Guia Supervision Ciberseguridad Fabrica Pensamiento Iai - Original PDF

BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Ciberseguridad
Una guía de supervisión
El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de
las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios,
auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión
de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.
BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S
Ciberseguridad
Una guía de supervisión
Octubre 2016
MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Israel Martínez Lacabe, CISA. GRUPO SANTANDER
Josep Castells Rafel, CISA. CAIXABANK
José Antonio Castrillo, CISA, CISM, CGEIT. MAZARS
Jordi Civit Vives, CISA, CCSA. MELIÁ HOTELES
Oliver Crespo Romero, CISA, CISM. SANITAS
Sandra Fernández Moreno, CISA. MAPFRE
Gregorio Hernández Manso, CISA, CISM. RED ELÉCTRICA DE ESPAÑA
Juan José Huerta Díaz, CIA, CISA, CISM, CGEIT, CDPP. BBVA
Eduardo Iglesias Cordero. LIBERBANK
Daniel Martínez Villegas. CIMPRESS
Raúl Mateos Martín, CISA, CISSIP, CRISC. BBVA
Marc Muntañá Vergés, CISA, CISM. MUTUA UNIVERSAL
Felipe Pastor Fornieles, CISA, CISM. ERNST & YOUNG, S.L.
Fernando Picatoste Mateu, CIA, CISA, CISM, CGEIT, CRISC, CISSP. DELOITTE
Albert Sans I Feliu, CISA. INDITEX
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
El avance de las nuevas tecnologías ha propiciado un cambio sin precedentes que ha in-
fluido en la forma de operar de las organizaciones, cuyas actividades se desarrollan cada
vez más en el ciberespacio.
Este hecho propicia un gran desarrollo económico y social, pero a la vez la aparición de
nuevos retos y amenazas que es imprescindible gestionar. No en vano el Foro Económico
Mundial incluye varios riesgos asociados a la ciberseguridad en su ranking de Riesgos
Globales desde hace años. A modo de ejemplo, en 2016 el coste medio de un ataque in-
formático para las compañías ronda los 75.000 euros, lo que hace que solo los ciberdeli-
tos cuesten a las empresas españolas unos 14.000 millones de euros al año.
Los ciberataques y su naturaleza se han multiplicado en los últimos años, y cada vez son
más complejos y más difíciles de prevenir y detectar, lo que hace que los órganos de go-
bierno de las organizaciones deban incrementar y mejorar la supervisión sobre la ciberse-
guridad.
LA FÁBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-

ña, aborda en este documento –parte de un manual editado también por el IAI- las prin-
cipales cuestiones relativas a la ciberseguridad y un completo análisis de buenas prácticas
de Auditoría Interna para la evaluación y revisión de los controles en esta materia.
También se incluyen los 20 Controles Críticos de Seguridad que todas las organizaciones
deben implementar y cuál es el papel de Auditoría Interna en la revisión de cada uno de
ellos.
El valor que aporta esta guía de supervisión va más allá de los auditores internos de siste-
mas o de las Direcciones de Auditoría Interna. Las Comisiones de Auditoría y otros comi-
tés de la empresa encontrarán en estas páginas un importante aliado que les ofrecerá in-
formación completa y precisa para permitirles tomar decisiones sobre la estrategia, orga-
nización y operaciones para evitar que este riesgo se materialice en las organizaciones.
Un documento tan exhaustivo y a la vez de fácil comprensión como éste, incluso para los
profanos en auditoría de TI, solo podía estar firmado por expertos auditores internos co-
mo los que han formado parte de la Comisión Técnica. Les felicito por haber puesto su
experiencia y conocimiento al servicio de todos los socios y por mantener el nivel de exce-
lencia y sencillez al que nos tienen acostumbrados las publicaciones de LA FÁBRICA DE
PENSAMIENTO.
Ernesto Martínez
Presidente del Instituto de Auditores Internos de España
3
Índice
INTRODUCCIÓN 06
PRINCIPALES CUESTIONES RELATIVAS A LA CIBERSEGURIDAD 07

Riesgos, amenazas y vulnerabilidades ....................................................................09
De la seguridad de TI a la ciberseguridad: el cambio de paradigma ..............16
Ciberejercicios y ciberseguros ...................................................................................21
Metodologías y estrategias de control y gestión de ciberriesgos ....................24
Regulación y normativa ..............................................................................................28
BUENAS PRÁCTICAS DE AUDITORÍA INTERNA PARA LA 32

EVALUACIÓN Y REVISIÓN DE CONTROLES DE CIBERSEGURIDAD
El rol de Auditoría Interna ......................................................................................... 32
20 Controles Críticos de Seguridad que todas las organizaciones

deberían implementar ................................................................................................ 35
CERTIFICACIONES PROFESIONALES 42
BIBLIOGRAFÍA RELEVANTE 46
5
Introducción
La economía internacional, la prestación de Ningún dispositivo hardware o software exis-
servicios por parte de las administraciones, tente en la actualidad –desde el sistema más
empresas y profesionales, el acceso a la infor- complejo instalado en una infraestructura es-
mación, la educación, el comercio, el ocio o la tratégica, como una central nuclear, hasta la
La protección frente a salud de los ciudadanos, al igual que casi to- más sencilla aplicación informática instalada
los ciberriesgos se ha dos los ámbitos de nuestra sociedad, se sus- en un teléfono móvil– está exento de ser ata-
convertido en una tentan hoy más que nunca (y cada vez más) cado.
prioridad debido a las en el ciberespacio1.
nuevas amenazas Así, la ciberseguridad representa actualmente
procedentes de Las tecnologías de la información y las comu- una de las principales preocupaciones de to-
Internet, el crecimiento nicaciones (TIC) propician el desarrollo econó- das las empresas e instituciones, con indepen-
del número de ataques mico de la sociedad de manera integrada den- dencia del sector o ámbito al que pertenez-
y la mayor complejidad tro de las empresas y organizaciones, que can.
de las amenazas. usan en su actividad el amplio abanico de dis-
La protección frente a los ciberriesgos se ha
positivos electrónicos y redes de comunicacio-
convertido por tanto en una prioridad de las
nes disponibles.
mismas, fruto de la proliferación de nuevas
Sin embargo, de la mano de dicha expansión amenazas procedentes de Internet, el enorme
tecnológica y el aumento del uso de servicios crecimiento durante los últimos años del nú-
de Internet surgen nuevos retos y desafíos pa- mero de ataques recibidos por las organiza-
ra las organizaciones. Así, una de las principa- ciones, y el aumento en la complejidad y sofis-
les amenazas que han traído consigo estos ticación de estas amenazas.
avances es la proliferación de acciones delicti-
vas en el ciberespacio.
1. Se entiende por ciberespacio el entorno virtual común que comprende la interconexión del conjunto global de sistemas,
activos de información y redes de comunicaciones (incluyendo Internet), así como los usuarios de estos servicios y tec-
nologías.
6
Principales cuestiones relativas

a la ciberseguridad
Los ciberataques no sólo se han multiplicado Target, Apple, Home Depot, o Google, entre
en los últimos años, extendiendo su incidencia otras. También administraciones públicas y go-
a todo tipo de organizaciones y a todos los biernos de todo el mundo están entre los
sectores económicos, sino que su naturaleza damnificados que han sufrido robos de infor-
ha cambiado drásticamente en términos de mación de sus bases de datos de clientes, ele-
frecuencia, complejidad y finalidad, dentro de vadas pérdidas económicas, prolongadas in-
un proceso de continua evolución y sofistica- disponibilidades en sus sistemas, daños repu-
ción que los hace cada vez más complejos y tacionales o sabotajes de sus servicios online;
peligrosos. como consecuencia del denominado cibercri-
Empresas,
men.
En pocos años, las tradicionales amenazas de administraciones
Sirvan como ejemplos de lo anterior las si- públicas y gobiernos
la seguridad (virus, gusanos, troyanos,…) han
guientes ciberamenazas que han provocado han sufrido robos de
evolucionado hacia ataques de denegación de
algunas de las mayores infecciones y trastor- información, pérdidas
servicios (DoS2) y sofisticados softwares mali-
nos recientes en materia de seguridad infor- económicas o sabotajes
ciosos (malware) hasta llegar a las amenazas
mática: como consecuencia del
persistentes avanzadas (APTs) o ataques diri-
denominado
gidos, que combinan múltiples técnicas de • Zeus. Malware3 orientado al robo de infor- cibercrimen.
ataque y explotación de diferentes tipos de mación personal de los usuarios: credencia-
vulnerabilidades, incluyendo el uso de técnicas les de cuentas de correo electrónico, redes
de ingeniería social (por ejemplo spear-phis- sociales, datos de servicios financieros, etc.
hing), así como una fase previa de estudio y
recolección de información del objetivo que • Flame y Agent BTZ. Software espía con
los hace mucho más eficaces y dañinos. gran capacidad de propagación capaz de
obtener capturas de pantalla, pulsaciones
Son numerosos los ataques recibidos por de teclado, control del bluetooth, webcam o
grandes corporaciones y multinacionales du- grabación de llamadas. Asimismo, posee la
rante los últimos años, como JPMorgan, Sony, capacidad de transmitir la información reco-
2. DoS: Del inglés Denial of Service.
3. Si bien no existe un criterio de clasificación estricto de las diferentes tipologías de malware, se entiende de manera ge-
neral que esta palabra incluye todo tipo de software o código malicioso que tiene el objetivo de infiltrarse y dañar un
sistema de información, abarcando virus, gusanos, troyanos, rootkits, spyware, keyloggers, botnets, etc.
7
pilada ocultándola mediante técnicas de ci- tra también el hecho de que el World Econo-
frado. mic Forum lo incluya desde el año 2014 en la
lista de los 5 principales riegos globales, en
• Carbanak. Ataque Persistente Avanzado
términos de probabilidad, junto al cambio cli-
(APT) diseñado y dirigido al sector bancario,
mático, el desempleo, las catástrofes naturales
capaz de alterar y manipular el funciona-
y la desigualdad económica.
miento de las redes y software de control
de los cajeros automáticos. Los principales vectores y razones que han
propiciado esta situación actual son:
• Ransomware. También conocido como el
“virus de la policía”, cifra la información • La creciente expansión del acceso a Internet
contenida en el sistema del usuario infecta- y el proceso de digitalización global (actual-
do, solicitando una compensación económi- mente existen más de 2.800 millones de
ca para su desbloqueo. personas con acceso –más del 40% de la
población mundial– y 10.000 millones de
• Stuxnet. Software malicioso descubierto en
dispositivos conectados), así como la popu-
2010, capaz de controlar y manipular soft-
larización de nuevos dispositivos (smartpho-
ware de control y supervisión de procesos
nes, tablets), nuevas tecnologías de proce-
industriales (SCADA).
samiento de datos (cloud computing, vir-
Actualmente la ciberseguridad representa un tualización de sistemas) y posibilidades de
problema global y sistémico, como lo demues- conexión remota y/o móvil (Wifi, VPN, 4G,
VOLUMEN DE CIBERINCIDENTES
18.232
+41%
12.916
7.263 Impacto
3.998
1.914
193 485
2009 2010 2011 2012 2013 2014 2015
CIBERAMENAZAS
Troyanos · Bots
Virus · Gusanos Spyware Malware · DoS APTs · Ingeniería social
Fuente: elaboración propia a partir de datos de CCN-CERT
8
satélite), con sus consiguientes riesgos y de- • La posibilidad de utilizar fuentes y sistemas
bilidades de seguridad asociados. anónimos, que amplía la cantidad de gente
dispuesta a cometer este tipo de delitos.
• La velocidad de los cambios tecnológicos y El concepto de riesgo
la adopción de tecnologías emergentes, en Se estima que el cibercrimen tiene un impacto cibernético proviene de
global en la economía de entre 300.000 mi- la amenaza continua y
ocasiones no suficientemente maduras des-
llones y un billón de dólares al año, cifra que a escala industrial por
de el punto de vista de seguridad.
equivale a cerca del 1% del PIB mundial, al- parte de terceros sobre
• La crisis económica de carácter global (gran canzando un nivel similar al de amenazas cri- los activos digitales, las
recesión) que se inició durante los años minales convencionales como el narcotráfico operaciones y la
y/o la piratería4. información
2007-2008 y que, en mayor o menor medi-
corporativa.
da, sigue vigente en muchos países y geo- Más aún, los riesgos cibernéticos tienen una
grafías. naturaleza sustancialmente superior a éstas
últimas, en la medida que pueden tener dife-
• Las importantes carencias existentes en las rentes objetivos simultáneamente: la rentabili-
legislaciones transfronterizas, laxa normati- dad que ofrece su explotación, la facilidad y el
va y escasa regulación en algunos países, y bajo coste de las herramientas utilizadas para
dificultad legal de perseguir el cibercrimen, la consecución de ataques, así como la facili-
de manera general. dad de ocultación del atacante; hacen posible
que estas actividades se lleven a cabo de for-
• La creciente actividad que presentan los ma anónima y desde cualquier lugar del mun-
movimientos activistas antisistema y anti- do, con lo que su trazabilidad y seguimiento
globalización. resulta sumamente complejo.
RIESGOS, AMENAZAS Y VULNERABILIDADES

Riesgos cibernéticos
El concepto de riesgo cibernético proviene de de atacantes. Debido a ello, las instituciones
la amenaza continua y a escala industrial so- y entidades financieras son uno de los prin-
bre los activos digitales, las operaciones y la cipales objetivos de los ciberdelincuentes.
información corporativa, por parte de terceros.
ROBO DE INFORMACIÓN
Para entender mejor el contexto actual, es ne-
La filtración pública o pérdida de la infor-
cesario conocer los principales riesgos a los
mación confidencial representa un elevado
que se exponen las organizaciones:
riesgo para cualquier organización, cuyos
FRAUDE DINERARIO impactos o pérdidas pueden resultar espe-
El robo económico representa una de las cialmente significativos. Debido a ello, la in-
principales motivaciones de la gran mayoría formación de carácter personal o documen-
4. McAfee (2013): The Economic Impact of Cybercrime and CyberEspionage. Center for Strategic and International Stu-
dies.
9
tos clasificados son algunos de los principa- mientos, comunicaciones, etc) con el objeti-
les activos de información que deben ser vo de provocar una interrupción puntual o
especialmente protegidos. prolongada de los mismos.
INDISPONIBILIDAD DE SERVICIOS PÉRDIDA DE REPUTACIÓN

Interrupción puntual o prolongada de los Más que un riesgo en sí mismo, es una de
servicios online ofrecidos por una organiza- las principales consecuencias de los ata-
ción (correos, pagos financieros, cobro de ques y el objetivo de gran parte de los cibe-
La pérdida de
impuestos, registros públicos). rataques, cuyos efectos en una organiza-
reputación es una de
ción pueden resultar altamente significati-
las principales SABOTAJE DE INFRAESTRUCTURAS
vos.
consecuencias de los Ataques contra los servicios o infraestructu-
ataques y el objetivo de ras críticas de un país o estado (abasteci-
gran parte de los
ciberataques, con
efectos altamente PRINCIPALES RIESGOS PRINCIPALES TÉCNICAS DE ATAQUE
significativos. Fraude dinerario. Ingeniería social.
Robo de información. Fingerprinting.
Indisponibilidad de servicios.
Enumeración y escaneo.
Sabotaje de infraestructuras.
Pérdida de reputación. Ataques de días cero (0-Day).
Spam y Phishing.
PRINCIPALES AMENAZAS Hijacking.
Contra la información.
DoS (Denegación de Servicios).
Contra la infraestructura TIC.
SQL Injection.
PERFIL DE LOS ATACANTES Cross-site scripting (XSS).
Hacking. Virus, malware, gusanos y troyanos.

