Bueno, amigos, gracias a todos por estar<br>aquí. Bienvenidos a un nuevo webinar de<br>ciberseguridad en línea. En esta<br>oportunidad vamos a hablar de cómo el<br>cybers security framework que está en su<br>versión 2.0 y como la norma ISO 42001<br>que está enfocada en el desarrollo de<br>sistema de gestión de inteligencia<br>artificial puede ayudar a las empresas.<br>Sí. ¿Cómo podemos tener estos enfoques<br>de adoptar los estándares de<br>ciberseguridad, aplicarlos a cada una de<br>nuestras organizaciones sin importar su<br>tamaño, su nivel de madurez, su nivel de<br>desarrollo? ¿Y cómo podemos potenciar la<br>ciberseguridad y cada uno de los<br>elementos que a todos nos competen, nos<br>importan, nos interesan en un mundo<br>acelerado, lleno de nuevas tecnologías,<br>lleno de nuevas comunicaciones, nuevos<br>modelos y con amenazas por todas partes.<br>Mi nombre es Daniel Espinoza. Yo voy a<br>ver, voy a hacer hoy su anfitrión del<br>equipo de ciberseguridad en línea.<br>También voy a ser uno de los<br>instructores en el curso que vamos a<br>tener y básicamente queremos enseñarles<br>a ustedes, darles una muestra de lo que<br>son este par de normativas muy<br>interesantes de la cual todos deberíamos<br>estar informados y tener un conocimiento<br>para poder desarrollar nuevas<br>habilidades, nuevas capacidades en<br>nuestros equipos y abordar de manera<br>efectiva tanto la inteligencia<br>artificial como la ciberseguridad.<br>Por allí nos estaban escribiendo que nos<br>acompañan desde Ciudad de México, desde<br>Panamá. Gracias a todos, bienvenidos una<br>vez más y vamos a iniciar. Esta sesión<br>está grabada, así que luego la<br>compartiremos con cada uno de ustedes.<br>Empecemos hablando del NIST. NIST tiene<br>múltiples estándares, buenas prácticas<br>para diferentes temáticas, para análisis<br>forense, para pruebas de hacking, para<br>análisis de vulnerabilidades y también<br>para gestión y respuesta a incidentes. Y<br>en este caso vamos a hablar para<br>ciberseguridad. ¿Qué podemos decir? Una<br>guía global, ¿sí? Que se enfoca en la<br>gestión de riesgos en unas funciones<br>clave, como lo vemos aquí. Gobernar,<br>identificar, proteger, detectar,<br>responder y recuperar. Cualquier<br>organización puede adaptar el NIST sin<br>importar su tamaño, su ubicación, su<br>cantidad de presupuesto, su nivel de<br>madurez. Todas pueden seguir este<br>modelo. Si estas buenas prácticas, de<br>hecho, se recomienda que nosotros<br>sigamos buenas prácticas del medio del<br>mercado y que también personalicemos o<br>potenciemos alguna de ellas en nuestras<br>organizaciones.<br>Tenemos gobernar, identificar, proteger,<br>detectar, responder y recuperar. Sí, a<br>mí estas fases me gustan bastante, de<br>hecho también tienen alguna relación con<br>la gestión y respuesta incidentes.<br>Nosotros llevamos ya más de tal vez 12<br>años ayudando a las empresas a elevar su<br>nivel de madurez a nivel de<br>ciberseguridad, crear nuevas capacidades<br>para que puedan potenciar sus<br>habilidades. Y básicamente, ¿qué tenemos<br>acá? Tenemos un núcleo core que se<br>divide en estos tres elementos,<br>funciones, categorías y subcategorías.<br>Como pueden ver, estas funciones son<br>estas principales que están aquí en la<br>pantalla. Ya después cuando veamos el<br>loguito de el NITS Cyber Security<br>Framework, vamos a verlo un poquito más<br>organizado, pero básicamente son como<br>las funciones sugeridas. Luego vienen<br>las categorías que, por decirlo de<br>alguna forma son los pasos que hay que<br>llevar para cumplir con eso, para<br>cumplir con el gobierno, para cumplir<br>con la identificación, para cumplir con<br>la protección, para cumplir con la<br>detección.<br>A mi punto de vista, mi humilde opinión,<br>una de las tal vez asignaturas<br>pendientes y deudas pendientes o tal vez<br>donde más tienen que mejorar las<br>organizaciones es en responder. Sí, creo<br>que muchos dependen bastante únicamente<br>de las tecnologías o de terceros, no<br>tienen las suficientes capacidades<br>internas y no tienen las suficientes<br>capacidades para responder ante un<br>evento adverso, una eventualidad, la<br>materialización de un riesgo, si no hay<br>tantas capacidades para responder en<br>diferentes escenarios. De hecho, les<br>recomiendo que uno siempre debería<br>pensar en el peor escenario posible<br>cuando estamos hablando de<br>ciberseguridad.<br>Entonces, las categorías son los pasos<br>específicos que uno debería realizar<br>para cada una de estas funciones. Y más<br>a la derecha vemos subcategorías, que<br>son pasos aún más detallados. Sí, en un<br>momento vamos a ver algunos ejemplos.<br>aquí a la derecha el, digámoslo así el<br>logo o la pokebola, por decirlo de<br>alguna otra manera, eh de cómo se ve el<br>estándar NIST. En el centro está<br>gobierno, este, en la versión 2.0 se<br>agregó esta fase de eh o este ítem más<br>bien de gobierno para tener en cuenta<br>cómo identificar, cómo proteger, cómo<br>detectar, cómo responder y cómo<br>recuperar. Sí, aquí un poco de un<br>poquito más desmenuzado. Esto lo pueden<br>verificar en cualquier modelo de IA. van<br>y buscan allí cuáles son las funciones<br>del NISTI, cuáles son las categorías,<br>cuáles son las subcategorías, cómo<br>implementar, van a encontrar un montón<br>de información. Entonces, en la<br>estructura tenemos unas funciones, ¿sí?<br>que es un nivel más alto. Las que<br>acabamos de verificar que están aquí en<br>este contorno. Tenemos unas categorías.<br>Estas categorías son como áreas de cada<br>de cada función específica y<br>subcategorías, acciones. Y aquí hay un<br>un ejemplo. Entonces, las categorías son<br>grupos de resultados o actividades.<br>Ejemplo, vamos a hacer una gestión de<br>activos, vamos a hacer una evaluación de<br>riesgos, vamos a tener un gobierno. Sí.<br>Por ejemplo, ¿dónde vamos a hacer<br>gestión de activos en identificar? Pues<br>si yo quiero proteger mis activos<br>corporativos, mi información, mis<br>recursos, pues tengo que saber qué<br>tengo. Sí, tengo que identificarlos,<br>cuántos activos son, qué nivel de<br>severidad tiene, cómo los priorizamos,<br>por dónde se mueven los datos, el flujo<br>de los datos, cuál es el nivel de<br>clasificación de la información, ¿sí?,<br>etcétera, etcétera, etcétera. Entonces,<br>luego de ello vienen las subcategorías.<br>Por ejemplo, dentro de gestión de<br>activo, que es la categoría definida,<br>puede haber unas subcategorías. En<br>gestión de activos podríamos hacer<br>inventarios de dispositivos físicos,<br>inventarios de software, clasificación<br>de activos, ¿sí? Y básicamente para cada<br>uno de ellos se van a desplegar<br>diferentes ítems, lo que se traduce en<br>una buena cobertura de todas las<br>actividades que vamos a realizar a nivel<br>de ciberseguridad en las empresas.<br>Entonces, les decía que hay unos<br>componentes de este NIST. Tenemos aquí<br>unos core del núcleo, tenemos unos<br>niveles, de hecho los niveles es como el<br>nivel de madurez<br>o la postura de ciberseguridad. Me gusta<br>mucho ese concepto, postura de<br>ciberseguridad es cómo lo estamos<br>haciendo, ¿sí? Cómo lo estamos<br>manejando, cómo estamos gestionando la<br>ciberseguridad. Eso particularmente la<br>postura.<br>Ahora unos slides más adelante. Vamos a<br>ver un ejemplo de cuáles son esos<br>niveles de aquella aquellos niveles de<br>la postura y algunos perfiles. Los<br>perfiles es dónde estoy y dónde quiero<br>estar. Sí. Hacia dónde quiero ir. En los<br>perfiles es voy a identificar mi nivel<br>de estado actual y a dónde quiero<br>llegar. Sí, podría ser lo que llamamos<br>muchos en muchas veces un análisis gap o<br>de diferencia. ¿Dónde estoy? ¿A dónde<br>quiero llegar? y qué tengo que hacer<br>para hacerlo realidad. Entonces, allí<br>vemos el ejemplo de los perfiles y<br>básicamente estas tres cosas nos ayudan<br>a comprender y evaluar cuál es mi<br>postura de ciberseguridad, ¿sí? Cómo lo<br>estoy haciendo, cuál es mi nivel actual<br>y también qué podría mejorar. Un<br>momento, por favor.<br>Bueno, si tienen alguna pregunta, por<br>favor, déjenla en el chat y eh en un<br>rato las las resolvemos.