Estrategias de seguridad cibernética

Para diseñar e implementar un ciberespacio seguro, se han implementado algunas estrategias estrictas. Este capítulo explica las principales estrategias empleadas para garantizar la ciberseguridad, que incluyen las siguientes:

  • Creación de un ecosistema cibernético seguro
  • Creación de un marco de garantía
  • Fomento de los estándares abiertos
  • Fortalecimiento del marco regulatorio
  • Creación de mecanismos para la seguridad de TI
  • Asegurar los servicios de gobierno electrónico
  • Protección de la infraestructura de información crítica

Estrategia 1: Creación de un ecosistema cibernético seguro

El ecosistema cibernético involucra una amplia gama de entidades variadas como dispositivos (tecnologías de la comunicación y computadoras), individuos, gobiernos, organizaciones privadas, etc., que interactúan entre sí por numerosas razones.

Esta estrategia explora la idea de tener un ecosistema cibernético fuerte y robusto donde los dispositivos cibernéticos puedan trabajar entre sí en el futuro para prevenir ataques cibernéticos, reducir su efectividad o encontrar soluciones para recuperarse de un ataque cibernético.

Un ecosistema cibernético de este tipo tendría la capacidad incorporada en sus dispositivos cibernéticos para permitir la organización de formas seguras de acción dentro y entre grupos de dispositivos. Este ecosistema cibernético puede supervisarse mediante las técnicas de supervisión actuales en las que se utilizan productos de software para detectar e informar de las debilidades de seguridad.

Un ecosistema cibernético fuerte tiene tres estructuras simbióticas: Automation, Interoperability, y Authentication.

  • Automation - Facilita la implementación de medidas de seguridad avanzadas, mejora la rapidez y optimiza los procesos de toma de decisiones.

  • Interoperability- Fortalece las acciones colaborativas, mejora la concienciación y acelera el proceso de aprendizaje. Hay tres tipos de interoperabilidad:

    • Semántico (es decir, léxico compartido basado en un entendimiento común)
    • Technical
    • Política: importante para asimilar diferentes contribuyentes en una estructura de ciberdefensa inclusiva.

  • Authentication - Mejora las tecnologías de identificación y verificación que funcionan para proporcionar -

    • Security
    • Affordability
    • Facilidad de uso y administración.
    • Scalability
    • Interoperability

Comparación de ataques

La siguiente tabla muestra la comparación de las categorías de ataques con las capacidades deseadas del ecosistema cibernético:

Caso de estudio

El siguiente diagrama fue preparado por Guilbert Gates for The New York Times, que muestra cómo una planta iraní fue pirateada a través de Internet.

Explanation- Se diseñó un programa para hacer funcionar automáticamente la planta nuclear iraní. Desafortunadamente, un trabajador que no estaba al tanto de las amenazas introdujo el programa en el controlador. El programa recopiló todos los datos relacionados con la planta y envió la información a las agencias de inteligencia que luego desarrollaron e insertaron un gusano en la planta. Usando el gusano, la planta fue controlada por malhechores que llevaron a la generación de más gusanos y como resultado, la planta falló por completo.

Tipos de ataques

La siguiente tabla describe las categorías de ataques:

Categoría de ataque Descripción de Attack
Desgaste

Métodos utilizados para dañar redes y sistemas. Incluye lo siguiente:

  • ataques distribuidos de denegación de servicio
  • impedir o denegar el acceso a un servicio o aplicación
  • ataques de agotamiento de recursos
Software malicioso Cualquier software malicioso utilizado para interrumpir el funcionamiento normal de la computadora y dañar los activos de información sin el consentimiento del propietario. Cualquier ejecución desde un dispositivo extraíble puede aumentar la amenaza de un malware.
Hackear

Un intento de explotar intencionalmente las debilidades para obtener un acceso poco ético, generalmente realizado de forma remota. Puede incluir:

  • ataques de fuga de datos
  • ataques de inyección y abuso de funcionalidad
  • spoofing
  • ataques de tiempo-estado
  • ataques al búfer y a la estructura de datos
  • manipulación de recursos
  • uso de credenciales robadas
  • backdoors
  • ataques de diccionario a contraseñas
  • explotación de la autenticación
Tácticas sociales

Utilizar tácticas sociales como el engaño y la manipulación para adquirir acceso a datos, sistemas o controles. Incluye -

  • pre-mensajes de texto (encuestas falsificadas)
  • incitar al phishing
  • recuperar información a través de la conversación
Uso inadecuado (amenaza interna)

Mal uso de los derechos a los datos y controles por parte de un individuo en una organización que violaría las políticas de la organización. Incluye -