Cibercrimen.
Botnet (Redes zombis).
Hacktivismo.
Rootkits.
Ciberespionaje y ciberterrorismo.
Insiders. APT (Amenaza Persistente Avanzada).
Amenazas
Al igual que la naturaleza se adapta, las ame- usuario más molestas que dañinas, se están
nazas que en un principio eran puntuales y convirtiendo en sofisticadas herramientas po-
muy concretas en cuanto a objetivos, con téc- tencialmente dañinas. De este modo, las prin-
nicas muy simples y consecuencias para el cipales amenazas relacionadas con el ciberes-
10
pacio se pueden agrupar en las amenazas AMENAZAS CONTRA LAS INFRAESTRUCTU-

contra la información y las amenazas contra RAS TIC
la infraestructura TIC5. Son aquellas cuya materialización pueden
provocar la interrupción temporal, parcial o
AMENAZAS CONTRA LA INFORMACIÓN
total de determinados servicios o sistemas,
Aquellas cuya materialización provocan una
entre las que se encuentran:
pérdida, manipulación, publicación o uso
· Ataques contra infraestructuras críticas.
inadecuado de la misma. Entre otras desta-
can: · Ataques contra las redes y sistemas.
· Espionaje, desde el ámbito del espionaje · Ataques contra servicios de Internet.
de Estado al espionaje industrial. · Ataques contra sistemas de control y re-
· Robo y publicación de información clasi- des industriales.
ficada o sensible (datos personales, datos · Infecciones con malware.
bancarios). · Ataques contra redes, sistemas o servi-
· Robo de identidad digital. cios a través de terceros.
· Fraude.
Perfil de los atacantes

Si bien el anonimato y la deslocalización son palmente el fraude económico y el robo de
algunas de sus máximas señas de identidad, información confidencial).
los principales actores que componen el perfil
HACKTIVISMO
de los atacantes se pueden clasificar en los si-
Grupos de hackers que actúan en base a
guientes grupos:
una serie de principios y/o creencias políti-
HACKING cas, sociales o religiosas, principalmente
Individuos que generalmente trabajan de con fines reivindicativos. Sus principales ob-
manera individual con el objetivo de provo- jetivos suelen incluir multinacionales, go-
car trastornos o daños puntuales, si bien no biernos y organismos oficiales.
suelen resultar de gran impacto. Algunos ejemplos conocidos de grupos
hacktivistas son: “Anonymous”,“Legion of
CIBERCRIMEN
Doom”, “Milw0rm” y “LulzSec”.
Organizaciones y/o grupos de ciberdelin-
cuentes/hackers que cuentan generalmente CIBERESPIONAJE Y CIBERTERRORISMO
con los recursos, conocimientos, motivación Uso de tecnologías de la información y co-
y respaldo o apoyo financiero necesarios municación electrónica con el propósito de
para la obtención de sus objetivos (princi- apoderarse de información confidencial de
5. Spanish Cyber Security Institute (2014): La Ciberseguridad Nacional, un compromiso de todos.
11
gobiernos, naciones u otros organismos, e je/destrucción de infraestructuras críticas; has-

incluso generar el miedo o terror en una ta la sustracción de información corporativa
población o Estado. estratégica como la relativa a la propiedad in-
Este objetivo puede perpetrarse a través del dustrial o intelectual, datos personales de
La información es una
saboteo de infraestructuras críticas, infiltra- clientes y empleados, inteligencia de merca-
de las armas
ción en redes de alta seguridad, recluta- do, etc., con objeto de lucro; el daño de la
estratégicas más letales
miento de personal a través de Internet y/o imagen o reputación de una entidad; la rei-
en un nuevo escenario
publicación de contenidos violentos o ame- vindicación político-social; e incluso la simple
de riesgo para las
nazadores.
organizaciones. notoriedad o amenaza, entre otras6.
INSIDERS
Los objetivos son muy heterogéneos y los
Personal de las propias organizaciones que,
ataques van dirigidos a cualquier tipo de or-
aprovechando su conocimiento o acceso a
ganización –pública o privada, con ánimo de
información confidencial en los sistemas,
lucro o sin él– afectando a empresas de todos
realiza igualmente acciones delictivas (prin-
cipalmente de fraude) asociadas al cibercri- los sectores de actividad, gobiernos y organi-
men. zaciones de cualquier tipo.
Las motivaciones son diversas y pueden va- Así las cosas, los recientes eventos de fuga de
riar desde la perpetuación de un fraude finan- información y fallos en la seguridad cibernéti-
ciero sobre los ingresos de la organización o ca de algunas organizaciones evidencian un
de sus clientes; la producción de un quebran- nuevo escenario de riesgo donde la informa-
to económico directo a una compañía, el en- ción se convierte en una de las armas estraté-
torpecimiento de sus operaciones o el sabota- gicas más letales, comprometiendo la estabili-
ACTORES MOTIVACIÓN OBJETIVOS
HACKING. Personal. Notoriedad, pequeños disturbios, …
CIBERCRIMEN. Ecónomica/lucro. Robo dinerario o de información.
HACKTIVISMO. Ideológica. Daño reputacional, divulgación de

información, …
CIBERESPIONAJE. Política. Trastrornos graves, robo de información

crítica, …
INSIDERS. Varias. Varias
Fuente: elaboración propia
6. Deloitte (2015): 12º Programa para el Desarrollo de Directores Financieros.
12
dad o continuidad de cualquier persona u or- aún sin estrenar8. Otros ejemplos relevantes
ganización. fueron las filtraciones de Edward Snowden,
Los principales ataques
cuando se comprometió la información de
En efecto, algunos ataques cibernéticos re- son los producidos en
más de 40 delegaciones de países en suelo
cientes han puesto en riesgo naciones e informa de DDoS,
estadounidense9, o el robo de datos de 83
dustrias. Un ejemplo fue la operación “Auro- hacking, ataques fuera
millones de clientes a la entidad bancaria JP
ra”, en 2009, que vulneró los sistemas de se- del perímetro, ataques
Morgan Chase.
guridad de hasta 34 compañías de EEUU (Go- a activos intangibles y
ogle, Yahoo, Symantec y Adobe, entre muchas Estos hechos demuestran que los objetivos de los basados en el
otras)7. O el ciberataque sufrido por Sony en los atacantes son cada vez más ambiciosos, fraude económico y la
2014, cuando se filtraron en Internet los da- se manifiesten sus acciones en el terreno de fuga de información
tos personales, números de identificación fis- la ciberdelincuencia o en los entornos del ci- confidencial.
cal e información médica de los más de 3.800 berespionaje (estados, empresas, personas) y
trabajadores de la empresa, así como varios del ciberterrorismo.
contenidos de producciones cinematográficas
Principales técnicas de ataque y vulnerabilidades

Nos encontramos con ataques a plataformas tivos intangibles (reputación de la marca o los
propias en forma de DDoS, hacking o de ex- directivos); a activos físicos o infraestructuras
plotación de vulnerabilidades en el hardware críticas; y ataques basados en el fraude eco-
y software corporativo; ataques fuera del perí- nómico y en la fuga de información confiden-
metro, como los dirigidos a clientes (phishing, cial (filtraciones, robos o perdidas de disposi-
malware, credenciales robadas); ataques a activos).
INGENIERÍA SOCIAL
Técnicas y habilidades sociales o psicológicas para obtener información confidencial a tra-
vés de la manipulación de las personas o usuarios.
FINGERPRINTING
Búsqueda y recolección de todo tipo de información del objetivo, principalmente en Inter-
net, y realizada de manera pasiva, que pueda ser utilizada en la perpetración de un ataque.
Puede incluir tanto la recolección de información de fuentes públicas (OSINT: Open-Source
Intelligence), como de fuentes privadas o de pago.
7. El Economista (2010): Operación Aurora, el ciberataque más sofisticado de la historia.
8. CNet (2014): Sony encabeza la lista de los peores 'hackeos' del año.
9. Onemagazine (2014): La ciberseguridad en 2013: un año marcado por Snowden.
13
ENUMERACIÓN Y ESCANEO
Identificación de sistemas, equipos y dispositivos existentes en la red. Obtención de nom-
bres de equipos, usuarios, recursos compartidos, etc.
También incluye habitualmente la identificación de posibles vulnerabilidades.
ATAQUES DE DÍAS CERO (0-DAY)

Ataques contra aplicaciones o sistemas que aprovechan nuevas vulnerabilidades, desconoci-
das por los fabricantes del producto y/o software, y para los que no se han desarrollado aún
“parches” o soluciones que las corrijan.
Estos ataques pueden tener un grave impacto, y el código para explotar dichas vulnerabili-
dades se vende a menudo por elevadas cantidades de dinero en el denominado mercado
negro de los exploits.
SPAM Y PHISHING
Ataques a través del servicio de correo electrónico, ya sea buscando la indisponibilidad del
mismo o la suplantación de identidad para obtener información confidencial de los usua-
rios.
Durante los últimos años las técnicas de phishing han evolucionado enormemente dada su
simplicidad y alta efectividad, y es habitual hablar de ataques concretos de smishing, vis-
hing, spear phishing, etc.
HIJACKING
Técnicas ilegales utilizadas por los atacantes para adueñarse o tomar el control de diferen-
tes recursos: navegador, credenciales de sesión, conexiones TCP/IP, páginas web, etc.
DoS (DENEGACIÓN DE SERVICIOS)

Ataques de desbordamiento con el objetivo de provocar la parada o interrupción de un ser-
vicio crítico, típicamente realizados a través de una inundación de peticiones a páginas web.
SQL INJECTION
Técnica de ataque sobre páginas web qu,e a través de la ejecución de comandos SQL, per-
mite la obtención y/o manipulación de información de la base de datos del servidor.
CROSS-SITE SCRIPTING (XSS):

Técnicas de inyección de código (principalmente Javascript y PHP) que, aprovechando erro-
res de programación en las páginas web, provocan un comportamiento anormal del sistema
pudiendo afectar a la integridad del mismo.
14
VIRUS, MALWARE, GUSANOS Y TROYANOS

Software o código malicioso que tiene como objetivo infiltrarse o dañar un sistema o equi-
po, estando además normalmente diseñados para su rápida propagación en una red de or-
denadores. Especialmente extendido se encuentra el uso de troyanos, cuya apariencia simu-
la la de un programa benigno o inocuo que, tras ser ejecutado por el usuario, ocultan y libe-
ran el virus contenido en él.
El 80% de los ataques
BOTNET (REDES ZOMBIS) podrían prevenirse con
buenas prácticas como
Conjunto de ordenadores (conectados a Internet) infectados que se ejecutan y controlan de
el uso de contraseñas
manera autónoma y automática. Estas redes son usadas principalmente para aumentar la
seguras,
capacidad de procesamiento necesaria para perpetrar un ataque, así como para ocultar el
configuraciones de
origen y autoría del mismo.
seguridad adecuadas,
un correcto control de
ROOTKITS
accesos a aplicaciones
Herramientas y programas usados para esconder la presencia del intruso, obteniendo privi-
y datos, y la
legios de administración que permitirán la manipulación futura del sistema.
actualización de
sistemas.
APT (AMENAZA PERSISTENTE AVANZADA)
Ataques especialmente diseñados y dirigidos contra una organización o entidad concreta.
Por lo general requieren de un elevado tiempo de preparación y combinan diferentes técni-
cas y vulnerabilidades de entre las ya comentadas anteriormente.
Con carácter general, todas estas técnicas o ques sufridos por las empresas evidencian fa-
amenazas se basan en la detección y existen- llos ocasionados por la ausencia de medidas
cia de errores en la configuración de seguri- de seguridad, métodos, procedimientos, pro-
dad de los sistemas, obsolescencia o falta de ductos y herramientas debidamente imple-
actualización de las infraestructuras tecnoló- mentados y certificados.
gicas, y fallos de programación o diseño en
las arquitecturas de seguridad y comunicacio- A este hecho se suma la escasa conciencia-
nes, cuya identificación y mitigación debe ción y cultura de seguridad dentro de las or-
considerarse una prioridad por las entidades y ganizaciones, y la escasez de personal sólida-
organizaciones. mente formado y especializado dedicado a la
ciberseguridad. El 80% de los ataques ciber-
Por otro lado, a las facilidades derivadas de
una mayor superficie de explotación por parte néticos podrían prevenirse mediante una serie
de los atacantes (móviles, cloud, redes socia- de sencillas buenas prácticas en redes y equi-
les, etc.) o la existencia de un mercado negro pos, que suelen incluir el uso de contraseñas
de vulnerabilidades 0-Day, poco ayuda una seguras, configuraciones de seguridad ade-
realidad en la que la mayor parte de los ata- cuadas, correcta gestión del control de acce-
15
sos a aplicaciones y datos, y un apropiado ni- Seguridad), el mayor porcentaje de ataques

vel de actualización de los sistemas10. tienen su origen en vulnerabilidades ya cono-
cidas y para las que se dispone de soluciones
De hecho, según estudios recientes publica-
y medidas de detección y mitigación.
dos por el CCN-CERT (Centro Criptológico
Nacional-Centro de Respuesta a Incidentes de
DE LA SEGURIDAD DE TI A LA CIBERSEGURIDAD: EL CAMBIO DE PA-

