CIBERSEGURIDAD Cuando un sistema de contraseñas adecuadamente protegido recibe una nueva contraseña crea un valor hash de dicha contraseña, un valor salt pseudoaleatorio (generado por un PRNG, como LCG, NLFSR, etc.) y a continuación el valor combinado se almacena en su base de datos estar escritas de forma muy clara y estilo formal. Algunos ejem- plos de declaraciones de política son: todos los servidores deben configurarse con el mínimo de servicios para realizar sus funciones designadas, todos los computadores, tablets y smartphones deben tener protección antivirus activada y actualizada para propor- cionar protección continua y en tiempo real, todos los accesos a los datos estarán basados en una necesidad válida de negocio y sujetos a un proceso de aprobación formal, mientras se utiliza Internet ninguna persona se le permite abusar, difamar, acechar, hostigar o amenazar a ninguna otra persona o violar los derechos legales locales o internacionales, debe mantenerse una copia de respaldo o backup y un medio de restauración lejos del sitio donde se encuentra del equipo informático a proteger, el software no se debe copiar, sacar o transferir a ninguna tercera parte o equipo que no sea de la organización, etc. Una política de seguridad es un documento que especifica los requisitos o reglas que se deben satisfacer (por ejemplo, política de contraseñas, política de seguridad física, etc.). En el dominio de la ciberseguridad las políticas son específicas, cubriendo una única área, por ejemplo, política de “uso aceptable” debería cubrir las reglas y regulaciones para el uso apropiado de dispositivos de computación. Una política de seguridad define los objetivos de seguridad y el marco de seguridad de una organización. Un proceso es un esquema paso a paso detallado de cómo docu- mentar lo que especifica la acción exacta que será necesaria para implementar un mecanismo de seguridad. Las guías son recomen- daciones que pueden personalizarse y utilizarse en la creación de procedimientos. Un estándar normalmente es un conjunto de requisitos específicos de procedimiento o específicos del sistema que se deben satisfacer por todos. Por ejemplo, se debe tener un estándar que describe como endurecer una estación de tra- bajo Windows 10 para colocarla en una red externa DMZ (Zona Desmilitarizada colocada entre la intranet e Internet). Las personas deben seguir este estándar de forma exacta si desean instalar una estación Windows 10 en un segmento de red externo. Un estándar puede ser una selección de tecnología, por ejemplo, la empresa ZXP utiliza un cierto centro de seguridad FGT para monitorización continua y soportar políticas y proce- dimientos que definen como se utiliza. Una guía es un conjunto de sugerencias específicas de procedimiento o específicas del sistema para buenas prácticas. No se requiere que se satisfagan, pero son muy recomendadas. Las políticas de seguridad hacen referencia frecuente a estándares y guías que existen dentro de una organización. Los requisitos o estándar de robustez de con- traseñas UCSC (University of California Santa Cruz) especifica las siguientes condiciones que debe cumplir cada contraseña: que sean de al menos ocho caracteres, que contengan al menos tres de los siguientes tipos de caracteres: letras minúsculas, letras mayúsculas, números, caracteres especiales, que no se encuentren en el diccionario, que no sean nombres comunes, ni información personal (nombres de familiares, amigos, lugares, mascotas, fechas de cumpleaños), que una palabra no le preceda o siga un dígito (sería el caso: paraiso7 no cumple UCSC). No cumplen con los requisitos UCSC las contraseñas #%@*)$^&, zpWQmvYe. La contraseña Pg&8cTmy si cumple los requisitos UCSC. Cuando se guarden los hash de las contraseñas se debe utilizar salted hashes. Un salt es un dato aleatorio. Cuando un sistema de contraseñas adecuadamente protegido recibe una nueva contraseña crea un valor hash de dicha con- traseña, un valor salt pseudoaleatorio (generado por un PRNG, como LCG, NLFSR, etc.) y a continuación el valor combinado se almacena en su base de datos. De esta forma se defiende contra ataques de diccionario y ataques de hash conocidas. Por ejemplo, si alguien utiliza la misma contraseña en dos sistemas diferentes y se utilizan empleando el mismo algoritmo hash (por ejemplo, SHA 256/512), el valor hash debería ser el mismo, sin embargo, si uno de los sistemas utiliza salt con los hashes, el valor será diferente. El robo/secuestro de identidad puede prevenirse de la forma siguiente: asegurar contraseñas robustas y únicas, evi- tar compartir información confidencial online especialmente en medios sociales, comprar en sitios Web conocidos y confiables, utilizar la última versión de los navegadores, instalar herramien- tas antimalware y anti-spyware avanzadas, utilizar herramientas de seguridad especializadas contra datos financieros, actualizar siempre el sistema y el software incluyendo los últimos parches, proteger tu DNI y Número de la Seguridad Social. En el marco de la gestión de riesgos del NIST SP 800-37 se pueden identificar seis etapas: • Categorizar el sistema de información (iniciar). • Seleccionar los controles de seguridad (diseño). • Implantar los controles de seguridad. • Valorar los controles de seguridad. • Autorizar el sistema de información. • Monitorizar los controles de seguridad. Consideraciones finales En la gobernanza de la ciberseguridad en las organizaciones conflu- yen diversos aspectos, como por ejemplo: organizativos, técnicos (que posibilitan el despliegue de tecnologías de seguridad frente a ciber-ataques como monitorización, detección, prevención, análisis, control, respuesta, remedios, predicción, etc.), etc. En la gobernanza de la ciberseguridad (IT/OT) nos encontramos con tres factores clave: (i) Las personas. En este contexto podemos identi- ficar roles y responsabilidades, cultura en ciberseguridad, socios corporativos, experiencia en el trabajo, formación formal, interna y específica del fabricante, etc. (ii) Las tecnologías. Aquí podemos identificar herramientas como SIEM, controles de ciberseguridad, gestión de dispositivos y redes, ciberforensia, inteligencia de ame- 57