<br>Luego priorizar, es decir, si yo<br>identifico, pues, cuáles son las cosas<br>más importantes para mí, cómo reduzco<br>los riesgos y los gestiono de manera<br>efectiva. Si eso es priorizar, yo<br>seguramente voy a tener tantas cosas que<br>hacer que debería tener una priorización<br>para saber por dónde iniciarse y por<br>dónde arrancar. Comunicar. Entonces,<br>este lenguaje básicamente es una<br>comunicación. ¿Cómo lo hacemos? ¿Qué<br>lenguaje eh vamos a utilizar? a través<br>de qué medios vamos a comunicar. Tenemos<br>políticas, tenemos lineamientos, hacemos<br>actividades y ejercicios con las<br>personas de los equipos. Entonces, miren<br>esta tabla. Aquí tenemos función,<br>tenemos categoría y tenemos el<br>identificador como una nomenclatura. De<br>hecho, este NIS también nos da como una<br>taxonomía. Taxonomía para saber cómo<br>llamarle a cada cosa. Funciones:<br>gobernar, identificar, proteger,<br>detectar, responder y recuperar. Y aquí<br>las categorías, sí hablamos que las<br>categorías son unas actividades<br>específicas de áreas específicas que<br>también tienen subcategorías. Entonces,<br>en gobernar se habla de tener un<br>contexto organizativo, de tener una<br>estrategia de gestión de riesgos, de<br>tener unos responsables. ¿Quién lo hace?<br>Sí. ¿Quién es el directamente<br>responsable? ¿Quién es el informado?<br>¿Quién es el encargado? ¿Cada cuánto<br>tiene que hacerlo. Tiene que hacerlo una<br>vez al año, un par de veces al año.<br>Tiene que hacerlo todos los meses. Sí.<br>las políticas, la supervisión. Es decir,<br>si no hay control, si no hay gobierno,<br>es complejo y difícil que esto se haga<br>realidad y que esto se pueda sostener y<br>que tenga un buen resultado. En<br>identificación nos habla de gestión de<br>activos, evaluación de riesgos y una<br>mejora. Sí, si estamos hablando de<br>identificar es que es importante para<br>nosotros, qué vamos a proteger. Sí, más<br>adelante vienen las preguntas, ¿cómo lo<br>vamos a proteger? Pero por ahora es que<br>es importante para nosotros proteger. ¿A<br>quién proteger? pueden haber 1 y1<br>controles, ¿sí? Al igual que en<br>detectar, al igual que en responder.<br>Entonces, en proteger, nosotros estamos<br>hablando, por ejemplo, de gestión de<br>identidades, de autenticación, de<br>control de acceso. Hablamos de una<br>sensibilización y capacitación,<br>seguridad de datos, de plataformas, de<br>infraestructura. Manejos, imaginémonos<br>cómo protegemos los dispositivos<br>finales, la información, cómo protegemos<br>las comunicaciones a nivel de red, cómo<br>protegemos la navegación web, cómo<br>protegemos el correo electrónico, cómo<br>hacemos control de acceso, cómo hacemos<br>gestión de identidades. Sí, bastantes<br>cosas por realizar en detectar cómo<br>hacemos un monitoreo continuo y hacer un<br>análisis de eventos adversos. Sí, creo<br>que detectar también es un desafío<br>porque creo que todas las empresas a<br>nivel global tienen el desafío de saber<br>que requiere para mí una acción<br>inmediata. Sí, tenemos tantas alertas,<br>tantos eventos, hay empresas que<br>ingestan millones de eventos por día,<br>así sin exagerar. 3 millones de eventos<br>por día. ¿Qué hacemos con 3 millones de<br>eventos por día? O con 5,000 o con<br>20,000. Sí. ¿Cómo sabemos cuál de todos<br>los eventos que se generan en todos los<br>niveles del ecosistema son los que<br>requieren una acción inmediata? ¿Cuáles<br>son falsos positivos? ¿Cuáles son<br>verdaderos positivos? ¿Cuáles son<br>síntomas y señas de que hay un<br>comportamiento anómalo y malicioso? Y<br>luego, ¿cómo respondemos adecuadamente?<br>¿Sí? Entonces, seguramente todos estamos<br>acostumbrados a que los centros de<br>operaciones de ciberseguridad tengan las<br>pantallas, tengan colores, tengan<br>números por todos lados, pero muchas<br>veces no sabemos si efectivamente<br>aquello que estamos viendo allí requiere<br>una acción inmediata, que es más severo,<br>que no que que no es tan severo. Y por<br>ejemplo, aquí la inteligencia artificial<br>juega un papel fundamental. Porque<br>nosotros tenemos una limitación clara,<br>pues evidentemente de no poder procesar,<br>analizar tantos datos en tiempo real.<br>Sí, es imposible para ocho personas<br>analizar 2,000 alertas en un día. Sí, es<br>imposible, pero para las herramientas<br>tecnológicas seguramente sí lo podemos<br>hacer. Y un poco una ventaja es como se<br>logra o logramos que estos modelos, por<br>ejemplo, de inteligencia artificial<br>tengan una buena efectividad en<br>identificar que realmente eh tiene un<br>nivel de riesgo específico y necesitan<br>una acción inmediata. Sí.<br>Monitoreo es complejo. También les voy a<br>dar un tip. Pocas empresas tienen casos<br>de uso personalizados o hechos a la<br>medida. Muchos nos soportamos de lo que<br>el fabricante global desarrolla. Y ese<br>caso de uso, el fabricante me entrega<br>100 casos de uso, 200 casos de uso, pero<br>es difícil que esto se acomode a mi<br>entorno, ¿sí? a mi nivel de complejidad,<br>a como yo hago las actividades.<br>Entonces, yo tengo, estoy pagando<br>licenciamiento carísimo, tengo la mejor<br>herramienta del mercado, pero de los<br>100, 200, 500 casos de uso solamente se<br>han ejecutado o se han disparado o han<br>hecho una coincidencia, 30 casos de uso.<br>Sí. Y los demás pareciera que los tengo<br>de adorno, porque nunca hice una<br>evaluación de cuáles casos de uso están<br>alineados con las tecnologías que yo<br>tengo, con los eventos y mucho menos<br>desarrollo casos de uso personalizado.<br>Sí, solamente yo sé quiénes son los<br>administradores de mi organización,<br>solamente nosotros sabemos quiénes crean<br>los usuarios. Solamente nosotros sabemos<br>cuál es la red de servidores, cuál es la<br>red de estaciones, cuál es la una un<br>evento,<br>una nomenclatura que dice A3, A2. Sí, yo<br>tengo que alimentar<br>estas soluciones para que esto sea<br>más efectivo. ¿Sí? Entonces, en detectar<br>también nos falta bastante y de nuevo<br>hay que empezar a trabajar en<br>desarrollar esas capacidades. Vamos a<br>responder. Creo que les fui sincero y<br>les dije que para mí esto es una de las<br>de los puntos que requieren mayor mejora<br>o que tienen mejor oportunidades o mayor<br>nivel de oportunidades de mejora en las<br>organizaciones. Sí. Gestión y respuesta<br>de incidentes, análisis de incidentes,<br>notificación y comunicación de la<br>respuesta de incidentes, mitigación de<br>los incidentes. Sí, básicamente los<br>equipos no tienen la mayoría la cantidad<br>de capacidades suficientes para, por<br>ejemplo, llegó una alerta, sí, voy a<br>decirle a la herramienta que tome una<br>acción inmediata, que ponga el<br>dispositivo en cuarentena, está bien,<br>pero sí eso ya se proliferó y se fue<br>hacia otros recursos, ¿cómo hago un<br>análisis de malware rápido? Sí. ¿Cómo<br>hago una investigación que me ayude a<br>identificar las características de esa<br>de esa amenaza? Lo que llamamos<br>técnicas, tácticas, procedimientos, los<br>indicadores de compromiso. Sí, déjenme<br>decirle que muy pocas personas en el<br>entorno, en el medio tienen esas<br>capacidades porque nosotros estamos<br>primeramente, sí, sí, llevando<br>proyectos, haciendo actualizaciones, eh<br>implementando nuevas tecnologías, llega<br>el proveedor, nos hace una capacitación<br>de 12 horas y ya somos especialistas.<br>Sí, empezamos a operar, pero no vamos a<br>un nivel de profundidad. Entonces, hacer<br>un análisis efectivo para saber qué está<br>pasando, qué cómo, cuándo, dónde, por<br>qué, sí, cómo tomar acción y decir,<br>mira, bloquea esta dirección IP entrante<br>aquí, verifica quién está levantando<br>comunicaciones por estos puertos.<br>Verifiquemos este proceso y servicio,<br>qué información está inyectando en las<br>máquinas. Sí, es un nivel de complejidad<br>un poco más alto que en muchas empresas<br>no se tienen esas capacidades, por<br>decirlo así. ¿Sí? Entonces, ¿qué<br>deberíamos hacer? Es mi responsabilidad<br>saber cuál es mi nivel actual y a dónde<br>quiero llegar. Si yo tengo que mejorar y<br>tengo que seguir haciendo entrenamientos<br>continuos, pues el equipo responsable de<br>seguir haciéndolo, ¿sí? Para poder tener<br>mejores análisis, mejores gestión, mejor<br>respuesta, mejor mitigación. Y vemos<br>aquí recuperación. En caso tal de que<br>haya una afectación sobre algún recurso<br>activo, pues hay que sacar el plan que<br>tengamos, hay que desempolvarlo porque<br>muchas veces estos planes simplemente se<br>crean para pasar la auditoría, ¿sí?