RADIGMA
Es importante señalar el incremento en el nú- Hasta tal punto es así, que también el ciber-
mero de ataques directos a personas (em- crimen se ha convertido en un negocio (Cy-
pleados, clientes, simples usuarios de Inter- bercrime as a Service), siendo posible actual-
El cibercrimen se ha net), puesto que representan el eslabón más mente contratar a través de Internet (princi-
convertido en un débil de la cadena de seguridad. La populari- palmente en la Deep-web / Dark-Web11) la
negocio, siendo posible zación y extendido uso de Internet en casi to- realización de un ataque de DoS, spam, phis-
contratar a través de dos los ámbitos de la sociedad actual (públi- hing, el alquiler de una botnet o los servicios
Internet la realización co, profesional, compras, comunicación, noti- de un hacker.
de un ataque DoS, cias, viajes, cultura,…) ha incrementado nota-
spam, phishing, el Este nuevo entorno de evolución, sofisticación
blemente la superficie de ataque disponible
alquiler de una botnet e incremento de los ataques y amenazas está
para los cibercriminales; y debido a su alta
o los servicios de un produciendo un cambio relevante en la mane-
efectividad y la falta de medidas de protec-
hacker. ra de gestionar la seguridad en las organiza-
ción adecuadas que en muchas ocasiones
ciones.
presentan los dispositivos (smartphones, ta-
blets, ordenadores personales,…) son cada Tradicionalmente la seguridad de la informa-
vez más habituales este tipo de ataques, ha- ción ha sido siempre una de las materias ma-
biendo crecido su impacto de manera expo- yormente olvidadas, cuya percepción general
nencial durante los últimos años. se aproximaba más a un impedimento o traba
en el desarrollo de los negocios y las tecnolo-
Se puede afirmar incluso que el cibercrimen
gías, que a una auténtica necesidad.
se ha profesionalizado, contando actualmente
los atacantes con elevados conocimientos y Desde un enfoque histórico, la gestión de la
recursos, tanto humanos como técnicos y fi- seguridad de la información consistía en un
nancieros. Se trata, por tanto, de grupos bien enfoque principalmente reactivo: las revisio-
organizados y preparados. nes de configuración de seguridad de los sis-
10. National Audit Office (2013): The UK cyber security strategy: Landscape review
11. Parte oculta de Internet, utilizada por los cibercriminales/delincuentes, no accesible desde los motores de búsqueda
tradicionales, y dotada de complejos sistemas de comunicación y reenvío del tráfico y contenidos para ocultar su ori-
gen, acceso y mantener el anonimato.
16
CIBERSEGURIDAD
· Controles centrados en el cumplimienro normativo.
ENFOQUE PREVENTIVO
· Desarrollo de una estrategia global de seguridad. · Compliance técnico con auditorías y estándares.
ENFOQUE REACTIVO
· Monitorización y vigilancia de la seguridad.
· Escaso análisis de amenazas externas, con foco casi
· Gestión de amenazas de manera proactiva. exclusivo en el personal interno.
· Coordinación e intercambio de información.
· Análisis de logs y eventos de seguridad, únicamente
· Personal dedicado y experto. realizado tras sufrir incidentes o ataques relevantes.
· Formación y concienciación de personal.
SEGURIDAD DE TI
Fuente: elaboración propia
temas y revisión de logs o registros de even- de sus planes de transformación a la econo-

tos eran ejecutadas casi única y exclusiva- mía digital.
mente por exigencias de cumplimiento o au-
Un ciberataque dirigido a una organización
ditorías, entre otros motivos por la carencia
afecta a todas sus áreas, pero se traduce so-
de cultura de seguridad en las organizacio-
bre todo en pérdidas que afectan al nego-
nes, así como por la escasez de recursos y
cio12:
personal dedicado a estas tareas.
· Pérdida de ingresos (19%).
El contexto actual ha hecho necesario evolu- · Pérdida de productividad (21%).
cionar hacia una gestión proactiva de la segu-
· Deterioro marca/ reputación y pérdida de la
ridad, la identificación anticipada de los ries-
confianza de clientes/accionistas (30%).
gos y la gestión continua de las amenazas
que pueblan el ciberespacio. En otras pala- · Cumplimiento y sanciones legales (8%).
bras, es necesario evolucionar de la actual
cultura reactiva a una de prevención y resi- Costes de TI: 22% Pérdidas que afectan
al negocio: 78%
liencia.
12% 19%
Por otra parte, las funciones de seguridad de 10%
la información, prevención de fraude y conti-
nuidad de negocio, están pasando a un pri- 8%
21%
mer plano corporativo porque se imbrican en
el conjunto de responsabilidades de la alta di-
rección de las organizaciones. Especialmente 30%
en empresas cotizadas, que han de ser ejem-

plares de cara a sus accionistas en el buen
De hecho, apenas una cuarta parte del impac-
gobierno de sus sociedades y en el cumpli-
to de ciberataque son costes TI:
miento legal, por lo que deberían invertir ade-
cuadamente en la gestión de riesgos de ciber- · Costes técnicos de remediación (10%).
seguridad como uno de los elementos clave · Costes de investigación (12%).
12. IBM (2014): Global Study on the Economic Impact of IT Risk
17
De la rapidez y extensión del impacto que tie- detección de los riesgos de ciberseguri-
nen las nuevas amenazas en toda la organi- dad.
zación se concluye que la ciberseguridad no
· Medidas organizativas, como la difusión
es una cuestión cuya responsabilidad deba
La ciberseguridad no de políticas de seguridad en las organiza-
debe circunscribirse a circunscribirse a los departamentos de TI, sino
ciones o la concienciación a los usuarios de
los departamentos de que la Alta Dirección de la empresa ha de es-
los riesgos en el uso de las tecnologías de
TI, sino que la Alta tar implicada en su gestión eficiente con un
la información.
Dirección ha de compromiso activo continuo.
implicarse en su · Medidas técnicas que pueden incluir desde
Por tanto la seguridad corporativa ya no se
gestión eficiente con un la existencia de herramientas para la ges-
identifica únicamente con la seguridad pre-
compromiso activo tión centralizada de alertas y eventos de
ventiva, ni es responsabilidad exclusiva de un
continuo. seguridad en los sistemas a técnicas que
departamento, ni se separa en un escenario
interior o exterior o con un enfoque reactivo o permitan detectar y prevenir fugas de infor-
preventivo. mación confidencial; contratación de servi-
cios de hacking ético y auditorías forenses
De este modo surgen en el seno de las em- de seguridad; búsqueda de información en
presas nuevas actividades y tareas relaciona- Internet, prensa o redes sociales; suscrip-
das entre las que cabe destacar: ción a servicios de alertas, incidentes y vul-
nerabilidades de seguridad; e incluso la
· Análisis de la exposición a los ciberries-
contratación de pólizas de los denominados
gos por parte de las entidades, identifica-
ciberseguros que cubran la pérdidas ocasio-
ción y clasificación de información crítica
nadas por un ciberataque, y la participación
existente en una organización y estableci-
miento de una estrategia de seguridad. en ciberejercicios que permitan evaluar las
capacidades de organización y resiliencia
· Concienciación: Cualquier persona o área ante el cibercrimen.
de una entidad puede ser víctima de un ci-
berataque, por lo que resulta necesario es- Servicios y sistemas de seguridad
tablecer una cultura de seguridad en las or-
ganizaciones con el objetivo de cambiar la En los últimos años han surgido diferentes
manera en que la seguridad es percibida servicios avanzados de seguridad para el con-
por las personas, adoptando entre otras al- trol y gestión de estos riesgos que cada vez
gunas de estas medidas: más organizaciones están adaptando e im-
- Divulgación de políticas y manuales de plantando en su operativa diaria, y entre los
seguridad. que cabe destacar:
- Difusión de incidentes y ataques de se- · SOC (Security Operations Center). La exis-

guridad, explicando sus causas y oríge- tencia de un Centro de Operaciones de Se-
nes. guridad (24x7) con personal especialista
- Establecimiento de cursos y actividades dedicado en exclusiva a la prevención y de-
formativas en materia de prevención y tección de ciberataques.
18
· SIEM (System Information Event Manage- información, etc. Incluye la coordinación e

ment). La existencia de herramientas que intercambio de información con organismos
permitan la correlación e identificación de públicos (por ejemplo, Fuerzas de Seguri-
eventos de seguridad en los diferentes sis- dad del Estado) y otras organizaciones de
temas y dispositivos, así como una gestión referencia.
centralizada de dichas alertas.
Para llevar a cabo estas actividades, resulta
· DLP (Data Loss Prevention). La existencia fundamental contar con los recursos y el per-
de procedimientos, medidas y herramientas sonal capacitado para realizarlas, adaptándo-
para la prevención y detección de pérdidas,
nos por supuesto a las necesidades, nivel de
robos y fugas de información confidencial.
exposición y tamaño de cada entidad. Por es-
te motivo, el personal con conocimientos y El tratamiento de la
· Antimalware. Herramientas de detección y
habilidades en materia de ciberseguridad es a ciberseguridad requiere
prevención de malware y otras amenazas
de un enfoque
avanzadas. Estos sistemas, utilizan técnicas día de hoy un perfil muy demandado y valora-
transversal e integral,
heurísticas y de detección por comporta- do en el mercado de trabajo actual.
ya que ésta excede el
miento algo más avanzadas que los clási-
Por otro lado, en el actual contexto globaliza- ámbito, funciones y
cos anti-virus, normalmente basados en fir-
do donde empresas y organizaciones de cual- responsabilidad del
mas.
quier país y sector son posibles objetivos de personal y áreas de
· Hacking ético y pen-testing. La necesidad los ciberdelincuentes, para combatir estas seguridad y tecnología.
de contar con servicios y pruebas periódicas amenazas resulta casi imprescindible la cola-
de hacking e intrusión en los sistemas, rea- boración, coordinación e intercambio de infor-
lizados bien sea a través de recursos inter- mación entre entidades, gobiernos, institucio-
nos o subcontratados con terceros. nes públicas y gubernamentales, y fabricantes
· Auditorías forenses de seguridad. Servi- y proveedores de software y hardware.
cios basados en diferentes procesos de in-
El alcance actual de la ciberseguridad y los
vestigación, rastreo y recopilación de infor-
riesgos que conlleva excede con creces el ám-
mación con el objetivo de establecer el ori-
bito de las infraestructuras y tecnologías de la
gen, motivo e incluso autoría de un cibera-
comunicación, e incluye también la protección
taque, así como la recolección de eviden-
de personas.
cias digitales que puedan servir incluso co-
mo prueba en posibles litigios o procesos Debido a ello, su tratamiento requiere de un
judiciales. enfoque transversal e integral en las organi-
· Ciberinteligencia. Observatorio de Internet zaciones. Cualquier persona o área de una or-
y servicios de vigilancia digital que incluyan ganización puede ser víctima de un ciberata-
entre otros el seguimiento y análisis de in- que, por lo que es necesario contar con todas
formación publicada en redes sociales, fo- ellas, puesto que la ciberseguridad excede el
ros, portales técnicos, medios de comunica- ámbito, funciones y responsabilidades del per-
ción, etc., como medida de prevención de sonal y áreas de seguridad y tecnología, y nos
posibles ataques, identificación de fugas de afecta a todos y cada uno de nosotros.
19
Actualmente, resulta cada vez más común es- Para ello, las entidades están adoptando mo-
cuchar en las entidades y medios de comuni- delos para la gestión de los ciberriesgos, ba-
cación términos como ciberinteligencia, resi- sados en algunos de los estándares y buenas
liencia o seguridad operacional, que represen- prácticas del mercado, propuestos por las
Las organizaciones
tan perfectamente este cambio de paradigma, principales organizaciones de referencia (ISO,
deben implantar una
y ahondan en la idea del establecimiento de CobiT, ISACA, ITIL).
estrategia de seguridad
acorde a su exposición una estrategia global del ciclo de vida de la La siguiente figura muestra las principales
a los riesgos y a las seguridad y la gestión de incidentes, así como funciones asociadas a la gestión de la ciber-
necesidades, en las capacidades de las organizaciones de seguridad según el modelo de control pro-
posibilidades y defenderse, resistir e incluso responder a un puesto por el Instituto Nacional de Estándares
recursos. ciberataque. y Tecnología Norteamericano (NIST13).
CICLO DE VIDA DE GESTIÓN DE LOS CIBERRIESGOS
Identificar Proteger Detectar Responder Recuperar
Fuente: NIST (National Institute of Standards and Technology) (Feb. 2014): Framework for Improving Critical Infrastructure
Cybersecurity
Si bien la seguridad no existe al cien por cien sobre todo, es necesario un cambio de menta-
(siempre estaremos expuestos en mayor o lidad.
menor medida), sí es posible hacer nuestras
En este sentido, las organizaciones deben rea-
organizaciones más seguras. Para ello, la anti- lizar un análisis detallado de la exposición a
cipación es clave. Hay que ir por delante de estos riesgos, e implantar una estrategia de
los ataques siendo capaces de detectarlos y seguridad acorde a la misma, así como a las
prevenirlos. necesidades, posibilidades y recursos de cada
organización, construyendo un modelo de
Además, se puede limitar de forma significati-
gestión de la seguridad donde, además de las
va el daño si se reacciona de forma rápida y áreas clásicas de la seguridad IT, tengan refle-
decidida ante cualquier intento de compro- jo capacidades más avanzadas asociadas con
meter nuestro entorno. Todo esto requiere los conceptos de ciberseguridad y ciberresi-
continuidad y constancia en la vigilancia pero, liencia14.
13. NIST: del inglés “National Institute of Standards and Technology”.
14. Deloitte (2015): Modelo Colaborativo de CiberSeguridad (MCCS).
20
A nivel agregado, el conjunto de medidas y · Prevención frente a ciberataques mante-

