El Diario del CISO El Diario del CISO (The CISO Journal) Edición 3 | Page 8
EL DIARIO DEL CISO
Influenciadores (THE CISO JOURNAL)
Pensando y Trabajando por
un Líder de Seguridad Digital
INFLUENCIADORES
Confianza digital imperfecta: Un reto de simetría,
reciprocidad y sinceridad
Jeimy Cano, Ph.D, CFE
Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas –
ACIS
¿Cómo realizar ejercicios de
Ciberseguridad?
Sebastián Vargas
CISO | Profesional de Tecnologías,Seguridad
Introducción
Revisando recientemente diferentes documentos sobre ciberseguridad, protección de
datos, transformación digital y negocios digitales, la palabra que más se reitera en los Esta nueva entrega va enfocada para las personas que están iniciándose en el
diferentes informes es confianza. Una palabra toma mucha relevancia ahora en un área de la Ciberseguridad defensiva. Tengo la suerte de ser amigo de algunos
entorno cada vez más digital y tecnológicamente modificado.
especialistas, y he podido entender, que no hay fórmula mágica, certificación
o camino rápido para lograr las habilidades en tecnologías y técnicas que se
La necesidad de confianza en los entornos digitales, surge no por el hecho del requieren para ser un mejor profesional de Ciberseguridad.
reconocimiento del cliente, sino por la necesidad de un tratamiento responsable de la
información y por otro lado, que los consumidores “sientan” que la tecnología le está ¿Qué es un ejercicio de Ciberseguridad?
respondiendo a sus exigencias de seguridad y privacidad, sabiendo que ella, podrá en
cualquier momento activar o desactivar las medidas propuestas.
Para este caso en particular, son ejercicios donde se vulneran maquinas
reales preparadas para ello sobre entornos controlados, con técnicas de
De acuerdo con Sanz, Ruiz & Pérez (2009) “Una condición fundamental para establecer hacking ético, en un sentido amplio y quizás en otro capítulo podemos
una relación de confianza entre dos partes es que se cumplan los siguientes principios llevarlos al Red-Team y Blue-Team.
básicos: simetría, reciprocidad y sinceridad” (Sanz, Ruiz & Pérez, 2009, p.39).
Se entiende por simetría que las dos partes están en igualdad de condiciones en el
entorno, donde asumen por igual los riesgos y amenazas que se puedan identificar. La
reciprocidad implica que ambas partes tienen la esperanza que se actuará de forma
equivalente y ajustada a la relación inicialmente planteada, a pesar de las asimetrías de
posición dominante que puedan existir. Finalmente, la sinceridad, es el compromiso de
las partes de no ocultar información relevante, de tener un comportamiento consistente
y abierto de la otra parte, que privilegie la transparencia de la relación.
Si revisamos estos tres principios básicos a la luz del entorno digital y la necesidad por
desarrollar una confianza digital, particularmente imperfecta, como quiera que no es
posible un ejercicio de perfección y de “no eventos adversos” en un escenario de la
conectividad, podemos visualizar un análisis básico de lo que de alguna forma deben
comprender todos aquellos que se lanzan a conquistar a sus clientes en el escenario de
propuestas tecnológicas y disruptivas.
En primer lugar confianza digital imperfecta requiere comprender que la simetría es
oscilante en un escenario conectado. Esto es, siempre estará latente la posibilidad de la
explotación de una vulnerabilidad, que creará una situación incierta que a va
comprometer la confiabilidad del sistema. Así mismo, a pesar del entorno inseguro
donde opera el cliente de forma natural, sus comportamientos podrán ser inesperados,
creando igualmente ambigüedades en la manera como se espera actúe la aplicación,
aumentando la incertidumbre para los desarrolladores y sus expectativas de uso. Así las
cosas, la igualdad de condiciones estará en la volatilidad inherente que implica la
interacción entre la aplicación y el cliente.
En segundo lugar la reciprocidad para una confianza digital imperfecta implica, ofrecer al
consumidor la posibilidad de configurar sus condiciones y características de interacción
con su aplicación. Es decir, tener la capacidad de influir y configurar su entorno y espacio
de acción, donde tanto la empresa como el cliente comparten las bondades, restricciones
y amenazas que se pueden revelar en el uso práctico de la propuesta que se genera.
Cuando algo no sale bien en este ejercicio de relación mutua, se entiende que la
inseguridad actúa y pone a prueba los compromisos vigentes, activando en ambos lados
de la relación sus protocolos de atención de incidentes, que permiten no solamente
asegurar los activos claves de las partes, sino proteger esta relación, de impactos que
comprometan su imagen y operación en el futuro.
Seguir leyendo
¿Para qué sirven los ejercicios de ciberseguridad?
Estos ejercicios son un importante mecanismo para mantenernos alerta y
preparados ante ciberamenazas, mejorar las técnicas, entender cómo se
gestan ataques reales: https://blogdelciso.com/2019/01/31/que-es-el-cyber-
kill-chain/-
El objetivo principal de entrenar las técnicas ofensivas, es para mejorar
nuestras defensas, y proteger de mejor manera los activos de la
organización.
¿Qué es un CTF? Capture The Flag (en español, Captura la Bandera), una
serie de desafíos informáticos enfocados a la seguridad, cada vez más
populares en este sector. Con ellos pondremos a prueba nuestros
conocimientos, e incluso aprenderemos nuevas técnicas.
Los CTF se suelen dividir, generalmente, en las siguientes categorías:
Análisis Forense [Forensics]: Lo más común; imágenes de memoria, de discos
duros o capturas de red, las cuales almacenan diferentes tipos de
información.
Criptografía [Crypto]: Textos cifrados mediante un criptosistema
determinado.
Esteganografía [Stego]: Imágenes, sonidos o vídeos que ocultan información
en su interior.
Seguir leyendo