Nist SP 1800-28

PUBLICACIÓN ESPECIAL DEL NIST 1800-28
Confidencialidad de los
datos:
Identificación y protección de activos
contra filtraciones de datos
Incluye el resumen ejecutivo (A); Enfoque, arquitectura y características de seguridad (B);
y guías prácticas (C)
William Fisher
R. Eugene Craft
Michael Ekstrom
Julian Sexton
John Sweetnam
FINAL
Febrero 2024
Esta publicación está disponible gratuitamente
en: https://doi.org/10.6028/NIST.SP.1800-28
El primer borrador de esta publicación está disponible gratuitamente en:

https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches
PUBLICACIÓN ESPECIAL DEL NIST 1800-28
Confidencialidad de los datos: identificación y protección de

los activos
Contra las filtraciones de datos
Incluye el resumen ejecutivo (A); Enfoque, arquitectura y características de seguridad (B);
y guías prácticas (C)
William Fisher
Centro Nacional de Excelencia en Ciberseguridad
NIST
R. Eugene Craft
Michael Ekstrom
Julian Sexton
John Sweetnam
La Corporación MITRE
McLean, Virginia
FINAL
Febrero 2024
Departamento de Comercio de EE. UU.

Gina M. Raimondo, Secretaria
Instituto Nacional de Estándares y Tecnología

Laurie E. Locasci, Directora del NIST y Subsecretaria de Comercio para Estándares y Tecnología
PUBLICACIÓN ESPECIAL NIST 1800-28A
Confidencialidad de los datos:

Identificación y protección de activos contra filtraciones
de datos
Volumen A:
Resumen ejecutivo
William Fisher
Centro Nacional de Excelencia en
Ciberseguridad NIST
R. Eugene Craft
Michael Ekstrom
Julian Sexton
John Sweetnam
McLean, Virginia
Febrero 2024
FINAL

Resumen ejecutivo
DESAFIAR
Una organización debe proteger su información del acceso y la divulgación no autorizados. Las
filtraciones de datos grandes y pequeñas pueden tener un impacto operativo, financiero y de
reputación de gran alcance en una organización. En caso de violación de datos, la confidencialidad de
los datos puede verse comprometida a través de la exfiltración no autorizada, la filtración o el derrame
de datos a partes no autorizadas, incluido el público en general.
Es esencial que una organización identifique y proteja los activos para evitar infracciones. Y en caso de
que ocurra una violación de datos, es esencial que una organización pueda detectar la violación en
curso por sí misma, así como comenzar a ejecutar un plan de respuesta y recuperación que aproveche
la tecnología y los controles de seguridad.
BENEFICIOS
El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y
Tecnología (NIST) desarrolló esta guía para ayudar a las organizaciones a implementar estrategias para
prevenir ataques a la confidencialidad de los datos. Esta Guía de prácticas de ciberseguridad NCCoE del
NIST demuestra cómo las organizaciones pueden desarrollar e implementar acciones adecuadas para
identificar y proteger los datos contra un evento de ciberseguridad de confidencialidad. Incluye
numerosas recomendaciones tecnológicas y de seguridad para mejorar la postura de ciberseguridad de
su organización.
Esta guía práctica puede ayudar a su organización a:
 Identifique los activos que pueden verse afectados por un

incidente de violación de datos.

Identifique los riesgos que pueden dar lugar a filtraciones de
 Implemente tecnologías de protección para sus activos con el fin de evitar
filtraciones de datos
ACERCARSE
Esto es parte de una serie de proyectos que buscan brindar
orientación para mejorar la seguridad de los datos de una
organización en el contexto de la tríada de la CIA. La tríada de la
CIA representa los tres pilares de la seguridad de la información:
confidencialidad, integridad y disponibilidad. Esta guía práctica
se centra en la confidencialidad de los datos: la propiedad de
que los datos no han sido divulgados de manera no autorizada.
La confidencialidad de los datos se refiere a los datos
almacenados, durante el procesamiento y mientras están en
tránsito. (Nota: Estas definiciones son de Publicación especial
del NIST (SP) 800-12 Rev 1, Una introducción a la seguridad de
la información).
NIST SP 1800-28A: Confidencialidad de datos: identificación y protección de activos contra 1

violaciones de datos
Esta guía aplica los principios de confidencialidad de datos a
través de la lente del Marco de Ciberseguridad del NIST versión
1.1.
En concreto, esta guía práctica se centra en las funciones del
marco de ciberseguridad de identificar y proteger para
proporcionar orientación sobre cómo prevenir los ataques a la
confidencialidad de los datos. Informa a las organizaciones
sobre cómo identificar y proteger los activos, incluidos los
datos, contra un ataque a la confidencialidad de los datos y, a su
vez, comprender cómo gestionar los riesgos de confidencialidad
de los datos e implementar las medidas de seguridad
adecuadas. Un proyecto complementario y la guía práctica que
lo acompaña (SP1800-29) abordan la confidencialidad de los
datos a través de la lente de la detección, respuesta y
recuperación de un ataque de confidencialidad de datos.
El NCCoE desarrolló e implementó una solución de ejemplo que incorpora múltiples sistemas que
trabajan en conjunto para identificar y proteger activos y datos contra eventos de ciberseguridad de
confidencialidad de datos. En este documento se destacan las características de seguridad y privacidad
de la solución de ejemplo al considerar los casos de uso comunes de seguridad de datos que una
organización podría tratar de abordar y al enumerar las acciones de datos problemáticas que podrían
afectar a la privacidad.
Colaborador Capacidad o componente de seguridad

Avrio Software (ahora conocido como Gestión de datos
Aerstone)
Cisco Aplicación de políticas, control de acceso de usuarios
Disipar Protección de la red
Ojo de fuego Registro
PKWARE Protección de datos
Qcor Protección de datos
Llave fuerte Protección de datos
Symantec, una división de Broadcom Aislamiento del navegador
Si bien el NCCoE utilizó un conjunto de productos comerciales para abordar este desafío, esta guía no
respalda estos productos en particular ni garantiza el cumplimiento de ninguna iniciativa regulatoria. Los
expertos en seguridad de la información de su organización deben identificar los productos que mejor
se integrarán con sus herramientas existentes y la infraestructura del sistema de TI. Su organización
puede adoptar esta solución o una que se adhiera a estas directrices en su totalidad, o puede usar esta
guía como punto de partida para adaptar e implementar partes de una solución.
CÓMO USAR ESTA GUÍA

En función de su rol en la organización, puede usar esta guía de diferentes maneras:
Los responsables de la toma de decisiones empresariales, incluidos los directores de tecnología y

seguridad de la información, pueden utilizar esta parte de la guía, NIST SP 1800-28A: Resumen
ejecutivo, para comprender los impulsores de la guía, el desafío de ciberseguridad que abordamos,
nuestro enfoque para resolver este desafío y cómo la solución podría beneficiar a su organización.

Los administradores de programas de tecnología, seguridad y privacidad que se preocupan por cómo
identificar, comprender, evaluar y mitigar el riesgo pueden usar NIST SP 1800-28B: Enfoque, arquitectura y
características de seguridad, que describe lo que creamos y por qué, incluido el análisis de riesgos
realizado y las asignaciones de control de seguridad y privacidad.
Los profesionales de TI que deseen implementar un enfoque como este pueden hacer uso de NIST SP
1800-28C: Guías prácticas, que proporcionan instrucciones específicas de instalación, configuración e
integración del producto para crear la implementación de ejemplo, lo que le permite replicar todo o
parte de este proyecto.
COMPARTE TUS COMENTARIOS

Puede ver o descargar la guía en https://www.nccoe.nist.gov/projects/building-blocks/data-security
/dc-detect-identify-protect. Ayude al NCCoE a mejorar esta guía compartiendo sus pensamientos con
nosotros mientras lee la guía. Si adopta esta solución para su propia organización, comparta su
experiencia y consejos con nosotros. Reconocemos que las soluciones técnicas por sí solas no
permitirán aprovechar plenamente los beneficios de nuestra solución, por lo que alentamos a las
organizaciones a compartir las lecciones aprendidas y las mejores prácticas para transformar los
procesos asociados con la implementación de esta guía.
Para proporcionar comentarios u obtener más información organizando una demostración de este
ejemplo de implementación, comuníquese con el NCCoE al ds-nccoe@nist.gov.
COLABORADORES
Los colaboradores que participaron en este proyecto presentaron sus capacidades en respuesta a una
convocatoria abierta en el Registro Federal para todas las fuentes de capacidades de seguridad
relevantes de la academia y la industria (proveedores e integradores). Los encuestados con capacidades
relevantes o componentes de productos firmaron un Acuerdo Cooperativo de Investigación y Desarrollo
(CRADA, por sus siglas en inglés) para colaborar con el NIST en un consorcio para construir esta solución
de ejemplo.
Ciertas entidades comerciales, equipos, productos o materiales pueden ser identificados por su
nombre o logotipo de la empresa u otra insignia con el fin de reconocer su participación en esta
colaboración o para describir adecuadamente un procedimiento o concepto experimental. Dicha
identificación no tiene la intención de implicar un estatus o relación especial con el NIST o una
recomendación o respaldo por parte del NIST o el NCCoE; Tampoco pretende dar a entender que las
entidades, equipos, productos o materiales son necesariamente los mejores disponibles para el
propósito.

PUBLICACIÓN ESPECIAL NIST 1800-28B

Identificación y protección de activos contra filtraciones
de datos
Volumen B:
Enfoque, arquitectura y características de seguridad
William Fisher
Ciberseguridad NIST
R. Eugene Craft
Michael Ekstrom
Julian Sexton
John Sweetnam
McLean, Virginia
FINAL de
febrero de
2024


https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-breaches
RENUNCIA
recomendación o respaldo por parte del NIST o el NCCoE; Tampoco pretende dar a entender que las
entidades, equipos, productos o materiales son necesariamente los mejores disponibles para el
propósito.
Publicación especial 1800-28B del Instituto Nacional de Estándares y Tecnología, Natl. Inst. Stand.
Technol. Spec. Publ. 1800-28B, 61 páginas, (febrero de 2024), CÓDIGO: NSPUE2
RETROALIMENTACIÓN
Como asociación público-privada, siempre estamos buscando comentarios sobre nuestras guías
prácticas. Estamos particularmente interesados en ver cómo las empresas aplican los diseños de
referencia NCCoE en el mundo real. Si ha implementado el diseño de referencia o tiene preguntas
sobre cómo aplicarlo en su entorno, envíenos un correo electrónico a ds-nccoe@nist.gov.
Todos los comentarios están sujetos a divulgación en virtud de la Ley de Libertad de Información.

Ciberseguridad Instituto Nacional de
Estándares y Tecnología 100 Bureau Drive
Mailstop 2002
Gaithersburg, MD 20899
Correo electrónico:
nccoe@nist.gov
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra ii

CENTRO NACIONAL DE EXCELENCIA EN CIBERSEGURIDAD
El Centro Nacional de Excelencia en Ciberseguridad (NCCoE), que forma parte del Instituto Nacional
de Estándares y Tecnología (NIST), es un centro de colaboración en el que las organizaciones de la
industria, las agencias gubernamentales y las instituciones académicas trabajan juntas para abordar
los problemas de ciberseguridad más apremiantes de las empresas. Esta asociación público-privada
permite la creación de soluciones prácticas de ciberseguridad para industrias específicas, así como
para desafíos tecnológicos amplios e intersectoriales. A través de consorcios en el marco de acuerdos
cooperativos de investigación y desarrollo (CRADA, por sus siglas en inglés), que incluyen socios
tecnológicos, desde líderes del mercado de Fortune 50 hasta empresas más pequeñas especializadas
en seguridad de tecnología de la información, el NCCoE aplica estándares y mejores prácticas para
desarrollar soluciones de ciberseguridad modulares y adaptables utilizando tecnología disponible
comercialmente. El NCCoE documenta estas soluciones de ejemplo en la serie de publicaciones
especiales 1800 del NIST, que asigna capacidades al marco de ciberseguridad del NIST y detalla los
pasos necesarios para que otra entidad vuelva a crear la solución de ejemplo. El NCCoE fue
establecido en 2012 por el NIST en asociación con el estado de Maryland y el condado de
Montgomery, Maryland.
Para obtener más información sobre el NCCoE, visite https://www.nccoe.nist.gov/. Para obtener más información sobre el NIST, visite
https://www.nist.gov.
GUÍAS PRÁCTICAS DE CIBERSEGURIDAD DEL NIST

Las Guías de Prácticas de Ciberseguridad del NIST (Publicación Especial serie 1800) se enfocan en
desafíos específicos de ciberseguridad en los sectores público y privado. Son guías prácticas y fáciles de
usar que facilitan la adopción de enfoques de ciberseguridad basados en estándares. Muestran a los
miembros de la comunidad de seguridad de la información cómo implementar soluciones de ejemplo
que les ayuden a alinearse con los estándares relevantes y las mejores prácticas, y proporcionan a los
usuarios las listas de materiales, archivos de configuración y otra información que necesitan para
implementar un enfoque similar.
Los documentos de esta serie describen ejemplos de implementaciones de prácticas de ciberseguridad

que las empresas y otras organizaciones pueden adoptar voluntariamente. Estos documentos no
describen regulaciones o prácticas obligatorias, ni tienen autoridad legal.
ABSTRACTO
Los ataques dirigidos a los datos son motivo de preocupación para las empresas y organizaciones de
muchos sectores. Las filtraciones de datos representan una amenaza que puede tener impactos
monetarios, reputacionales y legales. Esta guía busca proporcionar orientación sobre la amenaza de las
violaciones de datos, ejemplificando estándares y tecnologías que son útiles para una variedad de
organizaciones que se defienden contra esta amenaza. En concreto, esta guía pretende ayudar a las
organizaciones a identificar y proteger los activos, incluidos los datos, frente a un ataque a la
confidencialidad de los datos.
PALABRAS CLAVE
gestión de activos; marco de ciberseguridad; violación de datos; confidencialidad de los datos;
protección de datos; identificar; actor malintencionado; malware; proteger; ransomware
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra iii
RECONOCIMIENTOS
Agradecemos a las siguientes personas por sus generosas contribuciones de experiencia y tiempo.
Nombre Organización
Jason Winder Avrio Software (ahora conocido como Aerstone)
Trey Doré Cisco
Matthew Hyatt Cisco
Randy Martín Cisco
Peter Romness Cisco
Bryan Rosensteel Cisco
Micah Wilson Cisco
Ben Burke Disipar
Fred Chang Disipar
Matt Fulk Disipar
Ian Schmertzler Disipar
Kenneth Durbin Ojo de fuego
Tom Los Ojo de fuego
J.R. Wikes Ojo de fuego
Jennifer Cawthra NIST
Joe Faxlanger PKWARE
Víctor Ortiz PKWARE
Jim Wyne PKWARE
Steve Petruzzo Qcor
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra iv

Billy Stewart Qcor
Campo Normando StrongKey (Llave fuerte)
Patricio Leung StrongKey (Llave fuerte)
Arshad Noor StrongKey (Llave fuerte)
Dylan Buel Broadcom Software
Sunjeet Randhawa Broadcom Software
Paul Swinton Broadcom Software
Perro de púas La Corporación MITRE
Sallie Edwards La Corporación MITRE
Brian Johnson La Corporación MITRE
Lauren Lujuriosa La Corporación MITRE
Karri Meldorf La Corporación MITRE
Julie Snyder La Corporación MITRE
Lauren Swan La Corporación MITRE
Anne Townsend La Corporación MITRE
Jessica Walton La Corporación MITRE
Los Socios/Colaboradores Tecnológicos que participaron en esta compilación enviaron sus capacidades en
respuesta a un aviso en el Registro Federal. Encuestados con capacidades o productos relevantes
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra v

Se invitó a los componentes a firmar un Acuerdo de Investigación y Desarrollo Cooperativo (CRADA)
con el NIST, lo que les permitió participar en un consorcio para construir esta solución de ejemplo.
Trabajamos con:
Socio/Colaborador Tecnológico Fomentar la participación
Avrio Software (ahora conocido como Avrio SIFT

Aerstone)
Sistemas Cisco Dúo
Disipar Disipar
Ojo de fuego Hélice de Ojo de Fuego
Qcor Campo de fuerza de Qcor
PKWARE PKWARE PKProtect
StrongKey (Llave fuerte) StrongKey Tellaro
Symantec, una división de Broadcom Aislamiento web de Symantec
CONVENCIONES DE DOCUMENTOS
Los términos "deberá" y "no deberá" indican requisitos que deben seguirse estrictamente para ajustarse
a la publicación y de los cuales no se permite ninguna desviación. Los términos "debería" y "no debería"
indican que, entre varias posibilidades, se recomienda una como particularmente adecuada sin
mencionar o excluir otras, o que se prefiere un determinado curso de acción pero no necesariamente se
requiere, o que (en la forma negativa) se desalienta una determinada posibilidad o curso de acción pero
no se prohíbe. Los términos "puede" y "no necesita" indican un curso de acción permisible dentro de los
límites de la publicación. Los términos "puede" y "no puede" indican una posibilidad y capacidad, ya sea
material, física o causal.
AVISO DE DIVULGACIÓN DE PATENTES

AVISO: El Laboratorio de Tecnología de la Información (DIT) ha solicitado a los titulares de
reivindicaciones de patentes cuyo uso pueda ser necesario para cumplir con las orientaciones o
los requisitos de esta publicación divulguen dichas reivindicaciones de patentes al DIT. Sin
embargo, los titulares de patentes no están obligados a responder a las solicitudes de patentes
del DIT y el DIT no ha llevado a cabo una búsqueda de patentes para determinar qué patentes,
en su caso, pueden aplicarse a esta publicación.
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra vi
A la fecha de publicación y en la(s) convocatoria(s) siguiente(s) para la identificación de
reivindicaciones de patentes cuyo uso pueda ser necesario para cumplir con las orientaciones
o los requisitos de la presente publicación, no se ha identificado ninguna reivindicación de
patentes de este tipo para el DIT.
ITL no declara ni da a entender que no se requieren licencias para evitar la infracción de

patentes en el uso de esta publicación.
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra vii

Contenido
1 Resumen .............................................................................................. 1
1.1 Desafiar .......................................................................................................................... 2
1.2 Solución ......................................................................................................................... 3
1.3 Beneficios ....................................................................................................................... 3
2 Cómo usar esta guía ............................................................................. 3
2.1 Convenciones tipográficas............................................................................................. 4
3 Acercarse.............................................................................................. 5
3.1 Audiencia ....................................................................................................................... 5
3.2 Alcance ........................................................................................................................... 6
3.3 Suposiciones .................................................................................................................. 6
3.4 Consideraciones de privacidad...................................................................................... 6
3.5 Evaluación de riesgos .................................................................................................... 8
3.5.1 Evaluación de riesgos de seguridad .............................................................................. 8
3.5.2 Evaluación de riesgos de privacidad ............................................................................. 9
3.6 Tecnologías .................................................................................................................... 9
4 Arquitectura ....................................................................................... 12
5 Análisis de las características de seguridad y privacidad .................... 13
5.1 Supuestos y limitaciones ............................................................................................. 13
5.2 Escenarios de seguridad .............................................................................................. 13
5.2.1 Exfiltración de datos cifrados...................................................................................... 14
5.2.2 Campaña de spear phishing ........................................................................................ 15
5.2.3 Ransomware................................................................................................................ 15
5.2.4 Correo electrónico accidental ...................................................................................... 17
5.2.5 Portátil perdido ........................................................................................................... 17
5.2.6 Uso indebido de privilegios......................................................................................... 18
5.2.7 Escuchando ................................................................................................................. 19
5.3 Escenarios de privacidad ............................................................................................. 20
5.3.1 Inicio de sesión de usuario con autenticación multifactor ......................................... 21
5.3.2 Autenticación en la solución de interfaz de escritorio virtual .................................... 25
5.3.3 Movimiento automatizado de datos con solución de gestión de datos..................... 28
5.3.4 Solución de monitoreo por registro............................................................................ 31
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra viii

5.3.5 Navegación web del usuario con la solución de aislamiento del navegador ............. 34
6 Consideraciones sobre la compilación futura ..................................... 36

Apéndice A Lista de Acrónimos ................................................................ 37
Apéndice B Glosario ............................................................................... 39
Apéndice C Referencias .......................................................................... 43
Apéndice D Mapa de control de seguridad .............................................. 45
Apéndice E Mapa de control de privacidad ............................................ 49
Lista de figuras
Figura 1-1 Mapeo de proyectos de seguridad de datos ....................................................................... 1
Figura 3-1 Relación de riesgo de ciberseguridad y privacidad.............................................................. 7
Figura 4-1 Arquitectura de alto nivel ................................................................................................. 12
Figura 5-1 Diagrama de flujo de datos de autenticación multifactor .................................................. 22
Figura 5-2 Diagrama de flujo de datos de la interfaz de escritorio virtual ........................................... 25
Lista de tablas
Tabla 3-1 Productos y tecnologías..................................................................................................... 10
Tabla 5-1 Escenario de seguridad de exfiltración de datos cifrados .................................................... 14
Tabla 5-2 Escenario de seguridad de la campaña de spear phishing ................................................... 15
Tabla 5-3 Escenario de seguridad de ransomware ............................................................................. 15
Tabla 5-4 Escenario de seguridad de correo electrónico accidental .................................................... 17
Tabla 5-5 Escenario de seguridad de portátiles perdidos ................................................................... 17
Tabla 5-6 Escenario de seguridad de uso indebido de Privelge ........................................................... 18
Tabla 5-7 Escenario de seguridad de espionaje.................................................................................. 19
Tabla 6-1 Mapa de control de seguridad ........................................................................................... 45
Tabla 6-2 Mapa de control de privacidad .......................................................................................... 49
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra ix

1 Resumen
En nuestro mundo basado en datos, las organizaciones deben priorizar la ciberseguridad y la privacidad
como parte de su estrategia de gestión de riesgos empresariales. En concreto, la confidencialidad de los
datos sigue siendo un reto, ya que los ataques contra los datos de una organización pueden comprometer
los correos electrónicos, los registros de los empleados, los registros financieros y la información de los
clientes, lo que afecta a las operaciones empresariales, los ingresos y la reputación.
La confidencialidad se define como "la preservación de las restricciones autorizadas sobre el acceso y la
divulgación de la información, incluidos los medios para proteger la privacidad personal y la información
de propiedad"[1]. La confidencialidad de los datos garantiza que solo los usuarios autorizados puedan
acceder a los datos y utilizarlos de manera autorizada. Garantizar la confidencialidad de los datos debe
ser una prioridad para cualquier organización, independientemente de la industria. La pérdida de
confidencialidad de los datos puede tener un gran impacto no solo para la empresa u organización, sino
también para las personas que han confiado sus datos a la organización.
El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y

Tecnología (NIST) desarrolló una solución de ejemplo para abordar las necesidades de seguridad y
privacidad de los datos. Este proyecto encaja dentro de una serie más amplia de proyectos de
seguridad de datos que están organizados por los elementos de la tríada de Confidencialidad,
Integridad y Disponibilidad (CIA) y las funciones principales del Marco de Ciberseguridad (CSF) del
NIST: Identificar, Proteger, Detectar, Responder y Recuperar.
Nota: Este proyecto se inició antes del lanzamiento del BORRADOR NIST CSF 2.0 y, por
lo tanto, no incluye la función GOVERN recién agregada. El BORRADOR NIST CSF 2.0
define Gobernar como "Establecer y monitorear la estrategia, expectativas y política
de gestión de riesgos de ciberseguridad de la organización". La función de gobierno es
transversal a las otras funciones de CSF. Aunque este documento se centra en las
capacidades técnicas, se pretende que esas capacidades respalden una función de
gobernanza de la organización en la administración del riesgo de ataque a la
confidencialidad de los datos.
Figura 1-1 Mapeo de proyectos de seguridad de datos
NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra 1

Los objetivos de esta Guía de prácticas de ciberseguridad del NIST son ayudar a las organizaciones a
identificar y proteger sus activos y datos con el fin de prepararse y prevenir un evento de
confidencialidad de datos. Esta guía ayudará a las organizaciones a:
 Almacenamiento de datos de inventario y flujos de datos