principales actividades para el control y ges- niendo y mejorando las herramientas y me-
tión de los ciberriesgos, podría resumirse en: didas de seguridad física, de sistemas, re-
· Gobierno y organización en la entidad para des, y aplicaciones para la protección de
gestionar los riesgos, con una clara asigna- sus infraestructuras y sus activos de infor-
ción de roles y responsabilidades en toda la mación.
La sucesiva realización
organización, implantando estructuras de · Respuesta ante incidentes de seguridad y de ciberejercicios
gobierno –procedimientos, políticas de se- recuperación adecuadas, con el fin de po- permite a las
guridad, estándares, cumplimiento legal,
der limitar su impacto sobre la organización organizaciones mejorar
formación y concienciación de directivos y
y mantener la continuidad del negocio. su desempeño en el
empleados, gestión de proveedores– que
ámbito de la
permitan mantener y evolucionar sus capa- Este marco estratégico para la gestión de la
ciberseguridad.
cidades de ciberseguridad. seguridad, permitirá a las organizaciones
· Detección de las amenazas mediante el comprender el panorama de las ciberamena-
uso de las múltiples fuentes de ciberinteli- zas y los riesgos subyacentes; proteger los da-
gencia con el fin de poder gestionarlas pro- tos y activos contra las amenazas cibernéti-
activamente, análisis de redes y sistemas, cas; detectar estas a tiempo; y finalmente,
análisis del comportamiento de los usua- responder a los ciberataques y estar mejor
rios, monitorización de eventos de seguri- preparadas para reaccionar frente a lo inespe-
dad, etc. rado.
CIBEREJERCICIOS Y CIBERSEGUROS
De la misma forma que en el mundo de la mite evaluar el estado de preparación de los
continuidad de negocio y la gestión de crisis participantes frente a crisis de origen ciberné-
el modelo de gestión evoluciona principal- tico, facilitando además lecciones aprendidas
mente por la realización de sucesivos escena- y recomendaciones para el futuro…”
rios de prueba, dentro de la ciberseguridad la
Con carácter general, y aunque la naturaleza
sucesiva realización de ciberejercicios permi-
de estos ejercicios es variada, pueden cumplir
ten a las organizaciones mejorar su desempe- con los siguientes objetivos:
ño dentro de este ámbito.
- Evaluar las medidas de seguridad perime-
tral, monitorización de seguridad y protec-
Ciberejercicios ción de sistemas y activos de información,
Tal y como se recoge en el documento Taxo- mediantes ejercicios de hacking ético o
nomía de Ciberejercicios desarrollado por el pentesting que simulan y utilizan las técni-
INCIBE (Instituto Nacional de Ciberseguri- cas y modos de actuación de los atacantes.
dad), se puede definir el concepto de cibere- - Evaluar las capacidades de tratamiento y
jercicio como: “…una herramienta que per- recuperación de las entidades ante un ci-
21
berataque, tanto de las medidas organizati- que con la participación de organismos de

vas y de gestión (ejercicios role-play: toma defensa estadounidenses. La realización de
de decisiones), como desde un punto de este tipo de ejercicios suele implicar la partici-
vista técnico (capacidades de detección, pación de numerosos organismos guberna-
Los resultados de los
análisis de la infección e informática foren- mentales incluyendo tanto al ejército como a
ciberejercicios permiten
se, contingencia de los sistemas,…). las fuerzas del orden y seguridad del Estado.
identificar debilidades y
ausencias de control en - Evaluar el nivel de concienciación, forma- La implicación de múltiples organismos en la
los sistemas y ción y cultura de seguridad de los emplea- preparación de estos ciberejercicios represen-
mecanismos de control dos de la organización, típicamente realiza- ta un gran dilema a la hora de desarrollar una
y seguridad de la do a través de la realización de simulacros estrategia continua de pruebas. El alto coste
información, (falsas campañas de phishing, colocación de preparación y coordinación de actividades
permitiendo establecer de dispositivos con información confiden- que exigen estos ejercicios representa un es-
planes y acciones para cial,…). collo importante a la hora de formalizar un
su resolución y mejora. proceso continuo de prueba. Además, suele
Los resultados de estos ejercicios son de gran
ser complicado obtener un reaprovechamien-
valor para las entidades, puesto que permiten
to de las actividades desarrolladas anterior-
identificar debilidades y ausencias de control
mente debido al alto grado de volatilidad y
en los sistemas y mecanismos de control y se-
caducidad de las ciberamenazas. Es decir, el
guridad de la información, permitiendo esta-
escenario preparado un año para la realiza-
blecer planes y acciones para su resolución y
ción del ciberejercicio puede encontrarse ob-
mejora.
soleto para el ejercicio del año siguiente, lo
Estas actividades de prueba dentro de la ci- que requiere volver a desarrollar y planificar
berseguridad han sido promovidas y desarro- un nuevo escenario de prueba cada ejercicio.
lladas, tradicionalmente, por los ámbitos mili-
La elevada complejidad de las pruebas, unida
tares y gubernamentales.
al reducido beneficio que estas actividades
Generalmente las pruebas cuentan con la par- pueden llegar a proporcionar (teniendo en
ticipación de las fuerzas de seguridad locales, consideración la constante aparición de nue-
aunque recientemente, y cada vez más, la vas ciberamenazas) han hecho surgir el térmi-
complejidad de las infraestructuras tecnológi- no CyberRange, conocido como “Campo de
cas y la protección de las infraestructuras crí- Maniobras”. Este tipo de iniciativas represen-
ticas implican la participación de diferentes tan una infraestructura tecnológica de virtua-
organizaciones empresariales de diversos sec- lización con la suficiente versatilidad como
tores. para poder componer multitud de escenarios
y situaciones de manera rápida y automatiza-
Inicialmente, los principales ciberejercicios da. De esta forma, con un esfuerzo menor y
provenían de organismos gubernamentales de forma ágil se pueden recrear campos de
de defensa como la OTAN. Dentro de este ti- entrenamiento continuo para el personal im-
po de iniciativas podríamos encuadrar el Loc- plicado en la ciberseguridad. Este concepto,
ked Shields y la Cyber Coalition, que se de- con un elevado coste y una alta complejidad
sarrollan principalmente a nivel europeo aun- de diseño, representa actualmente una ten-
22
dencia muy interesante para los organismos vez en 2015 contó con la participación de ins-
de defensa de cara a reducir la carga de tra- tituciones europeas) o los más recientes Pro-
bajo que puede representar la preparación y teus (Brasil), CBEST Cyber Exercise (Inglaterra)
realización de ciberejercicios. y Ciber Perseu (Portugal).
Sin embargo, actualmente la realización y par-

ticipación de las entidades en ciberejercicios
Ciberseguros
se encuentra ampliamente extendida y ha Otra de las tendencias recientes en el ámbito
evolucionado hacia un enfoque menos com- de la ciberseguridad es la proliferación de los
plejo y más práctico (pequeños simulacros y denominados ciberseguros o pólizas para la
ejercicios concretos) para las entidades, hasta cobertura de los riesgos relacionados con la
ser considerada una buena práctica casi im- ciberseguridad, siendo considerada una de las
La contratación de
prescindible en ciberseguridad para las orga- principales estrategias para la mitigación de
ciberseguros es
nizaciones. riesgos (transferencia del mismo a un terce-
tendencia, con
ro).
En el ámbito nacional los ejercicios organiza- coberturas que van
dos por el INCIBE y el CNPIC (Cyber-Ex), con- Las compañías aseguradoras han diseñado desde la protección de
taron en 2014 con la participación de quince productos específicos dentro de este ámbito las propias
grandes empresas españolas de sectores del con coberturas que oscilan desde la protec- infraestructuras a la
transporte, finanzas, energía, servicios, inver- ción de las propias infraestructuras a la cober- cobertura de los riesgos
siones y seguros; como por ejemplo Banco tura de los riesgos, en caso de la declaración en caso de la
Santander, Repsol, Mapfre, Metro Madrid, Ac- de una ciberguerra. declaración de una
ciona S.A., y El Corte Inglés, entre otras. ciberguerra.
En este tipo de pólizas el tomador de las mis-
En el año 2015 aumentó el número de enti- mas debe cumplimentar un cuestionario, e in-
dades participantes, habiéndose realizado cluso el tomador puede verse sometido a un
ejercicios específicos adaptados a la naturale- proceso de evaluación en ciberseguridad por
za de la actividad de las entidades (diferentes parte de un externo contratado por la compa-
ejercicios por sector), así como la realización ñía aseguradora, de cara a establecer el im-
del primer Cyber-Ex Internacional, incluido en porte de la prima, que dependerá en parte de
el marco de los Estados Miembros de la Orga- las medidas de seguridad que el tomador ha
nización de los Estados Americanos (OEA), implantado en su compañía, así como de las
con el objetivo de fortalecer las capacidades coberturas y franquicias establecidas.
de respuesta ante incidentes cibernéticos, así
Es importante mencionar que, con carácter
como una mejora de la colaboración y coope-
general, este tipo de pólizas no suele cubrir
ración ante este tipo de incidentes.
las pérdidas económicas directas (robo dine-
Otros ejemplos de ciberejercicios relevantes rario) ocasionadas por un cibertaque (las
son los promovidos por FS-ISAC15 y Payments compañías suelen disponer de otro tipo de
Council (iniciados en 2010 para entidades de pólizas y provisiones para cubrir los eventos
Estados Unidos y Canadá, y que por primera de fraude tanto interno como externo), sino
15. Financial Services–Information Sharing and Analysis Center. https://www.fsisac.com/
23
que están enfocadas a cubrir las pérdidas y de 61 millones de dólares, de los cuales su
gastos relacionados con fallos en los siste- seguro cubrió 44 millones.
mas, notificación y atención a clientes, investi-
Un reciente estudio de Wells Fargo sobre 100
gación forense, extorsión, gastos de consulto-
Los ciberseguros no empresas medianas y grandes de Estados
suelen cubrir las rías y asesoramiento legal, impactos reputa-
Unidos desveló que el 85% de ellas tenían un
pérdidas económicas cionales o responsabilidades derivadas de ro-
ciberseguro. De éstas, el 44% habían sufrido
directas de un bos de información y publicación de conteni-
incidentes que fueron cubiertos por su asegu-
ciberataque, sino que dos en medios digitales. radora.
cubren aquellas
Valga como ejemplo el caso de la cadena de Según la correduría de seguros Marsh, el mer-
relacionadas con fallos
supermercados norteamericana Target, que cado de los ciberseguros generó en Estados
en los sistemas,
disponía de un ciberseguro. A finales de 2013 Unidos 1.000 millones de dólares en 2013,
notificación a clientes,
sufrió un cibertaque por el que le fueron sus- cantidad que se dobló en 2014 y cuya de-
investigación forense o
impactos traídos los números de tarjetas de crédito y manda sigue aumentando significativamente
reputacionales, entre débito de 40 millones de clientes, así como en la actualidad. El mercado europeo de ci-
otras. los datos personales de 70 millones de perso- berseguros es aún pequeño comparado con
nas. El coste del ataque para la compañía fue Estados Unidos, pero crece a buen ritmo.
METODOLOGÍAS Y ESTRATEGIAS DE CONTROL Y GESTIÓN DE CIBER-

RIESGOS
En la actualidad existe un buen número de prácticas si queremos luchar con éxito contra
marcos de control y buenas prácticas sobre los riesgos asociados a la ciberseguridad.
ciberseguridad que pueden ser de gran utili-
dad para que las organizaciones afronten este NIST 02-2014
reto. Hacer uso de ellos facilitará la compren-
sión de los riesgos y amenazas existentes y El National Institute of Standards and Techno-
facilitará la implantación de las medidas ade- logy (NIST) proporciona interesantes referen-
cuadas a la realidad de la compañía. cias y buenas prácticas a través de metodolo-
gías y normas, cuyo objetivo no es otro que el
A continuación se muestran algunos de los de promover la innovación y competitividad
ejemplos más significativos, incluyendo algu- industrial.
nas de las entidades/organismos de referen-
cia en el ámbito de la ciberseguridad, tanto a Dentro de su gran producción de marcos de
nivel nacional como internacional. referencia, cabe destacar por su utilidad en el
tema que estamos tratando el correspondien-
No hay que olvidar que el sector se encuentra te a ciberseguridad: “Framework for Impro-
en constante evolución, pudiendo surgir nue- ving Cybersecurity”. Este documento, de ca-
vas referencias. Es importante mantenerse ac- rácter público y disponible a través de su pá-
tivo en la búsqueda de soluciones y nuevas gina web, muestra un enfoque basado en
24
riesgos para la gestión de la ciberseguridad y · Niveles de implantación del marco y proce-

se compone de tres apartados: sos para gestión del riesgo.
· Marco base: Conjunto de actividades para · Perfiles del marco: Resultados en base a las
la correcta gestión de la ciberseguridad. Se necesidades del negocio.
divide en 5 funciones: identificar, proteger,
detectar, responder y recuperar que, a su
vez, se dividen en 20 categorías.
“FRAMEWORK FOR IMPROVING CIBERSECURITY” · MARCO BASE
Identificar Proteger Detectar Responder Recuperar
Gestión de activos Control de acceso Anomalías y eventos Plan de respuesta Plan de

recuperación
Entorno de negocio Formación y Monitorización Comunicaciones
concienciación continua Análisis
Gobierno Mitigación
Seguridad de los Procesos de Mejoras
Análisis de riesgos datos detección
Estrategia Protección de la
de gestión información
Mantenimiento
Tecnologías de
protección
Fuente: National Institute of Standards and Technology (NIST)
ISO / IEC 27032 pos de seguridad, definición de grupos de in-

terés y sus roles, y guía para hacer frente a los
La organización internacional de normaliza- problemas de ciberseguridad. Normas como la ISO
ción no podía ser menos a la hora de ofrecer 27032, la ISO 27014 o
un estándar internacional con directrices de Es importante tener presente que las buenas el conjunto ISO 27000
ciberseguridad. prácticas en seguridad de la información, se- son importantes para
guridad física, etc., son también aplicables a asegurarse buenas
El alcance de las directrices incluidas en la la ciberseguridad, por lo que se deben tener prácticas en materia de
norma “Cybersecurity Guideline” engloba también presentes otras normas como la ISO ciberseguridad.
los ámbitos de seguridad de la información, 27014 “Gobierno de la seguridad de la infor-
seguridad de la red, seguridad en Internet y mación”, o el conjunto ISO 27000, entre las
en las infraestructuras críticas, así como bue- que destacan entre otras:
nas prácticas en el intercambio de informa- · ISO 27001 “Estándar para la seguridad de
ción, manejo de incidentes y colaboración en- la información”.
tre las partes interesadas. La norma establece · ISO 27002 “Código de buenas prácticas
una visión general de ciberseguridad, explica- para la gestión de seguridad de la informa-
ción de la relación entre la misma y otros ti- ción”.
25
· ISO 27003 “Directrices para la implanta- CESG UK GOV

