De igual forma, existen dispositivos como videojuegos o aplicaciones que pueden almacenarse localmente en un teléfono móvil o de forma remota utilizando bases de datos que se encuentran en la nube para el uso de los usuarios de los sistemas de seguridad BCI donde se recopilan señales de BCI, como firmas de usuarios. procesos de identificación y verificación ante un servicio informático, por lo tanto el manejo de información local o información en tránsito en la red puede ser vulnerable a diversos ataques a los sistemas informáticos que violen la confidencialidad (divulgación de datos personales), disponibilidad (no acceso al sistema) y/ o integridad (modificación no autorizada), y en ese sentido el problema radica en que no existen mecanismos o procesos que permitan a las organizaciones que trabajan con sistemas BCI un nivel de seguridad para la protección de la información y datos procesados [1, 4, 5] . Estas contingencias hacen necesario crear escenarios y modelos de seguridad donde se puedan identificar y reducir los niveles de exposición de un sistema BCI, el diseño de un modelo de seguridad basado en políticas de protección, para el procesamiento y gestión de datos asociados a los sistemas BCI es, a través de una gestión de riesgos basada en la norma ISO 27005 y su plan de tratamiento para reducir los niveles de exposición [26], donde se pueden evaluar características tanto del hardware como del software con el objetivo de realizar pruebas que sirvan de referencia en eventos de seguridad BCI, ya que pueden simular convertirse en
![Figura 1 Temas emergentes. Fuente ACIS (2020) [8]](https://thumb-us.123doks.com/thumbv2/123dok_es/12378365.0/19.918.164.776.506.868/figura-1-temas-emergentes-fuente-acis-2020-8.webp)
Marco Teórico y Estado del Arte
Marco teórico
- Componentes de un Sistema BCI
- Técnicas de Ataques en Ciberseguridad
- Mapa de Riesgo - Gestión del Riesgo con Base a la ISO 27005
- Vulnerabilidad
Finalice con Clasificación de datos en la que se utiliza el sistema BCI para identificar y reconocer patrones de actividades EEG, identificando la intención del sujeto en función de las características de los datos recopilados de las señales y relacionándolos con tareas mentales. Si por el contrario esta fase se realiza de forma óptima se puede reducir los datos modificados y la información más importante obtenida para la investigación donde se puede determinar cuáles de las técnicas son más efectivas en un sistema BCI. [5 . ].
Estado del Arte
No aborda el tipo de tecnologías y sistemas que se pueden implementar para proteger los datos en BCI. Se caracterizarán los tipos de posibles ataques a un sistema BCI y se validarán los impactos en base a la documentación encontrada.
Metodología
Etapas de la Metodología
- Fase 1: Mapa de Riesgos
- Caracterización de los componentes tecnológicos
- Levantamiento de Activos, Amenazas y Vulnerabilidades
- Obtención del Mapa de Riesgos
- Fase 2: Definición del Plan De Tratamiento de Acuerdo con los Riesgos Encontrados
- Definición de Plan De Tratamiento de Acuerdo con los Riesgos Encontrados
- Fases 3: Validación del Modelo
- Definición del Modelo de Seguridad
- Validación de la Estrategia de Implementación
Esto como una guía de los pasos a seguir para garantizar un nivel de seguridad para los sistemas BCI. En esta actividad se construyó la propuesta de diseño del modelo de seguridad con base en las 2 fases anteriores (mapa de riesgos y plan de tratamiento), donde se generaron políticas para el control de riesgos con base en el marco regulatorio ISO/IEC 27001:2013.
Resultados
Fase 1: Mapa de Riesgos
- Caracterización de los componentes tecnológicos de un sistema BCI
- Etapa 1: Adquisición de las Señales de EEG
- Etapa 2: Procesamiento de Señales
- Etapa 3: Dispositivos de Salida
- Levantamiento de activos, amenazas y vulnerabilidades
- Cronología del Proceso de Montaje de un Sistemas BCI
- Vulnerabilidades
- Obtención del mapa de riesgos
- Ataques informáticos sobre componentes BCI
- Análisis de riesgos
La Figura 10 muestra la consolidación de diferentes ataques a través de las etapas del procesamiento de BCI [35, 58]. ARP Spoofing: Este ataque modifica las tablas ARP (spoofing), lo que permite a un tercero capturar datos que circulan en la red [27].