 Protéjase contra los ataques de confidencialidad contra los hosts, la red y los componentes empresariales
 Proteja los datos empresariales en reposo, en tránsito y en uso
 Configure las capacidades de registro y auditoría para cumplir con los requisitos de la organización
 Implementar controles de acceso a datos confidenciales
 Implementar mecanismos de autenticación para el acceso al host y a la red
 Enumerar los flujos de datos y las acciones de datos problemáticas de acuerdo con el Marco de privacidad
del NIST
Además de la orientación proporcionada en estos documentos, el NIST tiene muchos recursos disponibles
para ayudar a las organizaciones a identificar y proteger los datos:
 Publicación especial 1800-25 del NIST, Integridad de los datos: identificación y protección
de activos contra ransomware y otros eventos destructivos [2]
 Publicación especial 800-83 del NIST, Guía para la prevención y el manejo de incidentes de
malware para computadoras de escritorio y portátiles [5]
 Publicación especial 800-46 del NIST, Guía para el teletrabajo empresarial, el acceso remoto y la
seguridad de Bring Your Own Device (BYOD) [6]
 Marco de privacidad del NIST [7]
 Marco de ciberseguridad del NIST [8]
 Informe interinstitucional 8374 del NIST, Gestión de riesgos de ransomware: un perfil del marco
de ciberseguridad [9]
 Publicación especial 800-160 del NIST, Desarrollo de sistemas ciberresilientes: un
enfoque de ingeniería de seguridad de sistemas [10]
1.1 Desafiar
La confidencialidad de los datos es un desafío porque todos los datos existen para ser accesibles a un
cierto número de personas o sistemas autorizados. El acceso a los datos puede dar lugar a una violación
de datos cuando el acceso se logra o se da a una persona o sistema no autorizado. Los desafíos para que
una organización mantenga la confidencialidad de los datos son el resultado del gran volumen de datos de
una organización, las muchas formas en que los usuarios pueden acceder a los datos (in situ frente a
remoto, computadora frente a dispositivo móvil) y la posibilidad de que se pongan en peligro las
credenciales de usuario válidas que utilizan usuarios no autorizados.
NIST SP 1800-28 se centra en la aplicación de las funciones de identificación y protección del marco de
ciberseguridad del NIST para abordar los desafíos relacionados con la categorización del acceso a datos
autorizado y no autorizado. Este documento ayuda a las organizaciones a abordar la identificación de
posibles violaciones de la confidencialidad de los datos, así como a protegerse contra las pérdidas
resultantes.
Surgen desafíos adicionales a la hora de definir lo que significa "identificar" o "proteger" los datos. En
el trabajo anterior del NCCoE sobre la integridad de los datos (1800-25 [2], 1800-26 [3] y 1800-11 [4]),

fue posible definir la recuperación como una reversión de los datos comprometidos a un punto en el
tiempo antes de que fueran alterados. Con respecto a la pérdida de confidencialidad de los datos, no
existe un proceso de este tipo para "deshacer" los efectos de dicha pérdida:

Una vez que los datos digitales están en manos de un usuario no autorizado, no existe un método
garantizado para recuperar todas las copias de los datos. Esto deja a una organización y a las personas
afectadas con mitigaciones no técnicas para las consecuencias de la violación (financieras, de
reputación, etc.), así como la capacidad de la organización para aplicar las lecciones aprendidas a las
mejoras técnicas antes en la línea de tiempo para prevenir futuras infracciones.
1.2 Solución
El NCCoE desarrolló esta solución de dos partes para abordar las consideraciones de seguridad y
privacidad de los datos para ayudar a las organizaciones a gestionar el riesgo de un ataque a la
confidencialidad de los datos. El trabajo en 1800-29 aborda las acciones de una organización durante y
después de una pérdida de confidencialidad de datos (las funciones restantes de NIST CSF de Detectar,
Responder y Recuperar), mientras que esta guía se centra en las necesidades antes de una pérdida de
confidencialidad de datos (centrándose en las funciones de NIST CSF Identificar y proteger). La solución
utiliza herramientas disponibles en el mercado para proporcionar capacidades relevantes, como la
detección automatizada de la sensibilidad de los datos, los controles de acceso a los datos, el cifrado de
posibles datos confidenciales y la autenticación multifactor, entre otros.
1.3 Beneficios
Las organizaciones pueden usar esta guía para ayudar a:
 Evalúe sus preocupaciones sobre la confidencialidad de los datos

 Determinar si sus necesidades de seguridad de datos se alinean con los desafíos de
confidencialidad de datos identificados en esta guía
 Realizar un análisis de brechas para determinar la distancia entre el estado actual y el estado
deseado de las protecciones de confidencialidad de datos de la organización
 Realizar una evaluación de viabilidad para implementar las protecciones descritas en esta guía
 Determine un análisis de continuidad del negocio para identificar los posibles impactos en las
operaciones comerciales como resultado de la pérdida de confidencialidad de los datos.
2 Cómo usar esta guía

Esta Guía de prácticas de ciberseguridad del NIST demuestra un diseño de referencia basado en
estándares y proporciona a los usuarios la información que necesitan para replicar las capacidades de
confidencialidad de datos descritas en este documento. Este diseño de referencia es modular y puede
desplegarse en su totalidad o en parte.
Esta guía contiene tres volúmenes:
 NIST SP 1800-28A: Resumen ejecutivo

 NIST SP 1800-28B: Enfoque, arquitectura y características de seguridad: qué construimos y por
qué (usted está aquí)
 NIST SP 1800-28C: Guías prácticas: instrucciones para crear la solución de
ejemplo

En función de su rol en la organización, puede usar esta guía de diferentes formas:
Los responsables de la toma de decisiones empresariales, incluidos los directores de

seguridad y tecnología, estarán interesados en la
Resumen ejecutivo, NIST SP 1800-28A, que describe los siguientes temas:
 Desafíos a los que se enfrentan las empresas para identificar los activos vulnerables y
protegerlos de las filtraciones de datos
 ejemplo de solución creada en el NCCoE
 Ventajas de adoptar la solución de ejemplo
Los administradores de programas de tecnología o seguridad que se preocupen por cómo identificar,
comprender, evaluar y mitigar el riesgo estarán interesados en esta parte de la guía, NIST SP 1800-28B,
que describe lo que hicimos y por qué. Serán de especial interés los siguientes apartados:
 La sección 3.5, Evaluación de riesgos, proporciona una descripción del análisis de riesgos realizado por el
Tribunal
 La Sección 3.6, Mapa de control de seguridad, asigna las características de seguridad de esta
solución de ejemplo a los estándares y mejores prácticas de ciberseguridad
Puede compartir el resumen ejecutivo, NIST SP 1800-28A, con los miembros de su equipo de liderazgo
para ayudarlos a comprender la importancia de adoptar soluciones basadas en estándares para
protegerse contra las pérdidas de confidencialidad de los datos.
Los profesionales de TI que quieran implementar un enfoque como este encontrarán útil toda la guía
práctica. Puede usar la parte práctica de la guía, NIST SP 1800-28C, para replicar toda o parte de la
compilación creada en nuestro laboratorio. La parte de procedimientos de la guía proporciona
instrucciones específicas de instalación, configuración e integración del producto para implementar la
solución de ejemplo. No recreamos la documentación de los fabricantes del producto, que
generalmente está ampliamente disponible. Más bien, mostramos cómo incorporamos los productos
juntos en nuestro entorno para crear una solución de ejemplo.
En esta guía se asume que los profesionales de TI tienen experiencia en la implementación de productos
de seguridad dentro de la empresa. Si bien hemos utilizado un conjunto de productos comerciales para
abordar este desafío, esta guía no respalda estos productos en particular. Su organización puede
adoptar esta solución o una que se adhiera a estas directrices en su totalidad, o puede usar esta guía
como punto de partida para adaptar e implementar partes de una arquitectura de seguridad que proteja
contra las filtraciones de datos. Los expertos en seguridad de su organización deben identificar los
productos que mejor se integrarán con sus herramientas existentes y la infraestructura del sistema de
TI. Esperamos que busque productos que sean congruentes con las normas aplicables y las mejores
prácticas.
La sección 3.6, Tecnologías, enumera los productos que utilizamos y los asigna a los controles de
ciberseguridad y privacidad proporcionados por esta solución de referencia.
Una Guía de Prácticas de Ciberseguridad del NIST no describe "la" solución, sino una posible solución.
Los comentarios, sugerencias e historias de éxito mejorarán las versiones posteriores de esta guía. Por
favor, contribuya con sus pensamientos a ds-nccoe@nist.gov.

2.1 Convenciones tipográficas
En la tabla siguiente se presentan las convenciones tipográficas utilizadas en este volumen.
Tipo de Significado Ejemplo
letra/Símbolo
Cursiva nombres de archivo y Para obtener información sobre el uso
nombres de ruta; referencias del lenguaje y la guía de estilo,
a documentos que no sean consulte la Guía de estilo de NCCoE.
hipervínculos; nuevos
términos; y marcadores de
posición
Audaz nombres de menús, opciones, Elija Archivo > Editar.
botones de comando y
campos
Monoespacio entrada de línea de mkdir
comandos, salida de
computadora en pantalla,
ejemplos de código de
muestra y
Códigos de estado
Negrita Entrada de usuario de línea de Inicio de SSHD de servicio
monoespaciada
comandos en contraste con la
salida del equipo
Texto azul enlace a otras partes del Todas las publicaciones del NCCoE
documento, una URL web del NIST están disponibles en
(localizador uniforme de https://www.nccoe.nist.gov.
recursos) o
una dirección de correo
electrónico
3 Acercarse
El NCCoE está desarrollando un conjunto de proyectos de confidencialidad de datos asignados a las
cinco funciones del núcleo del marco de ciberseguridad del NIST. Este proyecto se centra en identificar
y proteger los datos vulnerables de los ataques. Nuestros socios de colaboración comercial se han
ofrecido como voluntarios para proporcionar los productos que proporcionan esta solución de ejemplo
para los problemas planteados en cada uno de nuestros casos de uso. A través de esta colaboración,
nuestro objetivo es crear recomendaciones prácticas para organizaciones e individuos que intentan
resolver problemas de confidencialidad de datos.
3.1 Audiencia
La arquitectura de este proyecto y la documentación que lo acompaña se dirige a tres grupos distintos
de lectores. El primero es el de aquellos que gestionan, implementan, instalan y configuran
personalmente soluciones de seguridad informática para su organización. Los tutoriales de instalación
y configuración de los productos comerciales elegidos, así como cualquiera de nuestras notas sobre las
lecciones aprendidas, funcionan para facilitar el desafío de implementar las mejores prácticas de
seguridad. Esta guía también sirve como punto de partida para aquellos que abordan estos problemas
de seguridad por primera vez, y una referencia para los administradores experimentados que desean
hacerlo mejor.
El segundo grupo son aquellos encargados de establecer políticas de seguridad más amplias para sus
organizaciones. Revisar las amenazas que cada organización debe tener en cuenta y sus posibles
soluciones permite generar una política de seguridad más robusta y eficiente con mayor facilidad.
El último grupo son las personas responsables de las ramificaciones legales de las violaciones de la
confidencialidad. Muchas organizaciones tienen la obligación legal de tomar medidas para proteger de
manera proactiva los datos personales o la información de identificación personal (PII) de las personas
que procesan. Las ramificaciones de no proteger adecuadamente la PII pueden tener graves
consecuencias tanto para los individuos como para las organizaciones en su conjunto.
Esta guía permitirá a los posibles usuarios evaluar la viabilidad de implementar las mejores prácticas de
confidencialidad de datos dentro de los sistemas de TI de su propia organización.
3.2 Alcance
Este documento proporciona orientación sobre la identificación de datos potencialmente
confidenciales y la protección contra la pérdida de confidencialidad de los datos. Consulte la Figura 1-1
para comprender cómo encaja este documento dentro del conjunto más amplio de proyectos de
seguridad de datos de NCCoE, organizados por la tríada de la CIA y las funciones del núcleo del marco
de ciberseguridad del NIST.
3.3 Suposiciones
La solución técnica desarrollada en el NCCoE y representada en esta guía no incorpora los aspectos no
técnicos de la gestión de la confidencialidad de los datos de una organización. Los componentes no
técnicos podrían incluir (pero no se limitan a):
 Requisitos legales aplicables basados en las jurisdicciones pertinentes

 Políticas corporativas u otras políticas sustitutivas relacionadas con la confidencialidad y la privacidad
 Procedimientos normalizados de trabajo en caso de pérdida de la confidencialidad de los datos
 Estrategias de Relaciones Públicas
Este proyecto se guía por los siguientes supuestos:
 La solución se desarrolló en un entorno de laboratorio y está limitada en cuanto al tamaño y

la escala de los datos.
 En este proyecto solo se incluye un subconjunto de productos relevantes para la
confidencialidad de los datos, ya que dichas organizaciones deben tener en cuenta los
principios rectores de este documento al evaluar las necesidades de su organización en
comparación con el panorama de productos en el momento de su implementación de TI.
3.4 Consideraciones de privacidad

Debido a que pueden surgir riesgos de privacidad como resultado de la pérdida de confidencialidad de los
datos, esta guía incluye consideraciones de privacidad. Esta sección ofrece una introducción a por qué es

importante proteger la privacidad, la relación entre la privacidad y el riesgo de ciberseguridad, así como el
enfoque del NIST para la evaluación de riesgos de privacidad.
En el panorama digital actual, los consumidores llevan a cabo gran parte de sus vidas en Internet. El
procesamiento de datos, que incluye cualquier operación realizada con datos, incluida la recopilación,
el uso, el almacenamiento y el intercambio de datos por parte de las organizaciones, puede dar lugar a
problemas de privacidad para las personas. Los riesgos para la privacidad pueden evolucionar con los
cambios en la tecnología y el procesamiento de datos asociado. La forma en que las organizaciones
tratan la privacidad tiene una relación directa con su confiabilidad percibida. Reconociendo la
evolución de los impactos de la tecnología en la privacidad de las personas, los gobiernos de todo el
mundo están trabajando para abordar sus preocupaciones a través de leyes y regulaciones nuevas o
actualizadas.
Tras un proceso de desarrollo abierto y transparente, el NIST publicó el Marco de Privacidad del NIST,
versión 1.0 para ayudar a las organizaciones a identificar y gestionar mejor sus riesgos de privacidad,
generar confianza con los clientes y socios, y cumplir con sus obligaciones de cumplimiento. El marco de
privacidad principal proporciona resultados de privacidad que las organizaciones pueden desear lograr
como parte de un programa de gestión de riesgos de privacidad.
El Marco de Privacidad también analiza los objetivos de ingeniería de privacidad que se pueden utilizar
para ayudar a las organizaciones a priorizar sus actividades de administración de riesgos de privacidad. Los
objetivos de la ingeniería de privacidad son:
 Previsibilidad: Permitir suposiciones confiables por parte de individuos, propietarios y

operadores sobre los datos y su procesamiento por parte de un sistema.
 Capacidad de gestión: Proporcionar la capacidad de administración granular de datos, incluida
la recopilación, alteración, eliminación y divulgación selectiva
 Disociabilidad: Permite el procesamiento de datos o eventos sin asociación a personas o
dispositivos más allá de los requisitos operativos del sistema.
Es importante que las personas y las organizaciones entiendan la relación entre la ciberseguridad y la
privacidad. Como se señaló en la sección 1.2.1 del Marco de privacidad del NIST [8], tener una
comprensión general de los diferentes orígenes de los riesgos de ciberseguridad y privacidad es
importante para determinar las soluciones más efectivas para abordar los riesgos. La figura 3-1 ilustra
esta relación, mostrando que algunos riesgos de privacidad surgen de los riesgos de ciberseguridad y
otros no están relacionados con los riesgos de ciberseguridad.
Figura 3-1 Relación de riesgo de ciberseguridad y privacidad

Aunque una violación de la confidencialidad de los datos puede dar lugar a problemas de privacidad
para las personas, es importante tener en cuenta que los riesgos de privacidad pueden surgir sin un
incidente de ciberseguridad. Por ejemplo, una organización puede procesar datos de manera que viole
la privacidad de una persona sin que esos datos hayan sido violados o comprometidos a través de un
incidente de seguridad. Este tipo de problema puede ocurrir en una variedad de escenarios, como
cuando los datos se almacenan durante períodos prolongados, más allá de la necesidad para la que se
recopiló inicialmente la información.
Los riesgos de privacidad surgen de eventos de privacidad, es decir, la ocurrencia o posible ocurrencia
de acciones de datos problemáticas. El Marco de Privacidad del NIST define las acciones de datos
problemáticas como acciones de datos que pueden causar un efecto adverso para las personas. Pueden
surgir acciones de datos problemáticas por el procesamiento de datos simplemente con fines de misión
o comerciales. El riesgo para la privacidad es la probabilidad de que las personas experimenten
problemas derivados del procesamiento de datos y el impacto en caso de que ocurran [16]. Como se
refleja en la superposición de la Figura 3-1, el análisis de estos riesgos en paralelo con los riesgos de
ciberseguridad puede ayudar a las organizaciones a comprender la consecuencias de los impactos de las
violaciones de la confidencialidad de los datos. En la sección 5.3 se muestran los escenarios en los que
pueden surgir riesgos para la privacidad y las posibles mitigaciones.
En función de la arquitectura de referencia, esta compilación tuvo en cuenta las acciones de datos que
pueden causar acciones de datos problemáticas.
3.5 Evaluación de riesgos

NIST SP 800-30 Revisión 1, Guía para la Realización de Evaluaciones de Riesgos, establece que el riesgo es
"una medida de la medida en que una entidad se ve amenazada por una circunstancia o evento potencial,
y típicamente una función de:
(i) los impactos adversos que se producirían si se produjera la circunstancia o evento; y (ii) la
probabilidad de ocurrencia". La guía define además la evaluación de riesgos como "el proceso de
identificar, estimar y priorizar los riesgos para las operaciones de la organización (incluida la misión,
las funciones, la imagen, la reputación), los activos de la organización, los individuos, otras

organizaciones y la nación, como resultado de la operación de un sistema de información. Parte de la
gestión de riesgos incorpora análisis de amenazas y vulnerabilidades, y considera las mitigaciones
proporcionadas por los controles de seguridad planificados o implementados".
El NCCoE recomienda que cualquier discusión sobre la gestión de riesgos, particularmente a nivel
empresarial, comience con una revisión exhaustiva de NIST SP 800-37 Revisión 2, Marco de gestión de
riesgos para sistemas y organizaciones de información [12], material que está disponible para el
público. La guía del Marco de Gestión de Riesgos (RMF) [13] demostró ser invaluable para darnos una
línea de base para evaluar los riesgos, a partir de la cual desarrollamos el proyecto, las características
de seguridad de la compilación y esta guía.
3.5.1 Evaluación de riesgos de seguridad

Las evaluaciones de riesgos de seguridad a menudo discuten la consideración de las amenazas a un
sistema de información. NIST SP 800-30 Revisión 1 define una amenaza como "cualquier circunstancia
o evento con el potencial de afectar negativamente las operaciones y los activos de la organización,
individuos, otras organizaciones o la Nación a través de un sistema de información a través del acceso
no autorizado, la destrucción, la divulgación o la modificación de la información y / o la denegación de
servicio". Las amenazas son acciones que pueden comprometer la confidencialidad, integridad o
disponibilidad de un sistema [11]. Las amenazas evolucionan y una organización debe realizar su propio
análisis al evaluar las amenazas y los riesgos a los que se enfrenta la organización.
Durante el desarrollo de la solución de confidencialidad de datos se tuvieron en cuenta las siguientes amenazas:
 Exfiltración por parte de actores externos malintencionados

 Exfiltración por parte de un actor interno malintencionado (uso indebido de privilegios)
 Ransomware con amenaza de fuga de datos
 Actor interno no malintencionado (correo electrónico accidental)
 Hardware extraviado
Para que una amenaza se materialice, un sistema, proceso o persona debe ser vulnerable a una acción de
amenaza. Una vulnerabilidad es una deficiencia o debilidad que una fuente de amenaza puede explotar, lo
que resulta en un evento de amenaza. Las vulnerabilidades pueden existir en un contexto más amplio. Es
decir, se pueden encontrar en las estructuras de gobierno organizacional, las relaciones externas y los
procesos de misión/negocio.
Las organizaciones deben considerar el impacto si se produce una violación de la confidencialidad de los
datos, incluida la posible disminución de la confianza y la credibilidad de la organización que afecta a los
empleados, clientes, socios, partes interesadas, así como los impactos financieros debido a la pérdida
de información confidencial u otra información confidencial.
3.5.2 Evaluación de riesgos de privacidad

Esta compilación también incorpora la privacidad como parte de la evaluación de riesgos de la
compilación. Es importante que las organizaciones aborden el riesgo de privacidad como parte de un
proceso integral de gestión de riesgos. La compilación utilizó el Marco de Privacidad del NIST [7] y la
Metodología de Evaluación de Riesgos de Privacidad (PRAM) [14] para identificar y abordar los riesgos

de privacidad.
Como parte de la identificación de los riesgos de privacidad en esta compilación, las acciones de datos
problemáticas se correlacionaron con los riesgos de privacidad observados. En muchos casos, las
capacidades de seguridad de esta compilación ayudarán a mitigar los riesgos de privacidad, pero las
organizaciones deben tener cuidado al implementar estas capacidades de una manera que no introduzca
nuevos riesgos de privacidad.
En la sección 5.3 se describen las consideraciones problemáticas sobre la acción de los datos y la privacidad para
esta compilación.
3.6 Tecnologías
En la Tabla 3-1 Productos y Tecnologías se enumeran las tecnologías utilizadas en este proyecto y se
proporciona una correspondencia entre el término genérico de aplicación, el producto específico
utilizado y los controles de seguridad que proporciona el producto. Consulte la Tabla 6-1 Mapa de
control de seguridad para obtener una explicación de los identificadores de subcategoría del marco de
ciberseguridad del NIST. La Tabla 3-1 también proporciona los identificadores de subcategoría del Marco de
Privacidad, que se explican en el Apéndice E.

Tabla 3-1 Productos y tecnologías
Componente Producto Capacidad Subcategorías del Marco de privacidad

marco de del NIST:
ciberseguridad del subcategorías
NIST
Gestión de datos Avrio SIFT v1.0.5.R5  Descubre, etiqueta y protege ID.AM-2, PR. DS-1, ID.IM-P1, PR. DS-P1,
archivos confidenciales en toda la PR. DS-3 PR. DS-P3
red
Protección de datos Qcor Forcefield v1.9h  Protege los datos en reposo del PR. DS-1 PR. DS-P1
acceso no autorizado y la
modificación maliciosa
PKWARE PKProtect  Proporciona cifrado de datos en PR. DS-1, PR. DS-2 PR. DS-P1, PR. DS-P2
v16.40.0010 reposo y en tránsito
StrongKey Tellaro  Proporciona una API web (interfaz PR. AC-7, PR. DS-2 PR. AC-P6, PR. DS-P2
de programación de aplicaciones)
para el cifrado y la tokenización, la
gestión de claves y la
autenticación
Controles de Dúo de Cisco  Proporciona PR. AC-1, PR. AC-4, PR. AC-P1, PR. AC-P4,
acceso de autenticación PR. AC-7 PR. AC-P6
usuarios multifactor
Aislamiento del Aislamiento  Proporciona aislamiento de los PR. AC-5, PR. DS-2 PR. AC-P5, PR. DS-P2,
navegador web de navegadores web para protegerlos TC. DP-P2, CM.AW-P3
Symantec del tráfico peligroso
 Protege contra malware y
amenazas de phishing
 Proporciona una opción de privacidad
que permite anonimizar los datos de
navegación del usuario.
 Proporciona un banner de inicio de
sesión para informar a las personas
sobre las prácticas de recopilación
de datos con la navegación web
Aplicación de políticas Dúo de Cisco  Proporciona control de políticas a PR. IP-5 PR. PO-P4
nivel global o por aplicación

Componente Producto Capacidad Subcategorías del Marco de privacidad
marco de del NIST:
ciberseguridad del subcategorías
NIST
Registro Hélice de Ojo de Fuego  Proporciona una línea de base ID.RA-1, ID.RA-2, ID.RA- CT. DM-P8
para las operaciones 3, PR. PT-1
normales de la empresa
 Proporciona registros y habilita la
respuesta a incidentes
Protección de la red Disipar  Proporciona acceso remoto a la red PR. AC-3, PR. AC-5 PR. AC-P3, PR. AC-P5

4 Arquitectura
En esta sección se presenta la arquitectura de alto nivel y un conjunto de capacidades utilizadas en
nuestro diseño de referencia de confidencialidad de datos que identifica y protege los activos del acceso y
la divulgación no autorizados.
Figura 4-1 Arquitectura de alto nivel
Cada una de las capacidades implementadas desempeña un papel en la mitigación de los ataques a la
confidencialidad de los datos:
 La gestión de datos permite el descubrimiento y el seguimiento de archivos en toda la empresa.