ción de un SGSI16”.
Communications - Electronics Security Group
· ISO 27004 “Métricas para la gestión de la
(CESG)) representa la autoridad nacional en
Según el Instituto seguridad de la información”.
el Reino Unido en materia de seguridad de la
SANS, hay 20 controles · ISO 27005 “Gestión de riesgos en seguri- información.
críticos o acciones clave dad de la información”.
que las organizaciones Entre sus muchas publicaciones destaca “Ten
deberían implementar Steps To Cyber Security”, una guía sobre có-
SANS y CIS
para prevenir, detectar mo las organizaciones pueden protegerse en
y mitigar los SysAdmin Audit, Networking and Security Ins- el ciberespacio en 10 pasos. Inicialmente pu-
ciberataques. titute (SANS) es una conocida organización blicada en septiembre de 2012, a la fecha de
norteamericana de investigación y educación publicación de este documento la última ver-
cooperativa que ofrece recursos y noticias so- sión data de enero de 2015, e incluye como
bre seguridad. Entre sus artículos se puede sus 10 principales prioridades la gestión de
encontrar mucha información relevante en los siguientes aspectos:
materia de ciberseguridad. Dentro de sus re- · Modelo de información de los riesgos de ci-
cursos, se encuentra “Securing The Human”, berseguridad.
que ofrece herramientas de concienciación · Configuración segura.
gratuitas.
· Seguridad de la red.
En el año 2008, con el objetivo de minimizar · Gestión de usuarios privilegiados.
los robos de información sufridos principal- · Formación y concienciación de usuarios.
mente por organizaciones del ámbito de de-
· Gestión de incidentes.
fensa estadounidense, se inició el proyecto
· Protección ante el malware.
para la elaboración de una guía de buenas
prácticas en seguridad de la información: · Monitorización de seguridad.
“Critical Security Controls for Effective Cy- · Control de dispositivos removibles.
ber Defense”, que fue transferido en 2015 al · Política de trabajo a distancia (móvil y en el
Center for Internet Security (CIS) de Estados hogar).
Unidos.
Se trata de 20 controles críticos o acciones ISACA

clave que las organizaciones deberían imple- Information Systems Audit and Control Asso-
mentar para prevenir, detectar y mitigar los ci- ciation (ISACA) se involucra en el desarrollo
berataques. A la fecha de publicación de este de buenas prácticas en auditoría y control en
documento, la última versión (6.1) data de sistemas de la información. Dentro de la infi-
agosto de 2016 y será objeto de un mayor nidad de documentación que proporciona a
análisis en posteriores capítulos del presente los profesionales cabe destacar la guía para la
documento. aplicación del marco NIST (mencionado ante-
16. Sistema de Gestión de Seguridad de la Información.
26
riormente) para la ciberseguridad: “Imple- · “Gestión de riesgos”.

menting the NIST Cybersecurity Frame- · “Ciberseguridad en comercio electrónico”.
work”, desarrollada dentro de su programa
CSX (Cybersecurity Nexus), creado en 2015 Adicionalmente, el Instituto pone a disposi-
tras la aprobación de la ley de ciberseguridad ción de los usuarios de todo un catálogo de
estadounidense (Cibersecurity Information empresas proveedoras de soluciones de ciber-
Sharing Act of 2015), con el objetivo de pro- seguridad, así como un servicio gratuito para
porcionar a los profesionales de seguridad los conocer si un equipo está infectado.
conocimientos y herramientas necesarios para
la realización de su trabajo. En materia de formación y concienciación ca-
be destacar la actividad de la Oficina de Se-
Adicionalmente, y dentro la última revisión de guridad del Internauta (www.osi.es), cuyo ob-
El español INCIBE pone
CobiT (Control objectives for Information and jetivo es ayudar a los usuarios de Internet a la
a disposición de
related Technology), cuyas guías representan adopción de buenos hábitos en seguridad, ciudadanos y empresas
uno de los principales estándares de buenas sensibilizando a la comunidad de los riesgos una elevada cantidad
prácticas para el control y supervisión de tec- existentes, y contribuyendo a reducir el volu- de recursos e
nología de la información a nivel mundial, men y gravedad de incidentes de seguridad información
ISACA lanzó en junio del 2012 “COBIT 5 pa- sufridos por los usuarios. relacionada con la
ra la seguridad de la información”, actuali-
zando la última versión de su marco para pro- Otras de las iniciativas lideradas por el INCIBE ciberseguridad.
porcionar una guía práctica de seguridad de son CyberCamp y CyberEx, también mencio-
la empresa en todos sus niveles prácticos, y nadas en este documento.
ayudar a las empresas a reducir sus perfiles
de riesgo a través de una adecuada adminis- ENISA
tración de la seguridad.
La European Union Agency for Network and
INCIBE Information Security (ENISA) ofrece en su pá-
gina web intercambio de información, buenas
El Instituto Nacional de Ciberseguridad (INCI- prácticas y conocimiento en el campo de la ci-
BE), fundando en España en 2006 bajo el berseguridad.
nombre de INTECO (Instituto Nacional de Tec-
nologías de la Comunicación) y dependiente Un reglamento publicado en junio de 2013
del Ministerio de Industria, pone a disposición encomendaba a ENISA el ámbito de actua-
de su público –que abarca desde ciudadanos ción y la autoridad necesarios que les permite
individuales a grandes empresas– una eleva- la lucha contra el cibercrimen:
da cantidad de recursos e información rela- · Desarrollo de políticas y legislación de la
cionada con la ciberseguridad. Unión Europea en materia de ciberseguri-
Entre muchas otras utilidades, en su página dad.
web se puede encontrar un apartado específi- · Investigación, desarrollo y estandarización
co denominado “Protege tu empresa”, y que de normativa.
incluye por ejemplo las siguientes guías: · Prevención, detección y respuesta a cibera-
· “Cómo gestionar una fuga de información”. menazas fronterizas.
27
Aunque sus recomendaciones están enfoca- nas prácticas aplicables a la realidad de las
das a estrategias nacionales de ciberseguri- organizaciones.
dad, su lectura puede ayudar a extraer bue-
REGULACIÓN Y NORMATIVA
Sector Público · Objetivos de la ciberseguridad. En este
apartado se establece el objetivo global de
El documento más importante en materia de lograr que España haga un uso seguro de
ciberseguridad en el ámbito regulatorio na- los Sistemas de Información y Telecomuni-
cional fue el publicado en el año 2013 desde caciones.
la Presidencia del Gobierno con el título Es-
trategia de Ciberseguridad Nacional. Este · Líneas de acción de la ciberseguridad na-
documento, conforma el eje central estratégi- cional. Define una serie de líneas maestras
La Estrategia de co y recoge los principios fundamentales para para alcanzar los objetivos expuestos en el
Ciberseguridad la definición de la estrategia española en ma- capítulo anterior.
Nacional recoge los teria de ciberseguridad.
puntos fundamentales · La ciberseguridad en el Sistema de Segu-
para la definición de la El documento se encuentra estructurado en ridad Nacional. Define la estructura orgá-
estrategia española en los siguientes capítulos: nica al servicio de la ciberseguridad.
materia de · El ciberespacio y su seguridad. Este capí- En el ámbito del sector público, se puede pro-
ciberseguridad. tulo recoge las características del ciberes- ducir una nueva diferenciación respecto al
pacio, así como sus principales oportunida- ámbito de aplicación de esta estrategia nacio-
des y amenazas. nal. Por un lado, se puede diferenciar el ámbi-
· Propósito y principios rectores de la ciber- to específico de defensa (militar) y por otro, se
seguridad en España. Establece una defini- puede identificar el ámbito de las administra-
ción de las directrices generales del uso se- ciones públicas. Aunque la estrategia en ma-
guro del ciberespacio. teria de ciberseguridad es la misma para es-
tos ámbitos, la aproximación empleada para
su desarrollo es diferente.
Ciberespacio
y su EN EL ÁMBITO DE LAS ADMINISTRACIONES
seguridad
PÚBLICAS, la principal normativa empleada
Sistema de Propósito y
Seguridad principios para la gestión de la ciberseguridad lo confor-
Nacional Estrategia de rectores man las normas internacionales ISO (princi-
Ciberseguridad
Nacional palmente ISO27002 e ISO18044).
Líneas Estas normas internacionales recogen, por un

de acción Objetivos
lado, un conjunto de controles para la gestión
de la seguridad de la información (ISO27002)
28
y, por otro lado, la norma ISO18044 define las desde un punto de vista técnico de los requi-
medidas de seguridad aplicables para el trata- sitos del ENS en entornos Windows 7 y Win-
miento y respuesta a incidentes tecnológicos. dows server 2008 R2.). Estos documentos y
herramientas son también empleados dentro
EN EL ÁMBITO DE DEFENSA, como ya se ha del ámbito de defensa para la implantación
mencionado anteriormente, se toma como de medidas de ciberseguridad.
principal guía el documento Estrategia de Ci-
berseguridad Nacional. Sin embargo, se ma- Finalmente, y aunque su ámbito de actuación
nejan y toman como documentación adicional excede el de la seguridad de las comunicacio-
los documentos de benchmarking elaborados nes telemáticas y el ciberespacio, abarcando
La serie de guías de la
por el CIS (Center for Internet Security) y las el terreno de la seguridad física y la lucha
serie STIC establece las
guías DISA STIGs (Defense Information Sys- contra el terrorismo, es relevante mencionar
políticas y
tems Agency - Security Technical Implementa- la creación del Centro Nacional de Protección
procedimientos
tion Guides) elaboradas por organismos esta- de las Infraestructuras Críticas (CNPIC) –de-
acecuados para la
dounidenses, que definen medidas de seguri- pendiente del Ministerio del Interior– encar-
gado de impulsar, coordinar y supervisar to- implantación de las
dad específicas para diferentes entornos y
das las actividades y mecanismos necesarios medidas contempladas
plataformas. Estas guías definen gran canti-
dad de medidas de seguridad, algunas de para garantizar la seguridad de la infraestruc- en el Esquema Nacional
ellas bastante costosas de implementar, pero turas que proporcionan servicios esenciales a de Seguridad.
son una pieza fundamental y muy completa a nuestra sociedad, fomentando la participación
la hora de bastionar distintas plataformas. de todos y cada uno de los agentes del siste-
ma en sus correspondientes ámbitos, con el
A nivel nacional también se cuenta con un objetivo de crear un modelo de seguridad ba-
conjunto de guías de la serie STIC (Seguridad sado en la confianza mutua, y creando una
de las Tecnologías de la Información y las Co- asociación público-privada que permita mini-
municaciones). En concreto, cabe destacar la mizar las vulnerabilidades de las infraestruc-
serie 800 relacionada con el ENS (Esquema turas críticas ubicadas en el territorio nacio-
Nacional de Seguridad). Esta Serie CCN-STIC- nal.
800 establece las políticas y procedimientos
adecuados para la implementación de las me- El primer Plan Nacional de Protección de las
didas contempladas en el Esquema Nacional Infraestructuras Críticas, aprobado en mayo
de Seguridad (RD 3/2010). de 2007, reconoce que el riesgo de ataques
terroristas catastróficos contra infraestructu-
Adicionalmente, tal y como se ha indicado, ras críticas está viviendo un aumento, y por
dentro del ámbito de las administraciones pú- ello se ha creado un catálogo de instalaciones
blicas se pueden destacar las normativas ela- sensibles a estos atentados.
boradas por el CCN-CNI (Centro Criptológico
Nacional) a través de las series de guías STIC. Este plan establece que las infraestructuras
Estas guías cuentan, en algunas ocasiones, críticas son aquellas instalaciones, redes, ser-
con herramientas propias de desarrollo como vicios y equipos físicos y de tecnología de la
son CARMEN (Centro de Análisis de Registros información cuya interrupción o destrucción
y Minería de Datos), LUCIA (Listado Unificado pueden tener una repercusión importante en
de Coordinación de Incidentes y Amenazas) o la salud, la seguridad o el bienestar económi-
CLARA (que permite verificar el cumplimiento co de los ciudadanos o en el eficaz funciona-
29
miento de los gobiernos de los Estados miem- nanzas, entre otros, a informar a las autorida-
bros. des nacionales acerca de incidentes de impac-
to significativo.
Entre estas instalaciones sensibles destacan
INFRAESTRUCTURAS
CRÍTICAS las centrales y redes de energía, las comunica- Se ha establecido que las 5 estrategias priori-
PLAN NACIONAL DE PROTECCIÓN ciones, las finanzas, el sector sanitario, la ali- tarias a desarrollar son:
Factores
mentación, el agua –embalses, almacena- · La resiliencia contra ciberataques.
miento, tratamiento y redes–, los transpor- · La reducción drástica de la delincuencia en
Rango
tes –aeropuertos, puertos, etc.–, monumentos la red.
Escala
nacionales, así como la producción, almacena-
Efectos en el tiempo · El desarrollo de una política de ciberdefen-
miento y transporte de mercancías peligrosas,
sa y de las capacidades correspondientes
como material químico, biológico o nuclear.
Parámetros en el ámbito de la Política Común de Segu-
El criterio para incluir a dichas instalaciones ridad y Defensa (PCSD).
Daños causados
Impacto económico
en el catálogo es una mezcla de diversos fac- · El desarrollo de los recursos industriales y
tores: rango, escala y efectos en el tiempo; y tecnológicos necesarios en materia de ci-
Impacto en servicios
esenciales de parámetros: daños causados, impacto eco- berseguridad.
nómico e impacto en servicios esenciales; y · El establecimiento de una política interna-
Áreas estratégicas comprende actualmente más de 3.500 insta-
cional coherente del ciberespacio en la
Energía laciones e infraestructuras sensibles dentro de
Unión Europea y la promoción de los valo-
Industria Nuclear las siguientes áreas estratégicas: Energía, In-
res europeos esenciales.
TI dustria Nuclear, Tecnologías de la Informa-
Transportes ción, Transportes, Suministro de Agua, Sumi- Así pues, son numerosas las iniciativas a nivel
Suministro de Agua nistro de Alimentos, Salud, Sistema Financie- internacional que diferentes organismos, re-
Suministro de Alimentos ro, Industria Química, Espacio y Administra- guladores y gobiernos están promoviendo en
Salud ción. el ámbito de la ciberseguridad y protección de
Sistema Financiero las infraestructuras críticas, entre las que cabe
EN EL ÁMBITO INTERNACIONAL caben desta-
Industria Química destacar la aprobación y promulgación de di-
car otras iniciativas como La Estrategia de Ci-
Espacio versas leyes en diferentes países:
berseguridad de la Unión Europea (publica-
Administración
da en 2013), o la Directiva de Seguridad de · Cybersecurity Enhancement Act of 2014 (Es-
la Redes y la Información (NIS), que estable- tados Unidos). Proporciona una asociación
ce medidas de control y mecanismos de coo- permanente público-privada para mejorar y
peración concretos entre los estados miem- fortalecer la investigación y el desarrollo
bros, como la red de equipos de respuesta a del personal, educación, preparación y con-
incidentes de seguridad (CSIRT) y el grupo de ciencia en materia de ciberseguridad.
cooperación, compuesto por miembros de au-
toridades nacionales competentes, la Comi- - Cybersecurity Act of 2015 (Estados Unidos).
sión de la Unión Europea y la ENISA. La Di- Creada con el objetivo de promover y alen-
rectiva también obliga a diseñar una estrate- tar al sector privado y gobierno de Estados
gia de ciberseguridad nacional, y la obliga- Unidos para intercambiar con rapidez y de
ción para empresas que trabajan en sectores manera responsables información sobre las
críticos tales como energía, transporte y fi- amenazas cibernéticas.
30
- IT Security Act (Alemania). En respuesta, y Por supuesto no hay que olvidar que el sector
tras la alarma del ciberataque al parlamen- privado deberá realizar un levantamiento de
to alemán (Bundestag) conocido en junio las leyes y regulaciones de los países en los
de 2015, Alemania aprobó una ley de se- que tiene presencia con objeto de conocer sus
guridad informática destinada a reforzar los obligaciones legales.
dispositivos de protección a las empresas,
debiendo además informar de inmediato Así pues, la regulación en materia de ciberse-
acerca de cualquier incidente, anomalía o guridad en el sector privado ha cobrado espe-
sospecha de virus. cial importancia durante los últimos años, co-
La realización de
mo demuestran algunos de estos hechos:
cuestionarios, pruebas
Sector Privado - La creación por parte del NERC (Corpora- internas de ingeniería
ción para la confiabilidad del sector eléctri- social y actividades de
Dentro de las compañías de sector privado se co norteamericano) de un estándar de bue- concienciación para
debe desarrollar un cuerpo normativo de se- nas prácticas en ciberseguridad y soporte a que los empleados
guridad que cubra todos los riesgos a los que la industria e infraestructura eléctrica.
conozcan sus
la compañía se encuentra expuesta, sin olvi- - La creciente exigencia a los bancos y enti- responsabilidades en
dar la ciberseguridad. Este cuerpo normativo dades financieras en materia de sistemas y materia de
debe ser debidamente publicado y comunica- para la prevención y detección de amena- ciberseguridad son
do a todos los empleados de modo que co-
zas de ciberseguridad por parte de los dife- buenas prácticas a
nozcan los riesgos a los que nos exponemos
rentes reguladores del sistema financiero. aplicar en el sector
cuando nos enfrentamos a la ciberseguridad.
Así lo demuestran las constantes revisiones, privado.
Una buena práctica es realizar cuestionarios y
auditorías y procesos periódicos de análisis y
actividades de concienciación que permitan a
evaluación de la capacidad de ciberresiliencia
los empleados conocer sus responsabilidades
de las mismas, realizadas por la FED17, OCC18
en materia de ciberseguridad y realizar prue-
y FDIC19 en Estado Unidos, PRA20 y FCA21 en
bas internas de ingeniería social que nos ayu-
Inglaterra, y más recientemente por el Meca-
den a medir el nivel de concienciación im-
nismo Único de Supervisión (MUS) del Banco
plantado en la compañía. Realizar revisiones
Central Europeo. A este respecto, es impor-
periódicas de cumplimiento del cuerpo nor-
tante mencionar que el BCE inició sus diligen-
mativo permitirá identificar debilidades y es-
cias el pasado año sobre las principales enti-
tablecer acciones correctoras.
dades bancarias a nivel europeo, con la reali-
Cabe mencionar la importancia de colabora- zación de un primer proceso de evaluación de
ción con entidades públicas, tal y como esta- ciberseguridad a través del envío de un cues-
blece la Estrategia de Ciberseguridad Nacio- tionario, y seguido por inspecciones in situ ac-
nal comentada con anterioridad. tualmente en curso.
17. Federal Reserve System - https://www.federalreserve.gov/