Fase 2: Definición del Plan De Tratamiento de Acuerdo con los Riesgos Encontrados
El equipo directivo es responsable de garantizar que la seguridad de la información se gestione adecuadamente en toda la organización. Cada gerente de cada área es responsable de garantizar que las personas que trabajan bajo su dirección protejan la información de acuerdo con los estándares establecidos por la organización. El responsable de seguridad asesora al equipo directivo, brinda soporte especializado a los empleados de la organización y vela por que los informes del estado de seguridad de la información estén disponibles.
Cada empleado tiene la responsabilidad de mantener la seguridad de la información dentro de sus actividades relacionadas con el trabajo. Cualquier incumplimiento por parte de un funcionario o proveedor, así como de cualquier norma o procedimiento, será motivo para iniciar acción disciplinaria, la cual, dependiendo de su gravedad, podrá resultar en la terminación de la relación laboral del empleado o proveedor. en el Anexo D se tienen en cuenta.
Fase 3: Validación del Modelo
- Modelo de seguridad
- ESTRUCTURA NORMATIVA
- NORMAS TÉCNICAS
- MODELO DE SEGURIDAD DE LA INFORMACIÓN (ANEXO 1) DE FEBRERO 2021
- MADUREZ DEL MODELO DE SEGURIDAD
- MECANISMOS DE SEGURIDAD
- Gestión de Riesgos
- Contexto / alcance
- Identificación de Riesgos
- Análisis de vulnerabilidades
- Descripción de Vulnerabilidades de Medio Nivel e Informativas
- The SSL certificate for this service cannot be trusted (No se puede confiar en el
- The SSL certificate chain for this service ends in an unrecognized self-signed
- Apache HTTP Server Version
- HTTP Server Type and Version
- FTP Server Detection
- Apache HTTP server
- Ethical Hacking
- Identificación de riesgos e impactos que podría ocasionar las pruebas
- Validación sobre qué plataformas internas o externas se harán las pruebas
- Preparar y programar pruebas
- Las aplicaciones para utilizar en el pentesting son
- Pruebas Realizadas
- Ataque informático de tipo DoS/DDoS
- Ataque informático de tipo Scanning
- Ataque informático de tipo PASSWORD CRAKING
- Ataque informático de tipo: Exploit o Modificación no autorizada de datos e
- Plan de tratamiento
- Fases Plan de Tratamiento
- Análisis de vulnerabilidades Nessus Posterior a la implementación de las soluciones
- Análisis de Riesgos Posterior a la Implementación de las Soluciones
- Resultados Calificación Riesgos [24, 25]
- Acciones por Tomar con Amenazas Presentes
- Plan de Monitoreo
La norma ISO 27005 contiene diversas recomendaciones y directrices generales para la gestión de riesgos en los sistemas de gestión de seguridad de la información. 2 Realizar controles del plan de tratamiento definidos para cada uno de los objetivos de control ISO que tienen cabida en el modelo. 1 Comprobar la eficacia de los controles del plan de tratamiento definido para cada uno de los objetivos ISO que corresponden al modelo.
Verificar la efectividad de los controles definidos del plan de tratamiento para cada uno de los objetivos de control de la norma ISO que se encuadran en el mismo. 2 Definir actividades de cultura de aprendizaje continuo que implementen estrategias de seguridad de la información organizacional. En el diseño del modelo de seguridad es fundamental contar con documentación de roles y responsabilidades implementada como mecanismo para auditar las funciones de las áreas de la empresa.
Se ingresa a la interfaz gráfica del servidor donde se realizaron los cambios de configuración de la regla del firewall PFSENSE.
Conclusiones, recomendaciones y trabajos futuros
En esta perspectiva, el modelo de seguridad implementado encuentra una base sólida para determinar que el uso de marcos de referencia como ISO 27000, vinculado a las medidas que ofrece precisamente ISO 27005, tiene como objetivo contribuir a los parámetros relacionados con la infraestructura técnica y las tecnologías del proyecto. para la gestión en las fases de riesgo, junto con la norma ISO 27001, manual que permite generar procesos de gestión de la seguridad, proponiendo buenas prácticas para la prevención, gestión y solución de ataques a la seguridad informática, vinculados a políticas de ciberseguridad que aseguren el cuidado de la información, donde sería necesario sería analizar qué tan expuestos están los dispositivos que pueden ser utilizados para los sistemas BCI, controlando las brechas de seguridad en los agentes que forman parte del ecosistema de los sistemas BCI como computadoras, teléfonos móviles, servidores y dispositivos IoT, además de El software diseñado para comunicarse entre la máquina y el usuario que utiliza la solución puede tener en cuenta el impacto real que se puede generar en los diferentes componentes. la necesidad de integrar este tipo de modelos, como requisito de seguridad en la estructura y metodología a implementar, en los procesos de desarrollo de sistemas BCI, definiendo como objetivos nuevos estándares y requisitos de seguridad. En relación con la idea anterior, el modelo de seguridad se muestra potencialmente adaptable para proyectos futuros, donde definir nuevos niveles de seguridad, amenazas emergentes y entornos productivos puede brindar margen para la mejora continua, donde el desempeño en mitigación y exposición a riesgos puede tener parámetros más aceptables. para investigación o uso comercial, por lo que es un proceso adaptable por seguridad en este tipo de tecnología. Los proyectos futuros se pueden vincular a modelos de seguridad de código fuente en el desarrollo de aplicaciones y configuración de sistemas BCI, utilizando las directrices OWASP como marco, donde se puede validar la identificación de vulnerabilidades.