 La protección de datos implica el cifrado y la protección contra la divulgación de archivos
confidenciales.
 Los controles de acceso permiten a las organizaciones aplicar políticas de control de
acceso, lo que garantiza que solo los usuarios autorizados tengan acceso a los archivos
confidenciales.
 El aislamiento del explorador protege los endpoints de la organización frente al malware
malicioso basado en la web mediante el espacio aislado y el contenido de ejecutables
descargados de Internet.
 La aplicación de directivas garantiza que los puntos de conexión de la organización se
ajusten a las directivas de seguridad especificadas, que pueden incluir la verificación de
certificados, los programas instalados y la posición de la máquina.
 El registro crea una línea de base de una actividad empresarial normal para compararla en
caso de que se produzca un evento de confidencialidad de datos.
 La protección de red garantiza que los hosts de la red solo se comuniquen de las formas permitidas,
lo que evita los ataques de canal lateral y los ataques que dependen de la comunicación directa
entre los hosts. Además, protege contra hosts potencialmente maliciosos que se unen u observan el
tráfico (cifrado o descifrado) que atraviesa la red.
Estas capacidades trabajan juntas para proporcionar las funciones Identificar y Proteger para la
arquitectura de referencia. La capacidad de gestión de datos proporciona un inventario de datos y una
gestión de activos para los archivos de la empresa; ayuda a identificar archivos potencialmente
confidenciales; y trabaja con la capacidad de protección de datos para garantizar que los archivos
potencialmente confidenciales estén debidamente protegidos en caso de una infracción. Debido a que
las organizaciones pueden ser grandes y se pueden crear nuevos archivos confidenciales a diario, es
importante tener la capacidad de automatizar la identificación y protección de los archivos al menos
parcialmente. La capacidad de protección de datos y los controles de acceso evitan que los datos sean
leídos por partes no autorizadas. Al garantizar que solo los usuarios y sistemas correctos tengan acceso
a los datos, y que los datos estén protegidos en uso y en reposo, se vuelve más difícil para los
adversarios robar y divulgar datos confidenciales.
Las capacidades de aplicación de políticas, protección de red y aislamiento del navegador trabajan
juntas para proteger los puntos finales, como computadoras portátiles y de escritorio, contra vectores
de ataque comunes. Los sitios web maliciosos que distribuyen malware pasan primero a través de la
capacidad de aislamiento del navegador, que aísla las páginas web para garantizar que el malware
descargado a través de una página web maliciosa no se propague al sistema del usuario o de la empresa.
La segmentación de red utiliza políticas de capa de red para agrupar los puntos de conexión en
segmentos en función de las necesidades empresariales. Si un endpoint está infectado, la segmentación
de la red puede limitar el impacto al evitar que el malware se propague entre segmentos. La aplicación
de políticas garantiza que los sistemas permanezcan actualizados con las políticas de seguridad definidas
por la organización. Todas estas funciones alimentan las capacidades de registro y proporcionan a las
organizaciones una comprensión de su línea de base de actividad normal. Estos registros informan a la
organización de su posición de seguridad antes de un evento, de modo que la organización pueda
ajustar sus políticas a medida que se disponga de nueva información sobre amenazas y tomar las
medidas adecuadas.
5 Análisis de las características de seguridad y privacidad

La siguiente sección está destinada a ayudar a las organizaciones a comprender hasta qué punto el
proyecto cumple con su objetivo de demostrar tecnologías y capacidades para ayudar a las
organizaciones a mitigar el riesgo de confidencialidad de los datos. Para respaldar esto, desarrollamos
varios escenarios que las organizaciones pueden considerar al realizar su análisis de riesgos de
seguridad y privacidad. Para cada escenario, analizamos cómo nuestra arquitectura podría ayudar a
mitigar o limitar los riesgos de seguridad y privacidad.
5.1 Supuestos y limitaciones

El siguiente análisis tiene las siguientes limitaciones:
 No es una prueba exhaustiva de todos los componentes de seguridad y privacidad, ni un

ejercicio de equipo rojo.
 No puede identificar todas las debilidades o riesgos.

 No incluye la infraestructura del laboratorio. Se supone que los dispositivos están reforzados.
La prueba de estos dispositivos revelaría solo debilidades en la implementación que no serían
relevantes para aquellos que adoptan esta arquitectura de referencia.
5.2 Escenarios de seguridad

Nuestra evaluación de seguridad implicó evaluar qué tan bien el diseño de referencia aborda las
características de seguridad que se pretendía admitir. Cada escenario presenta un posible evento de
ciberseguridad y analiza las responsabilidades de una organización con respecto a cada evento, y cómo
la Seguridad y las capacidades de nuestra arquitectura ayudarían a una organización a abordar las
funciones del marco de ciberseguridad de identificar y proteger para ese evento.
A continuación se muestra una lista de los escenarios creados para probar las capacidades de seguridad
de esta arquitectura.
NOTA: Los siguientes escenarios se asignan al BORRADOR NIST CSF 2.0. Para obtener una asignación al
NIST CSF 1.1, consulte el Mapa de control de seguridad en el Apéndice D.
5.2.1 Exfiltración de datos cifrados

Tabla 5-1 Escenario de seguridad de exfiltración de datos cifrados
Descripción Una organización, sin saberlo, ha adquirido una máquina comprometida

de una fuente externa y ha conectado la máquina a su red de confianza.
Esta máquina escanea periódicamente una determinada parte del
sistema de archivos, que ha considerado potencialmente sensible, y
encripta y carga el contenido en un servidor web malicioso. Debido a que
se asumió que la máquina era de confianza debido a un error humano, la
entrega de este malware en el sistema es difícil de detectar; debe
detectarse y detenerse después de que haya
ya ha empezado a correr.
PROYECTO DE MCA ID.AM-01, ID.AM-02, ID.AM-03, ID.AM-5, ID.RA-5, PR. AA-01, PR. AA-02,
ASOCIADO PR. AA-05, PR. DS-01, PR. DS-02, PR. DS-10, PR. PS-01, PR. PS-04
2.0 Subcategorías
Respuesta En este escenario, la organización acepta un equipo infectado en su red.
Organizacional Por ejemplo, podría tratarse de hardware solicitado a un proveedor
externo, que podría haber sido reacondicionado o modificado antes de la
entrega a la organización. Debido a que la organización conecta la máquina
directamente a la red, la adquisición del malware se produce de inmediato
y sin previo aviso. Corresponde a la organización proteger los datos
confidenciales de
esta brecha, así como poder identificar el tráfico generado por el malware
como anómalo.
Identificar La capacidad de administración de datos se utiliza para identificar nuevos
datos confidenciales cuando se crean y realizar un seguimiento de ellos en
toda la organización. Los resultados de esta capacidad se utilizan para
informar a las capacidades de protección y respuesta sobre qué datos
están en riesgo de ser atacados y el impacto en la empresa en
el caso de compromiso.

Proteger La capacidad de protección de datos proporciona cifrado para los datos
confidenciales que se han identificado como importantes, protegiéndolos
del acceso no autorizado en caso de un ataque de exfiltración.
Otro aspecto importante de la función Protect es la documentación de los

registros de auditoría, con respecto a los datos confidenciales. La
capacidad de registro proporciona una línea de base para la actividad
empresarial normal. Esta línea de base se puede utilizar como punto de
comparación en la fase de detección para detectar anomalías en la red
tráfico y conducen al descubrimiento de exfiltraciones maliciosas.

5.2.2 Campaña de spear phishing
Tabla 5-2 Escenario de seguridad de la campaña de spear phishing
Descripción Un usuario desconocido ha lanzado con éxito un ataque de spear

phishing y, en el proceso, ha recuperado el nombre de usuario y la
contraseña de un usuario autorizado. Este usuario tiene acceso a varias
de las bases de datos de la organización, lo que le permite ver y
manipular los datos que contiene. Esto expone los datos de propiedad al
robo y a la manipulación/eliminación.
PROYECTO DE MCA PR. AA-01, PR. AA-02, PR. AA-03, PR. DS-01, PR. DS-02, PR. PS-01, PR. PS-04,
ASOCIADO DE. CM-09
2.0 Subcategorías
Respuesta En este escenario, alguien de la organización con credenciales privilegiadas
Organizacional ha visto comprometidas sus credenciales a través de un correo electrónico
de spear phishing. El usuario puede informar de esto por sí mismo si se da
cuenta retroactivamente de que fue un ataque de phishing, o puede que
no. La organización tendrá que lidiar con una cuenta de usuario privilegiada
con acceso a la base de datos que está siendo utilizada por un actor
malintencionado y es responsable de proteger los activos de la
cuenta comprometida.
Identificar Aunque la identificación de activos es una función importante, en este
escenario nos centramos específicamente en la capacidad de un usuario
comprometido para acceder a una base de datos en uso y no tenemos una
necesidad específica de identificar la base de datos como
parte de la resolución del escenario, ya que se conoce el objetivo.
Proteger La capacidad de protección de datos proporciona protección contra
escritura contra la alteración o eliminación de datos guardados, así como
protección contra la lectura de los datos mediante el cifrado de datos en
uso.
Otro aspecto importante de la función Protect es la gestión de los permisos

de acceso. La capacidad de controles de acceso de usuario permite que la
base de datos esté protegida por una segunda capa de autenticación
independiente del nombre de usuario y la contraseña del usuario. En el
caso de que las credenciales se vean comprometidas, es menos probable
que la base de datos se vea afectada si se requieren dos factores de
autenticación.
Además, la adquisición de credenciales de usuario no implica

necesariamente que el sistema físico de un usuario haya sido robado. La
aplicación de políticas puede aprovechar esto mediante la autenticación
del hardware, software y/o firmware que está siendo utilizado por la
cuenta en el momento del acceso. Normalmente, esto se hace mediante
certificados digitales, valores hash u otras formas de atestación que se
almacenan en mecanismos de seguridad respaldados por hardware. Esto
sirve para garantizar que un nombre de usuario y contraseña robados no
sean suficientes para
comprometer los recursos críticos.

5.2.3 Ransomware
Tabla 5-3 Escenario de seguridad de ransomware
Descripción Un empleado de la empresa comete un error al introducir la URL del

proveedor de correo electrónico de su empresa. Este error los lleva a
una página de inicio de sesión idéntica, pero está alojada por un actor
malintencionado. Cuando ingresan a su
Credenciales en la página de inicio de sesión, la página registra sus

credenciales y las reenvía a la página de inicio de sesión real, como si las
credenciales estuvieran mal escritas. Más adelante, el actor
malintencionado utiliza estas credenciales para iniciar sesión como
empleado. Descargan y ejecutan un ejecutable de ransomware malicioso
como usuario. El ejecutable del ransomware carga archivos confidenciales
en el archivo
Sitio web de alojamiento malicioso, que muestra un aviso de que, a menos
que se pague un rescate, los archivos confidenciales permanecerán
visibles públicamente.
ASOCIADO PR. AA-03, PR. AA-05, PR. DS-01, PR. DS-02, PR. DS-10, PR. IR-01, PR.
2.0 Subcategorías PS-01, PR. PS-04
Respuesta En este escenario, las credenciales de alguien de la organización con
Organizacional privilegios se han visto comprometidas a través de una página web
malintencionada disfrazada de proveedor de correo electrónico de la
organización. El usuario puede o no reportar el ataque, aunque puede
haber pistas sobre su existencia: un usuario con problemas en la cuenta y
tráfico que va a un nombre de dominio muy similar al dominio de la
organización podría ser suficiente para enviar banderas rojas si se nota. En
cualquier caso, la organización tendrá que lidiar con una cuenta de usuario
privilegiada que se utiliza para descargar malware y mantener la
confidencialidad de
Rescate de archivos confidenciales.
están en riesgo de ser atacados y el impacto en la empresa en
el caso de compromiso.

Proteger La capacidad de protección de datos proporciona cifrado para datos
confidenciales, protegiéndolos del acceso no autorizado en caso de un
ataque de exfiltración. Incluso si los datos son robados y liberados, el
cifrado evita que los datos se utilicen o lean.
Otro componente importante de la función Protect es la documentación

de los registros de auditoría, con respecto a los datos confidenciales. La
comparación en la fase de detección para detectar anomalías en el tráfico
de red y el comportamiento del usuario, lo que podría permitir la
detección de un actor malintencionado que acceda a la estación de trabajo
del usuario fuera del horario normal.
El aislamiento del navegador, junto con la protección de la red, evitará las

descargas de archivos maliciosos desde sitios web y puertos desconocidos,
lo que limitará la capacidad del atacante para adquirir su programa de
ransomware después de que el sistema se haya visto comprometido. Si bien
es posible que la capacidad de descargar programas maliciosos en la
estación de trabajo no detenga por completo a los atacantes determinados,
aumenta la dificultad y el tiempo requerido para el ataque, lo que permite
más tiempo para las actividades de detección y respuesta por parte de la
organización defensora.

5.2.4 Correo electrónico accidental
Tabla 5-4 Escenario de seguridad de correo electrónico accidental
Descripción Un usuario de la organización accidentalmente copia a una persona en un

correo electrónico. Este correo electrónico tiene un archivo adjunto que
contiene información confidencial para la que la persona en copia no está
autorizada. La persona copiada en el correo electrónico se considera un
empleado descontento y, cuando ve este correo electrónico, descarga y
guarda inmediatamente estos archivos.
ASOCIADO PR. AA-03, PR. AA-05, PR. DS-01, PR. DS-02, PR. DS-10, PR. IR-01, PR. PS-04
2.0 Subcategorías
Respuesta En el caso de una fuga accidental de información por correo electrónico,
Organizacional no es improbable que se informe del evento. Dado que hay varias partes
involucradas que no son maliciosas, es posible que una de ellas informe el
incidente. Sin embargo, independientemente de si se informa o no, la
organización debe poder rastrear la transferencia de datos confidenciales a
la organización no autorizada.
del empleado, y también evitar que ese empleado lo lea.
están en riesgo y el impacto en la empresa en caso de
una fuga de información.
Proteger La capacidad de protección de datos proporciona cifrado para la
información confidencial, protegiéndola del acceso no autorizado, incluso si
se envía accidentalmente a usuarios no autorizados.
Otro componente importante de la función Proteger es la documentación

de los registros de auditoría, con respecto a los datos confidenciales. La
comparación en la fase de detección para informar sobre los datos que se
han
transferidos a los sistemas de usuarios no autorizados.
5.2.5 Portátil perdido

Tabla 5-5 Escenario de seguridad de portátiles perdidos
Descripción Un usuario ha perdido su portátil de trabajo, que contiene información

de propiedad. Se desconoce si la computadora portátil fue atacada por
sus datos y credenciales de acceso por un actor malicioso, o si el
incidente fue un desafortunado accidente. A los efectos de este
escenario, asumimos que el usuario de la propiedad
Laptop ha informado de la falta del sistema por su cuenta.

PROYECTO DE MCA ID.AM-01, ID.AM-02, ID.AM-05, ID.AM-07, PR. AA-01, PR. AA-03, PR. DS-
ASOCIADO 01, PR. DS-09, PR. PS-03
2.0 Subcategorías
Respuesta En el caso de que se pierda una computadora portátil, es probable que el
Organizacional usuario informe de la pérdida, ya que el usuario perderá directamente su
capacidad de trabajo. Aunque algunos aspectos de este evento son más
fáciles debido al conocimiento del sistema por parte del usuario, es
importante que la organización determine los datos que se
en la computadora portátil, la postura de seguridad de la computadora
portátil y el acceso a la computadora portátil
a la red de la organización, de modo que la pérdida pueda evaluarse con

precisión y se pueda evitar una mayor pérdida de datos.
están en riesgo y el impacto en la empresa en caso de que se ponga en
peligro.
La funcionalidad de aplicación de directivas se puede usar para obligar a los

equipos que se conectan a los recursos de la organización a cumplir los
requisitos relacionados con los programas que se instalan. Aunque esta
capacidad suele formar parte de la función de protección, conocer la
posición de seguridad de los activos de la empresa es una función de
identificación importante. Cuando se utiliza la aplicación de políticas para
garantizar la presencia de capacidades de cifrado, por ejemplo, la empresa
tiene
cierta garantía de que los datos de la estación de trabajo no se han visto
comprometidos.
Proteger La capacidad de protección de datos proporciona cifrado para la
computadora portátil y evita que se lean datos confidenciales.
Otro aspecto importante de la función Protect es la gestión de los permisos

de acceso. La capacidad de controles de acceso de usuario permite que la
red esté protegida por dos capas de autenticación. Aunque la computadora
portátil puede verse comprometida, requerir credenciales de cuenta de
usuario, así como un segundo factor de autenticación, protege la red de un
mayor compromiso.
La aplicación de directivas se puede usar para obligar a los equipos que se

conectan a los recursos de la organización a cumplir con los requisitos
relacionados con los programas que se instalan, lo que ayuda a garantizar
que las máquinas perdidas o robadas tengan una protección de datos
adecuada y un control de acceso de usuario para evitar que se instalen los
programas.
Pérdida de datos en caso de pérdida o robo de un ordenador portátil.

5.2.6 Uso indebido de privilegios
Tabla 5-6 Escenario de seguridad de uso indebido de privilegios
Descripción Un usuario interno malintencionado navega a una de las unidades

compartidas de la organización y encuentra información confidencial
almacenada allí. Buscando vender esta información a los competidores,
el informante copia la información en su unidad USB personal (bus de la
serie universal). El informante también imprime estos
Archivos.
ASOCIADO PR. AA-06, PR. DS-01, PR. DS-02, PR. DS-09, PR. PS-04, PR. IR-01
2.0 Subcategorías
Respuesta Es poco probable que una persona malintencionada anuncie sus fechorías;
Organizacional Corresponde a la organización descubrir el comportamiento interno y
proteger los activos de ellos. A través de un control de acceso adecuado y
el cifrado de archivos confidenciales, las organizaciones pueden
obstaculizar el intento de información privilegiada de exfiltrar datos útiles.
Es poco probable que una organización sea capaz de detener por completo
una
información privilegiada a través de medios técnicos; sin embargo, las
organizaciones deben usar el método
Capacidades técnicas que tienen para limitar la exfiltración, al mismo

tiempo que recopilan información sobre el alcance de la pérdida para
ayudar en la búsqueda de soluciones legales al incidente.
están en riesgo y el impacto en la empresa en caso de que se ponga en
peligro. En el caso de que una persona malintencionada intente filtrar
datos, es importante saber a qué datos se puede acceder en las máquinas
a los que accede el usuario interno, así como los niveles de sensibilidad de
los datos afectados.

confidenciales, protegiéndolos del acceso no autorizado. Si bien una
persona malintencionada puede ser capaz de descifrar los datos
relevantes para su función de trabajo, los datos irrelevantes que se cifran
y administran correctamente serán significativamente menos útiles para la
persona con información privilegiada.
Otra capacidad importante dentro de la función de protección es la

gestión de los permisos de acceso. Los controles de acceso de usuario
pueden evitar que usuarios no autorizados accedan a archivos
confidenciales en primer lugar, lo que impide la funcionalidad de copia e
impresión.
Si bien los controles de acceso de los usuarios y la protección de datos

garantizan que el usuario solo tenga acceso a algunos datos, en última
instancia, las personas internas malintencionadas tienden a tener cierto
nivel de acceso a los datos debido a su función en la organización. El
registro proporciona una línea de base para la actividad empresarial
normal. Esta línea base se puede utilizar como punto de comparación en la
fase de detección para informar sobre los datos que se han exfiltrado de la
organización. En el caso de la exfiltración por parte de una persona
malintencionada, los registros pueden ayudar a determinar a qué datos se
accedió e imprimieron y pueden ayudar a la organización a recuperarse de
la exfiltración, potencialmente de formas no técnicas, como a través del
sistema legal o la ley
aplicación.
5.2.7 Escuchando
Tabla 5-7 Escenario de seguridad de espionaje
Descripción Un extraño malintencionado ha obtenido acceso al tráfico de red de la

organización. Poseen la capacidad de interceptar y secuestrar las
comunicaciones internas a través de un ataque de intermediario. Un
usuario comienza a cargar una propuesta confidencial para un nuevo
proyecto. El extraño malintencionado es capaz de
interceptar y ver estos archivos.
PROYECTO DE MCA ID.AM-01, ID.AM-03, ID.AM-07, PR. AA-05, PR. AA-06, PR. DS-01, PR. DS-
ASOCIADO 02, PR. PS-04, PR. IR-01
2.0 Subcategorías
Respuesta En este escenario, es probable que una organización pueda ver la
Organizacional introducción de un nuevo dispositivo en la red. En este ejemplo, la carga
confidencial de un usuario se roba mientras está en tránsito. Es posible que
el usuario vea advertencias sobre HTTPS o
Certificados no válidos debido a la naturaleza del ataque y a la organización

puede notar tráfico anómalo que pasa a través del nuevo dispositivo en la
red. La organización es responsable de identificar el nuevo dispositivo
como malicioso, proteger los datos interceptados por él a través del
cifrado y mitigar su capacidad para comunicarse con máquinas
empresariales de confianza.
están en riesgo y el impacto en la empresa. En este escenario, se crea una
nueva propuesta de proyecto: la capacidad de administración de datos se
usa para identificar la creación de nuevos datos confidenciales y realizar un
seguimiento de ella
en toda la empresa.
confidenciales, protegiéndolos del acceso no autorizado. Si bien un tercero
malintencionado en la red puede interceptar los datos en tránsito, el
cifrado evita que el tercero pueda leer los datos interceptados.
Otro componente importante de la función de protección es la

documentación de los registros de auditoría, con respecto a los datos
confidenciales. La capacidad de registro proporciona una línea de base para
la actividad empresarial normal. Esta línea de base se puede utilizar como
punto de comparación en la fase de detección para detectar actividad
anómala en la red, como un host malintencionado en la red que actúa
como proxy entre dos sistemas.
La protección de red también es una capacidad importante para proteger

el tráfico de red de adversarios malintencionados. Mediante el uso de la
segmentación de la red, la confianza cero y las capacidades de defensa de
objetivos móviles, se puede evitar que los dispositivos no reconocidos
identifiquen, reconozcan y accedan a la red o
Comunicarse con anfitriones de confianza.
5.3 Escenarios de privacidad

En la siguiente sección se describen los escenarios que una organización puede tener en cuenta al
realizar su evaluación de riesgos de privacidad. Sobre la base de la arquitectura de referencia utilizada
en este proyecto, se examina cada escenario en busca de acciones de datos que den lugar a posibles
problemas de privacidad para las personas. Cada tabla documenta las acciones de datos problemáticas
tomadas del Catálogo de Acciones y Problemas de Datos Problemáticos del NIST [16] y enumera las
mitigaciones de privacidad asignadas al Marco de Privacidad del NIST [7]. Para los riesgos de privacidad
analizados, se tuvo en cuenta cómo se procesan los datos. Los riesgos de privacidad específicos que se
encuentran en los escenarios se derivan de los componentes de la arquitectura y los flujos de datos
utilizados en esta compilación, pero, en la medida de lo posible, se generalizan para las organizaciones
que usan componentes y capacidades similares.
Las organizaciones pueden recopilar información que afecte a la privacidad al implementar controles

de ciberseguridad o basados en la privacidad. Por ejemplo, una organización puede implementar la
autenticación multifactor (MFA) utilizando información como el número de teléfono móvil. Aunque la
recopilación de esta información ayuda a proteger los sistemas y los datos al admitir capacidades como
el no repudio y la auditoría del sistema, también puede generar riesgos para la privacidad.

Al implementar controles basados en la ciberseguridad o la privacidad, las organizaciones deben
considerar el beneficio que obtiene un usuario, tanto del uso de un servicio como de la protección de
ese servicio antes de procesar la información que afecta la privacidad. Este beneficio se puede sopesar
con el riesgo que supone tanto para las personas como para la organización en caso de que se produzca
un evento de privacidad.
Por ejemplo, al utilizar la MFA mencionada anteriormente, los usuarios pueden sentirse obligados a
proporcionar información que afecte a la privacidad, como su número de teléfono personal para la
autenticación por SMS (servicio de mensajería corta), para obtener acceso a los sistemas o servicios. Sin
embargo, si el usuario está accediendo a información disponible públicamente, el riesgo de uso
indebido de la información de la recopilación de números de teléfono personales puede ser mayor que
el beneficio de seguridad para proteger la información de baja confidencialidad. Además, si se les da la
opción, los usuarios pueden optar por utilizar métodos de autenticación alternativos que sean menos
invasivos para la privacidad, como el uso de un número de teléfono del trabajo en lugar de un número
personal o un autenticador MFA de hardware en lugar de autenticación por SMS. La Metodología de
Evaluación de Riesgos de Privacidad (PRAM) del NIST se refiere a esta acción de datos problemática, en
la que el usuario se ve obligado a proporcionar información desproporcionada con respecto al
propósito o resultado de la transacción, como divulgación inducida.
Las organizaciones deben tener en cuenta estos tipos de riesgos a la hora de diseñar e implementar
sistemas. Como se demuestra en los escenarios siguientes, las mitigaciones de riesgos deben
implementarse dentro del diseño para limitar los riesgos de privacidad. Estas mitigaciones de riesgos
de privacidad pueden incluir, entre otras, las siguientes:
 Comprender dónde y cómo se procesa la información, incluidas las prácticas de recopilación y

los componentes del sistema que almacenan y transmiten esta información (flujos de datos y
mapeo)
 Comprender los riesgos y beneficios de recopilar diferentes elementos de datos para determinar si
no se deben recopilar
 Conservar los datos solo el tiempo que sea necesario para su funcionamiento y destruirlos o
anonimizarlos de lo contrario, utilizando las prácticas adecuadas de gestión del ciclo de vida de
los datos y de acuerdo con las leyes y políticas aplicables.
 Mantener los datos personales segregados en un repositorio diferente, cuando sea posible
 Cifre los datos en reposo, en tránsito y en uso
 Uso de controles de acceso basados en roles
 Considerar qué medidas deben tomarse para abordar la previsibilidad y la capacidad de
gestión antes de decidir si los datos se pueden utilizar más allá de su uso inicial esperado y
acordado
 Implemente tecnologías que mejoren la privacidad para aumentar la disociabilidad al tiempo que
conserva la confidencialidad y la capacidad de procesar datos con fines comerciales o de misión.
5.3.1 Inicio de sesión de usuario con autenticación multifactor

La autenticación multifactor resistente al phishing es una práctica recomendada de seguridad. La
arquitectura recomienda el uso de una contraseña, pin (número de identificación personal) o biométrico
con una clave criptográfica asimétrica para la autenticación. Sin embargo, es una práctica común que las
organizaciones ofrezcan una variedad de soluciones de MFA. Esto puede incluir dispositivos móviles
propiedad del usuario, lo que puede afectar el riesgo de privacidad [17].
Figura 5-1 Diagrama de flujo de datos de autenticación multifactor

Tipo de dato Acción de datos Impacto en la privacidad
Nombre de El nombre de usuario es almacenado por la estación de Los nombres de usuario pueden contener PII inferible,
usuario trabajo del usuario y transferido a través del proceso de como el nombre y apellido del usuario
autenticación para ayudar a identificar la transacción.
Direcció La dirección IP (Protocolo de Internet) del cliente es Las direcciones IP se pueden utilizar para derivar PII, como la
n IP del almacenada por la estación de trabajo del usuario y ubicación general del usuario
cliente transferida como parte de
comunicaciones en las que es un punto final.
Identificador de Active Directory genera el identificador de transacción y lo Los identificadores entre componentes de una transacción
transacción transfiere a la solución MFA y al dispositivo móvil. se pueden usar para volver a identificar información que
de otro modo se anonimizaría, como las conexiones entre
el nombre de un usuario y su celda
número de teléfono.
Información La información del dispositivo móvil es almacenada por la La información sobre el dispositivo móvil de un usuario,
del solución MFA y el dispositivo móvil y transferida como como el tipo y la versión del dispositivo, se puede usar
dispositivo parte de la comunicación entre el dispositivo móvil y la para inferir información que afecta a la privacidad, como
móvil solución MFA. el costo de sus dispositivos personales.
Además, los números de teléfono móvil de los usuarios
utilizados en determinadas MFA
las transacciones son PII.