18. Office of the Comptroller of the Currency - http://www.occ.gov/
19. Federal Deposit Insurance Corporation - https://www.fdic.gov/
20. Prudential Regulation Authority - http://www.bankofengland.co.uk/
21. Financial Conduct Authority - http://www.fca.org.uk/
31
Buenas prácticas de Auditoría Interna

para la evaluación y revisión de
controles de ciberseguridad
A partir de este punto, se profundiza en los aspectos más relevantes que un auditor interno de
sistemas o TI deberá tener en cuenta a la hora de abordar una revisión de ciberseguridad.
EL ROL DE AUDITORÍA INTERNA

La ciberseguridad suscita mucho interés en Una buena aproximación puede consistir en
los órganos de gobierno (comités o consejos integrar la ciberseguridad en el sistema co-
Una buena múnmente implantado en la mayoría de las
directivos, comisiones de auditoría, comités
aproximación para organizaciones (modelo de las tres líneas de
de riesgos, etc…) de las distintas organiza-
mitigar los riesgos defensa).
ciones, independientemente de su sector y ac-
puede consistir en
tividad, y cada vez está más presente en las
integrar la
reuniones y en el día a día de dichos órganos. La primera línea de defensa
ciberseguridad en el
Modelo de las Tres Los riesgos derivados de ciberseguridad como La primera línea de defensa es la propietaria
Líneas de Defensa, fugas de información, fraudes, sabotajes, etc., de los riesgos y de su tratamiento en primera
comúnmente pueden golpear duramente la reputación de instancia. Debe realizar los procedimientos de
implantado en la las compañías, castigar económicamente en control interno y de gestión de riesgos en su
mayoría de las forma de sanciones y pérdidas, o pueden lle- actividad diaria y tomar las decisiones en
organizaciones. gar a parar la operativa o prestación del servi- cuanto al riesgo con base a su cuantificación
cio de las compañías, incluso en países con cualitativa y cuantitativa, con el objetivo de
una regulación avanzada pueden conllevar alcanzar los niveles óptimos en cuanto al cos-
condenas penales. te/beneficio de asumir o no un riesgo.
Tanto el volumen como el impacto de las Debe poner en funcionamiento todas las me-
amenazas están aumentando exponencial- didas técnicas y organizativas necesarias. Los
mente en los últimos tiempos. Por todo esto empleados y usuarios (o los propietarios de
hay que extremar las medidas en materia de las aplicaciones sean o no desarrolladas inter-
ciberseguridad y establecer todos los contro- namente por la organización) deben ser cons-
les necesarios para poder mitigar los riesgos cientes de que son parte primordial de esta
en las organizaciones. primera línea de defensa. Son el primer obje-
32
Modelo de las Tres Líneas de Defensa* adaptado al riesgo de Ciberseguridad
Regulador / Supervisor
Auditoría de Cuentas
Cumplimiento Normativo
Control de TI
de las áreas
Seguridad de TI Auditoría Interna
de TI
Gestión de Riesgos de TI
Control
Interno de TI …
* European Confederation of Institutes of Internal Auditors/Federation of Risk Management Association-2013. Endorsed

by Global Institute of Internal Auditors-2014
tivo y la puerta de entrada más débil para los tendrán más presencia que otras, pero todas
“malos”. ellas deberían tener en cuenta la ciberseguri-
dad y sus riesgos.
Deben tener mucho cuidado con correos elec-
trónicos sospechosos, dispositivos móviles, re- La relación entre todas ellas debe formar un
des Wifi, redes sociales, etc. Un uso adecuado modelo de aseguramiento en ciberseguridad
de los mismos y conforme a las políticas de que facilite que los riesgos y controles en este
seguridad de la compañía provee una garan- ámbito se manejan de manera consistente,
tía que minimiza el riesgo existente. Pero esto mediante revisiones proactivas de la seguri-
no es suficiente, también se tienen que im- dad y procesos de detección, corrección y me-
plantar todas las medidas técnicas (firewall, jora continua, proveyendo de tranquilidad y
IDS, gestión de accesos, cifrado de la informa- confianza a la alta dirección de la organiza-
ción, etc.) al alcance de la organización y en ción.
consonancia con la información que se mane-
ja. Como principales tareas debe:
· Desarrollar e implementar las políticas ge-
La segunda línea de defensa nerales (ciberseguridad) y facilitar el desa-
rrollo e implantación del marco general de
La segunda línea de defensa puede estar
riesgos y controles.
compuesta por diferentes funciones en la or-
ganización tales como Gestión de Riesgos de · Establecer las metodologías y métricas para
TI, Seguridad de Sistemas, Cumplimiento Nor- evaluar y monitorizar el proceso.
mativo de TI, Asesoría Jurídica, etc. Es eviden- · Reforzar los marcos de control definidos
te que dependiendo de la organización unas por la primera línea de defensa.
33
· Proveer de un mapa de riesgos completo y de seguridad de sistemas (encargadas de la

actualizado de la organización. ciberseguridad), asistiendo a sus comités o
· Realizar el seguimiento de la exposición al simplemente estableciendo entre ambas una
riesgo y verificación de que está dentro de línea de reporting lo suficientemente comple-
Para definir su Plan de
los márgenes y apetito al riesgo definido en ta.
Auditoría, Auditoría
Interna de TI debe la sociedad. Para definir su Plan de Auditoría, Auditoría In-
incorporar la · Establecer los sistemas de reporting vertical terna de TI debería incorporar la información
información y horizontal en materia de ciberseguridad. suministrada por la segunda línea de defensa
suministrada por la además de sus propios análisis prestando es-
segunda línea de La tercera línea de defensa pecial atención a la ciberseguridad.
defensa y sus propios
análisis, prestando La tercera línea de defensa, que suele recaer Adicionalmente, Auditoría Interna puede par-
especial atención a la sobre Auditoría Interna, en nuestro ámbito de ticipar en ejercicios de revisión técnica de la
ciberseguridad. ciberseguridad recaería más específicamente seguridad, con el fin de identificar riesgos no
sobre Auditoría Interna de Sistemas. Debe ser identificados en las capas anteriores.
completamente independiente del resto de lí-
A modo de guía general, el siguiente listado
neas de defensa y debe proveer garantías so-
pretende reflejar los principales aspectos en
bre el sistema de control interno a los órga-
materia de ciberseguridad, que deberían ser
nos de gobierno (consejo, comisiones de audi-
preocupación y objeto de revisión por parte
toría…), y la alta dirección.
de Auditoría Interna:
Auditoría interna debe proporcionar una revi- 1. Colaborar con la dirección de la compañía
sión y evaluación independiente sobre la efi- en la creación y desarrollo de una estrate-
cacia de las líneas de defensa inferiores. gia y política de ciberseguridad.
La colaboración con la segunda línea de de- 2. Asegurar que la organización cuenta con
fensa es muy importante facilitando el alinea- un correcto nivel de madurez y capacidad
miento con el modelo de aseguramiento a ni- para la identificación y mitigación de los
vel corporativo y poner en contexto y elevar riesgos de ciberseguridad.
tanto las bondades del modelo como los gaps 3. Verificar los mecanismos para reconocer
o deficiencias encontradas en materia de ci- incidentes de ciberseguridad procedentes
berseguridad. de un empleado o proveedor externo.
En este punto, Auditoría Interna debería parti- 4. Aprovechar las relaciones con la dirección
cipar de manera pasiva o estar informada de la compañía para aumentar el nivel de
puntualmente de las actividades de las áreas concienciación con los riesgos de ciberse-
PLAN
DE AUDITORÍA INTERNA Información sobre ciberseguridad
34
guridad de la Junta y el Consejo, así como alcanzar los objetivos y retos de ciberse-
su implicación y compromiso con cuestio- guridad de la compañía.
nes clave en esta materia, como la actua-
lización de la estrategia de ciberseguridad Ciberseguridad en comités y comisio-
de la compañía. nes
5. La ciberseguridad se encuentra formal-
Además de las funciones vistas en las tres lí-
mente cubierta e integrada en el Plan de
neas de defensa, existen multitud de comités
Auditoría Interna.
y comisiones delegadas dependiendo de las
6. Entender y desarrollar un perfil de riesgo propias características de las organizaciones,
en ciberseguridad de la compañía, tenien- para tomar decisiones en cuanto a la estrate-
do en cuenta las nuevas tecnologías y gia, organización y operación. La ciberseguri-
tendencias emergentes. dad debería estar presente en todos ellos y
tomada en consideración como un aspecto
7. Evaluar el programa de ciberseguridad de
relevante en los siguientes:
la compañía con el marco de ciberseguri-
dad de la NIST, y otros estándares tales · Comités de Sistemas, de Seguridad, de Con-
como ISO 27001 y 27002. tinuidad de Negocio.
8. Identificar y evaluar las capacidades pre- · Comités de Cumplimiento, de Riesgos. Auditoría Interna debe
ventivas de control de la ciberseguridad entender y desarrollar
en materia de educación, formación y · Comités de Dirección. el perfil de riesgo en
concienciación de usuarios, así como pro- · Comisiones de Auditoría y Cumplimiento, ciberseguridad de la
cesos y herramientas de control y vigilan- de Riesgos. organización, teniendo
cia digital. en cuenta las nuevas
Con esta presencia aseguramos que los máxi- tecnologías y
9. Asegurar que la monitorización y gestión
mos responsables de las organizaciones: pre- tendencias emergentes.
de ciberincidentes es considerada una
sidencia, consejeros delegados, consejos de
prioridad en la compañía, existiendo un
administración, etc., estén informados en to-
proceso de escalado claro al respecto.
do momento de los riesgos que tienen las or-
10. Identificar cualquier carencia o falta de ganizaciones en materia de ciberseguridad,
personal de IT y Auditoría Interna que las medidas adoptadas y las responsabilida-
pueda representar un impedimento para des que asumen.
20 CONTROLES CRÍTICOS DE SEGURIDAD QUE TODAS LAS ORGANI-