Anexos
Anexo A Roles y responsabilidades
Analizar las responsabilidades del área organizacional relacionadas con los procesos de gestión de seguridad. Estos agentes serán quienes llevarán los controles y seguimientos de las actividades realizadas en la zona. Analizar las responsabilidades de las organizaciones del área relacionadas con los procesos de gestión de seguridad. Estos agentes serán quienes llevarán los controles y seguimientos de las actividades realizadas en la zona. Coordinar y monitorear que las actividades de las distintas áreas del Departamento de Gestión Humana se realicen de manera ágil, oportuna y efectiva.
Monitorear los procesos de solicitud en las aplicaciones para garantizar el cumplimiento de los objetivos presupuestarios que conduzcan a la sostenibilidad financiera de la organización. Definir planes e implementar medidas para asegurar la calidad de los productos, servicios y procesos de Gestión de Tecnologías de la Información y las Comunicaciones.
Anexo B Inventarío De Documentación Requerida Para Cada Dominio
Organización de Seguridad de la Información: Establece un modelo de gestión de seguridad de la información para la organización. Seguridad operativa: Su objetivo es garantizar el correcto y seguro funcionamiento de la información, incluye cuatro controles. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información: Describe la integración de la seguridad en las aplicaciones.
Gestión de incidentes de seguridad de la información: describe cómo anticipar y responder a las violaciones de seguridad de la información. Cumplimiento: Describe el proceso de garantizar el cumplimiento de las regulaciones, estándares y políticas de seguridad de la información.
Anexo C Controles de seguridad de la información asociados a las amenazas
Requisitos de seguridad de la información para mitigar los riesgos asociados con el acceso a. Todos los requisitos de seguridad de la información relevantes deben establecerse y acordarse con cada uno. Los incidentes de seguridad de la información deben notificarse a través de los canales de gestión adecuados lo antes posible.
Los incidentes de seguridad de la información deben responderse de acuerdo con procedimientos documentados. Los sistemas de información deben revisarse periódicamente para determinar el cumplimiento de las políticas y estándares de seguridad de la información.
Anexo D Plan de Tratamiento
Crear comités de auditoría de vulnerabilidades en los sistemas de seguridad de la información que verifiquen la efectividad de las políticas y controles establecidos. Realizar auditorías para cada uno de los controles desarrollados para la seguridad de la información. Crear comités de revisión de seguridad de la información que verifiquen la efectividad de las políticas y controles establecidos.
Desarrollar una política de compra de equipos que mejore la gestión de activos de seguridad de la información. Definir acuerdos contractuales con los empleados para el uso de información sujeta a procesos institucionales.
Bibliografía
Eva, "Feature extraction and classification methods for a motor task brain-computer interface: A comparative evaluation for two databases," vol. Khan, "Hybrid brain-computer interface techniques for improved classification accuracy and increased number of commands: A review," Front. Nissim, “Mind your mind: EEG-based brain-computer interfaces and their security in cyberspace,” ACM Comput.
5482_Modelo_de_Seguridad_Privacidad.pdf%0Ahttps://www.mintic.gov.co/gestionti/615/art icles-5482_G17_Mejora_continua.pdf. Pandarinath et al., “High-quality communication by people with paralysis using an intracortical brain-computer interface,” pp.
![Figura 2 Cantidad de Gestión de Riesgos en Seguridad. Fuente ACIS (2020) [8]](https://thumb-us.123doks.com/thumbv2/123dok_es/12378365.0/20.918.177.762.245.488/figura-cantidad-gestión-riesgos-seguridad-fuente-acis-2020.webp)