Escenarios Riesgo de privacidad Acciones de datos problemáticas Mitigaciones de privacidad
La autenticación del Los dispositivos móviles Contexto: Los procesos de autenticación que utilizan Previsibilidad: Las organizaciones deben
usuario puede utilizar son una opción popular dispositivos móviles de propiedad personal pueden informar a los usuarios de la información que
un dispositivo móvil para los procesos de requerir el uso de información personal para el se ve y recopila mediante las herramientas de
como autenticador, autenticación. La usuario, como números de teléfono y otros metadatos. inicio de sesión, por ejemplo, a través de avisos
que puede ser de información personal El seguimiento podría extenderse más allá del entorno de privacidad cuando se inscriben dispositivos.
propiedad personal o puede ser transferida en de trabajo o incluso dentro del entorno de trabajo, ser Los administradores del sistema deben tener
de la organización. el proceso de desproporcionado con respecto a las necesidades de acceso limitado a la información de
autenticación. Esto puede seguridad, dar lugar a revelaciones imprevistas sobre autenticación de usuarios.
incluir información sobre las actividades de los usuarios o a la degradación de la Capacidad de gestión: Las organizaciones que
el número de teléfono y la dignidad o la autonomía de los usuarios. aprovechan los dispositivos personales de los
ubicación. La actividad no usuarios para los procesos de inicio de sesión
laboral de los usuarios Acción problemática de los datos: revelación de los usuarios deben considerar
puede ser rastreada por imprevista, revelación inducida herramientas que brinden a los usuarios la
una organización. opción de registrar diferentes tipos de
Problema: autenticadores, incluidos aquellos que no
Pérdida de autonomía: Los usuarios no tienen control utilizan dispositivos e información personales.
sobre qué información se comparte en este esquema. En esta compilación, Duo ofrece una variedad
Es posible que los usuarios no se sientan cómodos de opciones de autenticación, como un
utilizando su propia información personal como autenticador basado en hardware.
elemento de seguridad para un servicio organizativo.
Pérdida de confianza: Es posible que los usuarios no Las organizaciones deben auditar las
se sientan cómodos con que sus números de teléfono herramientas para determinar qué
personales y la información de su dispositivo se información están utilizando y recopilando.
compartan con aplicaciones de terceros y Disociabilidad: Las organizaciones deben
proveedores de software como servicio. explorar capacidades y configuraciones que
permitan la desidentificación de números de
teléfono y otra información personal, como la
capacidad de reemplazar un número de
teléfono con texto de marcador de posición o
técnicas criptográficas que mejoren la
privacidad para limitar el seguimiento de los
usuarios.

5.3.2 Autenticación en la solución de interfaz de escritorio virtual
La arquitectura de referencia de este documento muestra una solución de interfaz de escritorio virtual
(VDI) para facilitar el acceso seguro a los recursos y datos de la organización. Las organizaciones pueden
permitir que los dispositivos personales de los usuarios accedan a los recursos corporativos mediante la
solución VDI. Las organizaciones deben tener en cuenta el riesgo de privacidad de la instalación de
software VDI en dispositivos personales, la información revelada por el protocolo VDI y la supervisión de
la actividad del usuario mientras se encuentra en el entorno virtual.
Figura 5-2 Diagrama de flujo de datos de la interfaz de escritorio virtual

Nombre de El nombre de usuario es almacenado por la estación de Los nombres de usuario pueden contener PII inferible,
usuario trabajo del usuario y el directorio activo. Se transfiere como como el nombre y apellido del usuario
parte de la
Direcció La dirección IP del cliente se almacena en la estación de Las direcciones IP se pueden utilizar para derivar PII, como la
n IP del trabajo del usuario y se transfiere como parte de las ubicación general del usuario
cliente transacciones y conexiones que
Genera.
Identificador de Active Directory genera un identificador de token para Los identificadores de token se pueden utilizar para volver
token respaldar el proceso de autenticación y lo transfiere a a identificar otra información que afecte a la privacidad y
la VDI. que se produzca como parte de
Transacciones.
Contraseña de un La VDI genera una contraseña de un solo uso para
solo uso autenticar la conexión RDP (protocolo de escritorio remoto)
y se transfiere y almacena en la estación de trabajo del
usuario.
Zona La zona horaria del cliente es almacenada por la estación de Junto con las direcciones IP, las zonas horarias proporcionan
horaria del trabajo del usuario y transferida como parte de una conexión específicamente información sobre la ubicación de un
cliente RDP a la usuario
escritorio.
Nombre del La estación de trabajo del usuario almacena el nombre del Los nombres de dispositivos personales del usuario pueden
equipo cliente equipo cliente y lo transfiere como parte de una conexión incluir PII inferible, como nombres personales y ubicaciones
RDP a de dispositivos.
el escritorio virtual.

El usuario inicia Las plataformas de Contexto: Es posible que los usuarios que Previsibilidad: Los usuarios deben ser
sesión en una inicio de sesión central operan bajo un esquema BYOD o de trabajo informados de la información que se ve y
solución de interfaz se pueden conectar remoto no esperen que ciertos datos estén bajo recopila mediante herramientas de inicio
de escritorio virtual mediante una variedad el ámbito de la organización. Esto puede incluir de sesión y acceso a la red como Dispel,
desde un de dispositivos, que su ubicación, metadatos de dispositivos ya sea a través de un bloqueador de inicio
dispositivo de pueden ser propiedad personales y horas de funcionamiento. de sesión u otro mecanismo de alerta.
propiedad personal personal del usuario. La Utilice tecnologías y técnicas de mejora
Acción problemática de los datos: vigilancia,
u organizacional. información que se de la privacidad para anonimizar al
revelación no antici- pada
puede asociar con el usuario, la identificación de usuario y la
usuario, como su Problema: dirección IP, como la ofuscación, la
información de destino Pérdida de confianza. Es posible que los anonimización de la comunicación, la
o localización, puede usuarios no se sientan cómodos con que esta minimización de datos y la
transmitirse a información se comparta con aplicaciones de pseudoanonimización, entre otras.
herramientas de terceros o con la empresa en general. Capacidad de gestión: Las organizaciones
seguridad como parte
Pérdida de dignidad. Es posible que la que incluyen los dispositivos personales de
del proceso de
información de los usuarios, como su ubicación los usuarios en las operaciones diarias
autenticación.
física y sus horas de trabajo, se revele a las deben auditar las herramientas para
organizaciones de una manera no deseada. determinar qué información están
utilizando y recopilando y quién tiene
derechos de acceso
Confidencialidad: Las organizaciones
deben exigir un estricto control de acceso
para la gestión y configuración de los
servicios de inicio de sesión de los usuarios,
como en el caso de MFA.
Disponibilidad: Las organizaciones que
utilizan plataformas de inicio de sesión
central como entrada deben tener en
cuenta la solidez de sus plataformas y
sistemas. La pérdida de acceso a estos
sistemas puede provocar que los usuarios
no puedan acceder a sus datos.

5.3.3 Movimiento automatizado de datos con solución de gestión de datos
La arquitectura de referencia utiliza tecnología de gestión de datos que permite el escaneo de archivos
en busca de información altamente confidencial y el establecimiento de políticas que mueven
automáticamente el contenido confidencial al almacenamiento seguro. Los archivos con PII detectada u
otra información confidencial pueden moverse de formas inesperadas para el usuario, lo que puede
crear problemas de privacidad.
Figura 5-3 Diagrama de flujo de datos de administración de datos

Metadatos de Los metadatos del archivo se almacenan en la estación de Los metadatos de los archivos pueden incluir información
archivo trabajo del usuario, junto con el contenido del archivo. Se que afecta a la privacidad y que no se puede derivar del
transfiere junto con el contenido del archivo a la solución contenido del archivo, como el nombre del archivo, la fecha
de administración de datos y al recurso compartido de red de modificación y el autor. Esto se puede utilizar para
protegido como parte de la operación de movimiento de obtener información, como las horas de trabajo activas, y
datos. También se utiliza para identificar los datos que puede dar lugar a suposiciones falsas sobre un individuo
deben ser eliminados por la Administración de Datos
Solución.
Contenido del El contenido de los archivos se almacena en la estación de El impacto en la privacidad del contenido de los archivos
archivo trabajo del usuario y se transfiere a través de la solución de depende en gran medida de los datos que utiliza una
administración de datos al recurso compartido de red empresa. Esta información puede incluir números de seguro
protegido. social, información de tarjetas de crédito, datos de salud y
otra información de identificación personal. El impacto en la
privacidad y la carga regulatoria deben ser considerados y
analizados específicamente por las organizaciones que
implementan
este tipo de soluciones de seguridad.

Los datos El movimiento de Contexto: mover datos desde el lugar en el que Previsibilidad: Las zonas bajo el ámbito
generados en áreas datos por parte de se crearon o guardaron puede crear confusión de las herramientas de gestión y
moderadas por herramientas externas para los usuarios y exponer la información de protección de datos deben estar
soluciones de puede llevar a que la formas que el usuario no pretendía. claramente definidas y expresadas al
administración de información se usuario, por ejemplo, a través de
Acción de datos problemática: apropiación,
datos pueden coloque en lugares nombres de recursos compartidos de
revelación imprevista
duplicarse, moverse inesperados o no red claramente entendidos. Se debe
o eliminarse de deseados. Esto puede Problema: notificar a los usuarios que se ven
conformidad con la provocar confusión en Pérdida de confianza. Los usuarios pueden afectados por la solución de
política de la el usuario y una sentirse incómodos trabajando en zonas administración de datos, por ejemplo,
organización. pérdida de confianza protegidas si no confían en que sus datos se dejando un archivo auxiliar en la
en la organización, así mantendrán bajo su control. ubicación original.
como que los datos
Pérdida de autonomía. Los usuarios pueden ver Capacidad de administración: las
sean vulnerables a la
el movimiento involuntario de datos como una organizaciones que deseen incluir estas
detección y la
pérdida de su capacidad para gobernar los datos capacidades deben asegurarse de usar
exfiltración
que generan. soluciones que se puedan configurar para
mitigar su riesgo de privacidad inherente.
Confidencialidad: Las herramientas que
proporcionan la capacidad de analizar y
mover datos solo deben ser gobernadas
por los administradores del sistema. El
movimiento automático de datos solo
debe mover los datos a ubicaciones a las
que solo puede acceder el usuario que
creó los datos originales o a carpetas con
derechos de acceso iguales o más
estrictos que la ubicación de origen.
Además, las ubicaciones de los datos
están protegidas por controles IDAM
(controles de gestión de identidades y
accesos), como MFA.

5.3.4 Solución de monitoreo por registro
Esta arquitectura de referencia genera registros que se utilizan para ayudar en las actividades de
respuesta y recuperación. Estos registros son esenciales para la correcta gestión de datos y la respuesta
a incidentes. Sin embargo, las organizaciones deben tener en cuenta la privacidad de la información
recopilada por los registros cuando se crean, transmiten y almacenan.
Figura 5-4 Diagrama de flujo de datos de registro
La utilización de la arquitectura de seguridad, y los registros que genera su usuario, pueden interactuar y
generar información que afecta a la privacidad. El uso de una solución de registro requiere que los datos
y metadatos sobre la actividad del usuario se generen y almacenen en una ubicación adicional.
Dependiendo de los detalles y el alcance de la herramienta de registro, esto puede ampliar el dominio
efectivo de la información que afecta a la privacidad utilizada por esas herramientas. A continuación se
dan algunos ejemplos de información que afecta a la privacidad utilizada en dichas transacciones:

Direcciones IP Las direcciones IP son almacenadas y transferidas por los Las direcciones IP se pueden utilizar para determinar las
sistemas empresariales, así como por la solución de ubicaciones aproximadas de las máquinas propiedad del
registro. Se transfieren por y a través de las soluciones de usuario. Además, las direcciones IP pueden ser comunes
seguridad. en todos los registros de muchas herramientas de
seguridad, lo que permite
datos anonimizados para ser reidentificados.
Identificadore Los identificadores de dispositivos son almacenados y En determinadas circunstancias, los identificadores de
s de transferidos por los sistemas de la empresa, así como por la dispositivos, como las direcciones MAC (control de acceso a
dispositivos solución de registro. Se transfieren por y a través de las medios), pueden utilizarse para identificar a las personas a
soluciones de seguridad. partir de datos que se han desidentificado, o permitir que
se establezcan correlaciones que afecten a la privacidad
entre los registros de datos.

Las herramientas de El sistema de seguridad Contexto: Los sistemas de registro pueden contener Previsibilidad: La existencia de sistemas de
seguridad generan crea pasivamente datos datos privados. Estos registros se transmiten desde monitoreo debe ser revelada a los usuarios
metadatos que se sobre los usuarios, sus el dispositivo o sistema en el que se crearon a otros cuando accedan a los sistemas de la
transfieren a una datos y sus actividades. sistemas en los que se agrega la información de organización, por ejemplo, a través de un
solución de registro, Esta información se registro. Se debe tener en cuenta el impacto en la banner de inicio de sesión.
ya sea directamente transmite a través de la privacidad de cada registro y la agregación de Utilice tecnologías y técnicas de mejora de
o a través de un red y se almacena de registros. Además, esta información se expone a los la privacidad para anonimizar la
reenviador in situ. forma remota. usuarios administradores que tienen acceso a los identificación del usuario y la dirección IP,
registros individuales o agregados. como la ofuscación, la anonimización de la
comunicación, la minimización de datos y la
Acción problemática de los datos: revelación
seudonimización, entre otras.
imprevista, reidentificación, vigilancia
Capacidad de gestión: Las organizaciones
Problema:
deben evaluar cómo se pueden configurar
Pérdida de confianza. Es posible que los usuarios los registros para recopilar la menor
no esperen el alcance de la información creada y cantidad de información necesaria para
rastreada por los registros, incluso si comprenden satisfacer las necesidades de seguridad,
el alcance de la infraestructura de seguridad. especialmente cuando las herramientas de
Pérdida de dignidad. Se puede inferir información de seguridad agregan información de registro
en varios sistemas.
privacidad vergonzosa o no deseada sobre las
personas cuyas acciones generan información de Disociabilidad: Las organizaciones deben
registro. considerar las funciones de
desidentificación para la creación,
transmisión, almacenamiento y agregación
de registros. Por ejemplo, la información
relevante para la privacidad, como el
nombre del usuario, se puede disociar de
su dirección IP o identificador de
dispositivo al recopilar información de
registro.
Confidencialidad: Las herramientas que
generan o almacenan registros deben tener
un control de acceso estricto aplicado,
como MFA.

5.3.5 Navegación web del usuario con la solución de aislamiento del navegador
Las soluciones de aislamiento web deben tener control sobre todo el tráfico web de los usuarios para que
sean eficaces. Esto puede generar preocupaciones de privacidad para los usuarios al aumentar el riesgo de
que sus datos de navegación se utilicen indebidamente.
Figura 5-5 Diagrama de flujo de datos de aislamiento del navegador

Direcció Las direcciones IP se almacenan en la estación Las direcciones IP se pueden usar para
n IP del de trabajo del usuario y se envían por red derivar PII, como la ubicación general de un
cliente conexiones hacia y desde ella. usuario
Metadatos Los metadatos de navegación del usuario se El tráfico HTTP/S, incluso cuando está cifrado,
de generan en la estación de trabajo del usuario se basa en metadatos no cifrados, como
navegació y se envían hacia y desde la estación de marcas de tiempo, direcciones IP de origen e
n del trabajo del usuario, así como hacia y desde la IP de destino. Estos materiales pueden ser
usuario solución de aislamiento web al servidor web. utilizados para generar información que
afecte la privacidad,
como los hábitos de navegación de un usuario
específico.
Contenido Los contenidos de navegación del usuario se Las herramientas que pueden ver e
s de generan en la estación de trabajo del usuario, inspeccionar el contenido de la sesión de
navegació así como en el servidor web. Se envían de ida navegación web de un usuario podrían
n del y vuelta entre el servidor web y la solución de afectar aún más a la privacidad del usuario.
usuario aislamiento web y se devuelven a la estación Esto puede incluir que un usuario acceda a su
de trabajo del usuario. banco y verifique la información del saldo,
acceder a la información de su proveedor de
atención médica, etc.

Los datos de la Las herramientas de Contexto: Los datos de navegación de los usuarios Previsibilidad: Los usuarios deben ser
navegación web de monitoreo web se utilizan pueden revelar información que afecte a la privacidad, informados sobre las capacidades de
los usuarios fluyen a para detectar patrones como la salud personal o la información financiera. Los monitoreo web y herramientas relacionadas,
través de soluciones maliciosos de tráfico web administradores pueden ver centralmente los por ejemplo, a través de un banner de inicio
de aislamiento web, o solicitudes de acceso a metadatos de navegación de los usuarios en esta de sesión. Utilice tecnologías y técnicas que
centralizando la redes inseguras, pero ubicación. Esta información también puede ser mejoren la privacidad para anonimizar la
información sobre la también pueden recopilar transmitida a otras herramientas de terceros. identificación del usuario y la dirección IP,
navegación web de y transmitir información como la ofuscación, la anonimización de la
Acción problemática de los datos: vigilancia, revelación
los empleados. que afecta la privacidad comunicación, la minimización de datos y la
no antici- pada
del usuario. seudonimización, entre otras.
Problema: Pérdida de confianza. Los usuarios pueden
Capacidad de gestión: Las organizaciones
percibir el monitoreo de su tráfico web como una forma
que deseen utilizar herramientas de
de vigilancia que puede afectar negativamente la
supervisión web deben evaluar sus
confianza que tienen en sus sistemas de TI y/o en su
capacidades de preservación de la
organización.
privacidad. En esta arquitectura de
referencia, Symantec Web Isolation
proporciona una opción de privacidad que
permite anonimizar los datos de navegación
del usuario.
Disociabilidad: Las organizaciones deben
emplear opciones de desidentificación de los
datos cuando sea apropiado. En esta
arquitectura de referencia se habilitó la
opción de privacidad proporcionada por
Symantec Web Isolation, que anonimizaba los
datos de navegación de los usuarios.
Confidencialidad: Las organizaciones deben
exigir controles de acceso estrictos para las
herramientas de seguridad que pueden
afectar la privacidad del usuario, incluido el
uso de MFA.

6 Consideraciones sobre la compilación futura
Como se muestra en la Figura 1-1, el trabajo de seguridad de datos del NCCoE que queda por abordar
en el marco de la tríada de la CIA es la disponibilidad de datos. El equipo de seguridad de datos planea
evaluar el panorama actual de los desafíos de disponibilidad de datos a los que se enfrentan las
organizaciones y determinar futuros proyectos relevantes para abordar esas necesidades.

Apéndice A Lista de acrónimos
API Interfaz de programación de aplicaciones
BYOD Traiga su propio dispositivo
CIA Confidencialidad Integridad Disponibilidad
CEI Centro para la Seguridad en Internet
CNSSI Comité de Instrucción de Sistemas de Seguridad Nacional
COBIT Objetivos de control de las tecnologías de la información y
conexas
CRADA Acuerdo de cooperación en investigación y desarrollo
CSC Controles de seguridad críticos
CSF Marco de ciberseguridad
FIPS Estándar Federal de Procesamiento de Información
FIPPS Principios justos de privacidad de la información
HTTP Protocolo de transferencia de hipertexto
HTTPS Protocolo de transferencia de hipertexto seguro
IDAM Gestión de identidades y accesos
IEC Comisión Electrotécnica Internacional
IP Protocolo de Internet
ISA Sociedad Internacional de Automatización
ISO Organización Internacional de Normalización
ESO Tecnología de la información
DIT Laboratorio de Tecnologías de la Información
MAC Control de acceso a medios
AMF Autenticación multifactor
NCCoE Centro Nacional de Excelencia en Ciberseguridad
NIST Instituto Nacional de Estándares y Tecnología
NIST IR Informe interinstitucional o interno del NIST
PDA Acción de datos problemática
PII Información de identificación personal
ANCLAR Número de Identificación Personal
COCHECITO Metodología de evaluación de riesgos de privacidad
RDP Protocolo de escritorio remoto
RMF Marco de gestión de riesgos
SMS Servicio de Mensajes Cortos
SP Publicación especial
URL Localizador Uniforme de Recursos
USB Bus de la serie universal

VDI Interfaz de escritorio
virtual

Apéndice B Glosario
Control de acceso El proceso de otorgar o denegar solicitudes específicas para 1)
obtener
y utilizar la información y los servicios de procesamiento de
información relacionados y 2) ingresar a instalaciones físicas
específicas (por ejemplo, edificios federales, establecimientos
militares, entradas de cruces fronterizos).
FUENTE: Estándar Federal de Procesamiento de Información (FIPS)

201-3
Adversario Persona, grupo, organización o gobierno que lleva a cabo o tiene la
intención de llevar a cabo actividades perjudiciales.
FUENTE: CNSSI 4009-2015
Activo Una aplicación principal, un sistema de soporte general, un

programa de alto impacto, una planta física, un sistema de misión
crítica, personal, equipo o un grupo de sistemas lógicamente
relacionados.
FUENTE: Comité de Instrucción de Sistemas de Seguridad Nacional

(CNSSI) 4009-2015
Autenticación Verificar la identidad de un usuario, proceso o dispositivo, a
menudo como requisito previo para permitir el acceso a los
recursos de un sistema de información.
FUENTE: FIPS 200
Autorización Privilegios de acceso otorgados a un usuario, programa o proceso

o el acto de otorgar esos privilegios.
Brecha La pérdida de control, el compromiso, la divulgación no autorizada,

la adquisición no autorizada o cualquier suceso similar cuando: una
persona que no sea un usuario autorizado acceda o potencialmente
acceda a información de identificación personal; o un usuario
autorizado accede a la información de identificación personal para
un propósito distinto al autorizado.
FUENTE: NIST SP 800-53 Rev. 5
Control Los medios de gestión del riesgo, incluidas las políticas, los
procedimientos, las directrices, las prácticas o las estructuras
organizativas, que pueden ser de naturaleza administrativa,
técnica, de gestión o jurídica.
FUENTE: NIST SP 800-160 Vol. 2 Rev. 1

Confidencialidad Preservar las restricciones autorizadas sobre el acceso a la
información y
divulgación, incluidos los medios para proteger la privacidad
personal y la información de propiedad.
FUENTE: FIPS 200

Datos Un subconjunto de información en un formato electrónico que
permite recuperarla o transmitirla.
Acción de datos Una operación del ciclo de vida de los datos del
sistema/producto/servicio, que incluye, entre otros, la recopilación,
la retención, el registro, la generación, la transformación, el uso, la
divulgación, el intercambio, la transmisión y la eliminación.
FUENTE: Marco de privacidad del NIST versión 1.0

Disociabilidad Permitir el procesamiento de PII o eventos sin asociación a
personas o dispositivos más allá de los requisitos operativos del
sistema.
FUENTE: NISTIR 8062
Cifrar Transforme criptográficamente los datos para producir texto

cifrado.

Empresa Una entidad de cualquier tamaño, complejidad o posición dentro
de una estructura organizativa.
FUENTE: NIST SP 800-72
Evento Cualquier ocurrencia observable en una red o sistema.
Exfiltración La transferencia no autorizada de información desde un sistema de

información.
Incidente Un suceso que real o potencialmente pone en peligro la

confidencialidad, integridad o disponibilidad de un sistema de
información o la información que el sistema procesa, almacena o
transmite, o que constituye una violación o amenaza inminente de
violación de las políticas de seguridad, los procedimientos de
seguridad o las políticas de uso aceptable.
FUENTE: FIPS 200

Integridad Protección contra la modificación o destrucción indebida de la
información
e incluye garantizar el no repudio y la autenticidad de la
información.
FUENTE: FIPS 200

Gestión de claves Las actividades que impliquen el manejo de claves criptográficas y
otros parámetros de seguridad relacionados (por ejemplo,
contraseñas) durante todo el ciclo de vida de las claves, incluida su
generación, almacenamiento, establecimiento, entrada y salida, y
destrucción.