ZACIONES DEBERÍAN IMPLEMENTAR
Antecedentes comunes y dañinos con la intención de auto-
Los controles de seguridad críticos son un matizarlos lo máximo posible. Están alineados
conjunto recomendado de acciones de ciber- con el marco de ciberseguridad del NIST y son
defensa, orientados a mitigar los ataques más un subconjunto de los controles definidos de
35
la publicación NIST 800-53, compendio de SANS Institute ha coordinado la actualización

controles recomendados para las agencias es- hasta la versión 5.0. En agosto de 2016 se
tadounidenses, y sobre el cual se realizan las publicó la versión 6.1, ya coordinada desde el
auditorías de seguridad de las agencias esta- Center for Internet Security (CIS). Aunque esta
Los controles de
seguridad críticos son tales en EEUU. última versión no incorpora cambios relevan-
acciones recomendadas tes en la redacción y contenido de los contro-
Los mecanismos de defensa recogidos en es- les, incluye una categorización de los mismos
orientadas a mitigar los
tos controles se basan en las experiencias de en 2 niveles: fundamental y avanzado. Para
ataques más comunes y
dañinos para contención efectiva de ataques reales. Las ac- 2017 se espera la publicación de una herra-
automatizarlos al ciones están priorizadas por orden de mitiga- mienta que permitirá evaluar el nivel de im-
máximo. ción, según la puntuación de la NSA. plantación de estos controles.
En 2009 un consorcio de agencias federales

de los Estados Unidos y compañías del sector
Listado de controles y objetivos de
control
privado generaron las Directrices Consensua-
das de Auditoría (CAG por sus siglas en in- La siguiente tabla muestra los 20 Controles
glés), un conjunto de 20 controles de seguri- Críticos de Seguridad (CSC), así como los ob-
dad de la información alineados con la publi- jetivos de control necesarios para su correcta
cación NIST 800-53. implementación:
CSC 1 INVENTARIO DE DISPOSITIVOS Gestionar activamente todos los dispositivos hardware en la red, de
AUTORIZADOS Y NO AUTORIZADOS forma que sólo los dispositivos autorizados tengan acceso a la red.
CSC 2 INVENTARIO DE SOFTWARE AUTORIZADO Gestionar activamente todo el software en los sistemas, de forma
Y NO AUTORIZADO que sólo se pueda instalar y ejecutar software autorizado.
CSC 3 CONFIGURACIONES SEGURAS Establecer una configuración base segura para dispositivos móviles,
DE SOFTWARE Y HARDWARE PARA portátiles, equipos de sobremesa y servidores, y gestionarlas
DISPOSITIVOS MÓVILES, PORTÁTILES, activamente utilizando un proceso de gestión de cambios y
EQUIPOS DE SOBREMESA Y SERVIDORES configuraciones riguroso, para prevenir a los atacantes explotar
servicios y configuraciones vulnerables.
CSC 4 PROCESO CONTINUO DE IDENTIFICACIÓN Disponer un proceso continuo para obtener información sobre
Y REMEDIACIÓN DE VULNERABILIDADES nuevas vulnerabilidades, identificarlas, remediarlas y reducir la
ventana de oportunidad a los atacantes.
CSC 5 CONTROL SOBRE PRIVILEGIOS Desarrollar procesos y utilizar herramientas para identificar, prevenir
ADMINISTRATIVOS y corregir el uso y configuración de privilegios administrativos
en ordenadores, redes y aplicaciones.
CSC 6 MANTENIMIENTO, MONITORIZACIÓN Recoger, gestionar y analizar logs de eventos que pueden ayudar a
Y ANÁLISIS DE LOGS DE AUDITORÍA detectar, entender o recuperarse de un ataque.
36
CSC 7 PROTECCIÓN DEL CORREO ELECTRÓNICO Minimizar la posibilidad de que los atacantes manipulen a los
Y DEL NAVEGADOR empleados a través de su interacción con el correo electrónico
y el navegador.
CSC 8 DEFENSAS CONTRA EL MALWARE Evitar la instalación, difusión y ejecución de código malicioso en
distintos puntos, al tiempo que se fomenta la automatización para
permitir una actualización rápida en la defensa, recopilación de
datos y la corrección.
CSC 9 LIMITAR Y CONTROLAR LOS PUERTOS Gestionar el uso de puertos, protocolos y servicios en los
DE RED, PROTOCOLOS Y SERVICIOS dispositivos que tengan red para reducir las vulnerabilidades
disponibles a los atacantes.
CSC 10 CAPACIDAD DE RECUPERACIÓN Disponer procesos, metodologías y herramientas adecuadas para

DE DATOS respaldar la información crítica y realizar pruebas de recuperación.
CSC 11 CONFIGURACIONES SEGURAS Establecer una configuración base para los dispositivos de
DE DISPOSITIVOS DE RED infraestructura de red, y gestionarlas activamente utilizando un
(FIREWALLS, ROUTERS Y SWITCHES) proceso de gestión de cambios y configuraciones riguroso, para
prevenir a los atacantes explotar servicios y configuraciones
vulnerables.
CSC 12 DEFENSA PERIMETRAL Desarrollar una estrategia para detectar, prevenir y corregir los flujos
de transmisión de información entre redes de distintos niveles de
seguridad (confianza).
CSC 13 PROTECCIÓN DE LOS DATOS Disponer de procesos y herramientas adecuadas para prevenir la
fuga de información, mitigar los efectos cuando se ha producido un
incidente de fuga de información, y asegurar la confidencialidad e
integridad de la información sensible.
CSC 14 ACCESO BASADO EN LA NECESIDAD DE El acceso a los activos críticos debe realizarse de acuerdo a una
CONOCER (NEED TO KNOW) definición formal de que personas, sistemas y aplicaciones tienen la
necesidad y el derecho de acceso. Los procesos y herramientas
utilizadas en el seguimiento, protección y corrección de estos
accesos deben estar alineados con las definiciones.
CSC 15 CONTROL DE ACCESO WIRELESS Disponer de procesos y herramientas para garantizar una seguridad
adecuada en las redes WiFi y en los sistemas clientes, incluyendo
seguimiento y corrección de las medidas de seguridad.
CSC 16 CONTROL Y MONITORIZACIÓN Gestionar activamente el ciclo de vida de las cuentas de sistema y
DE CUENTAS DE SISTEMA de aplicación (creación, uso, inactividad y borrado) para reducir su
utilización por parte de un atacante.
37
CSC 17 VERIFICACIÓN DE LAS HABILIDADES Identificar los conocimientos específicos, habilidades y capacidades
DE SEGURIDAD Y FORMACIÓN ADECUADA necesarias en la organización para la defensa de los activos críticos
de la compañía, y desarrollar y evaluar un plan para identificar gaps
y remediar con políticas, formación y programas de sensibilización.
CSC 18 SEGURIDAD EN EL CICLO DE VIDA Gestionar el ciclo de vida de todas las aplicaciones, tanto las
DE LAS APLICACIONES desarrolladas internamente como las de proveedores para prevenir,
detectar y corregir vulnerabilidades técnicas.
CSC 19 GESTIÓN Y RESPUESTA A INCIDENTES Proteger la información y la reputación de la organización

desarrollando e implementando una infraestructura de respuesta a
incidentes para detectar un ataque, contener el daño de forma
efectiva, expulsar al atacante, y restaurar la integridad de los
sistemas y la red.
CSC 20 REALIZAR TEST DE PENETRACIÓN Probar las defensas de la organización (tecnología, procesos
Y EJERCICIOS DE ATAQUE y personas) mediante la simulación de un ataque, utilizando sus
mismas acciones y objetivos.
El papel de Auditoría Interna en la revi- CONTROLES 1 Y 2

sión de los controles La revisión puede realizarse de dos formas:
· Verificar que existe una gestión de inventarios
Para cada uno de los 20 enunciados, existen ac-
hardware y software, identificando listas blan-
tividades más concretas que pueden formar par-
cas y negras y su actualización (al ser una
te del programa de trabajo de una auditoría de
aproximación de “ver que existe un control”,
ciberseguridad.
podríamos llamarla, “de capa 2”).
El propio CIS cuenta con una guía para la medi- · El auditor interno escanea las redes internas
ción de la efectividad de estos controles. Esta utilizando herramientas automáticas (actúa
varía con las amenazas cambiantes. Es necesa- como Red Team, según el control 20, es decir,
rio contar con procesos de diagnóstico de la comportándose como lo haría un atacante),
efectividad de los controles, utilizando métricas. hace una “verificación técnica”, que podría-
La automatización de estos es fundamental para mos llamar “de capa 1”.
alcanzar este objetivo. En el resto de controles también usaremos estas
dos aproximaciones de revisión.
Los controles están pensados para organizacio-
nes de cualquier tipo, no obstante, el conoci- CONTROLES 3 Y 4
miento de la organización y la exposición a las Su revisión se puede enfocar, de forma comple-
amenazas va a condicionar la propia prioriza- mentaria a los controles 1 y 2, verificando si
ción y alcance de la implantación de los contro- existe una política de bastionado de todos los
les. dispositivos, aplicaciones y servicios, si esta polí-
38
tica está alineada con buenas prácticas y si se supuesto y personal suficiente se suele dispo-
dispone de un proceso de revisión de las vulner de un SIEM (Security Information and
nerabilidades que retroalimente la política de Event Management), sistema que permite dis-
bastionado. poner en tiempo real de alertas de seguridad.
Otra aproximación es que el auditor escanee La verificación pasa por analizar el contenido
los dispositivos/aplicaciones utilizando herra- de los logs, y, si actuamos como Red Team,
mientas automatizadas, actuando como Red las actividades que realicemos, como esca-
Team. near una red o conectarnos como usuario ad-
ministrador desde un puesto no habitual, de-
CONTROL 5
berían reflejarse en los logs y generarse las
Este control nos lleva a que las cuentas de
alertas correspondientes.
usuarios administradores de aplicaciones, dis- Los controles están
positivos y sistemas operativos deben estar CONTROL 7 pensados para
identificadas, su uso auditado, eliminando las organizaciones de
Nuevo en la versión 6.0, pasa por utilizar
que no se utilizan y cambiando las que están cualquier tipo. El
clientes de correo y navegadores actualizados
definidas por defecto. Adicionalmente, deben conocimiento de la
y evitar que el usuario pueda añadir extensio-
cumplir con la política de fortaleza de contra- organización y la
nes, así como cambiar su configuración. La
señas. exposición a las
configuración debe ser la más restrictiva posi-
amenazas condicionará
La revisión de este control puede orientarse a ble para que el usuario pueda trabajar, desha-
la propia priorización y
verificar la existencia de una política de alta, bilitando los plugins innecesarios. alcance de la
baja y mantenimiento de usuarios administra-
De forma complementaria, el control 8 habili- implantación.
dores, y la fortaleza de la contraseña (debería
ta el análisis de malware en los equipos, y de-
formar parte de la política de bastionado), y
ben definirse medidas para evitar que el mal-
las tareas que se desarrollan para comprobar
ware entre a través de la navegación del
su cumplimiento.
usuario o de la lectura de correo (IPS, antivi-
Por otro lado, también podemos solicitar el
rus de navegación y correo, bloqueo de URLs
listado de usuarios definidos en los sistemas y
maliciosas, etc.).
los ficheros de contraseñas cifradas asocia-
dos, y comprobar que no disponen de las cla- CONTROL 8
ves por defecto utilizando herramientas auto- El control 8 también recomienda agregar
máticas.
otras medidas contra el malware que deben
CONTROL 6 estar recogidas en la política, como el blo-
queo de USB y la monitorización continúa de
Implica que todos los sistemas y aplicaciones
los equipos.
deberían tener habilitadas las trazas de audi-
toría, incluyendo respuestas a desde dónde, Debe existir una política del uso seguro y de
quién, qué y cuándo, así como tener definidas configuraciones autorizadas, y tareas de revi-
acciones de alerta. sión automatizada de los equipos y servido-
Debería existir una política asociada, un for- res.
mato de log corporativo y una tarea de análi- Otra posible verificación pasa por enviar un
sis de estos logs. En organizaciones con pre- correo con contenido no autorizado a una
39
cuenta interna, o navegar por una página del uso del administrador y, adicionalmente,
dentro de una lista negra. control de cuentas por defecto (control 16).
El test de este control sería de la misma for-
CONTROL 9
El acceso a la ma que los controles mencionados.
Nos habla de limitar los servicios expuestos a
información debe CONTROL 12
las redes, y separar físicamente las máquinas
seguir el principio de
que tienen esos servicios. Debe existir una po- En este control vemos que tenemos que tener
“necesidad de
lítica que defina que sólo los servicios y puer- una seguridad perimetral basada en aplicar
conocer”. Un perfilado
tos necesarios para la organización estén ha- filtros sobre las comunicaciones de nuestra
adecuado mitiga el
bilitados, o restringidos a las redes/usuarios organización hacia y desde fuera, así como
riesgo, pero deben
que realizan tareas asociadas. El resto debería desplegar sensores que detecten actividades
implantarse otros
estar deshabilitado/filtrado. sospechosas y alimenten a nuestro SIEM, te-
controles, ya que un
nemos que protegernos, pero también es im-
ataque puede obtener La aproximación para verificar este control
portante detectar si están intentando entrar
credenciales que pasa por realizar escaneos automáticos de las
o, si ya lo han hecho, identificarlos.
tengan acceso a la diferentes redes, para identificar puertos/ser-
información. vicios que deberían estar restringidos o des- Por otro lado, tenemos que tener una DMZ,
una zona donde los servicios expuestos a In-
habilitados. Un auditor interno puede realizar
ternet estén separados de la red interna.
esta tarea de forma puntual o verificar si exis-
te un proceso continuo que lo realice. Si necesitamos acceder a la red interna desde
fuera (teletrabajo), debemos implantar un se-
CONTROL 10 gundo factor de autenticación.
Nos pide que se hagan copias de seguridad El análisis de las reglas de FW nos permite
de todos los datos críticos, así como que se evaluar este control. De igual forma que en
verifique de forma periódica que estos se controles anteriores, podemos hacer un esca-
pueden recuperar en un tiempo asumible. Asi- neo de nuestro perímetro desde Internet para
mismo, los sistemas donde se guardan estas identificar puntos de entrada, servicios accesi-
copias deben tener acceso restringido, tanto bles sin autenticación robusta y, testear qué
física como lógicamente. alertas han generado nuestra actividad.
Para probar este control, se pueden solicitar CONTROL 13
las políticas de back up y el resultado de las Este control confía en el cifrado de la infor-
pruebas de recuperación. mación en reposo y en tránsito para garanti-
CONTROL 11 zar la privacidad y prevenir una fuga.
Se basa en definir una configuración segura CONTROL 14