<br>Simplemente es para decir el check o la<br>palomilla o el chulo de que cumplimos<br>porque aquí está mi documento, pero<br>nunca lo hemos puesto a prueba. Sí,<br>también sucede que no hacemos las<br>simulaciones necesarias para ver si<br>efectivamente nuestros planes de<br>recuperación funcionan. Sí, si todas las<br>personas de los equipos conocen el plan<br>de recuperación, su objetivo y cómo se<br>hace o solamente lo conocen quienes lo<br>crearon, pero nunca lo divulgamos hacia<br>los demás, nunca los entrenamos y nunca<br>lo probamos. Sí, llega una persona nueva<br>al equipo, lleva 2 meses y no sabe cómo<br>desplegar una actividad porque no está<br>documentado, porque no tiene también el<br>nivel de entrenamiento suficiente y<br>también porque entrenamientos parece que<br>no son agradables, ¿sí? Parece que no<br>son instituidos, no nos tomamos el<br>tiempo de que esto sea un poco más<br>efectivo. Y bueno, entonces aquí vamos a<br>hacer un pequeño zoom a las funciones<br>del NIST. Aquí tenemos gobernar y<br>básicamente aquí es cómo seguimos la<br>estrategia, ¿sí? cómo cumplimos con las<br>expectativas, cómo hacemos que las<br>políticas realmente se cumplan, que todo<br>lo que estamos eh programando y<br>estipulando se vuelva realidad.<br>Entonces, aquí puede ser una comprensión<br>del contexto. Sí, creo que les comentaba<br>que no todas las organizaciones son<br>iguales, todas tienen desafíos<br>diferentes. Entonces, pues, ¿cómo<br>podemos a través de este marco<br>acomodarnos y digamos a ser que sea un<br>aliado sobre el objetivo que se quiere<br>lograr en cada organización? ¿Sí? de<br>acuerdo con su contexto, no es<br>diferente, por ejemplo, más bien no es<br>igual para una empresa que se dedica a<br>los seguros, a una empresa que se dedica<br>a las ventas en línea. Sí, seguramente<br>sus objetivos serán diferentes, sus<br>recursos estratégicos serán diferentes,<br>sus activos más importantes también<br>pueden ser un poco diferentes.<br>Establecimiento de la estrategia, cómo<br>hacer una gestión de riesgos efectivos,<br>cómo definir las funciones y<br>responsabilidades, supervisión de la<br>estrategia, porque cómo lo medimos. Sí.<br>¿Cómo hacemos que esto se cumpla? No sé,<br>en 6 meses, en un año, en 2 años. Sí,<br>vamos a medirlo trimestral o cada Q o<br>cada 6 meses. ¿Cómo lo hacemos? Sí,<br>identificar, como les comentaba,<br>entonces en identificación de activos es<br>pues que vamos a proteger. Sí, aquí<br>estamos hablando de eh<br>reducir los riesgos, de evitar un<br>impacto mayor sobre algunos sistemas de<br>información, sobre los recursos, pues<br>naturalmente en identificación vamos a<br>identificar eso que es importante para<br>mí, ¿sí? Identificación de activos, de<br>información, de datos, establecer planes<br>y procedimientos para poder llevarlo a<br>cabo. Entonces, la identificación de<br>activos es que necesito proteger, datos,<br>hardware, software, sistemas, servicios,<br>cómo hago una gestión de riesgos<br>efectivas y cómo verifico cuáles son los<br>riesgos que pues están presentes de<br>manera inherente sobre los recursos, la<br>información que yo tengo, incluso la<br>misma eh legislación, eh los mismos<br>entes reguladores, las amenazas que hoy<br>en día no sabemos a qué enfrentarnos con<br>el tema de inteligencia artificial.<br>Cualquier persona, casi cualquier<br>persona puede hacer una amenaza<br>simplemente ingresando un prom<br>específico sobre una herramienta de<br>estas, podría desarrollar un software en<br>5 minutos, podría desarrollar un código<br>malicioso en un par de minutos.<br>Entonces, hay que prestarle atención a<br>eso y priorizar los esfuerzos. Sí.<br>Dice Elen, "Las fases planificar,<br>detectar, contener, erradicar, recuperar<br>por incidentes siguen vigentes." Ah,<br>bueno, es que cuando hablamos de el N<br>Curity Framework, estamos<br>específicamente en estas. Tenemos<br>identificar, proteger, detectar,<br>responder y recuperar. Ah, bueno. Y<br>gobernar. Cuando hablamos de gestión y<br>respuesta incidentes, sí hay unas fases<br>diferentes. Sí, yo tengo aquí a la mano<br>las la los nombres de cada una de ellas,<br>pero muy seguramente sí se siguen las<br>creo que son cuatro principales, ahorita<br>se me va el nombre, pero eh creo que sí<br>son muy muy similares a las que tú<br>tienes allí. Sí, pero estas son<br>particularmente para la gestión y<br>respuesta incidentes. Si quieres después<br>hacemos también un webinar de ello para<br>profundizar.<br>Entonces, seguimos con proteger.<br>Se utilizan las medidas, ¿sí? Es decir,<br>aquí en proteger ya empezamos a<br>desplegar desplegar controles, ¿sí? Que<br>nos ayuden a reducir el riesgo que se<br>tiene eh pues presente en cada una de<br>las tecnologías o de los activos.<br>Entonces, aquí es como desplegamos<br>medidas, lo que llamamos controles,<br>contramedidas, ¿sí? Para proteger los<br>activos, para reducir la probabilidad de<br>un impacto, ¿sí? Es decir, siempre que<br>hacemos una gestión de riesgos,<br>trabajamos para reducir el posible<br>impacto. Si tal vez eliminarlo, llevarlo<br>a cero va a ser muy complejo, pero sí<br>como nos ponemos de acuerdo para que las<br>actividades que hagamos nos lleven a un<br>nivel aceptable. Sí. Aceptable por<br>quién? Por quienes toman decisiones, por<br>los quienes están en cada uno de los<br>equipos de trabajo, por los que lideran<br>y demás.<br>Por ejemplo, aquí aplicamos esto de<br>identidades, actividades de control de<br>acceso, autenticación, múltiples factor,<br>múltiples fabricantes, seguridad de<br>datos a nivel de red, a nivel web, a<br>nivel de aplicaciones. Sí. 1 y un<br>controles por aplicar.<br>Viene detectar. Entonces, en detectar es<br>qué estamos haciendo. Claro, estamos<br>monitoreando, evaluando,<br>verificando constantemente qué pasa en<br>nuestros entornos, qué pasa en los<br>dispositivos, qué pasa a nivel de red,<br>qué pasa a nivel de aplicaciones, qué<br>pasa a nivel de eh procesar algunas<br>peticiones, qué pasa a nivel de<br>transferencia de datos. Sí, entonces<br>aquí a identificar algunos eventos<br>sospechosos, ataques, situaciones<br>comprometedoras. Sí. Entonces, hacemos<br>un descubrimiento de análisis de<br>anomalías, hacemos ind análisis de<br>indicadores de compromiso, podemos tener<br>una ingesta de una fuente de<br>inteligencia de amenazas, podemos<br>gestionar incidentes de ciberseguridad,<br>podemos prepararnos para las actividades<br>de respuesta y recuperación. Sí. Es<br>decir, en detectar es, bueno, yo tengo<br>todo esto que descubrí o que identifiqué<br>en la fase de identificar, ya implementé<br>los controles y ahora, ¿cómo entiendo<br>cuáles son los eventos que generan es<br>esas herramientas de seguridad? Sí, si<br>yo tengo, no sé, 20, 50, 100 activos<br>importantes, activos críticos, son 15<br>servidores, ¿cómo evalúo lo que sucede<br>en su actividad del día a día? Tengo<br>alguna gente que lo protege, por<br>ejemplo, a nivel depoint, esos famosos<br>CDR que XDR, la sigla que tenga el<br>mercado, ¿cómo se hace? Sí, para<br>detectar efectivamente a dónde se envía.<br>Ya tengo la auditoría habilitada esos<br>dispositivos porque yo no puedo<br>monitorear lo que no veo. Sí, si yo no<br>estoy ingestando los eventos de los<br>sistemas y dispositivos finales, de las<br>herramientas de seguridad, de lo que veo<br>a nivel de red, por ejemplo, a través de<br>los firewalls, lo que veo a nivel de<br>comunicaciones web a través de un<br>firewall de aplicaciones, lo que veo a<br>través de la misma trazabilidad de el<br>sistema de información, ¿sí? saber quién<br>ingresó, qué operación hizo, está<br>autorizado, no está autorizado. Hay un<br>montón de casos de uso a desarrollar y<br>básicamente la palabra oportuno es un<br>desafío. Sí, tal vez el tiempo de<br>respuesta es un desafío para todas las<br>organizaciones. De hecho, desde años<br>atrás se menciona que el tiempo promedio<br>de detección y respuesta de los<br>incidentes para muchas organizaciones es<br>de 180 días. Así, eso es mucho. Son 6<br>meses<br>cuando hablamos de promedios, porque en<br>algunas organizaciones puede ser más<br>tiempo, en otras puede ser menos. Sí,<br>pero básicamente si no tenemos<br>diferentes opciones y nos preparamos<br>para afrontar diferentes escenarios, va<br>a ser difícil el tiempo de respuesta sea<br>eh<br>bajo. Sí, de hecho, yo les menciono<br>cuando uno se prepara para gestionar<br>incidentes es porque va a haber un<br>incidente. Cuando los equipos de gestión<br>y respuesta, digamos, la policía, el<br>ejército, los bomberos se preparan, es<br>porque van a haber emergencias. Lo mismo<br>pasa en la ciberseguridad, que un<br>usuario filtro o pierda sus contraseñas<br>a través de un sitio web, luego de dar<br>clic en un enlace en un sitio web, en un<br>correo electrónico malintencionado, es<br>muy fácil. Sí, creo que los que<br>trabajamos y estamos allí al lado de las<br>operaciones de ciberseguridad nos damos<br>cuenta que hay un montón de alertas de<br>usuarios en riesgo porque se<br>autenticaron desde una geolocalización<br>diferente, porque utilizaron otro<br>dispositivo, porque sus credenciales<br>parece que están expuestas. Sí, hay que<br>responder. Por eso detectar y responder<br>debe deben ir de la mano y ojalá el<br>tiempo entre la una y la otra sea pues<br>el mínimo posible. Sí. Ojalá sean<br>minutos porque no segundos. Se descubrió<br>que una cuenta está comprometida. Sí.