  • instalación de software no autorizado
  • eliminación de datos sensibles
Acción física / Pérdida o robo de equipo

Ataques impulsados ​​por humanos como:

  • tokens de identidad y tarjetas de crédito robados
  • manipular o reemplazar lectores de tarjetas y terminales de punto de venta
  • interfiriendo con los sensores
  • robo de un dispositivo informático utilizado por la organización, como una computadora portátil
Componente múltiple Técnicas de conexión única que contienen varias técnicas y componentes de ataque avanzados.
Otro

Ataques como:

  • ataques a la cadena de suministro
  • investigación de la red

Estrategia 2: Creación de un marco de garantía

El objetivo de esta estrategia es diseñar un esquema de conformidad con los estándares de seguridad global a través de productos, procesos, personas y tecnología tradicionales.

Para satisfacer los requisitos de seguridad nacional, un marco nacional conocido como el Cybersecurity Assurance Frameworkfue desarrollado. Se adapta a las organizaciones de infraestructura crítica y los gobiernos a través de acciones de "habilitación y respaldo".

EnablingLas acciones son realizadas por entidades gubernamentales que son organismos autónomos libres de intereses comerciales. Estas autoridades realizan la publicación de los "Requisitos de cumplimiento de la política de seguridad nacional" y las directrices y documentos de seguridad de TI para permitir la implementación y el cumplimiento de la seguridad de TI.

Endorsing Las acciones están involucradas en servicios rentables después de cumplir con los estándares de calificación obligatorios e incluyen lo siguiente:

  • Certificación ISMS ISO 27001 / BS 7799, auditorías de sistemas de SI, etc., que son esencialmente las certificaciones de cumplimiento.

  • El estándar ISO 15408 de 'Common Criteria' y los estándares de verificación del módulo Crypto, que son la evaluación y certificación de productos de seguridad de TI.

  • Servicios para ayudar a los consumidores en la implementación de la seguridad de TI, como la capacitación de personal de seguridad de TI.

Certificación de empresa de confianza

Las TI / ITES / BPO de la India deben cumplir con los estándares internacionales y las mejores prácticas en seguridad y privacidad con el desarrollo del mercado de subcontratación. ISO 9000, CMM, Six Sigma, Total Quality Management, ISO 27001 etc., son algunas de las certificaciones.

Los modelos existentes, como los niveles SEI CMM, están destinados exclusivamente a procesos de desarrollo de software y no abordan problemas de seguridad. Por ello, se realizan varios esfuerzos para crear un modelo basado en el concepto de autocertificación y en las líneas del Software Capability Maturity Model (SW-CMM) de CMU, USA.

La estructura que se ha producido a través de dicha asociación entre la industria y el gobierno comprende lo siguiente:

  • standards
  • guidelines
  • practices

Estos parámetros ayudan a los propietarios y operadores de infraestructura crítica a gestionar los riesgos relacionados con la ciberseguridad.

Estrategia 3: Fomentar los estándares abiertos

Los estándares juegan un papel importante en la definición de cómo abordamos los problemas relacionados con la seguridad de la información en todas las regiones geográficas y sociedades. Se anima a los estándares abiertos a:

  • Mejorar la eficiencia de los procesos clave,
  • Habilitar incorporaciones de sistemas,
  • Proporcionar un medio para que los usuarios midan nuevos productos o servicios.
  • Organizar el enfoque para organizar nuevas tecnologías o modelos de negocio,
  • Interpretar entornos complejos y
  • Apoyar el crecimiento económico.

Los estándares como ISO 27001 [3] fomentan la implementación de una estructura de organización estándar, donde los clientes pueden comprender los procesos y reducir los costos de auditoría.

Estrategia 4 - Fortalecimiento del marco regulatorio

El objetivo de esta estrategia es crear un ecosistema ciberespacial seguro y fortalecer el marco regulatorio. Se ha previsto un mecanismo 24x7 para hacer frente a las amenazas cibernéticas a través del Centro Nacional de Protección de Infraestructura de Información Crítica (NCIIPC). El Equipo de Respuesta a Emergencias Informáticas (CERT-In) ha sido designado para actuar como agencia nodal para la gestión de crisis.

Algunos aspectos destacados de esta estrategia son los siguientes:

  • Promoción de la investigación y el desarrollo en ciberseguridad.

  • Desarrollo de recursos humanos a través de programas de educación y formación.

  • Alentar a todas las organizaciones, ya sean públicas o privadas, a que designen a una persona para que se desempeñe como Director de Seguridad de la Información (CISO) que será responsable de las iniciativas de seguridad cibernética.