Manejabilidad Proporcionar la capacidad para la administración granular de PII,
incluida la alteración, eliminación y divulgación selectiva.
FUENTE: NISTIR 8062
Malware Hardware, firmware o software que se incluye o inserta

intencionadamente en un sistema con un fin perjudicial.
Mitigación Una decisión, acción o práctica destinada a reducir el nivel de riesgo

asociado con uno o más eventos de amenaza, escenarios de
amenaza o vulnerabilidades.
FUENTE: NIST SP 1800-160 Vol. 2 Rev. 1
Autenticación multifactor Autenticación mediante dos o más factores para lograr la

autenticación. Los factores incluyen: (i) algo que sabe (por ejemplo,
contraseña/número de identificación personal (PIN)); (ii) algo que
tenga (por ejemplo, un dispositivo de identificación criptográfica,
un token); o (iii) algo que usted es (por ejemplo, biométrico).
Phishing Una técnica para intentar adquirir datos confidenciales, como

números de cuentas bancarias, a través de una solicitud fraudulenta
en el correo electrónico o en un sitio web, en la que el perpetrador
se hace pasar por una empresa legítima o una persona de buena
reputación.

Previsibilidad Permitir suposiciones confiables por parte de individuos,
propietarios y operadores sobre PII y su procesamiento por parte de
un sistema.
FUENTE: NISTIR 8062

Riesgo El nivel de impacto en las operaciones de la organización
(incluyendo la misión,
funciones, imagen o reputación), los activos de la organización o las
personas que resulten de la operación de un sistema de
información dado el impacto potencial de una amenaza y la
probabilidad de que ocurra esa amenaza.
FUENTE: FIPS 200

Control de seguridad Las salvaguardas o contramedidas prescritas para que un sistema
de información o una organización proteja la confidencialidad,
integridad y disponibilidad del sistema y su información.
FUENTE: NIST SP 800-53
Política de seguridad Conjunto de reglas que rige todos los aspectos del
comportamiento del sistema y de los componentes del sistema
relevantes para la seguridad.

Spear Phishing Un término coloquial que se puede utilizar para describir cualquier
ataque de phishing altamente dirigido.
Amenaza Cualquier circunstancia o evento con el potencial de afectar

negativamente las operaciones de la organización, los activos de la
organización, los individuos, otras organizaciones o la Nación a
través de un sistema a través del acceso no autorizado, la
destrucción, la divulgación, la modificación de la información y/o la
denegación de servicio.

Vulnerabilidad Debilidad en un sistema de información, procedimientos de
seguridad del sistema, controles internos o implementación que
podría ser explotada o desencadenada por una fuente de amenaza.
FUENTE: FIPS 200

Apéndice C Referencias
[1] W. Barker, Directriz para identificar un sistema de información como un sistema de
seguridad nacional, Publicación especial (SP) 800-59 del Instituto Nacional de Estándares
y Tecnología (NIST), Gaithersburg, Maryland, agosto de 2003, 17 págs. Disponible en:
https://doi.org/10.6028/NIST.SP.800-59.
[2] T. McBride et al, Integridad de datos: identificación y protección de activos contra

ransomware y otros eventos destructivos, Publicación especial (SP) 1800-25 del Instituto
Nacional de Estándares y Tecnología (NIST), Gaithersburg, Maryland, diciembre de 2020,
488 pp. Disponible: https://doi.org/10.6028/NIST.SP.1800-25.
[3] T. McBride et al, Integridad de datos: detección y respuesta al ransomware y otros eventos
destructivos, Publicación especial (SP) 1800-26 del Instituto Nacional de Estándares y
Tecnología (NIST), Gaithersburg, Maryland, diciembre de 2020, 441 pp. Disponible:
[4] T. McBride et al, Integridad de datos: recuperación del ransomware y otros eventos
destructivos, Publicación especial (SP) 1800-11 del Instituto Nacional de Estándares y
Tecnología (NIST), Gaithersburg, Maryland, septiembre de 2020, 377 pp. Disponible:
[5] M. Souppaya y K. Scarfone, Guía para la prevención y el manejo de incidentes de malware para
computadoras de escritorio y portátiles, Publicación especial (SP) 800-83 del Instituto Nacional
de Estándares y Tecnología (NIST) 800-83 Revisión 1, Gaithersburg, Maryland, julio de 2013, 36
pp. Disponible: https://doi.org/10.6028/NIST.SP.800-83r1.
[6] M. Souppaya y K. Scarfone, Guide to Enterprise Telework, Remote Access, and Bring Your
Own Devise (BYOD) Security, Instituto Nacional de Estándares y Tecnología (NIST)
Publicación especial (SP) 800-46 Revisión 2, Gaithersburg, Maryland, julio de 2016, 43 pp.
Disponible: https://doi.org/10.6028/NIST.SP.800-46r2.
[7] NIST. Marco de privacidad. Disponible: https://www.nist.gov/privacy-framework.
[8] NIST. Marco de Ciberseguridad. Disponible: http://www.nist.gov/cyberframework.
[9] W. Barker et al, Gestión de riesgos de ransomware: un perfil del marco de ciberseguridad,
Informe interinstitucional del NIST 8374, Gaithersburg, Maryland, febrero de 2022, 23 pp.
Disponible: https://doi.org/10.6028/NIST.IR.8374.
[10] R. Ross et al, Desarrollo de sistemas ciberresilientes: un enfoque de ingeniería de seguridad de

sistemas , Publicación especial (SP) 800-160 del Instituto Nacional de Estándares y Tecnología
(NIST) Volumen 2 Revisión 1, Gaithersburg, Maryland, diciembre de 2021, 309 pp. Disponible:
https://doi.org/10.6028/NIST.SP.800-160v2r1
[11] Iniciativa de Transformación del Grupo de Trabajo Conjunto, Guía para la Realización de
Evaluaciones de Riesgos, Publicación Especial (SP) 800-30 Revisión 1 del Instituto Nacional
de Estándares y Tecnología (NIST), Gaithersburg, Maryland, septiembre de 2012, 83 pp.
Disponible: https://doi.org/10.6028/NIST.SP.800-30r1.

[12] Grupo de Trabajo Conjunto, Marco de Gestión de Riesgos para Sistemas y Organizaciones de
Información, Instituto Nacional de Estándares y Tecnología (NIST) Publicación Especial (SP)
800-37 Revisión 2, Gaithersburg, Maryland, diciembre de 2018, 164 pp. Disponible:
https://doi.org/10.6028/NIST.SP.800-37r2.
[13] NIST. Marco de Gestión de Riesgos. Disponible:

https://csrc.nist.gov/projects/risk-management /about-rmf.
[14] NIST. Metodología de evaluación de riesgos de privacidad. Disponible:

https://www.nist.gov/privacy-framework /nist-pram.
[15] S. Brooks et al, An Introduction to Privacy Engineering and Risk Management in Federal
Systems (Una introducción a la ingeniería de privacidad y la gestión de riesgos en los
sistemas federales), Informe interinstitucional 8062 del NIST, Gaithersburg, Maryland,
enero de 2017, 41 pp. Disponible: https://doi.org/10.6028/NIST.IR.8062.
[16] NIST. Catálogo de Acciones y Problemas de Datos Problemáticos. Disponible:

https://github.com/usnistgov/PrivacyEngCollabSpace/blob/master/tools/risk-assessment/NIST-
Privacy-Risk-Assessment-Methodology-PRAM/catalog-PDAP.md
[17] Centro de Excelencia en Ciberseguridad del NIST, Seguridad de Dispositivos Móviles,

Guía de Prácticas de Traiga Su Propio Dispositivo, NIST SP 1800-22,
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-22.pdf
[18] Repositorio del marco de privacidad del NIST, repositorio de

https://www.nist.gov/privacy-framework/resource

Apéndice D Mapa de control de seguridad
En la siguiente tabla se enumeran las funciones, categorías y subcategorías del marco de
ciberseguridad del NIST abordadas por este proyecto y se asignan a los estándares relevantes del
NIST, los estándares de la industria y los controles y las mejores prácticas.
Tabla 6-1 Mapa de control de seguridad
Marco de ciberseguridad v1.1 Estándares y mejores

prácticas
Función Categoría Subcategoría Referencias informativas
CIS CSC 2
COBIT 5 BAI09.01, BAI09.02,
BAI09.05
ID.AM-2: Se inven- torizan las ISA 62443-2-1:2009 4.2.3.4
Gestión de
plataformas y aplicaciones de software ISA 62443-3-3:2013 SR 7.8
Activos
dentro de la organización ISO/IEC 27001:2013 A.8.1.1,
(ID.AM)
A.8.1.2, A.12.5.1
NIST SP 800-53 Rev. 4 CM-8,
PM-5
CIS CSC 4 COBIT 5 APO12.01,
APO12.02, APO12.03,
APO12.04, DSS05.01, DSS05.02
IDENTIFI ISA 62443-2-1:2009 4.2.3,
ID.RA-1: Se identifican y documentan las
CAR (ID) 4.2.3.7, 4.2.3.9, 4.2.3.12 ISO/CEI
vulnerabilidades de los activos
27001:2013 A.12.6.1, A.18.2.3
NIST SP 800-53 Rev. 4 CA-2, CA-
7, CA-8, RA3, RA-5, SA-5, SA-11,
Evaluación de SI-2, SI-4, SI-5
riesgos-
(ID.RA)
CIS CSC 4 COBIT 5 BAI08.01 ISA

ID.RA-2: La inteligencia sobre amenazas 62443-2-1:2009 4.2.3, 4.2.3.9,
cibernéticas
De los foros de intercambio de 4.2.3.12 ISO/IEC 27001:2013
información
y fuentes A.6.1.4 NIST SP 800-53 Rev. 4 SI-
5, PM-15, PM-16

prácticas

APO12.02, APO12.03, APO12.04
ISA 62443-2-1:2009 4.2.3,
ID.AR-3: Se identifican y documentan las
4.2.3.9, 4.2.3.12 ISO/CEI
amenazas, tanto internas como externas
27001:2013 Cláusula 6.1.2 NIST
SP
800-53 Rev. 4 RA-3, SI-5, PM-12,
PM16
CIS CSC 1, 5, 15, 16 COBIT 5
DSS05.04, DSS06.03 ISA 62443-
2-1:2009 4.3.3.5.1 ISA 62443-3-
3:2013 SR 1.1, SR 1.2, SR 1.3, SR
PR. AC-1: Las identidades y credenciales
1.4, SR 1.5, SR 1.7, SR 1.8, SR 1.9
se emiten, administran, verifican,
ISO/IEC 27001:2013 A.9.2.1,
revocan y auditan para dispositivos,
A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.6,
usuarios y procesos autorizados
A.9.3.1, A.9.4.2, A.9.4.3 NIST SP
800-53 Rev. 4 AC-1, AC-2, IA-1,
IA-2, IA-3, IA-4, IA-5, IA-6, IA-7,
IA-8, IA-9, IA-10, IA-11
Identidad CIS CSC 12 COBIT 5 APO13.01,

Hombre-
agement, Au- DSS01.04, DSS05.03 ISA 62443-
PROTEGE A continuación, 2-1:2009 4.3.3.6.6 ISA 62443-3-
R se
(PR) y Acceso 3:2013 SR 1.13, SR 2.6 ISO/IEC
PR. AC-3: Se administra el acceso remoto
Control 27001:2013 A.6.2.1, A.6.2.2,
(PR. AC) A.11.2.6, A.13.1.1, A.13.2.1
NIST SP 800-53 Rev. 4 AC-1, AC-
17, AC-19, AC-20, SC-15
CIS CSC 3, 5, 12, 14, 15, 16, 18

COBIT 5 DSS05.04 ISA 62443-2-
1:2009 4.3.3.7.3 ISA 62443-3-
PR. AC-4: Se gestionan los permisos de
3:2013 SR 2.1 ISO/IEC
acceso y las autorizaciones,
27001:2013 A.6.1.2, A.9.1.2,
incorporando los principios de mínimo
A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5
privilegio y separación de funciones
NIST SP 800-53 Rev. 4 AC-1, AC-
2, AC-3, AC5, AC-6, AC-14, AC-
16, AC-24

prácticas
CIS CSC 9, 14, 15, 18 COBIT 5

DSS01.05, DSS05.02 ISA 62443-
2-1:2009 4.3.3.4 ISA 62443-3-
PR. AC-5: La integridad de la red está
3:2013 SR 3.1, SR 3.8 ISO/IEC
protegida (por ejemplo, segregación de
27001:2013 A.13.1.1, A.13.1.3,
red, segmentación de red)
A.13.2.1, A.14.1.2, A.14.1.3 NIST
SP 800-53 Rev. 4 AC-4, AC-10,
SC-7
PR. AC-7: Usuarios, dispositivos y otros CIS CSC 1, 12, 15, 16 COBIT 5
conjuntos se autentican (por ejemplo, DSS05.04, DSS05.10, DSS06.10
multifactorial) proporcional a la ISA 62443-2-1:2009 4.3.3.6.1,
el riesgo de la transacción (por ejemplo, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4,
los riesgos de seguridad y privacidad de 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7,
los usuarios y
otros riesgos organizativos) 4.3.3.6.8, 4.3.3.6.9
CIS CSC 13, 14 COBIT 5

APO01.06, BAI02.01, BAI06.01,
DSS04.07, DSS05.03, DSS06.06
PR. DS-1: Los datos en reposo están ISA 62443-3-3:2013 SR 3.4, SR
protegidos
4.1 ISO/IEC 27001:2013 A.8.2.3
NIST SP 800-53 Rev. 4 MP-8, SC-
12, SC-28
Seguridad de
los datos
(PR.DS)
CIS CSC 13, 14 COBIT 5
APO01.06, DSS05.02, DSS06.06
ISA 62443-3-3:2013 SR 3.1, SR
3.8, SR 4.1, SR 4.2 ISO/IEC
PR. DS-2: Los datos en tránsito están
27001:2013 A.8.2.3, A.13.1.1,
protegidos
A.13.2.1, A.13.2.3, A.14.1.2,
A.14.1.3 NIST SP 800-53 Rev. 4
SC-8, SC-11, SC-12

Marco de ciberseguridad v1.1 Estándares y mejores prácticas
CIS CSC 1 COBIT 5 BAI09.03 ISA

62443-2-1:2009 4.3.3.3.9,
PR. DS-3: Los activos se administran 4.3.4.4.1 ISA 62443-3-3:2013 SR
formalmente a lo largo de la remoción, 4.2 ISO/IEC 27001:2013 A.8.2.3,
las transferencias y la disposición A.8.3.1, A.8.3.2, A.8.3.3,
A.11.2.5, A.11.2.7 NIST SP 800-
53 Rev. 4 CM-8, MP-6, PE-16

Procesos y DSS01.01, DSS04.07 ISA 62443-
Procedimient PR. IP-5: Se cumplen las políticas y 2-1:2009 4.3.4.3.9 ISA 62443-3-
os de reglamentos relativos al entorno 3:2013 SR 7.3, SR 7.4 ISO/IEC
Protección de operativo físico de los activos de la 27001:2013 A.12.3.1, A.17.1.2,
la Información organización A.17.1.3, A.18.1.3 NIST SP 800-
(PR. IP) 53 Rev. 4 CP-4, CP-6, CP-9
CIS CSC 1, 3, 5, 6, 14, 15, 16 CO-

BIT 5 APO11.04, BAI03.05,
DSS05.04, DSS05.07, MEA02.01
ISA 62443-2-1:2009 4.3.3.3.9,
Tecnología de PR. PT-1: Los registros de 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1,
protección auditoría/registro se determinan, 4.4.2.2, 4.4.2.4 ISA 62443-3-
(PR.PT) documentan, implementan y revisan de 3:2013 SR 2.8, SR 2.9, SR 2.10,
acuerdo con la política SR 2.11, SR 2.12 ISO/IEC
27001:2013 A.12.4.1, A.12.4.2,
A.12.4.3, A.12.4.4, A.12.7.1 NIST
SP 800-53 Rev. 4 AU Familia

Apéndice E Mapa de control de privacidad
En la tabla siguiente se enumeran las funciones, categorías y subcategorías del marco de privacidad del NIST abordadas por este proyecto y se
asignan a los estándares relevantes del NIST, los estándares de la industria y los controles y las mejores prácticas.
NOTA: Las referencias de la norma 27701 de la Organización Internacional de Normalización (IS0) no fueron mapeadas por el NIST, sino por una
organización externa. Están disponibles en el Repositorio del Marco de Privacidad del NIST [18] y se proporcionan aquí para mayor comodidad.
Las referencias de los Principios de Privacidad Justa de la Información (FIPPS) se proporcionan para ayudar a comprender el Mapa de Control de
Privacidad.
Tabla 6-2 Mapa de control de privacidad
Marco de Privacidad 1.0 Estándares y mejores prácticas

Función Categoría Subcategoría Rescercas informativas
IDENTIFY-P (ID-P): Desarrollar Inventario y mapeo ID.IM-P1: Se inventarian los FIPPS 7: Especificación de
la comprensión organizacional (ID.IM-P): El sistemas/productos/servicios Propósito/Limitación de Uso
para gestionar el riesgo de procesamiento de datos que procesan datos. NIST SP 800-37 Rev. 2: Tarea P-
privacidad para los individuos por parte de sistemas, 10 NIST SP 800-53 Rev. 5: CM-8
que surjan del procesamiento productos o servicios se (10), CM-12, CM-13, PM-5
de datos. entiende e informa a la
NIST IR 8062
gestión del riesgo de
NIST PRAM: Hoja de trabajo 2
privacidad.
ISO/IEC 27701:2019 7.2.8, 8.2.6
CONTROL-P (CT-P): Desarrollar Gestión del CT. DM-P8: Los registros de FIPPS 4: Minimización
y actividades apropiadas Procesamiento de Datos auditoría/registro se NIST SP 800-53 Rev. 5: AU-1, AU-2,
opcionales (basadas en el (CT. DM-P): Los datos se determinan, documentan y AU-3, AU-6, AU-7, AU-12, AU-13, AU-
riesgo) para permitir que las gestionan de acuerdo con revisan de acuerdo con la 14, AU-16
organizaciones o las personas la estrategia de riesgo de política e incorporando el NIST IR 8062
administren los datos con la organización para principio de minimización de
ISO/IEC 27701:2019 6.9.4.1, 6.9.4.2,
suficiente granularidad para proteger la privacidad de datos.
6.15.1.3
administrar los riesgos de los individuos, aumentar
privacidad. la capacidad de gestión y
permitir la aplicación de
los principios de
privacidad (por ejemplo,
participación individual,
calidad de los datos,
minimización de los
datos).

El procesamiento CT. DP-P2: Los datos se FIPPS 7: Especificación de
disociado (CT. DP-P): Las procesan para limitar la Propósito/Limitación de Uso
soluciones de identificación de individuos NIST SP 800-53 Rev. 5: AC-23, AU-
procesamiento de datos (por ejemplo, técnicas de 3(3), IA-4(8), PE-8(3), SA-8(33), SI-
aumentan la desasolu- privacidad de desidentificación, 12(1), SI-12(2), SI-19
ciabilidad de acuerdo con tokenización). NIST SP 800-63-3
la estrategia de riesgo de
NIST SP 800-188
la organización para
proteger la privacidad de (borrador) NIST IR 8053
los individuos y permitir la NIST IR 8062
implementación de los ISO/IEC 27701:2019 7.4.2, 7.4.4
principios de privacidad
(por ejemplo, la
minimización de datos).
Conocimiento del CM.AW-P3: El diseño del FIPPS 7: Especificación de
procesamiento de datos sistema/producto/servicio Propósito/Limitación de Uso
(CM.AW-P): Los individuos permite la visibilidad del NIST SP 800-53 Rev. 5: PL-8, PT-5(1),
y las organizaciones tienen procesamiento de datos. SA-17, SC-42(4)
conocimientos confiables NIST IR 8062
sobre las prácticas de
ISO/IEC 27701:2019 7.3.2, 7.3.3, 8.3.1
procesamiento de datos y
los riesgos de privacidad
asociados, y se utilizan y
mantienen mecanismos
efectivos para aumentar la
previsibilidad consistente
con la estrategia de riesgo
de la organización para
proteger la privacidad de
los individuos.

PROTECT-P (PR-P): Desarrollar Políticas, Procesos y PR. PO-P4: Se cumplen las FIPPS 5: Calidad e integridad FIPPS
e Implementar salvaguardas Procedimientos de políticas y regulaciones relativas 7: Especificación de
apropiadas de procesamiento Protección de Datos (PR. al entorno físico de explotación Propósito/Limitación de Uso
de datos. PO-P): Políticas de de los activos de la organización. NIST SP 800-53 Rev. 5: PE-1
seguridad y privacidad
ISO/IEC 27701:2019 Todo 6.8
(por ejemplo, propósito,
alcance, funciones y
responsabilidades en los
datos).
ecosistema de
procesamiento, y

compromiso de gestión),
los procesos y
procedimientos se
mantienen y utilizan para
gestionar la protección de
datos.
Gestión de identidades, PR. AC-P1: Las identidades y FIPPS 8: Seguridad
autenticación y control de credenciales se emiten, NIST SP 800-53 Rev. 5: IA-1, IA-2, IA-3,
acceso (PR. AC-P): El gestionan, verifican, revocan y IA-4, IA-5, IA-7, IA-8, IA-9, IA-10, IA-
acceso a los datos y auditan para las personas, los 11, IA-12
dispositivos se limita a procesos y los dispositivos NIST SP 800-63-3
individuos, procesos y autorizados.
ISO/IEC 27701:2019 6.6.2.1, 6.6.2.2,
dispositivos autorizados, y
6.6.4.2
se gestiona de acuerdo con
el riesgo evaluado de PR. AC-P3: Se administra el FIPPS 8: Seguridad
acceso no autorizado. acceso remoto. Publicación FIPS 199
NIST SP 800-46 Rev. 2
NIST SP 800-53 Rev. 5: AC-1, AC-17,
AC-19, AC-20, SC-15
NIST SP 800-77
NIST SP 800-113
ISO/IEC 27701:2019 6.6.2.1, 6.6.2.2
PR. AC-P4: Se gestionan los FIPPS 8: Seguridad
permisos y autorizaciones de NIST SP 800-53 Rev. 5: AC-1, AC-2,
acceso, incorporando los AC-3, AC-5, AC-6, AC-14, AC-16, AC-24
principios de privilegios NIST SP 800-162
mínimos y separación de
deberes.

PR. AC-P5: Se protege la FIPPS 8: Seguridad
integridad de la red (por NIST SP 800-53 Rev. 5: AC-4, AC-10,
ejemplo, la segregación de la SC-7, SC-10, SC-20
red, la segmentación de la red).
PR. AC-P6: Las personas y los FIPPS 8: Seguridad
dispositivos son probados y NIST SP 800-53 Rev. 5: AC-14, AC-16,
vinculados a las credenciales y IA-1, IA-2, IA-3, IA-4, IA-5, IA-8, IA-9,
autenticados de acuerdo con el IA-10, IA-11, IA-12, PE-2, PS-3
riesgo de la transacción (por NIST SP 800-63-3
ejemplo, los riesgos de
seguridad y privacidad de los
individuos y otros riesgos
organizacionales).
Seguridad de datos (PR. PR. DS-P1: Se protegen los datos FIPPS 8: Seguridad
DS-P): Los datos se en reposo. NIST SP 800-53 Rev. 5: MP-2, MP-3,
gestionan de acuerdo con MP-4, MP-5, MP-6, MP-7, MP-8, SC-
la estrategia de riesgo de 28
la organización para NIST SP 800-175B
proteger la privacidad de
las personas y mantener PR. DS-P2: Los datos en tránsito FIPPS 8: Seguridad
la confidencialidad, están protegidos. NIST SP 800-53 Rev. 5:
integridad y disponibilidad SC-8, SC-11
de los datos. NIST SP 800-175B
PR. DS-P3: Los FIPPS 8: Seguridad
sistemas/productos/servicios y NIST SP 800-53 Rev. 5: CM-8, MP-6,
los datos asociados se PE-16, PE-20
gestionan formalmente a lo
largo de la retirada, las
transferencias y la eliminación.