<br>Estas herramientas aprenden<br>automáticamente de manera inteligente<br>cuáles son los comportamientos de los<br>usuarios. Por ejemplo, una herramienta<br>aprende. Voy a aprender de este usuario<br>en los próximos 30 días. ¿Qué<br>dispositivos se utiliza? ¿Desde qué<br>direcciones IP se conecta? ¿Cuántos<br>inicios de sesión correctos y fallidos<br>puede hacer al día? Sí, en qué horarios,<br>demás. Cuando alguna de esas cosas<br>cambia, pues puede generar alertas. Y si<br>digamos eh la analítica de los casos de<br>uso coincide en que esa situación puede<br>representar un riesgo, pues<br>inmediatamente una herramienta de manera<br>automatizada puede responder. Sí. No<br>necesita que una persona, un analista<br>llegue a las 7, a las 8 de las 9 de la<br>mañana a trabajar. Salude a todos, se<br>tome un café, ¿cómo está el día? Así 15<br>minutos después empieza a trabajar,<br>empieza a revisar las primeras 50<br>alertas, le prestó atención solamente a<br>10 y la que requería una acción<br>inmediata era la número 15. ¿Sí? Es<br>decir, ya la acción humana depende de<br>muchas variables, pero los sistemas<br>podrían responder automáticamente. Sí,<br>supongamos que la cuenta se comprometió,<br>el dispositivo se comprometió,<br>oportunamente se pudo detectar y la<br>respuesta fue inmediata. 5 minutos<br>después hubo una respuesta, esa cuenta<br>se bloqueó, ese dispositivo se puso, no<br>sé, se aisló, se puso en cuarentena, se<br>forzó un cambio de contraseña, se envió<br>la notificación y el equipo empieza a<br>investigar. Sí, el equipo empieza a<br>investigar, pero ya hubo una contención,<br>digamos, buena, adecuada.<br>Vamos a ver qué es la contención. Y el<br>nivel de riesgo se reduce un poquito.<br>Sí, como que ingresó, logró comprometer,<br>pero ya no pudo comprometer a más<br>recursos, más activos. Y ahora vamos a<br>tomar medidas. Vamos a aprender cómo lo<br>hizo. Unas palabras específicas, unas<br>preguntas, perdón, más bien son qué,<br>cómo, cuándo, dónde. Si si podemos<br>responder esas preguntas, podemos<br>obtener mayor nivel de detalle en cuanto<br>a estas eh amenazas, ¿sí? ¿Cuál fue el<br>vector de ataque? a través de eh qué<br>elementos eh hizo sus actividades<br>iniciales, cómo hizo acceso inicial,<br>cómo hizo, no sé, elevación de<br>privilegios, cómo hizo movimiento hacia<br>otros dispositivos, etcétera.<br>Viene respuesta.<br>Bueno, miremos aquí el chat. La capa de<br>gobierno un poco más alta. Sí, digamos<br>que el gobierno se encarga de que cada<br>uno de estos íems funcione de manera<br>correcta. Si no hay un gobierno, pues<br>parece que cada uno de ellos pueden ser<br>unas islas totalmente<br>eh digamos independientes y sin una<br>sinergia común. Sí, sin un objetivo<br>común. De hecho, un punto aparte, en<br>ciberseguridad nosotros deberíamos dejar<br>el ego a un lado. Sí, cuando trabajamos<br>en un objetivo común es un resultado más<br>efectivo, pero si nos basamos en que soy<br>el que tiene más habilidades, el que<br>tiene más conocimiento, el que tiene más<br>experiencia, el equipo no va a funcionar<br>bien. Sí, yo he tenido la oportunidad de<br>liderar equipos y es lo que uno nota. Si<br>cada uno da lo mejor de sí para el<br>bienestar común, funciona mejor.<br>nos dice Gel, entiendo que las capas que<br>estamos revisando ahora son para<br>identificar el nivel de riesgo. Sí,<br>estas capas digamos que cada una te<br>ayuda hacer algo, en identificar qué es<br>lo que vamos a proteger. En proteger es<br>cómo lo vamos a proteger. Sí, aquí ya<br>ves un nivel de riesgo sobre los activos<br>específicos que nos importan en proteger<br>es cómo vamos a desplegar medidas para<br>reducir el riesgo y detectar es cómo<br>identificamos cualquier anomalías y de<br>un riesgo que se pueda materializar, una<br>amenaza. Aquí responder es tomar una<br>acción inmediata. Mira que es<br>básicamente como tomar medidas lo más<br>pronto posible sobre una anomalía.<br>Entonces responder apoya la capacidad de<br>contención. Sí, contención es evitar que<br>eso que eh pudo comprometer o es una<br>amenaza se evitar que eso siga<br>creciendo, ¿sí? que pueda comprometer<br>más recursos, que pueda<br>tener un impacto mayor.<br>Por ejemplo, tenemos<br>cinco, digamos ocho, ocho estaciones de<br>trabajo comprometidas, ¿sí? En las<br>contenciones. Y ahora, ¿qué vas a hacer<br>para evitar que no sean 20, 50 o que no<br>sean todas? Sí, la contención requiere<br>de una evaluación previa de saber el<br>detalle del qué, cómo, cuándo, sí que<br>está sucediendo, dónde está sucediendo,<br>cuántas son las cuentas, cuántos son los<br>host. en qué red, en qué servidor, qué<br>sabemos de ello, cómo se llama el<br>archivo, cuál es el hash cuál es el<br>proceso que ejecuta, establece<br>comunicaciones con el exterior, ¿sí?,<br>etcétera, porque cuando vamos a<br>contención vamos a cerrar. Imagínese una<br>fuga de gas, ¿sí? Pues seguramente hay<br>que buscar la llave de paso inmediata<br>más cercana para cerrar el servicio en<br>pues un nivel un poco más alto. Sí, aquí<br>es lo mismo. Si yo veo que los<br>dispositivos que se comprometen<br>establecen comunicaciones sobre una<br>dirección IP en el exterior y lo<br>identifico oportunamente, pues corto esa<br>comunicación. Sí, eso es contención. Si<br>yo veo que los juos están comprometidos,<br>podría ponerlos en cuarentena. Si yo veo<br>que hay unas características de un<br>archivo que se levanta con este nombre y<br>luego crea un proceso y un subproceso,<br>pues entonces le digo una herramienta de<br>protección de point. Oye, alértame<br>cuando esto suceda y si eso sucede que<br>cumpla estas características<br>específicas, toma una acción inmediata y<br>bloquéalo. Sí, aquí nos salimos de los<br>indicadores de compromiso porque no<br>todas las veces son efectivos. Sí, una<br>IP, no todas las veces efectiva, un<br>hash. Pero eso es otro contexto.<br>Gestión, análisis en la mitigación,<br>notificación y la comunicación de los<br>incidentes. Sí, creo que también no<br>muchas empresas tienen la oportunidad de<br>tener un equipo de gestión y respuesta<br>de incidentes. ¿Qué deberíamos hacer?<br>Que el equipo local empiece a<br>desarrollar capacidades o que busque<br>unas capacidades externas, ¿sí? Que le<br>pueda ayudar a suplir esas necesidades.<br>Tenemos recuperar. Entonces, si pueden<br>ver, todo es como un paso a paso, un<br>flujo y aquí se restauran los activos<br>que han sido comprometidos después de un<br>incidente, ¿sí? Que pudieron haber<br>tenido alguna afectación, ojalá en el<br>menor tiempo posible y también a su<br>estado original o su estado ideal.<br>Recuperarlo a medias, pues me va a<br>seguir causando inconvenientes. Sí, va a<br>seguir siendo un problema, va a seguir<br>siendo causando un impacto. Entonces,<br>restablecer oportunamente las<br>operaciones a su nivel normal en el<br>menor tiempo posible. reducir los<br>efectos de los incidentes y también<br>comunicar, porque eso tenemos que<br>comunicarlo entre diferentes equipos.<br>Sí, no sé si tengo que comunicarlo entre<br>los directivos, las áreas, entre, no sé,<br>aquellos que son e<br>los inversores, no sé si tengo que eh<br>reportarle a las autoridades, tengo que<br>decirle a un ente regulador, sí, tenemos<br>que saber cómo se reporta, cuando se<br>reporta, qué reporta también, quién es<br>el encargado.