiles (perfiles). 

Conforman un mecanismo y metodología para alinear los elementos clave del Framework (funciones, categorías, subcategorías) con los requisitos de negocio, apetito al riesgo y recursos disponibles de la organización.  Para ello, se puede identificar un perfil actual y un perfil deseado utilizando los CSF Tiers al objeto de crear un plan o planes de acción.

CSF Tiers (niveles). 

En línea con otros modelos existentes (SEI-CMM), estos rangos, aplicados a los perfiles del CSF, permiten evaluar el nivel de madurez actual y objetivo de la organización en materia de ciberseguridad. Los diferentes niveles caracterizan las prácticas de la organización desde respuestas reactivas e informales hasta propuestas proactivas y toma de decisiones informadas respecto a los riesgos de seguridad de la información:

• • Tier 1: Partial

  • Tier 2: Risk Informed

  • Tier 3: Repeatable

  • Tier 4: Adaptative

Adicionalmente, otros recursos complementan esta publicación:

• CSF Informative References. Se trata de referencias que permiten ver la interrelación del NIST CSF 2.0 y otros documentos y modelos.

• Ejemplos de implementación. Sin conformar un conjunto de controles al uso, orientan en el modo de lograr un resultado concreto dentro de las actividades que se explicitan en cada subcategoría.

• Guías de inicio rápido y plantillas. Ofrecen orientación práctica y sencilla sobre el uso del CSF.

Es imperativo mencionar que NIST CSF 2.0 admite el uso de diferentes metodologías y marcos de gestión de riesgos de sistemas y seguridad de la información, persiguiendo el lineamiento con la gestión de riesgo empresarial. En este sentido, entre algunas referencias de interés de esta misma agencia gubernamental, figuran las siguientes:

• Risk Management Framework (RMF) for Information Systems and Organizations (NIST SP 800-37 Rev. 2)

• Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio (NIST SP 800-221A).

• Identifying and Estimating Cybersecurity Risk for ERM (NIST IR 8286A)

• Guide for Conducting Risk Assessments (NIST SP 800-30 Rev. 1)

• Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST SP 800-161 Rev. 1)

• Artificial Intelligence Risk Management Framework (NIST AI 100-1)

Por añadidura, y como no podía esperarse de otro modo, la última versión del NIST CSF es compatible con varios marcos de controles de seguridad al objeto de dar tratamiento a los diferentes riesgos identificados, como el que el propio NIST dispuso en su publicación especial 800-53: Security and Privacy Controls for Information Systems and Organizations.

Autor: Luis Quian

Introducción al mundo de la seguridad de aplicaciones y su relación con el SDLC: Una mirada hacia el CSSLP

En el cambiante y cada vez más amenazado ámbito de las tecnologías de la información, la ciberseguridad ha pasado de ser una preocupación marginal a un elemento central y absolutamente imprescindible en el desarrollo y despliegue de aplicaciones y sistemas de información. A medida que los profesionales que nos dedicamos a la ciberseguridad intentamos ampliar nuestros conocimientos; especializarse en la Seguridad de Aplicaciones (Application Security o también conocido como AppSec) y comprender en profundidad el Ciclo de Vida del Desarrollo de Software (SDLC, Software Development Life Cycle) se ha convertido en una vía crítica para mejorar la seguridad desde el diseño hasta la implementación e incluso el despliegue y mantenimiento del software y las aplicaciones. Tanto para aquellas personas que ya poseen alguna certificación en ciberseguridad como para otras que desean profundizar en estos aspectos esenciales, la certificación Certified Secure Software Lifecycle Professional (CSSLP) del ISC2, ofrece un contexto muy completo y una oportunidad para adentrarse en estos aspectos.

¿Qué es AppSec y por qué es crucial en el SDLC?