PUBLICACIÓN ESPECIAL NIST 1800-28C

Identificación y protección de datos contra filtraciones de
datos
Volumen C:
Guías prácticas
William Fisher
Ciberseguridad NIST
R. Eugene Craft
Michael Ekstrom
Julian Sexton
John Sweetnam
McLean, Virginia
Febrero 2024
FINAL
Esta publicación está disponible gratuitamente en:

https://doi.org/10.6028/NIST.SP.1800-28

https://www.nccoe.nist.gov/data-confidentiality-identifying-and-protecting-assets-against-data-
brechas
RENUNCIA
recomendación o respaldo por parte del NIST o el NCCoE; Tampoco se pretende dar a entender que las
entidades, equipos, productos o materiales sean necesariamente los mejores disponibles para el
propósito.
Si bien el NIST y el NCCoE abordan los objetivos de mejorar la gestión de los riesgos de ciberseguridad y
privacidad a través de la divulgación y la aplicación de estándares y mejores prácticas, es
responsabilidad de las partes interesadas realizar una evaluación de riesgos completa para incluir la
amenaza actual, las vulnerabilidades, la probabilidad de un compromiso y el impacto en caso de que la
amenaza se materialice antes de adoptar medidas de ciberseguridad como esta recomendación.
Publicación especial 1800-28C del Instituto Nacional de Estándares y Tecnología, Natl. Inst. Stand.
Technol. Spec. Publ. 1800-28C, 86 páginas, (febrero de 2024), CÓDIGO: NSPUE2
RETROALIMENTACIÓN
Como asociación público-privada, siempre estamos buscando comentarios sobre nuestras guías
prácticas. Estamos particularmente interesados en ver cómo las empresas aplican los diseños de
referencia NCCoE en el mundo real. Si ha implementado el diseño de referencia o tiene preguntas
sobre cómo aplicarlo en su entorno, envíenos un correo electrónico a ds-nccoe@nist.gov.
Todos los comentarios están sujetos a divulgación en virtud de la Ley de Libertad de Información.

Ciberseguridad Instituto Nacional de
Estándares y Tecnología 100 Bureau Drive
Mailstop 2002
Gaithersburg, MD 20899
Correo electrónico:
nccoe@nist.gov
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra ii

CENTRO NACIONAL DE EXCELENCIA EN CIBERSEGURIDAD
El Centro Nacional de Excelencia en Ciberseguridad (NCCoE), que forma parte del Instituto Nacional
de Estándares y Tecnología (NIST), es un centro de colaboración en el que las organizaciones de la
industria, las agencias gubernamentales y las instituciones académicas trabajan juntas para abordar
los problemas de ciberseguridad más apremiantes de las empresas. Esta asociación público-privada
permite la creación de soluciones prácticas de ciberseguridad para industrias específicas, así como
para desafíos tecnológicos amplios e intersectoriales. A través de consorcios en el marco de acuerdos
cooperativos de investigación y desarrollo (CRADA, por sus siglas en inglés), que incluyen socios
tecnológicos, desde líderes del mercado de Fortune 50 hasta empresas más pequeñas especializadas
en seguridad de tecnología de la información, el NCCoE aplica estándares y mejores prácticas para
desarrollar soluciones de ciberseguridad modulares y adaptables utilizando tecnología disponible
comercialmente. El NCCoE documenta estas soluciones de ejemplo en la serie de publicaciones
especiales 1800 del NIST, que asigna capacidades al marco de ciberseguridad del NIST y detalla los
pasos necesarios para que otra entidad vuelva a crear la solución de ejemplo. El NCCoE fue
establecido en 2012 por el NIST en asociación con el estado de Maryland y el condado de
Montgomery, Maryland.
Para obtener más información sobre el NCCoE, visite https://www.nccoe.nist.gov/. Para obtener más información
sobre el NIST, visite https://www.nist.gov.
GUÍAS PRÁCTICAS DE CIBERSEGURIDAD DEL NIST

Las Guías de Prácticas de Ciberseguridad del NIST (Publicación Especial serie 1800) se enfocan en
desafíos específicos de ciberseguridad en los sectores público y privado. Son guías prácticas y fáciles de
usar que facilitan la adopción de enfoques de ciberseguridad basados en estándares. Muestran a los
miembros de la comunidad de seguridad de la información cómo implementar soluciones de ejemplo
que les ayuden a alinearse con los estándares relevantes y las mejores prácticas, y proporcionan a los
usuarios las listas de materiales, archivos de configuración y otra información que necesitan para
implementar un enfoque similar.
Los documentos de esta serie describen ejemplos de implementaciones de prácticas de ciberseguridad

que las empresas y otras organizaciones pueden adoptar voluntariamente. Estos documentos no
describen regulaciones o prácticas obligatorias, ni tienen autoridad legal.
ABSTRACTO
Los ataques dirigidos a los datos son motivo de preocupación para las empresas y organizaciones de
muchos sectores. Las filtraciones de datos representan una amenaza que puede tener impactos
monetarios, reputacionales y legales. Esta guía busca proporcionar orientación sobre la amenaza de las
violaciones de datos, ejemplificando estándares y tecnologías que son útiles para una variedad de
organizaciones que se defienden contra esta amenaza. Específicamente, esta guía identifica los riesgos
asociados con la pérdida de confidencialidad de los datos y las mitigaciones para protegerse contra esos
riesgos.
PALABRAS CLAVE
gestión de activos; marco de ciberseguridad; violación de datos; confidencialidad de los datos;
protección de datos; identificar; actor malintencionado; malware; proteger; ransomware
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra iii

RECONOCIMIENTOS
Agradecemos a las siguientes personas por sus generosas contribuciones de experiencia y tiempo.
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra iv

Jason Winder Avrio Software (ahora conocido como Aerstone)
Trey Doré Cisco
Matthew Hyatt Cisco
Randy Martín Cisco
Peter Romness Cisco
Bryan Rosensteel Cisco
Micah Wilson Cisco
Ben Burke Disipar
Fred Chang Disipar
Matt Fulk Disipar
Ian Schmertzler Disipar
Kenneth Durbin Ojo de fuego
Tom Los Ojo de fuego
J.R. Wikes Ojo de fuego
Jennifer Cawthra NIST
Joe Faxlanger PKWARE
Víctor Ortiz PKWARE
Jim Wyne PKWARE
Steve Petruzzo Qcor
Billy Stewart Qcor
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra v

Campo Normando StrongKey (Llave fuerte)
Patricio Leung StrongKey (Llave fuerte)
Arshad Noor StrongKey (Llave fuerte)
Dylan Buel Symantec, una división de Broadcom
Sunjeet Randhawa Symantec, una división de Broadcom
Paul Swinton Symantec, una división de Broadcom
Perro de púas La Corporación MITRE
Sallie Edwards La Corporación MITRE
Brian Johnson La Corporación MITRE
Lauren Lujuriosa La Corporación MITRE
Karri Meldorf La Corporación MITRE
Julie Snyder La Corporación MITRE
Lauren Swan La Corporación MITRE
Anne Townsend La Corporación MITRE
Jessica Walton La Corporación MITRE
Los Socios/Colaboradores Tecnológicos que participaron en esta compilación enviaron sus capacidades
en respuesta a un aviso en el Registro Federal. Se invitó a los encuestados con capacidades o
componentes de productos relevantes a firmar un Acuerdo Cooperativo de Investigación y Desarrollo
(CRADA) con el NIST, lo que les permitió participar en un consorcio para construir esta solución de
ejemplo. Trabajamos con:
Avrio Avrio SIFT
Sistemas Cisco DÚO
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra vi

Disipar Disipar
Ojo de fuego Hélice de Ojo de Fuego
Qcor Campo de fuerza de Qcor
PKWARE PKWARE PKProtect
StrongKey (Llave fuerte) StrongKey Tellaro
Symantec, una división de Broadcom Aislamiento web de Symantec
CONVENCIONES DE DOCUMENTOS
Los términos "deberá" y "no deberá" indican requisitos que deben seguirse estrictamente para ajustarse
a la publicación y de los cuales no se permite ninguna desviación. Los términos "debería" y "no debería"
indican que, entre varias posibilidades, se recomienda una como particularmente adecuada sin
mencionar o excluir otras, o que se prefiere un determinado curso de acción pero no necesariamente se
requiere, o que (en la forma negativa) se desalienta una determinada posibilidad o curso de acción pero
no se prohíbe. Los términos "puede" y "no necesita" indican un curso de acción permisible dentro de los
límites de la publicación. Los términos "puede" y "no puede" indican una posibilidad y capacidad, ya sea
material, física o causal.
AVISO DE DIVULGACIÓN DE PATENTES

AVISO: El Laboratorio de Tecnología de la Información (DIT) ha solicitado a los titulares de
reivindicaciones de patentes cuyo uso pueda ser necesario para cumplir con las orientaciones o
los requisitos de esta publicación divulguen dichas reivindicaciones de patentes al DIT. Sin
embargo, los titulares de patentes no están obligados a responder a las solicitudes de patentes
del DIT y el DIT no ha llevado a cabo una búsqueda de patentes para determinar qué patentes,
en su caso, pueden aplicarse a esta publicación.
A la fecha de publicación y en la(s) convocatoria(s) siguiente(s) para la identificación de

reivindicaciones de patentes cuyo uso pueda ser necesario para cumplir con las orientaciones
o los requisitos de la presente publicación, no se ha identificado ninguna reivindicación de
patentes de este tipo para el DIT.
ITL no declara ni da a entender que no se requieren licencias para evitar la infracción de

patentes en el uso de esta publicación.
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra vii

Contenido
1 Introducción ......................................................................................... 1
1.1 Cómo usar esta guía ...................................................................................................... 1
1.2 Descripción general de la compilación.......................................................................... 2
1.3 Convenciones tipográficas ............................................................................................ 3
1.4 Resumen de la arquitectura lógica................................................................................ 3
2 Guías de instalación del producto ........................................................ 5
2.1 Hélice de Ojo de Fuego.................................................................................................. 5
2.1.1 Instalación de Communications Broker - CentOS 7 ...................................................... 5
2.1.2 Reenvío de registros de eventos desde Windows 2012 R2 .......................................... 7
2.2 Symantec Cloud Secure Web Gateway ......................................................................... 9
2.2.1 Configurar el servicio de seguridad web..................................................................... 10
2.2.2 Instalación de certificados proxy y habilitación de la intercepción TLS/SSL............... 13
2.2.3 Configurar el proxy de Symantec Web Security Service ............................................. 17
2.3 PKWARE PKProtect ...................................................................................................... 23
2.3.1 Configuración de PKWARE con Active Directory ........................................................ 24
2.3.2 Crear un nuevo usuario administrativo ...................................................................... 26
2.3.3 Requisitos previos de instalación................................................................................ 27
2.3.4 Instalación del agente PKProtect ................................................................................ 29
2.3.5 Configuración de la detección y la generación de informes ....................................... 32
2.4 StrongKey Tellaro ........................................................................................................ 37
2.4.1 Cliente de Python para StrongKey: creación y uso de ejecutables de Windows........ 37
2.5 Campo de fuerza de Qcor............................................................................................ 41
2.5.1 Instalación y uso de ForceField ................................................................................... 41
2.6 Avrio SIFT ..................................................................................................................... 44
2.6.1 Configuración de Avrio SIFT ........................................................................................ 44
2.7 Dúo de Cisco ................................................................................................................ 47
2.7.1 Instalación de Cisco Duo ............................................................................................. 47
2.7.2 Registro de un usuario de Duo.................................................................................... 54
2.8 Disipar .......................................................................................................................... 55
2.8.1 Instalación ................................................................................................................... 55
2.8.2 Configuración de direcciones IP.................................................................................. 57
2.8.3 Configuración de la red................................................................................................ 59
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra viii

2.8.4 Adición de un dispositivo ............................................................................................60
2.9 Integración: FireEye Helix y Symantec SWG ............................................................... 63
2.9.1 Configurar Fireye Helix para recopilar registros de Symantec SWG...........................63
2.10 Integración: FireEye Helix y PKProtect de PKWARE .................................................... 66
2.10.1 Configurar Helix Communications Broker ..................................................................67
2.10.2 Configurar PKWARE PKProtect para reenviar eventos ...............................................67
2.11 Integración: FireEye Helix y Cisco Duo ........................................................................ 69
2.11.1 Configuración de Fireye Helix para recopilar registros de Cisco Duo .........................69
2.12 Integración: FireEye Helix y QCOR ForceField ............................................................. 72
2.12.1 Configurar un servidor SFTP en Windows...................................................................73
2.12.2 Configurar la máquina Linux para descargar y enviar registros a Helix Agente de
Comunicaciones ..........................................................................................................74
2.13 Integración: FireEye Helix y Dispel .............................................................................. 75
2.14 Integración: Avrio SIFT y PKProtect de PKWARE ......................................................... 75
2.14.1 Configuración de PKWARE PKProtect .........................................................................75
2.15 Integración: Dispel y Cisco Duo ................................................................................... 79
Apéndice A Lista de Acrónimos ................................................................ 80
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra ix

1 Introducción
Los siguientes volúmenes de esta guía muestran a los profesionales de la tecnología de la información
(TI) y a los ingenieros de seguridad cómo implementamos esta solución de ejemplo. Cubrimos todos los
productos empleados en este diseño de referencia. No recreamos la documentación de los fabricantes
del producto, que se supone que está ampliamente disponible. Más bien, estos volúmenes muestran
cómo incorporamos los productos juntos en nuestro entorno de laboratorio.
Nota: Estos no son tutoriales completos. Hay muchas configuraciones posibles de servicio y seguridad
para estos productos que están fuera del ámbito de este diseño de referencia.
1.1 Cómo usar esta guía

Esta Guía de prácticas de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST, por
sus siglas en inglés) demuestra un diseño de referencia basado en estándares y proporciona a los
usuarios la información que necesitan para replicar la capacidad de identificar amenazas y protegerse
de la pérdida de confidencialidad de los datos. Este diseño de referencia es modular y puede
desplegarse en su totalidad o en parte.
Esta guía contiene tres volúmenes:
 NIST SP 1800-28A: Resumen ejecutivo

 NIST SP 1800-28B: Enfoque, arquitectura y características de seguridad : qué construimos y por qué
 NIST SP 1800-28C: Guías prácticas : instrucciones para crear la solución de ejemplo (está
aquí)
En función de su rol en la organización, puede usar esta guía de diferentes maneras:
Los responsables de la toma de decisiones empresariales, incluidos los directores de seguridad y tecnología,
estarán interesados en la
Resumen ejecutivo, NIST SP 1800-28A, que describe los siguientes temas:
 Desafíos a los que se enfrentan las empresas para identificar los activos vulnerables y
protegerlos de las filtraciones de datos
 ejemplo de solución creada en el NCCoE
 Ventajas de adoptar la solución de ejemplo
Los gerentes de programas de tecnología o seguridad que se preocupan por cómo identificar,
comprender, evaluar y mitigar el riesgo estarán interesados en NIST SP 1800-28B, que describe lo que
hicimos y por qué. Serán de especial interés los siguientes apartados:
 La sección 3.4.1, Riesgo, describe el análisis de riesgos que realizamos.

 El Apéndice D, Mapa de control de seguridad, asigna las características de seguridad de esta
solución de ejemplo a los estándares y mejores prácticas de ciberseguridad.
Puede compartir el resumen ejecutivo, NIST SP 1800-28A, con los miembros de su equipo de liderazgo
para ayudarlos a comprender la importancia de adoptar una solución basada en estándares para
identificar amenazas y protegerse de la pérdida de confidencialidad de los datos
NIST SP 1800-28C: Confidencialidad de datos: identificación y protección de datos contra 1

Los profesionales de TI que quieran implementar un enfoque como este encontrarán útil toda esta guía
práctica. Puede usar esta parte práctica de la guía, NIST SP 1800-28C, para replicar la totalidad o partes
de la compilación creada en nuestro laboratorio. Esta parte de procedimientos de la guía proporciona
instrucciones específicas de instalación, configuración e integración del producto para implementar la
solución de ejemplo. No recreamos la documentación de los fabricantes del producto, que
generalmente está ampliamente disponible. Más bien, mostramos cómo incorporamos los productos
juntos en nuestro entorno para crear una solución de ejemplo.
En esta guía se asume que los profesionales de TI tienen experiencia en la implementación de productos
de seguridad dentro de la empresa. Si bien hemos utilizado un conjunto de productos comerciales para
abordar este desafío, esta guía no respalda estos productos en particular. Su organización puede
adoptar esta solución o una que se adhiera a estas directrices en su totalidad, o puede usar esta guía
como punto de partida para adaptar e implementar partes de una solución para identificar amenazas y
protegerse de la pérdida de confidencialidad de los datos. Los expertos en seguridad de su organización
deben identificar los productos que mejor se integrarán con sus herramientas existentes y la
infraestructura del sistema de TI. Esperamos que busque productos que sean congruentes con las
normas aplicables y las mejores prácticas. En la sección 3.6 Tecnologías, se enumeran los productos que
hemos utilizado y se asignan a los controles de ciberseguridad proporcionados por esta solución de
referencia.
Una Guía de Prácticas de Ciberseguridad del NIST no describe "la" solución, sino una posible solución.
Los comentarios, sugerencias e historias de éxito mejorarán las versiones posteriores de esta guía. Por
favor, contribuya con sus pensamientos a ds-nccoe@nist.gov .
1.2 Descripción general de la compilación

El NCCoE creó un entorno híbrido de laboratorio virtual-físico para explorar métodos para identificar
eficazmente los datos confidenciales y protegerse contra la pérdida de confidencialidad de los datos en
diversos entornos empresariales de tecnología de la información (TI). Este trabajo también destaca los
estándares y tecnologías que son útiles para una variedad de organizaciones que se defienden contra
esta amenaza. Los servidores en el entorno virtual se construyeron según las especificaciones de
hardware de sus componentes de software específicos.
El NCCoE trabajó con miembros de la Comunidad de Interés de Confidencialidad de Datos para

desarrollar un conjunto diverso (pero no completo) de escenarios de seguridad con los que probar la
implementación de referencia. Estos se detallan en el Volumen B, Sección 5.2.

1.3 Convenciones tipográficas
En la tabla siguiente se presentan las convenciones tipográficas utilizadas en este volumen.
Tipo de letra/Símbolo Significado Ejemplo

Cursiva nombres de archivo y nombres Para obtener información sobre el uso del
de ruta; referencias a lenguaje y la guía de estilo, consulte la
documentos que no sean Guía de estilo de NCCoE.
hipervínculos; nuevos términos;
y marcadores de posición
Audaz nombres de menús, opciones, Elija Archivo > Editar.
botones de comando y campos
Monoespacio Entrada de línea de comandos, mkdir
salida de computadora en
pantalla, código de muestra
Ejemplos y códigos de estado
Negrita Entrada de usuario de línea de Inicio de SSHD de servicio
monoespaciada comandos en contraste con la
computadora
salida
Texto azul enlace a otras partes del Todas las publicaciones del NCCoE del
documento, una URL web o una NIST están disponibles en
dirección de correo electrónico https://www.nccoe.nist.gov.
1.4 Resumen de la arquitectura lógica

La arquitectura descrita está integrada en el entorno de laboratorio NCCoE. Las organizaciones tendrán
que considerar cómo las tecnologías de esta arquitectura alinearán las tecnologías con su
infraestructura existente. Además de los recursos de administración de red, como un firewall de borde,
la arquitectura asume la presencia de estaciones de trabajo de usuario, un sistema de directorio activo y
bases de datos. En el diagrama siguiente se muestran los componentes de la arquitectura y cómo
interactúan con los recursos de la empresa.

 La gestión de datos (Avrio) permite el descubrimiento y el seguimiento de archivos en toda la empresa.
 La protección de datos (GreenTec, StrongKey, PKWARE) implica el cifrado y la protección
contra la divulgación de archivos confidenciales.
 Los controles de acceso de usuario (Cisco Duo) permiten a las organizaciones aplicar políticas de
control de acceso, lo que garantiza que solo los usuarios autorizados tengan acceso a los archivos
confidenciales.
 Browser Isolation (Symantec SWG) protege los endpoints de la organización de las amenazas
maliciosas basadas en la web mediante el uso de la inspección de contenido de varias capas para
bloquear las amenazas y el aislamiento remoto del contenido de sitios desconocidos y de alto
riesgo.
 La aplicación de políticas (Cisco Duo) garantiza que los terminales de la organización se ajusten a
las políticas de seguridad especificadas, que pueden incluir la verificación de certificados, los
programas instalados y la posición de la máquina.
 La gestión de eventos e información de seguridad (FireEye Helix) crea una línea de base de una
actividad empresarial normal para compararla en caso de un evento de confidencialidad de datos.
Esta función incluye la recopilación, agregación y análisis de registros en toda la empresa, incluidos
los registros de otras herramientas de seguridad, para proporcionar una mejor imagen del estado
general de la empresa antes de que se produzca una infracción.
 La protección de red (Dispel) garantiza que los hosts de la red solo se comuniquen de las formas
permitidas, lo que evita los ataques de canal lateral y los ataques que dependen de la comunicación
directa entre los hosts. Además, protege contra hosts potencialmente maliciosos que se unen u
observan el tráfico (cifrado o descifrado) que atraviesa la red.
Para obtener una descripción más detallada de nuestra arquitectura, consulte el Volumen B, Sección 4.

2 Guías de instalación del producto
Esta sección de la guía práctica contiene instrucciones detalladas para instalar y configurar todos los
productos utilizados para crear una instancia de la solución de ejemplo. Esta guía de implementación se
divide en secciones para cada producto e integraciones entre estos productos, con el objetivo de
presentar una arquitectura modular en la que las capacidades y los productos individuales se pueden
intercambiar o excluir según las necesidades de la organización. Las organizaciones pueden optar por
implementar una arquitectura parcial basada en sus propias evaluaciones de riesgos y requisitos de
protección de datos.
2.1 Hélice de Ojo de Fuego

FireEye Helix es un sistema de gestión de eventos e incidentes de seguridad que se utiliza para recopilar
y administrar registros de varias fuentes. En esta compilación, Helix se utiliza principalmente para
administrar eventos y alertas generados por datos recopilados de toda la empresa. Esta compilación
implementó una implementación en la nube de Helix y, como tal, gran parte de la documentación
proporcionada integrará una implementación en la nube con varios productos y componentes de la
empresa.
En esta configuración, detallamos la instalación de un agente de comunicaciones, que se usará para

recopilar registros de la empresa y reenviarlos a la implementación en la nube. Esta instalación se llevó a
cabo en una máquina virtual CentOS 7.
2.1.1 Instalación del agente de comunicaciones: CentOS 7

1. Adquiera el Helix Communications Broker para CentOS 7.
2. Vaya a la carpeta que contiene el instalador y ejecute

> sudo yum localinstall ./cbs-installer_1.4.2-9.x86_64.rpm
3. Inicie sesión en la consola web de Helix.
4. Vaya a Paneles > Operativo.
5. Haga clic en Descargar certificado.
6. Haga clic en Descargar. Esto descargará un archivo "bootstrap.zip".
7. Copie el archivo zip en el directorio de certificados de Helix Communications Broker.

> sudo cp bootstrap.zip /opt/tap-nxlog/cert
8. Vaya al directorio de certificados.

> cd /opt/tap-nxlog/cert
9. Extrae el archivo zip que acabas de copiar.

> sudo descomprimir ./bootstrap.zip
10. Si se le solicita, seleccione "Sí" para sobrescribir los archivos de certificado anteriores.
11. Navegue a una carpeta de arriba.

> sudo cd ..

12. Ejecute el script de configuración.
> sudo ./setup.sh
13. Introduzca el nombre de la máquina CentOS.
14. Introduzca la URL del destinatario proporcionada en el correo electrónico de bienvenida de Helix.
15. Seleccione Agregar rutas y presione Entrar.
16. Seleccione syslog.
17. Seleccione tcp.
18. Seleccione la dirección de Protocolo de Internet (IP) de la máquina a la que se deben enviar los registros.
19. Introduzca 512 para el número de puerto al que se deben enviar los registros.

20. Seleccione Aceptar y pulse Intro.
21. Revise la configuración, seleccione Aceptar y pulse Intro.
2.1.2 Reenvío de registros de eventos desde Windows 2012 R2

1. Adquiera nxlog-ce-2.10.2150.msi de http://nxlog.org/products/nxlog-community-edi-
tion /download.
2. Ejecute nxlog-ce-2.10.2150.msi.
3. Haga clic en Siguiente.
4. Marque la casilla junto a Acepto los términos del Acuerdo de licencia.

7. Haga clic en Instalar.
8. Haga clic en Finalizar.
9. Vaya a C:\Archivos de programa (x86)\nxlog\conf y abra nxlog.conf.

10. Copie el archivo nxlog.conf que se proporciona a continuación.
Pánico Suave
#NoFreeOnExit
VERDADERO
definir ROOT C:\Archivos de programa

(x86)\nxlog define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
<Módulo de _syslog> de
extensión xm_syslog
<Entrada>
Módulo im_msvistalog
# Para Windows 2003 y versiones anteriores, use
lo siguiente: # Módulo im_mseventlog
</Entrada>
<Salida de salida>
Módulo om_tcp
Anfitrión 192.168.1.206
Puerto 512
Exec to_syslog_snare();
</Salida>
<Ruta 1>
Sende entrada =
ro
11. Reinicie el servicio nxlog.
12. Puede verificar que esta conexión funciona comprobando los registros en data\nxlog.log y
anotando un aumento en los eventos en el panel de control de Helix.
2.2 Symantec Cloud Secure Web Gateway

Esta guía de instalación y configuración de Symantec SWG utiliza una instancia en la nube de Web
Isolation. En esta guía, el aislamiento web se utiliza para aislar las amenazas al usuario a través del
explorador. Lo hace mediante el uso de un proxy web, que captura el tráfico y le asigna un nivel de
amenaza y, en función de la política administrativa, decide si sirve la página al usuario. Al hacerlo, las
amenazas de la web se pueden mitigar a través de la inteligencia compartida y la ejecución aislada de
la página antes de que llegue al escritorio del usuario.