<br>Aquí tenemos un banco debe tener una<br>sección de cuatro personas para<br>gestionar incidentes sin hacer<br>inteligencia. Bueno, no sé qué cantidad<br>de personas, pero un equipo de gestión y<br>respuesta incidentes es un equipo de<br>diferentes perfiles, roles, habilidades,<br>digamos, multidisciplinario.<br>También depende si esa actividad la<br>vamos a hacer de lunes a viernes 5x8,<br>pues el número de personas es menos,<br>¿sí? No sé, seis personas, pero si vamos<br>a hacerlo 247, pues seguramente el<br>doble, porque cómo vas a cubrir los<br>fines de semana, la noche, así y sobre<br>todo también depende del nivel de<br>especialidad. Tienes una persona que<br>conozca análisis de malware en el equipo<br>hágis<br>de malware que conozca tiene alguna<br>persona que tenga habilidades de<br>análisis forense, tiene alguna persona<br>que tenga habilidades de seguridad a<br>nivel de red, de seguridad a nivel web,<br>de seguridad de aplicaciones tienen una<br>persona de comunicaciones dentro del<br>equipo o eh en línea directa para<br>responder. Tienen una persona del área<br>legal, si han hecho entrenamientos,<br>simulaciones, tienen una persona que<br>conoce de hacking, que conoce de tipos<br>de ataques, que conoce otra que sepa<br>implementar controles y medidas. Sí.<br>Entonces es un equipo<br>multidisciplinario, entonces no te<br>podría decir el número de personas, pero<br>no sé, no tengo la medida de acuerdo al<br>número de de colaboradores<br>o de tecnologías, pero pues depende de<br>qué nivel de madurez queremos tener.<br>Bueno, perfiles. Entonces, los perfiles,<br>como les comentaba, es una evaluación de<br>dónde estoy y a dónde quiero llegar.<br>Entonces, el perfil me permite<br>comprender, adaptar, evaluar, priorizar<br>y comunicar los resultados. Entonces,<br>les decía que es un nivel de análisis<br>gap. Sí, aquí está un poquito más<br>detallado esto con un modelo de I de<br>preguntas. Un ejemplo de los perfiles de<br>NIST, Cyber Security Framework te dice,<br>el perfil es digamos una selección de<br>cuáles son tus objetivos, cuáles son tus<br>riesgos, tu nivel de actuar de<br>ciberseguridad y tu nivel deseado. Sí,<br>aquí dice dónde estoy y a dónde quiero<br>llegar. Actualmente tengo un firewall,<br>sí, tengo un firewall, tengo gestión de<br>vulnerabilidades, no la tengo. Sí, se<br>hago un análisis inicial, sé en qué<br>nivel estoy y luego pongo versus a dónde<br>quiero llegar. Entonces, por ejemplo,<br>quiero llegar a implementar un monitoreo<br>continuo, quiero tener autenticación de<br>múltiples factor, quiero tener una<br>gestión completa de riesgo, ¿sí? Quiero<br>tener una respuesta automatizada.<br>Entonces, ya eso te va a decir pues cuál<br>es el camino a seguir o el ro de qué<br>tienes que hacer para llegar a ese<br>nivel. ¿Sí? Ejemplo, su categoría. Tengo<br>inventario de activos, actualmente lo<br>cumplo a nivel parcial. Objetivo<br>completo. Sí. Control de acceso está<br>básico. Sí. Objetivo, quiero llegar a un<br>nivel avanzado. Respuesta a incidentes,<br>no tengo. ¿Qué quiero hacer? Quiero<br>implementar el eh flujo servicio de<br>gestión respuesta incidente. ¿Cuánto<br>tiempo me va a tomar? No sé, eso depende<br>de múltiples variables. Y bueno, aquí<br>tenemos algunos niveles. Entonces, el<br>NIS recomienda que uno con base en esa<br>evaluación, pues identifique en qué<br>nivel está, ¿sí?, en qué nivel de<br>madurez, por decirlo así, o nivel de<br>postura ciberseguridad. Tenemos un nivel<br>uno, que es un nivel de cumplimiento<br>parcial, un nivel dos que es un nivel<br>donde se le llama de conocimiento de los<br>riesgos, nivel tres, que ya se tiene un<br>conocimiento de los riesgos, tiene<br>algunos mecanismos y procesos<br>establecidos y se pueden repetir una y<br>otra vez, ¿sí?, en el equipo varias<br>veces en el año. Y el adaptable que se<br>adapta a todas las necesidades, es<br>decir, aquí está marchando todo sobre<br>ruedas. Entonces, aquí una explicación<br>un poco más detallada. Si estamos en el<br>nivel uno parcial, entonces no hay<br>procesos formales, no tenemos una<br>gestión reactiva, así no tenemos muchas<br>habilidades, conocimientos y estamos<br>empezando hasta ahora. El nivel dos ya<br>consideramos algunos riesgos, ya tenemos<br>algunas políticas, sí, pero no es tan<br>consistente. El repetible, ya están los<br>procesos, se aplica la capacitación y<br>seguimiento, sí, pero aún queremos<br>llegar a un nivel un poco más destacado.<br>Sí, el adaptativo, pues hay temas<br>proactivas, ciutadan métricas, se mide<br>el servicio, se hacen simulaciones, sí,<br>se verifican que todo esté a nivel con<br>base en las amenazas recientes, amenazas<br>actuales. Entonces, básicamente esos son<br>como los niveles y cada empresa debería<br>identificar en qué nivel me encuentro, a<br>dónde quiero llegar y qué tengo que<br>hacer para poder realizarlo.<br>Bueno, les quiero comentar que estamos<br>haciendo este webinar, pero les también<br>les vamos a ofrecer al final un curso de<br>preparación de certificación tanto para<br>NIS Cyber Security Framework como para<br>ISO 42001 que es gestión de la<br>inteligencia artificial en las empresas.<br>Ya vamos a pasar a hablar del NIS, del<br>ISO, el ISO 42001, pero básicamente ya<br>les va les va a contar un poquito más,<br>pero todo lo que tienen disponible en<br>nuestro curso es clases en vivo con el<br>instructor, laboratorios y prácticas.<br>Aquí no nos da el tiempo de hacer<br>prácticas, pero básicamente todo va a<br>estar en unas plataformas, van a tener<br>recursos en video, van a poder tener un<br>simulador para presentarse para el<br>examen, poder hacer también autoestudio<br>y certificarse si así lo desean y<br>podrían también tener una insignia<br>digital. Les voy a dejar esto acá para<br>que descarguen un archivo. Es un archivo<br>de Word. Eh, en la parte final, si nos<br>da el tiempo, vamos a desarrollar un<br>ejercicio. Es un ejercicio de caso de<br>alerta de malware. Sí, nos va a tener un<br>poco y nos va a permitir ver un ejemplo<br>de al menos las fases que nos sugiere el<br>NIST, cómo lo hacemos, al menos la<br>detección y respuesta. Entonces,<br>escaneen el código, por favor,<br>para que ustedes se queden con el<br>documento y ya después de esta sesión,<br>incluso si lo ven pregrabado, pues van a<br>poder realizarlo.<br>Creo que les voy a dejar también el<br>enlace aquí en el chat. Creo que lo<br>tengo por aquí a la mano.<br>Voy a verificar.<br>Creo que no es con el QR. Bueno,<br>seguimos.<br>Entonces, ahora empezamos a hablar de<br>ISO 42001.<br>Sí, sé que es una norma que tal vez no<br>es muy reconocida, tal vez la que más<br>familiar para nosotros es de la ISO es<br>ISO 27001, que se enfoca en seguridad<br>información, pero esta se enfoca en<br>gestión de la inteligencia artificial.<br>Sí, es importante. Muchas empresas<br>estamos están abordando y y adaptándose<br>eh usando la inteligencia artificial.<br>¿Sí? Entonces, básicamente esta nos<br>ayuda a liderar, diseñar y ejecutar la<br>implementación de un sistema de gestión<br>de inteligencia artificial. Sí, est<br>seguramente son las siglas en inglés,<br>artificial intelligent management<br>system, conforme a esta norma. Entonces<br>es un marco al igual que muchos otros<br>estándares con procesos, políticas,<br>controles que las empresas deberían eh<br>implementar para adherir y empezar a<br>usar la inteligencia artificial. Sí,<br>muchos ya utilizamos inteligencia<br>artificial sin ni siquiera controlarlo,<br>sin ni siquiera regularlo, sin ni<br>siquiera gobernar. Sí.<br>Entonces, algunos ítems destacados para<br>este marco, hacer un análisis de<br>contexto, tener una política, sí debería<br>haber un estándar, una política de<br>inteligencia artificial. ¿Cómo<br>utilizamos estas nuevas tecnologías,<br>estos modelos? ¿Qué deberían hacer las<br>personas? ¿Qué no deberían hacer? Ten<br>precaución con información que subes a<br>los modelos y ten precaución con querer<br>automáticamente todo lo que te diga el<br>modelo. Cómo tú verificas los resultados<br>y las salidas del modelo, porque pudiera<br>ser que el modelo tenga algunos sesgos,<br>esté equivocado. Sí. Entonces, solo<br>algunos pasos. Tener registros de los<br>riesgos, una matriz de de roles, quiénes<br>son los responsables de realizar<br>esta implementación, listado de<br>documentos, una declaración de<br>aplicabilidad.