  • Las Fuerzas Armadas de la India están en proceso de establecer un comando cibernético como parte del fortalecimiento de la seguridad cibernética de las redes e instalaciones de defensa.

  • La implementación efectiva de la asociación público-privada está en proceso que contribuirá en gran medida a crear soluciones para el panorama de amenazas en constante cambio.

Estrategia 5: creación de mecanismos para la seguridad de TI

Algunos de los mecanismos básicos que existen para garantizar la seguridad de TI son: medidas de seguridad orientadas a enlaces, medidas de seguridad de un extremo a otro, medidas orientadas a asociaciones y cifrado de datos. Estos métodos difieren en sus características de aplicación interna y también en los atributos de la seguridad que brindan. Discutámoslos brevemente.

Medidas orientadas a enlaces

Ofrece seguridad al transferir datos entre dos nodos, independientemente del origen y destino final de los datos.

Medidas de principio a fin

Es un medio para transportar unidades de datos de protocolo (PDU) de manera protegida desde el origen al destino de tal manera que la interrupción de cualquiera de sus enlaces de comunicación no viola la seguridad.

Medidas orientadas a la asociación

Las medidas orientadas a la asociación son un conjunto modificado de medidas de extremo a extremo que protegen a cada asociación individualmente.

Cifrado de datos

Define algunas características generales de los cifrados convencionales y la clase de cifrados de clave pública desarrollada recientemente. Codifica la información de tal forma que solo el personal autorizado puede descifrarla.

Estrategia 6: Asegurar los servicios de gobierno electrónico

La gobernanza electrónica (e-gobernanza) es el instrumento más apreciado por el gobierno para proporcionar servicios públicos de manera responsable. Desafortunadamente, en el escenario actual, no existe una estructura legal dedicada a la gobernanza electrónica en India.

De manera similar, no existe una ley que regule la prestación electrónica obligatoria de servicios públicos en la India. Y nada es más peligroso y problemático que ejecutar proyectos de gobernanza electrónica sin suficiente ciberseguridad. Por lo tanto, asegurar los servicios de gobierno electrónico se ha convertido en una tarea crucial, especialmente cuando la nación realiza transacciones diarias a través de tarjetas.

Afortunadamente, el Banco de la Reserva de la India ha implementado medidas de seguridad y mitigación de riesgos para las transacciones con tarjeta en India que se pueden hacer cumplir a partir del 1 de octubre de 2013. Ha asignado la responsabilidad de garantizar las transacciones con tarjeta aseguradas a los bancos en lugar de a los clientes.

"Gobierno electrónico" o gobierno electrónico se refiere al uso de tecnologías de la información y la comunicación (TIC) por parte de organismos gubernamentales para lo siguiente:

  • Prestación eficiente de servicios públicos
  • Refinando la eficiencia interna
  • Fácil intercambio de información entre ciudadanos, organizaciones y organismos gubernamentales.
  • Reestructuración de procesos administrativos.

Estrategia 7: Protección de la infraestructura de información crítica

La infraestructura de información crítica es la columna vertebral de la seguridad económica y nacional de un país. Incluye plantas de energía, carreteras, puentes, plantas químicas, redes, así como los edificios donde trabajan millones de personas todos los días. Estos se pueden asegurar con estrictos planes de colaboración e implementaciones disciplinadas.

La protección de la infraestructura crítica contra el desarrollo de ciberamenazas requiere un enfoque estructurado. Se requiere que el gobierno colabore agresivamente con los sectores público y privado de manera regular para prevenir, responder y coordinar los esfuerzos de mitigación contra los intentos de interrupciones e impactos adversos a la infraestructura crítica de la nación.

Es necesario que el gobierno trabaje con los propietarios y operadores de empresas para reforzar sus servicios y grupos compartiendo información cibernética y de otras amenazas.

Se debe compartir una plataforma común con los usuarios para enviar comentarios e ideas, que se pueden trabajar juntos para construir una base más sólida para asegurar y proteger las infraestructuras críticas.

El gobierno de EE. UU. Aprobó una orden ejecutiva "Mejora de la ciberseguridad de la infraestructura crítica" en 2013 que prioriza la gestión del riesgo de ciberseguridad involucrado en la entrega de servicios de infraestructura crítica. Este Marco proporciona una clasificación y un mecanismo comunes para que las organizaciones:

  • Definir su rumbo de ciberseguridad existente,
  • Definir sus objetivos de ciberseguridad,
  • Categorizar y priorizar las oportunidades de desarrollo en el marco de un proceso constante, y
  • Comunicarse con todos los inversores sobre ciberseguridad.