2.2.1 Configurar el servicio de seguridad web (WSS)
1. Inicie sesión en el portal de Symantec navegando hasta https://portal.threatpulse.com/.
2. Haga clic en Configurar junto a Protection Suite.
3. Seleccione Portal de WSS.
4. Seleccione Monitor.

6. Seleccione Suprimir usuario/grupo, Información del dispositivo, IP del cliente,
Geolocalización. (Nota: Si planea usar esta herramienta para la supervisión de la red de los
usuarios de la organización, puede ser preferible una política de privacidad menos estricta; sin
embargo, para esta compilación, estamos usando el aislamiento web principalmente para
amenazas externas).
8. Indica si tienes usuarios móviles.
9. Haga clic en Siguiente. Indique si los usuarios se conectan desde una ubicación estática.

10. Haga clic en Siguiente. Indique si desea configurar un conector de autenticación.

12. Haga clic en Ir a la configuración del producto.
13. Haga clic en Continuar.
2.2.2 Instalación de certificados proxy y habilitación de la intercepción TLS/SSL

1. Haga clic en la pestaña Política.

2. Haga clic en Intercepción TLS/SSL.
3. Habilite la intercepción TLS/SSL haciendo clic en el botón de alternancia.
4. Descargue el certificado aquí. Puede instalarlo individualmente en el almacén de entidades de

certificación raíz de confianza en equipos individuales o seguir los pasos que se indican a
continuación para distribuir el certificado a través de la directiva de grupo.
5. Abra la consola de administración de directivas de grupo.
6. Haga clic con el botón derecho en el dominio y seleccione Crear un GPO en este dominio y vincularlo
aquí....

7. Introduzca un nombre y haga clic en Aceptar.
8. Haga clic con el botón derecho en el GPO recién creado y haga clic en Editar....
9. Vaya a Directivas de > de configuración del equipo > Configuración de la ventana >
Configuración de seguridad > Directivas de clave pública y haga clic con el botón derecho en
Entidades de certificación raíz de confianza.
10. Haga clic en Importar.
12. Seleccione el certificado que acaba de descargar.


16. Haga clic en Aceptar.
2.2.3 Configurar el proxy de Symantec Web Security Service

1. Vaya a la pestaña Conectividad.
2. Haga clic en Ubicaciones.

3. Haga clic en Agregar ubicación.
4. Introduzca un nombre para la ubicación.
5. Seleccione Reenvío de proxy para Método de acceso.
6. Introduzca las direcciones IP públicas de su organización para asegurarse de que el tráfico

enviado a través del proxy WSS (servicio de seguridad web) se redirige al panel adecuado.
7. Haga clic en Guardar.

8. Esta página ahora proporcionará una URL a un archivo PAC que se puede distribuir a los
navegadores de toda la organización a través de GPO. Si desea crear un archivo PAC
personalizado, puede ir a Conectividad > archivos PAC.
9. Abra la consola de administración de directivas de grupo.
10. Haga clic con el botón derecho en el dominio y seleccione Crear un GPO en este dominio y vincularlo
aquí....
11. Introduzca un nombre y haga clic en Aceptar.

12. Haga clic con el botón derecho en el GPO recién creado y haga clic en Editar....
13. Vaya a Configuración de usuario > Preferencias > Configuración del Panel de control.
14. Haga clic con el botón derecho en Configuración de Internet y seleccione Nuevas > Propiedades de
Internet Explorer 10.
15. Haga clic en la pestaña Conexiones.

16. Haga clic en Red de área local (Configuración de LAN).
17. Seleccione el campo Dirección.
18. Presione F6 para habilitarlo (está habilitado si el cuadro tiene un subrayado verde sólido.
19. Introduzca la URL del archivo PAC anterior en el campo Dirección.

22. Para verificar que el tráfico está pasando por el aislamiento, puede visitar el siguiente sitio web
de prueba y sustituir el nivel de amenaza del 1 al 10:
http://testrating.webfilter.bluecoat.com/threatrisk/level/7.

23. En esta URL de prueba (probada en julio de 2022), los niveles 5-7 pasarán por el aislamiento y
podrá ver el tráfico de aislamiento desde la pestaña de red en modo de desarrollador (F12) en
el navegador. Los niveles 8 a 10 serán bloqueados por el filtro de contenido, y los niveles 1 a 4
no pasarán por aislamiento ni filtrado de contenido.
2.3 PKWARE PKProtect

Esta guía de instalación y configuración para PKWARE PKProtect utiliza un servidor PKWARE físico y,
como tal, no profundizará en la instalación de componentes de servidor. En esta guía, PKWARE se
utiliza para realizar automáticamente funciones de inventario de datos y protección de datos. PKWARE
proporciona a los usuarios la capacidad de almacenar archivos cifrados para recuperarlos más tarde, lo
que requiere el uso de credenciales de usuario para acceder a ellos.

2.3.1 Configuración de PKWARE con Active Directory
1. Inicie sesión en el portal web de PKWARE con las credenciales administrativas.
2. Una vez que haya iniciado sesión, puede y debe cambiar la contraseña de esta cuenta
administrativa haciendo clic en Cambiar contraseña en la esquina superior derecha.
3. Vaya a Dominio de > del sistema.

4. Haga clic en Unirse al dominio.
5. Introduzca el dominio Kerberos, el dominio NetBIOS, así como el nombre de usuario y la

contraseña de un usuario administrador en el dominio.
6. Haga clic en Unirse al dominio.

2.3.2 Crear un nuevo usuario administrativo
1. Vaya a Administradores de > avanzados.
2. Haga clic en Agregar usuario de dominio.
3. Introduzca el nombre de usuario de un usuario en el dominio que debería poder iniciar sesión
a través del portal de administración de PKWARE (esto está pensado solo para
administradores).
4. Seleccione el nivel de permisos que debe tener el usuario.

2.3.3 Requisitos previos de instalación
1. Si es necesario para su entorno, es posible que tenga que instalar certificados localmente
antes de que los agentes puedan conectarse a PKProtect - pregunte a su representante de
PKWARE si esto es necesario para su entorno.
2. Haga doble clic en el certificado que desea instalar.
3. Haga clic en Instalar certificado...
4. Seleccione Usuario actual.
6. Haga clic en Examinar.
7. Seleccione Entidades de certificación raíz de confianza.


10. Haga clic en Aceptar .
11. Repita los pasos del 1 al 10, pero seleccione Personal en lugar de Entidades de certificación raíz de
confianza.
12. Repita los pasos del 1 al 11 para cada certificado que deba instalarse.
13. Cambie el nombre de agent-registry.txt a agent-registry.reg.
14. Haga doble clic en el archivo (debe tener privilegios de administrador).
15. Haga clic en Sí.
17. Reinicie la máquina para aplicar estos cambios.
2.3.4 Instalación del agente PKProtect

1. Ejecute el ejecutable de instalación de PKProtect.

3. Seleccione Acepto los términos del contrato de licencia.
5. Seleccione Típico.


9. Si no se muestra automáticamente una ventana para iniciar sesión, puede hacer clic con el
botón derecho en el icono PKProtect en la barra de tareas de Windows y hacer clic en
Iniciar sesión.... Si se muestra automáticamente una ventana, haga clic en Iniciar sesión.
10. Inicie sesión con el nombre de usuario de la cuenta en el dominio, en formato de correo
electrónico (como administrator@domain.id).
11. Introduzca la dirección del servidor PKWARE.
12. El agente PKWARE ahora se ejecutará en segundo plano.
2.3.5 Configuración de la detección y la generación de informes

1. En el panel de control de PKWARE, inicie sesión como usuario administrativo y vaya a Archivar
> Discoteca.

2. Haga clic en Agregar detección.
3. Introduzca un nombre para la regla de detección.
4. Seleccione un patrón para que la regla lo detecte. En este caso, estamos estableciendo una
regla para detectar los números de seguridad social en los archivos para la presentación de
informes/corrección.
5. El campo Umbral hace referencia a cuántos de esos patrones deben estar presentes en un
documento para que se aplique la regla.
7. Vaya a Archivar > correcciones.

8. Haga clic en Agregar.
9. Escriba un nombre para la corrección.
10. Marque la casilla situada junto a Notificar eventos de detección.
11. Marca la casilla junto a Cifrar.
12. Asegúrese de que AES (256 bits) esté seleccionado.

14. Vaya a Archivar > asignaciones.
15. Haga clic en Agregar .

16. Introduzca un nombre para la asignación.
17. Seleccione la plataforma en la que se ejecutará esta asignación.
18. Seleccione Detección para el modo.
19. Escriba los nombres de los usuarios o grupos de Active Directory a los que se debe aplicar esta regla.
20. Introduzca las carpetas de esta regla para buscar en Rutas locales.
21. Utilice la lista blanca y la lista negra para especificar los tipos de archivo que deben o no deben tenerse
en cuenta.
22. Introduzca el intervalo para que esta regla se ejecute en Intervalo de barrido.
23. En Acciones de corrección, haga clic en Agregar.
24. Seleccione la regla de detección creada anteriormente en Paquetes de filtros inteligentes.

25. Seleccione la acción de corrección creada anteriormente en Acción de corrección.
27. Esta regla ahora se ejecutará automáticamente, informando y encriptando los archivos que
coincidan con sus condiciones de detección.
2.4 StrongKey Tellaro

StrongKey es una interfaz de programación de aplicaciones (API) de transferencia de estado
representacional (REST) que proporciona varios servicios de seguridad. En este proyecto, utilizamos
principalmente sus capacidades de cifrado de archivos en el contexto de la protección de datos. Debido
a que es un servicio web, no se requiere mucha instalación en el lado de la empresa, y la mayor parte de
la configuración es adquirir credenciales para comunicarse de forma segura con la API. En esta
compilación, Strongkey se utilizará principalmente para la integración con otros productos, para cifrar
datos confidenciales generados por productos en formatos que de otro modo podrían ser difíciles de
cifrar.
2.4.1 Cliente de Python para StrongKey: creación y uso de ejecutables de Windows

1. Asegúrese de que el siguiente script (consulte el final de la sección) se rellena con información
específica de su empresa, incluidas las variables skdid, skuser y skpass.
2. Guarde el archivo como strongkey-client.py.
3. Este ejemplo demostrará cómo crear un ejecutable a partir del siguiente script. Descargue
Python 3.8.0 desde el sitio web de Python: https://
www.python.org/downloads/release/python- 380/. En concreto, descargue el instalador
ejecutable de Windows x86. La versión de 32 bits proporcionará un mejor acceso a los
paquetes e interfaces de Active Directory.
4. Ejecute el instalador.
5. Marque la casilla junto a Agregar Python 3.8 a PATH.

6. Haga clic en Instalar ahora.
7. Haga clic en Cerrar.
8. Abra una ventana de PowerShell.
9. Ejecute el siguiente comando para instalar pyinstaller.

> pip install pyinstaller
10. Ejecute el siguiente comando para instalar solicitudes.

> Solicitudes de instalación de pip

11. En la ventana de PowerShell, vaya al lugar donde guardó strongkey-client.py.
12. Ejecute el siguiente comando para compilar el cliente en un ejecutable.

> pyinstaller --onefile .\strongkey-client.py
13. Se creará una carpeta llamada dist . En esta carpeta habrá un ejecutable llamado
strongkey-client.exe.
14. Para cifrar un archivo en su lugar (es decir, sobrescribir el archivo con contenido cifrado),
ejecute el siguiente comando:
> ./strongkey-client.exe -encrypt -overwrite --infile sensitive.txt
15. Para cifrar un archivo y guardarlo en una nueva ubicación, ejecute el siguiente comando:
> ./strongkey-client.exe -encrypt --outfile encrypted.txt --infile sensi-
tive.txt
16. Para descifrar un archivo en su lugar (es decir, sobrescribir el archivo cifrado con contenido de
texto sin formato), ejecute el siguiente comando:
> ./strongkey-client.exe -decrypt -overwrite --infile sensitive.txt
17. Para descifrar un archivo y guardarlo en una nueva ubicación, ejecute el siguiente comando:
> ./strongkey-client.exe -decrypt --outfile decrypted.txt --infile en-
crypted.txt
18. Este cliente se puede configurar para que se ejecute según una programación o se itere en un
directorio de archivos, dependiendo de las necesidades de la organización. Debido a que el
cliente es Python y StrongKey está basado en API REST, el script se adapta a varias arquitecturas
y se puede implementar ampliamente en todas las empresas, para llenar los vacíos que la
empresa pueda tener en sus capacidades de protección de datos.
Solicitudes de
importación
Importar JSON
Importar
argparse
skdid = # Nota: Los usuarios deben hacer referencia a un archivo

separado para este ID skuser = # Nota: Los usuarios deben hacer
referencia a un archivo separado para el nombre de usuario skpass = #
Nota: Los usuarios deben hacer referencia a un archivo separado para la
contraseña encurl = "https://demo4.strongkey.com/skee/rest/encrypt"
decurl = "https://demo4.strongkey.com/skee/rest/decrypt"
def buildrequest(fname, encrypt):

req = {}
req["svcinfo"] = {
"did": skdid,
"svcusername":skuser,
"svcpassword":skpass
}
if (cifrar):
req["encinfo"] = {
"algorithm": "AES",
"keysize":256,

req["fileinfo"] = {
"filename": nombre
}
req["authzinfo"] = {
"nombre de usuario": "encryptdecrypt",
#"userdn": "cn=encryptdecrypt,did="+skdid+",ou=users,ou=v2,ou=SKCE,ou=Stron-
gAuth,ou=Applications,dc=strongauth,dc=com",
"authgroups": "cn=EncryptionAuthor-
ized,did="+skdid+",ou=groups,ou=v2,ou=SKCE,ou=StrongAuth,ou=Applications,dc=stron
- gauth,dc=com",
"Autorización requerida": 0
}
req["svcinfo"] = json.dumps(req["svcinfo"])
req["fileinfo"] = json.dumps(req["fileinfo"])
if (cifrar):
req["encinfo"] = json.dumps(req["encinfo"])
req["authzinfo"] = json.dumps(req["authzinfo"])
Solicitud de devolución
def encrypt(nombre de
archivo,salida,sobrescribir): req =
buildrequest(nombre de archivo, True)
con open(nombre de archivo,
mode='rb') como f:
archivos = [('datos de archivo', f)]
p = requests.request("POST", encurl, headers={}, data=req, files=files)
print(p)
p.raise_for_status()
si (p.status_code == 200):
output = nombre de archivo if overwrite
else output with open(output, mode='wb')
as o:
o.write(p.content)
def decrypt(nombre de
archivo,out,sobrescribir): req =
buildrequest(nombre de archivo,
False) con open(nombre de archivo,
mode='rb') como f:
archivos = [('datos de archivo', f)]
p = requests.request("POST", decurl, headers={}, data=req, files=files)
p.raise_for_status()
si (p.status_code == 200):
output = nombre de archivo if overwrite
else out con open(output, mode='wb') como
o:
o.write(p.content)
parser = argparse. ArgumentParser(description='Cifrar o descifrar un archivo

usando Strongkey.')
group =
parser.add_mutually_exclusive_group(required=True)
group.add_argument("-encrypt", action='store_true')
group.add_argument("-decrypt", action='store_true')
group =
parser.add_mutually_exclusive_group(required=True)
group.add_argument("-overwrite", action='store_true')
group.add_argument("--outfile", type=str)

parser.add_argument("--infile", type=str, required=True)
a = parser.parse_args()
if (a.overwrite es True):

sobrescribir =
Verdadero = ""
elif (a.outfile no es None):
out = a.outfile
sobrescribir = Falso
if (a.encrypt es True):
encrypt(a.infile, out, overwrite)
elif (a.decrypt es True):
decrypt(a.infile, out, overwrite)
2.5 Campo de fuerza de Qcor

ForceField es un sistema de archivos protegido contra escritura (WFS) que combina la seguridad del
dispositivo de hardware y el cifrado. En esta compilación, ForceField se utiliza principalmente para
hacer copias de seguridad de los datos mientras se mantiene la confidencialidad a través del cifrado. En
esta compilación, utilizamos ForceField para la protección de una base de datos transaccional que
necesita mantener tanto la confidencialidad como la integridad de las transacciones anteriores, al
tiempo que ofrece la capacidad de usar esos datos en nuevas transacciones.
2.5.1 Instalación y uso de ForceField

1. Qcor proporcionará un disco compacto (CD) o un archivo zip que contenga la API WFS y las
utilidades asociadas. Copie el contenido de \GreenTec\Release en la unidad C: del servidor
Qcor ForceField.
2. Agregue la carpeta de destino a la variable PATH de la línea de comandos si es necesario. Para

ello, en el menú de inicio, busque Variables de entorno.
3. Haga doble clic en la variable Ruta y agregue la ruta a la API de WFS.

4. Verifique que las unidades del servidor WFS de Qcor se hayan formateado para funcionar con
ForceField con la utilidad de línea de comandos wfsdir que se acaba de instalar. Las unidades
pueden estar preformateadas. Utilice la función

siguiente para determinar si una unidad está formateada. En lugar de "N", introduzca el
número de la unidad que desea verificar.
> wfsdir N
5. Si los discos duros no han sido formateados, utilice la herramienta de línea de comandos wfsx
para formatear su unidad. Nota: Una vez realizado, el formato no se puede deshacer. Las
siguientes instrucciones se han copiado de la Guía del usuario de WFS.
> WFSFX <DeviceName> <options>
devicename es el identificador de dispositivo del disco que se va a formatear. Para Windows,

este es el número de disco de Windows que se puede encontrar a través del Administrador de
discos de Windows (por ejemplo, 1, 2, etc.). Para Linux, este es el nombre del dispositivo físico
(por ejemplo, /dev/sdb/).
Las opciones pueden ser:

-DirX o -x <potencia de 10> (potencia opcional de 10 para el número máximo de
archivos, el valor predeterminado es 10) 1 formateará 1.243 archivos, 10 permitirá 12.489
archivos, 100 permite 124.993 archivos, 1000 permite
1.249.930 expedientes
-vuser <nombre de usuario> especifica un nombre de usuario de volumen, ¡NO
OLVIDE ESTE NOMBRE DE USO SI SE USA!
-vpass <password> especifica una contraseña de volumen, ¡NO OLVIDE ESTA
CONTRASEÑA SI SE USA!
-caché ON|OFF activará o desactivará la memoria caché interna de la unidad de disco (el valor
predeterminado es ON).
-verificarescribir EN|OFF activará o desactivará la verificación de escritura para el volumen
WFS (el valor predeterminado es OFF).
El estado de verificación de escritura se puede activar o desactivar mediante la utilidad
WFScache. NOTA: activar la verificación de escritura puede degradar significativamente el
rendimiento de E/S.
6. A continuación, los archivos se pueden copiar dentro o fuera de las unidades designadas
mediante la herramienta de línea de comandos wfscopy. Las siguientes instrucciones se han
copiado de la Guía del usuario de WFS.
> wfscopy <archivo-origen> <archivo-destino> <recuento>
Uno de los archivos debe ser un archivo nativo del sistema operativo (SO) y el otro archivo debe ser un
archivo WFS. source-file es el nombre del archivo de entrada y puede ser un nombre de archivo nativo
del sistema operativo o un nombre de archivo WFS. desti- nation-file es el nombre del archivo de
entrada y puede ser un nombre de archivo nativo del sistema operativo o un nombre de archivo WFS.
count es el número opcional de bytes que se van a copiar. count se establece de forma predeterminada
en todos los registros.
Ejemplos de wfscopy usando Windows:

> WFSCOPY testfile.txt 1:*
El comando anterior copiará el archivo llamado testfile.txt del directorio local al disco número 1 con el
mismo nombre. Si el archivo WFS no existe previamente, se crea. Si el archivo WFS existe
anteriormente, los datos se anexan al archivo WFS existente como una nueva extensión de archivo.
> WFSCOPY 2:Contracts.pdf C:\MyFolder\Contracts.pdf
El comando anterior copiará todos los registros de todas las extensiones del archivo WFS denominado
Contract.pdf del disco, identificado como 2 por el Administrador de discos de Windows, al archivo de
Windows C:\myfolder\Contracts.pdf registro por registro.

> WFSCOPY 4:myfile.txt contra:
El comando anterior mostrará el contenido del archivo WFS myfile.txt desde el disco 4 en la consola.
Esto es similar al uso del comando type en la línea de comandos de Windows.
2.6 Avrio SIFT

Avrio SIFT es una capacidad de gestión e inventario de datos diseñada para hacer cumplir las políticas de
datos. Por lo general, la instalación de Avrio SIFT se realiza de manera administrada por el proveedor, y
es posible que la implementación que se ve en el laboratorio NCCoE no se parezca a otras
implementaciones. En el caso de una implementación de Docker, la configuración de la instalación base
de Avrio se puede realizar modificando el archivo docker-compose.
De lo contrario, se asumirá que el proveedor ha instalado y configurado Avrio correctamente para la
empresa.
2.6.1 Configuración de Avrio SIFT

1. Navegue hasta el panel de control de SIFT (dirección predeterminada: http://IP-address:8080/sift/) e
inicie sesión.
2. Haga clic en Configuración.
3. En Enclaves, introduzca dos ubicaciones. En primer lugar, la ruta de acceso al recurso

compartido público de Windows y, en segundo lugar, la ruta de acceso a la protegida por
PKProtect. Utilizaremos esta segunda ruta más adelante en la integración entre PKProtect y
SIFT. En este ejemplo, DCIPDRR es la ruta de acceso al recurso compartido público, y PRO-
TECTED es la ruta de acceso a la protegida por PKProtect. Introduzca las cuentas de usuario que
pueden acceder a cada recurso compartido. En producción, se recomienda crear una cuenta de
usuario separada para que SIFT la utilice para acceder a estas acciones.
4. Haga clic en Guardar cambios.
5. Haga clic en Palabras clave en el menú de la izquierda.

6. Haga clic en Agregar nueva palabra clave.

7. Introduzca la palabra clave en Nombre y un alias (si lo desea). Marque la casilla junto a
cualquier enclave que pueda tener esta palabra clave: SIFT podrá mover archivos que
coincidan con los enclaves que marque la casilla.
8. Seleccione el enclave PROTEGIDO en Mover a.
10. Haga clic en Tipos de archivo.
11. Designe los tipos de archivo que pueden existir en cada enclave.
13. Haga clic en Clasificaciones.

14. Designe las clasificaciones que pueden existir en cada enclave.
16. En la parte superior, haga clic en Solicitar > nueva solicitud.
17. Haga clic en Lote.
18. Seleccione Ruta UNC para Tipo de origen.
19. Seleccione el enclave para buscar archivos confidenciales.
20. Seleccione Mover para Tipo de escaneo. (Tenga en cuenta que si selecciona Escanear para el
tipo de escaneo, escaneará los archivos y le dirá que son confidenciales y si se pueden mover,
pero no intentará moverlos. Esto es útil para la depuración).
21. Seleccione Eliminar para Mover acción u otra acción en función de las necesidades de su
organización. Al seleccionar Eliminar, se eliminará el archivo confidencial del recurso
compartido público y se moverá al protegido.
22. Establezca Analizar subcarpetas en ON.
23. Introduzca una descripción para el análisis.
24. Establezca la frecuencia del escaneo. Tenga en cuenta que la eficiencia del escaneo
probablemente dependerá del tamaño de la organización, y puede ser más deseable escanear
una vez por hora en lugar de una vez por minuto.

25. Haga clic en Enviar.
26. Ahora, puede comprobar que los archivos que se agregan al recurso compartido público
con palabras clave confidenciales se mueven al recurso compartido diseñado para contener
archivos confidenciales.
2.7 Dúo de Cisco

Cisco Duo es una herramienta de autenticación multifactor e inicio de sesión único. En este proyecto,
Dispel se utiliza para controlar el acceso a los sistemas internos a través de la virtualización, y Duo se
utiliza como una solución de autenticación multifactor entre Dispel y esos sistemas internos. Esto
garantiza que, incluso si una máquina virtual de Dispel se ve comprometida, sigue habiendo un control
de acceso significativo entre esa máquina y las máquinas internas de la empresa.
En la siguiente sección, demostramos la instalación de Cisco Duo en un sistema interno de tal manera
que el Protocolo de escritorio remoto (RDP) y el inicio de sesión local en ese sistema estén protegidos
por la autenticación multifactor.
2.7.1 Instalación de Cisco Duo

1. Comience iniciando sesión en el sistema que desea proteger con Duo.
2. Luego conéctese a Internet, si aún no está conectado, y vaya a la página de inicio de sesión de
Duo Admin en https://admin.duosecurity.com/.

3. Inicie sesión con sus credenciales de administrador y autenticación de doble factor hasta que
se acceda al panel de administración.
4. Haga clic en Aplicaciones en la barra lateral.
5. Haga clic en Proteger una aplicación.