<br>Esto consiste en los controles que<br>nosotros vamos a aplicar. La norma<br>sugiere unos controles en la declaración<br>de aplicabilidad. Nosotros decimos<br>cuáles estamos aplicando, cuáles vamos a<br>aplicar, pues con base en nuestro<br>contexto. Checklist de proveedores, plan<br>de auditoría interna, no conformidades y<br>los anexos. En los anexos habitualmente<br>están como los controles a definir, así<br>como el anexo en ISO 27001. Aquí también<br>tenemos. ¿Por qué necesitamos un<br>estándar? Sí, para la IA es por muchas<br>razones, básicamente porque hay una<br>adopción de muchas organizaciones de la<br>inteligencia artificial. Pero deberíamos<br>hacerlo de manera organizada, ¿sí?<br>Siendo conscientes, teniendo pues tal<br>vez las habilidades y el conocimiento<br>necesario para tomar buenas decisiones.<br>Entonces, porque también hay un sesgo<br>algorítmico, ¿sí? Las estos modelos de<br>guía también se equivocan, también<br>tienen amenazas, también tienen<br>vulnerabilidades. Por ejemplo, había un<br>modelo de de reclutamiento en Amazon que<br>estaba sesgado y no le daba buenas<br>puntuaciones a las mujeres. Sí,<br>solamente, digámoslo así, castigaba a<br>los candidatos por ser una mujer. Sí,<br>por aquí creo que hace rato pude alistar<br>una noticia y es un ejemplo, sí, un<br>ejemplo de tal vez es destacado por la<br>empresa, la organización donde sucedió,<br>pero en cualquier lugar puede suceder,<br>sí, que los modelos tengan algunos<br>sesgos, que no hagan unas predicciones<br>efectivas y que los resultados pues no<br>sean los deseados. ¿Sí? Entonces, esto<br>es un ejemplo de ello. ¿Qué más? por<br>falta de transparencia, esto que se<br>llama la de caja negra, más bien las<br>actividades de caja negra, los modelos<br>de caja negra, donde no se puede<br>identificar cómo hizo este procesamiento<br>y esta predicción, pues es difícil saber<br>si la toma de decisiones podemos<br>confiarse los modelos y no sabemos cómo<br>efectivamente podemos llevar una<br>trazabilidad si siempre hace esa<br>predicción de manera correcta. ¿Sí? ¿Qué<br>tal si le ponemos un proceso crítico de<br>validación, no sé, de nivel de riesgo,<br>de evaluación de cuál es el estado de,<br>no sé, de riesgo de un sistema de<br>información o de un sistema químico o o<br>no sé, del nivel de prioridad que<br>requiere atender una emergencia. Si<br>estas predicciones no son efectivas,<br>pues podríamos pasar por alto una un<br>evento, una actividad que requiere una<br>acción inmediata.<br>Riesgos de privacidad. Sí. ¿Cuál es la<br>naturaleza de que nosotros entreguemos<br>datos a la inteligencia artificial? Si<br>sabemos dónde se va a almacenar, dónde<br>se va a procesar, si solamente nosotros<br>y nuestras organizaciones tienen acceso<br>o quién más tiene acceso. ¿Será que<br>algún gobierno tiene acceso a los datos?<br>¿Será que un tercero? ¿Será que un grupo<br>empresarial? ¿Será que así como el<br>modelo aprende de mis datos también<br>ingesta datos de otros usuarios y podría<br>mezclarlos? Y será que a través de las<br>peticiones o las proms o los proms o<br>solicitudes, algún usuario podría<br>obtener información nuestra, ¿sí? O de<br>alguien más que tener en cuenta eso. Sí,<br>también uso indebido como la<br>falsificación, clonación de video de voz<br>a través de deep fake, por ejemplo, a<br>través de creación de armas. Así, de<br>hecho, en algunas encuestas se menciona<br>que hay una preocupación porque se dice<br>que quienes más utilidad le obtienen de<br>la inteligencia artificial son los<br>atacantes y ni siquiera quienes<br>defienden, porque los atacantes sí están<br>utilizando la para generar cada vez<br>amenazas más robustas, más difíciles de<br>detectar si con mayor eficiencia, con<br>mayor impacto y también dependencia<br>tecnológica.<br>Nos volvemos dependientes. Este es un<br>plus. Nosotros siempre, a nosotros<br>siempre nos gusta dar plus.<br>Y aquí está el top 10 de sistemas de eh<br>modelo de lenguaje largo el LM TIA. Y<br>básicamente estos modelos también tienen<br>amenazas, ¿sí? También tienen un top 10,<br>así como un top 10 para aplicaciones<br>web, también hay un top 10 para modelos<br>de guía y hay temas como inyección de<br>promps, como divulgación de información<br>sensible, como ataque sobre la cadena de<br>suministro, como envenenamiento del<br>modelo, como manejo inadecuado de<br>entradas, como agencia excesiva, como<br>bueno, aquí les trajimos tres para<br>resumirles un poco algunas<br>vulnerabilidades. esta inyección de<br>proms, digamos que en los modelos de IA<br>generativa, pues las personas<br>interactúan con el modelo a través de<br>entradas. Las entradas pueden ser a<br>través de texto, a través de audio, a<br>través de voz, a través de imágenes,<br>¿sí? Y se les llama proms, pero un prom<br>es una solicitud,<br>es decir, desarrolla una aplicación que<br>haga esto, así, busca información de<br>este indicador de compromiso, eh cómo<br>hacer para mejorar los resultados de<br>agua. Entonces, básicamente a través de<br>esas entradas pueden hacer unas<br>inyecciones directas de unas entradas<br>mal intencionadas<br>pueden cambiar el comportamiento del<br>modelo. Y por ejemplo, un comportamiento<br>inesperado podría llevar a que el modelo<br>revele información sensible, a que, por<br>ejemplo, revele datos de su tecnología,<br>con quién está integrado, cuáles son<br>fuentes<br>eh internas, externas, ¿sí? Y también<br>este reporte de AS eh de las principales<br>riesgos que lo vamos a ver en el curso<br>detalladamente. También te sugieren<br>algunas medidas, algunos controles. Sí,<br>de hecho estos modelos son software.<br>Entonces, si hablamos de controles a<br>nivel de control de acceso, pues, ¿cómo<br>lo vas a proteger? ¿Dónde lo vas a<br>desplegar? ¿Quiénes van a ingresar? ¿Vas<br>a cifrar los datos? ¿Vas a tener una<br>integridad del código? ¿Sí, etcétera?<br>Aquí dice restringir el comportamiento<br>del modelo. Si tú restringes que el<br>modelo cada vez que ve de una respuesta,<br>pues se puede verificar qué información<br>va a entregar, qué cantidad, qué porción<br>o qué datos va a divulgar, pues se tiene<br>un control. Si naturalmente tú tienes<br>que probarlo constantemente y antes de<br>sacarlo a producción, ¿sí? Validar los<br>formatos de salida esperados, ¿sí? que<br>si uno testea y prueba el modelo<br>suficientemente, pues se puede saber si,<br>por ejemplo, eh da datos detallados, da<br>información de código, da porciones de<br>tecnología, implementar filtrado,<br>entrada y salida, es decir, el prom se<br>valida para verificar que no haya<br>solicitudes no deseadas y la salida del<br>resultado también es como una inyección<br>SQL. Sí, tú validas la entrada para<br>decir, "Este carácter es mal<br>intencionado, pero también la salida."<br>Si el manejador de base de datos va a<br>divulgar más información de la que<br>debería, pues le pongo una verificación<br>antes de que esto se entregue. Un<br>escenario. Miren, un atacante inyecta un<br>mensaje en un chatbot. Sí, un robot,<br>digamos, una herramienta de chat de<br>inteligencia artificial. Es de atención<br>al cliente que hay un montón y le ordena<br>ignorar las pautas anteriores. Sí. cómo<br>consultar almacenes de datos privados,<br>enviar correos electrónicos y le genera<br>acceso no autorizado, como que le dice,<br>"Mira, quiero que me muestres dónde<br>estás almacenando los datos." Sí,<br>muéstrame cuál es, no sé, el lugar donde<br>estás haciendo la predicción. Sí,<br>muéstrame qué tipo de eh, no sé, líneas<br>líneas estás utilizando para hacer las<br>predicciones. ¿Sí? ¿Qué tipo de<br>algoritmo estás utilizando?<br>¿Qué más tenemos por aquí? Divulgación<br>de información sensible. Si el modelo a<br>cada instante está recibiendo<br>información, nosotros cargamos archivos,<br>cargamos a documentos. Si no tenemos<br>precaución de quitar datos sensibles y<br>yo quiero que el modelo me ayude a<br>analizar, no sé, un contrato, un lock<br>grandísimo, tengo un lock del servidor y<br>tiene 30,000 líneas y a mí me va a tomar<br>mucho tiempo analizarlo, pues lo que<br>debería hacer yo es quitarle los datos<br>sensibles, las direcciones, los correos<br>electrónicos, las direcciones IP reales,<br>las rutas, las ubicaciones, el nombre de<br>la empresa. Sí, antes de compartir esto<br>con el modelo, porque de nuevo nada ni<br>nadie nos garantiza qué hace el modelo<br>con esa información, ¿sí? ¿Qué hace el<br>mismo proveedor? ¿Qué hace el mismo<br>fabricante?