AppSec se refiere al conjunto de prácticas, herramientas, políticas y procedimientos diseñados para proteger las aplicaciones de software ante amenazas y vulnerabilidades, desde su concepción hasta su despliegue, cubriendo incluso aspectos como la decomisión de los recursos utilizados por una aplicación o sistema de información antes de su retirada y eliminación. En el contexto del SDLC, la seguridad de aplicaciones implica integrar medidas de seguridad en cada una de las fases del desarrollo, desde la definición de requisitos y su diseño hasta la implementación, pruebas, mantenimiento y fases de desuso. 

En relación con todo lo anterior encontramos el manido concepto del "shift left", que no es otra cosa más que anticipar la seguridad al inicio del ciclo de vida del software, garantizando así que las aplicaciones sean incluso diseñadas de manera segura (otro importante concepto, secure by design).

De este modo, y teniendo en cuenta este planteamiento de integrar la seguridad desde las fases más tempranas del desarrollo de aplicaciones y sistemas, podríamos empezar a hablar de lo que se ha venido a denominar como SSDLC o Secure Software Development Life Cycle. Algunas de las actividades que cabría destacar a lo largo de todo este proceso, por mencionar algunas, son el modelado de amenazas o threat modeling, las pruebas estáticas de seguridad o static application security testing (más conocido como SAST, por sus siglas en inglés), los test de penetration (penetration testing o pentesting), o la creación y gestión de una lista de materiales o componentes (Software Bill Of Materials o SBOM).

La importancia del CSSLP

Para los profesionales en ciberseguridad que buscan especializarse en AppSec, la certificación CSSLP del ISC2 representa una acreditación de sus conocimientos para ser capaces de incorporar las prácticas de seguridad necesarias a lo largo del todo el ciclo de vida del software. CSSLP no solo valida el conocimiento técnico en seguridad de aplicaciones sino también la comprensión de cómo gestionar y mitigar los riesgos de seguridad a lo largo del SDLC. Abarca temas críticos como las políticas de seguridad, evaluaciones de riesgos, cumplimiento de normativas, el aseguramiento de las buenas prácticas de desarrollo seguro e incluso las operaciones de monitorización y mantenimiento posteriores al lanzamiento.

Obtener la certificación CSSLP puede suponer una diferencia significativa en la carrera profesional, remarcando que no solo entiende la ciberseguridad en general sino que también posee un conocimiento profundo de cómo integrar la seguridad en el desarrollo de software. Esto es especialmente importante en un momento en que las aplicaciones son cada vez más complejas y fundamentales para las operaciones empresariales pero también a nivel particular donde cada vez están más integradas en la vida diaria de todos, y donde las vulnerabilidades en el software pueden tener consecuencias devastadoras.

Hacia una seguridad integrada en el desarrollo de software

La seguridad de las aplicaciones no es un añadido, sino una necesidad que debe integrarse desde la concepción de cualquier proyecto de software. Al avanzar en la comprensión de la seguridad de aplicaciones y su puesta en práctica a lo largo del SDLC, se contribuye significativamente a la creación de un ecosistema digital más seguro para todos.

A través de este artículo, hemos repasado apenas la superficie de lo que AppSec y el SSDLC implican y cómo la certificación CSSLP puede ayudar a los profesionales de la ciberseguridad a mejorar las prácticas de seguridad en el desarrollo del software. En futuros artículos, profundizaremos en aspectos específicos del SSDLC, examinaremos metodologías, herramientas y casos de estudio relevantes, y exploraremos cómo los principios de CSSLP se aplican en el mundo real para crear aplicaciones más seguras y resilientes.

Autor: José Alberto Charfolé Sancho

Formación y Educación ISC2 - Certified Information Security Professional 

Nuestra más reciente guía dedicada a la certificación ISC2 (CISSP) en Formación y Educación 

Esta certificación es reconocida como un sello de excelencia en el campo de seguridad. En nuestra guía, exploramos los detalles esenciales de esta certificación, desde los temas cubiertos hasta los requisitos para poder obtenerla.Descubre los beneficios profesionales y las oportunidades de crecimiento que esta certificación puede brindar a los profesionales en el mundo de la ciberseguirdad.

No te pierdas esta valiosa información que puede impulsar tu carrera en ciberseguridad !!.