6. Busque o desplácese hacia abajo hasta Microsoft RDP.
7. Haga clic en Proteger.
8. La siguiente pantalla proporcionará opciones de configuración de políticas, así como la clave de

integración, la clave secreta y el nombre de host de la API, que son información necesaria para
el siguiente paso. O bien mantener esta ventana abierta o copiar esas tres piezas de información.

9. Descargue el paquete de instalación de Duo Authentication para el inicio de sesión
de Windows , que se encuentra en https://dl.duosecurity.com/duo-win-login-
latest.exe.
10. Ejecute el archivo EXE descargado.

12. Copie el nombre de host de la API en el campo etiquetado.
14. Copie las claves secretas y de integración en los campos correspondientes y haga clic en Siguiente.
16. Configure las opciones de integración de Duo de acuerdo con las necesidades de su
organización. Tenga en cuenta que omitir la autenticación Duo cuando esté fuera de línea
permitirá a los usuarios omitir la autenticación de dos factores cuando estén sin conexión, lo
que aumenta la disponibilidad de sus archivos, pero puede aumentar el riesgo.

18. Deje la opción Habilitar compatibilidad con tarjetas inteligentes sin marcar.

20. Deje desactivada la opción Habilitar protección contra elevación de UAC .

24. La instalación debería estar completa. Los usuarios registrados en el panel de control de
Duo con un teléfono vinculado podrán acceder al sistema.
2.7.2 Registro de un usuario de Duo

1. Inicie sesión en el panel de administración de Duo.
2. Haga clic en Agregar nuevo usuario > en el menú desplegable de la derecha.
3. Introduzca un nombre de usuario para el usuario.

4. Haga clic en Agregar usuario.
5. Esto lo llevará a la página de información de ese usuario, donde se puede asociar información
adicional (nombre completo, correo electrónico, número de teléfono) y autenticadores de
Duo (números de teléfono, tokens de hardware de autenticación de 2 factores (2FA),
WebAuthn, etc.) con ese nombre de usuario. Nota: Un usuario no podrá iniciar sesión en un
sistema protegido de Duo a menos que esté registrado y tenga un dispositivo de autenticación
asociado a su nombre de usuario.
2.8 Disipar
Dispel es una herramienta de protección de red y acceso de usuarios que utilizamos para proporcionar
una capacidad de infraestructura de escritorio virtual (VDI). Una implementación típica de Dispel se
realiza de una manera administrada en gran medida, con una implementación específica que se adapta
a una configuración de red. Es posible que la implementación en el laboratorio NCCoE no sea la mejor
configuración para una red determinada. La implementación de NCCoE se realizó en un host Ubuntu
con interfaces de red de área amplia (WAN) y red de área local (LAN), colocando el dispositivo en línea
entre los sistemas empresariales y la red externa.
2.8.1 Instalación
1. Implemente una máquina Ubuntu con las especificaciones proporcionadas, asegurándose de
que una ISO proporcionada esté adjunta al dispositivo.
2. Inicie sesión con el nombre de usuario "dispel" y la contraseña proporcionada.

3. Comience el proceso de instalación
> Instalar imagen
4. Pulse Intro en las tres indicaciones siguientes, modificando las opciones predeterminadas según lo desee.
5. Escriba yes antes de pulsar Intro para reescribir el volumen actual.
6. Pulse Intro en el resto de las indicaciones, modificando las opciones predeterminadas según lo desee.
7. Introduzca y vuelva a introducir una nueva contraseña para el usuario

8. Presione enter por última vez para finalizar la instalación
9. Apague la máquina, retire el ISO proporcionado y vuelva a encenderla.
10. Inicie sesión con el usuario "disipar" y la nueva contraseña establecida en el paso 9.
11. Escriba el comando > ifconfig | grep inet. Verifique el resultado para asegurarse de que
coincida con la configuración de red deseada. Si no es así, consulte la siguiente sección.
2.8.2 Configuración de direcciones IP

1. Inicie sesión en el dispositivo con el usuario "disipar".

2. Escriba el comando > configurar.
3. Escriba el comando > del interfaces ethernet eth0, o cualquier interfaz que esté
modificando actualmente.
4. Escriba el comando > establecer interfaces ethernet eth0 address seguido de la

dirección IP deseada en notación CIDR, modificando para la interfaz deseada según
corresponda.
5. Escriba el comando > confirme.
6. Escriba el comando > guardar.

7. Escriba el comando > salir.
2.8.3 Configuración de la red

Las siguientes instrucciones son para modificar un dispositivo Dispel wicket para reenviar el tráfico a un
dispositivo de enrutamiento diferente. Esto puede ser deseable para algunas configuraciones de red.
1. Escriba el comando > configure en el dispositivo Dispel wicket después de iniciar sesión.
2. Escriba el comando > establecer protocolos ruta estática 0.0.0/0 next-hop seguido
de la dirección IP del router al que desea reenviar.
3. Escriba el comando > confirme.
4. Escriba el comando > guardar.
5. Escriba el comando > salir.
6. En el enrutador o firewall designado, asegúrese de que el protocolo de datagramas de usuario

(UDP) esté permitido desde el dispositivo Dispel en el puerto proporcionado. Para la
implementación de NCCoE, se utilizó el puerto 1194. Dispel proporcionará un destino de destino
para el tráfico.
7. Modifique las direcciones IP de la interfaz de red del lado sur para alinearlas correctamente
con su red. Consulte la sección "Configuración de direcciones IP" más arriba.

2.8.4 Adición de un dispositivo
1. En la estación de trabajo en cuestión, asegúrese de que ping y RDP sean accesibles, lo que
incluye permitir dichas conexiones a través de un firewall local.
2. Autentíquese en la página web de Dispel con las credenciales proporcionadas.
3. Haga clic en la página Dispositivos en la barra lateral y haga clic en Crear.

4. En la ventana Agregar dispositivo, rellene todos los campos, incluidos Instalación, Wicket,
Nombre, Marca, Modelo, IP y Protocolo.
5. Haga clic en Agregar dispositivo.

6. En Acceso para ese dispositivo, busque los usuarios que tendrán acceso a ese dispositivo.
Verifique que tengan la configuración de acceso correcta.
7. Si un usuario aún no es miembro de la región, haga clic en Miembros en la barra lateral y haga
clic en Invitar. Complete la información relevante para esta persona y haga clic en Invitar a este
miembro.

2.9 Integración: FireEye Helix y Symantec SWG
En esta integración, el resultado de la herramienta de aislamiento web, Symantec SWG, se reenviará a
nuestro sistema de gestión de eventos e información de seguridad (SIEM), FireEye Helix. En esta guía,
intentaremos reenviar la mayoría de los registros a nuestro SIEM, que puede recopilar, analizar e
informar sobre estos registros para mantener mejor el conocimiento de nuestros sistemas y
proporcionar una interfaz única para analizar el estado del sistema. Los registros de SWG nos permitirán
ver estadísticas sobre el número de amenazas que se han bloqueado, así como cualquier cambio
administrativo realizado en el producto SWG.
2.9.1 Configurar Fireye Helix para recopilar registros de Symantec SWG

1. Vaya al panel de control de Symantec e inicie sesión.
2. Vaya a Configuración de la cuenta haciendo clic en el icono de engranaje en la barra lateral izquierda.
3. Haga clic en Credenciales de API.
4. Haga clic en Agregar.
5. Marque las casillas junto a Informes de registros de acceso, Administración de ubicación,

Registros de auditoría, Administración de configuración de agentes e IP de salida.
6. Establezca una fecha de vencimiento para la credencial (se recomienda 1 año).
7. Copie el nombre de usuario y la contraseña proporcionados, ya que no podrá recuperarlos

una vez que cree la credencial.

9. En el panel de control de Helix, haga clic en Configurar > Cloud Connect.

10. Haga clic en Agregar conexión a la nube.
11. Haga clic en la flecha situada junto a Symantec Web Security Service.

13. Introduzca el nombre de usuario y la contraseña de la credencial creada anteriormente.
14. Haga clic en Enviar y verificar.
15. Haga clic en Volver a la página de inicio. Ahora podrá ver los eventos de Symantec SWG en Helix.
2.10 Integración: FireEye Helix y PKProtect de PKWARE

En la siguiente sección, PKProtect de PKWARE, que se ha configurado para identificar y cifrar datos
confidenciales, se configurará para reenviar estos eventos a FireEye Helix. Los registros de PKWARE
PKProtect nos permitirán monitorear el uso del cifrado en toda la empresa y detectar cualquier
sospecha

descifrados que pueden indicar una infracción. En esta sección se supone que Helix Communications
Broker ya se ha instalado.
2.10.1 Configurar Helix Communications Broker

16. En el sistema CentOS con Helix Communications Broker instalado, ejecute los siguientes
comandos:
> cd /opt/tap-nxlog
> sudo ./setup.sh
17. Seleccione Agregar rutas y presione Entrar.
18. Seleccione bsd.
19. Seleccione tcp.
20. Seleccione la dirección IP de la interfaz de red que debe recibir los registros.
21. Introduzca 513 para el puerto.
2.10.2 Configurar PKWARE PKProtect para reenviar eventos

1. Vaya al portal web PKProtect de PKWARE.
2. Haga clic en el enlace Conceptos básicos en la parte superior de la página.
3. Desplácese hacia abajo hasta la sección Inteligencia de seguridad de datos.
4. Junto a Dashboard Elasticsearch Target, haga clic en Interno.

5. Desmarque la casilla junto a Usar Elasticsearch interno.
6. Desmarque la casilla junto a Habilitar DSI en el panel.
8. En la sección Inteligencia de seguridad de datos, haga clic en Interno junto a Destino.
9. Seleccione Syslog TCP RFC-3164 para Target.
10. Introduzca la URL y el puerto del Helix Communications Broker que se acaba de configurar.
12. Compruebe que los registros de PKWARE ahora se muestran en Helix.

2.11 Integración: FireEye Helix y Cisco Duo
En esta integración, FireEye Helix se configurará para recopilar registros de Cisco Duo. Cisco Duo es
nuestro mecanismo de autenticación multifactor y actúa como fuente de información tanto para
detectar brechas como para detectar amenazas internas. La información sobre un inicio de sesión, como
el nombre de usuario, la hora y la ubicación, es útil en caso de infracción. Además, son útiles como línea
de base para la actividad del usuario, que se puede utilizar como punto de comparación para detectar
comportamientos inusuales.
2.11.1 Configuración de Fireye Helix para recopilar registros de Cisco Duo

1. En el panel de control de Cisco Duo, navegue hasta Aplicaciones.
2. Haga clic en Proteger una aplicación.

3. Haga clic en API de administración.
4. Desplácese hacia abajo y marque las casillas situadas junto a Administradores de concesión,
Información de lectura de concesión, Solicitudes de concesión, Configuración de concesión,
Registro de lectura de concesión, Recurso de lectura de concesión y Recurso de escritura de
concesión
6. Inicie sesión en el panel de control de Helix.
7. Vaya a Configurar > Cloud Connect.

8. Haga clic en Ver conexiones disponibles.
9. Escriba "Duo" en el cuadro de búsqueda.
10. Haga clic en la flecha situada junto a la integración de Cisco Duo y haga clic en Instalar.
11. Copie la clave de integración, la clave secreta y el nombre de host de la API (sin incluir
duosecurity.com) en los campos correspondientes de la página de Helix Cloud Connect.

12. Haga clic en Enviar y verificar.
13. Si se realiza correctamente, debería ver una pantalla sobre la integración que se ha realizado
correctamente.
2.12 Integración: FireEye Helix y QCOR ForceField

En esta integración, configuraremos la recopilación de registros de ForceField, nuestra solución de
cifrado de bases de datos, en FireEye Helix. Los registros detallados que describen el cifrado y el
descifrado son útiles para determinar qué parte de una empresa está cifrada, y las estadísticas y los
registros en esta área pueden preparar a la organización para el caso de una infracción. Para los
propósitos de esta guía, asumiremos que ForceField se está ejecutando en un servidor Windows y nos
gustaría transferir archivos de este servidor a un servidor Linux. Si está utilizando un servidor Linux para
ForceField, puede pasar a la configuración de rsyslog para reenviar los registros directamente al Helix
Comm Broker.
2.12.1 Configurar un servidor de protocolo seguro de transferencia de archivos (SFTP) en
Windows
En esta sección, configuraremos un servidor SFTP en el sistema Windows para permitir la descarga
cifrada y automatizada de los registros de Forcefield en un servidor Linux. Hemos elegido
específicamente no usar el bloque de mensajes de Windows Server (SMB) para este escenario porque
nos gustaría demostrar una transferencia cifrada de registros de Windows a Linux. Elegimos SFTP en
lugar de FTPS porque la automatización del protocolo de transferencia de archivos seguro (FTPS)
requeriría en algún momento una contraseña de texto sin formato, mientras que SFTP puede usar de
forma predeterminada las capacidades de Secure Shell (SSH) del sistema.
Una vez en Linux, rsyslog se puede configurar para usar TLS para la transferencia cifrada de acuerdo con las
necesidades de la organización.
1. Descarga OpenSSH desde aquí (https://github.com/PowerShell/Win32-OpenSSH/releases).

Durante la creación de esta guía, se utilizó la versión V8.9.1.0p1-Beta.
2. Extraer a C:\Archivos de programa\OpenSSH.
3. En una ventana de Powershell, vaya a la carpeta en la que lo extrajo y ejecute el siguiente

comando para instalar el servidor.
powershell.exe -ExecutionPolicy Bypass -File ./install-sshd.ps1
4. Ejecute el siguiente comando para abrir el puerto de firewall para OpenSSH.

Ejecute New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH SSH Server' -
Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22 -
Program "C:\Windows\System32\OpenSSH\sshd.exe"
5. Abra services.msc e inicie el servidor SSH OpenSSH.
6. Cree un archivo llamado authorized_keys en C:\Users\<Your Username>\.ssh. Si es necesario, cree el

archivo
.ssh (Windows no le permitirá crearla de forma predeterminada, nombrando la carpeta .ssh. le
permitirá eludir esta restricción).
7. Genere una clave usando ./ssh-keygen. Copie el contenido de la clave pública generada
(archivo .pub) en el archivo authorized_keys creado anteriormente. La clave privada debe
colocarse en la carpeta ~/.ssh de la máquina Linux.
8. Haga clic con el botón derecho en el archivo authorized_keys y haga clic en Propiedades.
9. Haga clic en Deshabilitar herencia.
10. Seleccione Convertir permisos heredados en permisos explícitos en este objeto.
11. Con el botón Eliminar, elimine todas las cuentas que no sean SYSTEM de la lista. Asegúrese de
que la cuenta del SISTEMA tenga el control total.
12. En C:\ProgramData\ssh, abra sshd_config.
13. Comenta estas líneas añadiendo caracteres '#' antes de cada línea, así:
#Match Administradores de grupo

# AuthorizedKeysFile PROGRAMDATA /ssh/administrators_authorized_keys

14. Agregue las siguientes líneas al archivo sshd_config para asegurarse de que se permite la
autenticación de clave pública RSA.
PubkeyAuthentication sí
PubkeyAcceptedKeyTypes=+ssh-rsa
15. Agregue el directorio C:\Program Files\OpenSSH a la ruta del sistema: esto es necesario para
que el servidor pueda encontrar el archivo sftp-server.exe.
16. Agregue las siguientes líneas a sshd_config archivo para configurar el servidor SFTP.
ForceCommand internal-sftp
ChrootDirectory C:\GreenTec\ForceField\log
17. Alternativamente, si es preferible establecer el directorio raíz en otro lugar y mover el archivo
de registro, también puede hacerlo. Para editar la ubicación del archivo de registro,
simplemente abra C:\GreenTec\Forcefield\wfs.conf y cambie Logpath a un directorio
diferente, y actualice ChrootDirectory para que apunte a eso.
18. Después de hacer esto, debería poder autenticarse a través de SSH en el servidor. Si se produce
un error en la autenticación, puede comprobar los registros en el Visor de eventos del servidor,
en Registros de aplicaciones y servicios
> OpenSSH > Operativo para ver el motivo del error.
2.12.2 Configure la máquina Linux para descargar y enviar registros a Helix

Communications Broker
19. En el servidor Linux, podemos usar sftp para descargar el archivo. Asegúrese de reemplazar el
nombre de usuario y el nombre de host con el nombre de usuario y el nombre de host de su
servidor SSH real.
sftp administrator@forcefield.dc.ipdrr:/ForceField.log /tmp/ForceField.log
20. Para fines de automatización, podemos usar cron jobs para descargar automáticamente este
archivo a intervalos regulares. Utilice crontab para editar la lista de trabajos cron.
Crontab -e
21. Introduzca el intervalo y el comando para sftp en el archivo crontab. La siguiente línea
descargará el archivo de registro una vez por hora. Asegúrese de reemplazar el nombre de
usuario y el nombre de host con el nombre de usuario y el nombre de host de su servidor SSH
real.
0 * * * * sftp administrator@forcefield.dc.ipdrr:/ForceField.log
/tmp/ForceField.log
22. A continuación, usaremos rsyslog para reenviar este archivo de registro al Helix Comm Broker.
23. Abra /etc/rsyslog.conf y agregue la siguiente línea, usando la IP y el puerto del Helix Comm Bro-
ker. (Tenga en cuenta que poner un solo símbolo '@' aquí indica UDP. Use dos, como '@@' para
TCP).
*.* @192.168.1.206:514

24. Cree un archivo /etc/rsyslog.d/forcefield.conf e introduzca las siguientes líneas en él.
sudo nano /etc/rsyslog.d/forcefield.conf
$ModLoad imfile
$InputFilePollInterval 10

$PrivDropToGroup adm
$InputFileName /tmp/ForceField.log
$InputFileTag CAMPO DE FUERZA
$InputFileStateFile Stat-FORCEFIELD
$InputFileFacility local8
$InputRunFileMonitor
$InputFilePersistStateInterval 1000
25. Reinicie rsyslog.

reinicio de rsyslog del servicio sudo
2.13 Integración: FireEye Helix y Dispel

En esta integración, configuramos la recopilación de registros de Dispel, nuestra solución de protección
de red. Debido a que Dispel controla el acceso de los usuarios a los sistemas empresariales, es
importante tener una visión general de sus acciones a través de la recopilación de registros y la
generación de informes. El personal de Dispel puede realizar esta integración simplemente
proporcionándoles el protocolo, el puerto y la dirección IP de Helix Communications Broker y
permitiéndoles configurarlo en el wicket de Dispel local.
2.14 Integración: Avrio SIFT y PKProtect de PKWARE

Cuando se usan juntos, SIFT y PKProtect pueden proteger los datos confidenciales que se colocan
accidentalmente en recursos compartidos públicos en la empresa. En la Sección 2.6, se detalla cómo
configurar SIFT para detectar datos confidenciales en un recurso compartido de Windows y moverlos a
una ubicación designada para información confidencial. Ahora, demostraremos cómo garantizar que la
ubicación esté protegida por PKProtect, que cifrará automáticamente los datos.
2.14.1 Configuración de PKWARE PKProtect

1. Navegue hasta el panel de control de PKProtect e inicie sesión.
2. Vaya a Archivar > Discovery.

3. Haga clic en Patrón – Diccionario.
4. Introduzca un nombre para estos patrones en el campo Nombre.
5. Introduzca las palabras clave que deben coincidir en el campo Palabras clave.
7. Haga clic en Agregar detección.
8. En Patrón, seleccione el nombre del patrón que acaba de crear.
9. En Umbral, introduzca el número de coincidencias de este patrón necesarias para considerar

que el archivo es confidencial.

11. Vaya a Archivar > casilleros.
12. Asegúrese de que haya un cliente PKWARE instalado en el dispositivo que se supervisará para
el cifrado. El dispositivo debería aparecer en la lista. Si no es así, puede buscar el dispositivo y
seleccionarlo de la lista.
13. Haga clic en Agregar en el dispositivo para el que desea agregar un casillero.
14. Introduzca un nombre para el casillero.
15. Introduzca la ruta de acceso a la carpeta protegida.
16. Seleccione AES 256 para el algoritmo.

17. Seleccione la tecla inteligente PKWARE que desea utilizar.
18. Marque todas las casillas junto a Eventos de cifrado.
19. Marque la casilla junto a Habilitar modo de detección.
20. Agregue las reglas pertinentes al cuadro Paquetes de filtros inteligentes.
21. Seleccione Informar y cifrar para la acción de corrección.
23. Ahora se supervisará la carpeta del dispositivo que seleccionó y los archivos que coincidan con
las reglas seleccionadas se cifrarán automáticamente.

2.15 Integración: Dispel y Cisco Duo
En esta compilación, Dispel actúa como intermediario entre el usuario y los sistemas de la empresa,
proporcionando escritorios remotos temporales con acceso a los sistemas de la empresa. En esta
integración, instalamos principalmente Cisco Duo en los sistemas empresariales, para requerir
autenticación multifactor a través de RDP entre los escritorios remotos temporales de Dispel y los
sistemas empresariales.
En esta integración en particular, no se requirió ningún trabajo adicional aparte de la instalación de

Cisco Duo (consulte la Sección 2.7) en los sistemas para controlar el acceso al escritorio remoto entre
las máquinas Dispel y las otras máquinas. Sin embargo, es importante que las organizaciones
comprueben que esta integración funciona y está presente, para asegurarse de que la autenticación
multifactor se aplica a los usuarios que inician sesión de forma remota.

Apéndice A Lista de acrónimos
Proporcione una lista de acrónimos y abreviaturas alfabéticamente y deletree cada uno de ellos. Usar
estilo de palabra: Glosario. Ponga en negrita cada acrónimo para mejorar la legibilidad.
SIEM Información de seguridad y gestión de

eventos
RDP Protocolo de escritorio remoto
IP Protocolo de Internet
TCP Protocolo de control de transmisión
SFTP Protocolo de transferencia segura de
archivos
DNS Servicio de Nombres de Dominio
NTP Protocolo de tiempo de red
2FA Autenticación de dos factores
UDP Protocolo de datagramas de usuario
WSS Servicio de seguridad web
TLS Seguridad de la capa de transporte
SSL (en Capa de sockets seguros
inglés)
GPO Objeto de directiva de grupo
PAC Configuración automática de proxy
AES Estándar de cifrado avanzado
REPOSO Transferencia de Estado Representacional
API Interfaz de programación de aplicaciones
WFS Sistema de archivos protegido contra
(Síndrome escritura
de las T


Nist SP 1800-28

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nist SP 1800-28

Uploaded by

Copyright:

Available Formats

PUBLICACIÓN ESPECIAL DEL NIST 1800-28

El primer borrador de esta publicación está disponible gratuitamente en:

Confidencialidad de los datos: identificación y protección de

Departamento de Comercio de EE. UU.

Instituto Nacional de Estándares y Tecnología

Confidencialidad de los datos:

Esta publicación está disponible gratuitamente

Esta guía práctica puede ayudar a su organización a:

 Identifique los activos que pueden verse afectados por un

NIST SP 1800-28A: Confidencialidad de datos: identificación y protección de activos contra 1

Colaborador Capacidad o componente de seguridad

CÓMO USAR ESTA GUÍA

Los responsables de la toma de decisiones empresariales, incluidos los directores de tecnología y

NIST SP 1800-28A: Confidencialidad de datos: identificación y protección de activos contra 3

COMPARTE TUS COMENTARIOS

NIST SP 1800-28A: Confidencialidad de datos: identificación y protección de activos contra 4

Confidencialidad de los datos:

Esta publicación está disponible gratuitamente

El primer borrador de esta publicación está disponible gratuitamente en:

Centro Nacional de Excelencia en

NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra ii

GUÍAS PRÁCTICAS DE CIBERSEGURIDAD DEL NIST

Los documentos de esta serie describen ejemplos de implementaciones de prácticas de ciberseguridad

Jason Winder Avrio Software (ahora conocido como Aerstone)

Trey Doré Cisco

Matthew Hyatt Cisco

Randy Martín Cisco

Peter Romness Cisco

Bryan Rosensteel Cisco

Micah Wilson Cisco

Ben Burke Disipar

Fred Chang Disipar

Matt Fulk Disipar

Ian Schmertzler Disipar

Kenneth Durbin Ojo de fuego

Tom Los Ojo de fuego

J.R. Wikes Ojo de fuego

Jennifer Cawthra NIST

Joe Faxlanger PKWARE

Víctor Ortiz PKWARE

Jim Wyne PKWARE

Steve Petruzzo Qcor

NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra iv

Billy Stewart Qcor

Campo Normando StrongKey (Llave fuerte)

Patricio Leung StrongKey (Llave fuerte)

Arshad Noor StrongKey (Llave fuerte)

Dylan Buel Broadcom Software

Sunjeet Randhawa Broadcom Software

Paul Swinton Broadcom Software

Perro de púas La Corporación MITRE

Sallie Edwards La Corporación MITRE

Brian Johnson La Corporación MITRE

Lauren Lujuriosa La Corporación MITRE

Karri Meldorf La Corporación MITRE

Julie Snyder La Corporación MITRE

Lauren Swan La Corporación MITRE

Anne Townsend La Corporación MITRE

Jessica Walton La Corporación MITRE

NIST SP 1800-28B: Confidencialidad de datos: identificación y protección de activos contra v

Socio/Colaborador Tecnológico Fomentar la participación

Avrio Software (ahora conocido como Avrio SIFT