<br>Entonces,<br>este modelo podría divulgar información<br>sensible como información personal<br>identificada PII o PII durante las<br>interacciones. ¿Sí? Entonces, el<br>atacante podría utilizar técnicas para<br>solicitar información específica y aquí<br>algunas<br>recomendaciones para mitigarlos,<br>integrar técnicas de sanitización. es<br>decir, sanitizar es verificar cada dato<br>que vaya a consultarse y a salir para<br>evitar que se divulgue si esté sensible.<br>Validación robusta de las entradas,<br>implementar control de acceso y un<br>escenario, exposición involuntaria de<br>datos. Un usuario recibe una respuesta<br>que contiene datos personales de otro<br>usuario. Sí, porque no hubo una<br>sanitización adecuada. Otra<br>desinformación, estos modelos alucinan<br>en algunas oportunidades, ¿sí? que es<br>alucinar que entregan respuestas sin una<br>validación específica y sin que eh pues<br>haya consultado diferentes fuentes. ¿Sí?<br>Entonces también puede haber de esa<br>información. Estos modelos podrían<br>entregar información que no es certera.<br>Sí, aquí hay un ejemplo. Un chatbot de<br>una aerolínea en Canadá, Air Canadá<br>proporcionó información errónea a los<br>viajeros y provocó algunas<br>interrupciones operativas,<br>complicaciones legales y como resultado<br>la aerolínea fue demandada. Sí.<br>Entonces, aquí dice, verifica varias<br>fuentes. Sí, si tu modelo se alimenta de<br>diferentes fuentes, pues no te bases<br>solamente en una, sino en varias fuentes<br>y cruza esos resultados para ver si<br>efectivamente esta información es, no<br>sé, fiable, fidedigna. Sí, aquí dice<br>verificación cruzada tanto de<br>actividades automatizadas como<br>actividades humanas y implementar<br>algunas herramientas.<br>¿Qué más tenemos por acá? Si tienen<br>preguntas, por favor, déjenlas en el<br>chat. La IA en ciberseguridad y de hecho<br>IA en muchos sectores o industrias. La<br>inteligencia artificial se utiliza en<br>muchos lugares, en salud, en<br>farmacéuticas, en finanzas, en banco, en<br>comercio electrónico, en transporte, en<br>agricultura. Sí, más bien una pregunta<br>podría ser, ¿dónde no se usa la<br>inteligencia artificial?<br>Aquí algunos ejemplos. Esta es una<br>consulta reciente de cuáles son los usos<br>principales que se le dan en las<br>empresas, en las organizaciones o en las<br>instituciones y gobiernos. dice,<br>"Principalmente, atención al cliente,<br>¿sí? Teniendo asistentes virtuales y<br>algunos chatbots. Personalización para<br>saber qué hacen los usuarios." Sí, quien<br>tiene un tema de comercio en línea, pues<br>le conviene saber qué le gusta a la<br>persona, si buscó, no sé, computadores,<br>si buscó televisores, si está<br>interesados en ciertos cierto tipo de<br>productos.<br>Operaciones y gestión internas,<br>automatización de tareas repetitivas y<br>mantenimiento predictivos y para<br>procesar grandes cantidades de datos<br>para hacer actividades muy manuales.<br>Análisis de datos en finanzas para tomar<br>decisiones basados en datos. análisis<br>también para marketing, recursos humanos<br>y demás. Es un ejemplo de pues en qué se<br>utiliza principalmente la guía. De<br>hecho, si no se han fijado, puede que<br>nosotros estemos utilizando la en muchos<br>sistemas y recursos sin estar al tanto.<br>Sí, aquí tienes información en Google<br>Drive, cuando ingresas la te resume que<br>es lo que tienes aquí. Sí, aquí tienes<br>videos del curso X que se enfoca en<br>esto, esto y esto. Sí. Aquí dice, mira,<br>te puedo ayudar a gestionar tus datos,<br>tus archivos. Sí. Es decir, yo ingesto<br>todos tus archivos, tus documentos en<br>Word, Excel, en PowerPoint, en PDF, en<br>contratos, servicios, acuerdos,<br>proyectos. Sí, yo ingesto todo y luego<br>tú vas a un punto central y simplemente<br>me preguntas, ¿quién está trabajando en<br>el proyecto X en esta implementación?<br>Sí, muy útil, sí, pero la precaución y<br>qué va a pasar con estos datos. Sí,<br>solamente nosotros tenemos a los datos,<br>ya estamos utilizando la inteligencia<br>artificial. Muchos modelos ya tienen<br>nuestros datos y aún no estamos<br>estableciendo gobierno, aún no tenemos<br>políticas, aún no tenemos mecanismos,<br>aún no tenemos controles. Sí, hay que<br>pensar en eso. Entonces, la I en la<br>ciberseguridad tiene muchas<br>aplicaciones.<br>Mejora la eficiencia, la velocidad,<br>análisis predictivo, automatización. Sí.<br>casos de uso, un par que se nos está<br>acabando el tiempo, inteligencia de<br>amenazas, en detección avanzada de<br>amenazas, entonces en tráfico de red, en<br>analizar locks y eventos. Sí, un<br>ejemplo, un usuario accede normalmente<br>desde un país, no sé, desde España,<br>Colombia, México y luego hay un evento y<br>un inicio de sesión desde otra<br>geolocalización totalmente diferente,<br>desde otro continente, un horario<br>diferente. Así, ¿qué podría hacer la<br>herramienta? Podría alertar un<br>compromiso de la cuenta y bloquear<br>automáticamente. Sí. El evento fue<br>conexión desde una geolocalización<br>diferente en un horario diferente, desde<br>un dispositivo diferente y posible<br>salida de datos masiva. ¿Por qué? Porque<br>el usuario estableció conexión, se fue a<br>los recursos compartidos y descargó<br>todos los archivos con información<br>sensible. ¿Qué más? Patrones de<br>comportamientos de usuarios, de<br>dispositivos. Sí. Reducción de falsos<br>positivos. Yo les mencionaba. ¿Qué hace<br>un equipo de trabajo analizando 30,000<br>alertas diarias? Sí, no hay personas que<br>puedan hacer eso. Entonces, estas<br>herramientas y estos modelos pueden<br>ayudar a ver cuáles son los eventos<br>relevantes. De 35,000, hacer un filtro y<br>llegar a tener solamente 200 eventos que<br>son los más relevantes. Sí.<br>Análisis de malware existido. ¿Qué más?<br>Asistente para un analista SOC. Si un<br>analista no sabe qué hacer, en una<br>alerta dice, "Mira, explícame cómo eh<br>hacer una investigación y cómo tomar<br>acción. la herramienta X la te puede<br>sugerir, sí, yo digo que la IA es como<br>un asistente inteligente y preparado que<br>nos puede ayudar en muchas cosas que tal<br>vez no recordamos, no sabemos o tal vez<br>nos llegan las ideas rápidamente. Sí.<br>Entonces, amenazas malware, hacky, tick<br>face se utiliza en la IA. Y bueno, aquí<br>volvemos rápidamente el ISO 42001,<br>necesidad de las partes interesadas,<br>tanto los entes reguladores como de los<br>clientes, como los empleados, de los<br>proveedores. Sí, cada uno puede requerir<br>algo particular, cómo tomar unas<br>decisiones, cómo tener unos roles<br>claros, cómo definir los SLAI para la<br>adopción de estos modelos, estas<br>tecnologías de IA. ¿Cuál es el alcance?<br>Sí. Es decir, este proceso de gestión de<br>inteligencia artificial va a estar para<br>todos los sistemas, para unos procesos<br>específicos, va a ser para todas las<br>sedes, va a ser para todas las áreas o<br>vamos a iniciar solamente con, no sé,<br>con la casa matriz, con el país X y<br>luego vamos a vamos a ir con los demás.<br>Vamos a ir con los sistemas que están en<br>la nube, luego vamos a ir con los que<br>están localmente, ¿sí? ¿Cuál es el<br>alcance? Roles. ¿Quién es el dueño del<br>riesgo de lo que pasa en inteligencia<br>artificial? Muchas organizaciones ya<br>tienen algún director, algún<br>vicepresidente o demás de IA y<br>específicamente quién se encarga de<br>tomar decisiones. Un comité de gobierno<br>responsable de implementar el sistema de<br>gestión de la inteligencia artificial,<br>quiénes son quienes controlan los temas<br>más técnicos, ¿sí? ¿Quiénes saben cuál<br>es el flujo de los datos? ¿Cómo<br>alimentamos el esos modelos de sí? ¿Cómo<br>hacemos predicciones? ¿Cómo hacemos eh<br>no sé reducción de los datos? ¿Quiénes<br>son los encargados del cumplimiento de<br>los datos? ¿Y quién es encargado de<br>hacer la auditoría? También un auditor<br>interno para el 42001. Sí, también hay<br>un implementador. ¿Cómo hacemos<br>auditorías internas, externas?<br>Competencias. Mira, aquí algunos roles.<br>Los científicos de datos tienen mucho<br>que ver cómo se procesan los datos, cómo<br>se analizan temas de analítica, grandes<br>porciones de datos en las organizaciones<br>y cómo se integran en esos flujos o como<br>llaman pipelines tanto de desarrollo<br>como analítica de datos a través de<br>entornos de inteligencia artificial.<br>¿Sí? ¿Quiénes son los gestores? ¿Qué<br>hace la alta dirección? ¿Qué hacen los<br>usuarios? ¿Sí? ¿Cómo tienen un uso<br>responsable? ¿Cómo identifican alguna<br>anomalía? ¿Cómo reportan incidentes?<br>¿Cómo le enseñamos? Oye, ten precaución<br>de qué datos estás dándole al modelo.<br>Sí. ¿Qué sí son de prestarle atención<br>para que tú reportes en caso tal de que<br>el modelo no funcione como esperamos?<br>Entonces esto va al igual que muchos<br>otros muchas otras normas. Hay que tener<br>una sensibilización, hay que comunicarle<br>a los equipos, hay que tener unas<br>sesiones de trabajo para que todos sepan<br>qué estamos haciendo y qué rol cumple<br>cada uno de ellos. Sí, este es un ciclo<br>de vida de lo que puede tener un sistema<br>de IA. Se recomienda la fase uno, pues<br>una concepción, una definición del<br>problema, para qué lo necesitamos, cómo<br>va a servir, dos datos. ¿Qué datos vamos<br>a recuperar? Recopilar, cómo hacemos una<br>evaluación de calidad, sesgo,<br>gobernanta, desarrollo del modelo, una<br>validación cruzada para evitar temas de<br>sesgos. Sí. ¿Cómo hacemos pruebas de<br>calidad sobre el sistema? Se despliega<br>operación, monitoreo y retiro. Sí. Es<br>decir, cada nuevo sistema que vamos a<br>adherir a nuestra organización debería<br>pasar una validación, un ciclo de vida,<br>ya sea un desarrollo propio, incluso sea<br>de un tercero. Si yo contrato un<br>software o un modelo de un tercero,<br>igual debería ser una validación, ¿sí?<br>lo que llaman la debida diligencia, un<br>du diligence para verificar, oye, quiero<br>saber tú cómo haces pruebas de calidad a<br>tu modelo, cuáles son tus buenas<br>prácticas de desarrollo, cómo haces<br>pruebas de seguridad, cómo haces los<br>temas de, no sé, verificar que cuál es<br>el nivel de efectividad, respuestas<br>correctas, erróneas, etcétera. Sí,<br>tenemos que verificar todo eso incluso<br>antes de poder hacer eh el despliegue de<br>el modelo, antes de contratarlo. Sí,<br>después de contratarlo va a ser un poco<br>más complejo y más tarde. Gestión de<br>proveedores, justo lo que les estaba<br>comentando. Sí. Evaluar la capacidad del<br>proveedor para cumplir con los<br>requisitos de mi modelo de gestión.<br>Definir los requisitos contractuales de<br>seguridad, privacidad, de los datos y<br>cada cuánto me vas a responder, el<br>tiempo, quién es el responsable, si<br>termino el contrato contigo, en cuánto<br>tiempo me vas a devolver los datos,<br>cuánto tiempo los vas a eliminar y<br>etcétera. Monitorar el desempeño y<br>también gestionar los riesgos de estos<br>modelos. Hay una declaración de<br>aplicabilidad, creo que ya vamos a ir<br>resumiendo. Y básicamente si yo quiero<br>eh certificarme y desplegar el el esta<br>norma en mi organización, pues tengo que<br>crear algo que se llama una declaración<br>de aplicabilidad o SOA statement of<br>applicability. Y básicamente, ¿qué hago?<br>digo, mira, digo, si el control es<br>aplicable, una justificación, la estable<br>implementación, es decir, hay unos<br>anexos que nos habla los controles. Por<br>ejemplo, este es un formato que nos<br>dice, mira, este es mi eh<br>pues quiero hacer el el la el se me fue<br>la declaración de aplicabilidad, ¿sí?<br>Entonces, cuando lo voy a hacer, ¿quién<br>es el responsable de más? Y aquí están<br>los controles. Miren un ejemplo de los<br>controles que se sugieren para esta ISO.<br>dice, "Políticas relacionadas con la<br>inteligencia artificial. Tienes una<br>política de IA, tienes una alineación<br>con las políticas de la organización,<br>quién la revisó, tienes roles y<br>responsabilidades<br>cuál es la documentación de los<br>recursos. ¿Cuáles son los recursos de<br>datos? ¿Las herramientas que v a<br>utilizar? Recursos humanos. ¿Cuál es el<br>impacto que tienen estos procesos? ¿Sí?<br>la documentación, objetivos, bueno, y un<br>montón de controles, ¿sí? El desarrollo,<br>cómo haces la operación, cómo haces<br>monitoreo, dónde está la documentación<br>técnica y básicamente tú evalúas el<br>contexto, las soluciones y dices, mira,<br>este sí aplica, no aplica la<br>justificación, ¿sí? Es decir, este<br>control sí lo voy a desarrollar, no lo<br>voy a desarrollar, porque sí, porque no.<br>Sí. Y método de implementación. Con eso<br>el evaluador, el auditor sabe que me va<br>a verificar si si son tantos los<br>controles, seguramente solamente me van<br>a evaluar los que yo diga y yo solicite<br>que van a aplicar.<br>Hay que tener eh temas de medición,<br>rendimiento del del modelo, ¿sí? Puede<br>ser continuo, semanal, algunos pueden<br>ser mensuales, trimestrales, anuales. El<br>tema de rendimiento, cómo hace las<br>predicciones, el tema de la equidad, el<br>tema de ver si tiene fallas en pues<br>cuando hace algunas salidas específicas,<br>el tema de transparencia, el tema de<br>incidentes, ¿sí? Es decir, puede ser<br>transparencia, es decir, tengo que<br>verificar el modelo cómo hizo eh esa<br>predicción, ¿sí? Si realmente no la hizo<br>de manera correcta o tiene un sesgo<br>específico, pues quienes se encargan de<br>las pruebas y el desarrollo deberían<br>hacerlo. Sí, esos modelos tienen que<br>estar calibrándose continuamente porque<br>podrían tener algunas salidas no<br>adecuadas. También se hace auditoría<br>interna y revisión por la dirección. Y<br>bueno, creo que se nos acabó el tiempo,<br>pero aquí hay varios eh anexos que nos<br>hablan de los controles. Anexo A, anexo<br>B, anexo D. Y aquí ya vimos un ejemplo,<br>¿sí? Algunos hablan de las políticas de<br>organización internas, de los recursos<br>de evaluación del impacto. Y aquí ya<br>para finalizar unas fases típicas de<br>implementación. Primero tener un<br>diagnóstico de análisis GAP, ¿sí? ¿Dónde<br>estamos y dónde deberíamos llegar para<br>implementar el sistema de gestión de<br>inteligencia artificial? Luego hacer un<br>diseño, ¿sí? Un gobierno, quiénes son<br>los responsables, en cuanto a tiempo,<br>empezar a implementar controles, hacer<br>operación y monitoreo, hacer auditorías.<br>auditoría es continua, tanto interna<br>como externa y finalmente una<br>certificación externa. Sí, ya después de<br>obtener la certificación, pues<br>seguramente la vamos a renovar cada<br>periodo en el que sea necesario. Si<br>tienen dudas y preguntas, por favor,<br>déjenlas ahí en el chat. Muchas gracias<br>a ustedes por estar aquí. Con este<br>código QR van a poder escanear la URL<br>del curso que les comenté que vamos a<br>estar desarrollando a partir de la<br>siguiente semana, donde vamos a hablar<br>de las normas ISO 27001, de la ISO 42001<br>y también del NIS Cyber Security<br>Framework 2.0. Incluso este curso<br>incluye certificación internacional con<br>join. Si así lo desean pueden<br>certificarse en alguno de estos<br>estándares, lo cual va a dar pues una un<br>valor a sus perfiles profesionales y las<br>cosas que hacen para que pues cada vez<br>puedan ser digamos más apetecidos o<br>pueda ser bien visto su perfil en la<br>industria de la seguridad de la<br>información y la ciberseguridad. Sí,<br>aquí hay múltiples prácticas y buenas eh<br>prácticas de seguridad, inteligencia<br>artificial y seguridad de la<br>información. Y como les comentaba,<br>nosotros nos gusta dar siempre más y un<br>plus. Entonces, los plus están más<br>información, más documentación,<br>ejercicios y casos prácticos que se<br>pueden desarrollar en las organizaciones<br>y sobre todo la práctica, ¿sí? Cómo<br>poder llevar a cabo estas prácticas e<br>tanto en NIS como en ISO 42,000, que<br>como les decía 42001 es una norma más<br>bien reciente, ¿sí? Aún no se tiene<br>tanto conocimiento en el medio, pero<br>fundamental porque ya muchos utilizamos<br>estos entornos. y medios y modelos de<br>inteligencia artificial. Entonces, si<br>quieren participar, bienvenidos. Eh, si<br>hay alguna duda, pregunta, por favor,<br>adelante. Déjenme saber tanto en el chat<br>como si quieren abrir sus micrófonos,<br>bienvenidos. Sí.