para los dispositivos de comunicaciones (fire- El acceso a la información debe seguir el prin-
walls, routers, switches), junto con los proce- cipio de “necesidad de conocer”. Un perfilado
sos de gestión de cambio asociados. Este con- adecuado mitiga el riesgo, pero aun así debe-
trol es la implantación para estos dispositivos mos implantar otros controles, ya que un ata-
de los controles 3, 4 y 5: configuración base que puede obtener credenciales que tienen
segura, revisión de vulnerabilidades y control acceso a la información. Debemos emprender
40
acciones complementarias, y algunos de los lance herramientas automáticas para identifi-

controles que hemos visto nos ayudan: limitar car cuentas obsoletas habilitadas.
el uso de USB, monitorizar las conexiones o la
separación entre redes. CONTROL 17
La prueba del control tiene que ser empírica, Se basa en que cada puesto funcional tiene
intentar acceder a información a la que no te- que tener una formación específica en seguri-
nemos acceso por perfil. dad. Deben identificarse posibles carencias y
formar a los empleados. Igualmente, la orga-
CONTROL 15
nización debería tener un programa de con-
Nos dice que protejamos las redes wireless. cienciación dirigido a todos los empleados,
Un inventario de todas las existentes, junto adecuado a las funciones que realizan.
con revisiones periódicas por parte del área Deben establecerse
Solicitar la formación recibida del personal de bloqueos de cuentas
de seguridad de que no existen redes no au-
seguridad nos permite identificar las caren- por accesos fallidos,
torizadas; la comprobación automática de sus
cias. limitando desde dónde
vulnerabilidades y de la fortaleza de las con-
Una forma de probar la efectividad es, una se puede acceder y
traseñas; y una limitación de las redes inter-
vez realizada la acción formativa/conciencia- solicitando un doble
nas a las que se puede acceder; completan la
dora, enviar un correo tipo phishing para ver factor para acceder a
revisión del control.
la reacción del empleado y los pasos que rea- sistemas/datos
Adicionalmente, se deberían desplegar detec- especialmente
liza para denunciar el evento.
tores de intrusos en estas redes para identifi- sensibles.
car dispositivos no autorizados.
CONTROL 18
CONTROL 16 El ciclo de vida del software también necesita
Si el control 4 era qué hace el administrador, tener una capa de seguridad, como muestra
el 16 es si hay cuentas definidas en los siste- el control 18. Tanto el desarrollo interno como
mas que sean usuarios por defecto, usuarios la compra de software de terceros requieren
que ya han abandonado la organización o si de una capa de seguridad.
existen otras cuentas definidas en los siste- Las redes de desarrollo y producción deberían
mas. estar separadas.
Por otro lado, se deben establecer bloqueos Unas directrices de programación segura o
de cuentas por accesos fallidos (este punto plan de formación específica de desarrollo se-
debería estar en la política de seguridad), li- guro, ayuda a evitar vulnerabilidades en las
mitando desde dónde se puede acceder y so- aplicaciones desarrolladas internamente. Si lo
licitando un doble factor para acceder a siste- acompañamos de una revisión automática de
mas/datos especialmente sensibles. código por parte de herramientas especializa-
Los accesos de terceros deben revisarse espe- das, limitamos las vulnerabilidades.
cialmente. Una revisión final una vez integrado todo el
Para probar este control, una opción es verifi- desarrollo nos permite completar el ciclo. Esta
car que exista un proceso de revisión de última acción puede realizarla Auditoría Inter-
usuarios. Otra opción es que Auditoría Interna na.
41
Existen productos que filtran/limitan las vul- CONTROL 20

nerabilidades más comunes, que también Nos habla de realizar ciberejercicios. Los tipos
pueden desplegarse en producción. de ataques no paran de crecer. Aparecen nue-
Es fundamental Los productos de terceros deberían probarse vas técnicas de las que nos tenemos que de-
disponer de un plan de antes de su implantación. fender. Una forma de probar si tenemos las
gestión y respuesta a defensas adecuadas es comportarnos como
CONTROL 19
incidentes que un posible atacante utilizando técnicas simila-
Se enfoca en la gestión de crisis. Es funda- res.
contemple
mental disponer de un plan de gestión y res-
procedimientos La capa 2 puede realizar esta tarea. Auditoría
puesta a incidentes que contemple procedi-
escritos, asignación de Interna revisaría las situaciones identificadas
mientos escritos, asignación de tareas y res-
tareas y y las acciones correctoras.
ponsabilidades.
responsabilidades. Auditoría Interna también puede realizar la
Estos planes deberían ser probados para veri-
tarea (prueba todos los controles), o contratar
ficar cómo está preparada la organización
los servicios de un externo.
frente a un incidente de envergadura, y ga-
rantizar una gestión adecuada a la crisis.
Certificaciones profesionales
Con el aumento del nivel de amenazas y ries- dad de CyberCamp (celebrado los días 27, 28
gos relacionados con la ciberseguridad expe- y 29 de noviembre de 2015 en el Barclaycard
rimentado durante los últimos años, existe ac- Center de Madrid) con el objetivo de dar a
tualmente una alta demanda de profesionales conocer la oferta y demanda laboral de dife-
especializados en estas materias. La Unión rentes empresas, orientar a los jóvenes acerca
Europea prevé la creación de 90.000 nuevos de las posibles trayectorias profesionales, así
puestos de trabajo en este sector para el año como informar acerca de los diferentes pro-
2020. gramas y opciones de formación.
Sin embargo, no resulta fácil para las empre- En este marco, a las ya tradicionales certifica-
sas encontrar los perfiles adecuados y espe-
ciones para profesionales de seguridad y au-
cializados en los nuevos riesgos de la seguri-
ditoría de sistemas: ITIL (Information Techno-
dad de la información, puesto que no existe
logy Infrastructure Library), CobiT (Control
todavía demasiada formación reglada.
Objectives for Information and Related Tech-
En este sentido, se lanzaron iniciativas como nology), ISO 27000 (Estándar para la Seguri-
el Foro de Empleo y Talento en Ciberseguri- dad de la Información), CISA22 (Certified Inter-
22. Certificación otorgada por ISACA (Information Systems Audit and Control Association).
42
nal Systems Auditor), CISM (Certified Informa- · CSX Specialist. Certificaciones avanzadas y
tion Security Manager), CISSP23 (Certified In- especializadas en el conocimiento y habili-
formation Systems Security Professional), Se- dades de las siguientes áreas o dominios:
curity+ (certificada por CompTIA24), etc.; se Identificación de riesgos, protección de sis-
han incorporado otras muchas que han co- temas, detección de amenazas, respuesta y
brado importancia (especialmente aquellas análisis de incidentes, y recuperación de los
relacionadas con aspectos de pentesting y sistemas.
hacking ético, gestión de ciberincidentes o · CSX Expert. Certificación de nivel avanza-
análisis forense), tales como las ofrecidas por do para la identificación, análisis, respuesta
las siguientes organizaciones. y mitigación de incidentes de ciberseguri-
dad avanzados, y asociados a empresas con
ISACA entornos complejos y una alta exposición a
ataques.
Ha lanzado el programa Cybersecurity Ne-
xus25 (CSX), que ofrece una serie de certifica-
SANS
ciones en diferentes niveles para la formación
de profesionales, y alineadas con los principa- El Instituto SANS (SysAdmin Audit, Networ-
les estándares de ciberseguridad del merca- king and Security Institute) en colaboración
do: con la entidad certificadora GIAC (Global In-
formation Assurance Certification) ofrece un
· Cybersecurity Fundamentals Certificate. conjunto de más de 20 certificaciones agru-
Orientada a la introducción de los concep- padas en diferentes niveles en materia de ad-
tos, marcos, guías de buenas prácticas y es- ministración y gestión de seguridad, auditoría
tándares de ciberserguridad de la industria; legal y de seguridad, seguridad del software y
ciberseguridad en redes, sistemas, aplica- análisis forense:
ciones y datos, implicaciones de seguridad
NIVEL INTRODUCTORIO.
de las nuevas tecnologías y respuesta bási-
· Administración de Seguridad.
ca ante incidentes.
- GISF: Information Security Fundamentals.
· CSX Practitioner. Certificación orientada a NIVEL INTERMEDIO.
la primera capa de respuesta de seguridad, · Administración de Seguridad.
con el objetivo de conocer e implementar - GSEC: Security Essentials Certification.
los principales controles de seguridad, reali- · Gestión.
zar análisis y escaneos de vulnerabilidades, - GISP: Information Security Professional.
definición de procesos y procedimientos de · Forense.
seguridad en los sistemas. - GCFE: Certified Forensics Examiner.
23. Certificación otorgada por ISC2 (International Information Security Certification Consortium).
24. Computing Technology Industry Association. http://certification.comptia.org/
25. https://cybersecurity.isaca.org/csx-certifications
43
NIVEL AVANZADO. EC-Council2

· Administración de Seguridad.
- GPPA: Certified Perimeter Protection A- El Consejo Internacional de Consultores de
nalyst. Comercio Electrónico, ofrece entre otras mu-
- GCIA: Certified Intrusion Analyst. chas, las siguientes certificaciones relaciona-
- GCIH: Certified Incident Handler. das con la gestión de la ciberseguridad:
- GCUX: Certified UNIX Security Adminis-
trator. · CEH (Certified Ethical Hacker). Introduc-
- GCWN: Certified Windows Security Ad- ción a las habilidades y vulnerabilidades en
ministrator. sistemas utilizando los mismos conocimien-
- GCED: Certified Enterprise Defender. tos y herramientas que los hackers malicio-
- GPEN: Certified Penetration Tester. sos y metodología de pentesting, con el ob-
- GWAPT: Web Application Penetration jetivo de ayudar a la organización a tomar
Tester. medidas contra estos ataques.
· Gestión. · ECSA (Certified Security Analyst). Curso
- GSLC: Security Leadership Certification. avanzado en métodos y técnicas de pene-
- GCPM: Certified Project Manager Certifi- tración, analizando diferentes herramientas,
cation.
tecnologías y fases del proceso de hacking
· Seguridad del software. ético, para identificar y mitigar los riesgos
- GSSP-NET: Secure Software Programmer- de seguridad de la infraestructura como
NET. analista de seguridad y pentester.
- GSSP-JAVA: Secure Software Program-
mer - Java. · ENSA (Network Security Administrator).
Certificación dirigida a administradores de
· Auditoría.
seguridad, proporcionando las habilidades
- GSNA: Systems and Network Auditor.
para analizar las amenazas (internas y ex-
· Forense. ternas), así como las técnicas defensivas
- GCFA: Certified Forensic Analyst. para protegerse ante ellas.
· Legal.
· CHFI (Computer Hacking Forensic Investi-
- GLEG: Law of Data Security & Investiga-
gator). Preparación para la detección ante
tions.
ataques perpetrados por hackers, responder
NIVEL EXPERTO a incidentes de seguridad, e identificación
· Administración de Seguridad. de técnicas de investigación y análisis para
- GAWN: Assessing Wireless Networks. rastrear el origen del evento con el fin de
- GXPN: Exploit Researcher and Advanced determinar diferentes evidencias digitales.
Penetration Tester.
· ECIH (Certified Incident Handler). Diseña-
· Forense. da para proveer los conocimientos necesa-
- GREM: Reverse Engineering Malware.
rios en materia detección, gestión y res-
· GSE. puesta ante amenazas e incidentes de ci-
- GSE: GIAC Security Expert. berseguridad.
44
· ECES (Certified Encription Specialist). materia de ciberseguridad relacionados

Aprendizaje de las diferentes técnicas (si- fundamentalmente con las siguientes mate-
métrico, clave criptográfica), fundamentos y rias: gestión de ciberincidentes, análisis
detalle de los algoritmos de cifrado (DES, avanzados de amenazas, análisis forense
AES, RSA, MD5, etc.), así como su uso e im- digital y gestión de amenazas en dispositi-
plementación técnica. vos móviles.
- El Instituto Nacional de Ciberseguridad

Formación (INCIBE28) ofrece una serie de cursos online
Ante la demanda y búsqueda de nuevos pro- como, por ejemplo: Seguridad en sistemas
fesionales en ciberseguridad, y con el objetivo de control y automatización industrial, Ci-
de facilitar una mejor comprensión y gestión berseguridad para micro-pymes y autóno-
de estos riesgos, existe actualmente en el mos, Seguridad avanzada en dispositivos
mercado una amplia oferta de opciones de móviles o Ciberseguridad para fuerzas y
formación (seminarios, cursos presenciales y/o cuerpos de seguridad.
online, cursos de postgrado), entre los que
- Diferentes Masters en ciberseguridad ofre-
podemos destacar:
cidos entre otras por S21sec, Zin Security,
- El Instituto Tecnológico de Massachusetts CICE (Escuela de Formación de Nuevas Tec-
(MIT 26 ) reconocido mundialmente como nologías), Aucal Business School, y diferen-
una de las mejores instituciones del sector, tes centros universitarios como la Universi-
dispone de una amplia gama de cursos, dad de León, la Universidad Europea de
certificaciones y seminarios, y cuenta con Madrid, la Universidad Politécnica de Cata-
una completa plataforma online que permi- luña o la Universidad Camilo José Cela.
te a la inscripción de estudiantes de todo el
mundo, y el seguimiento de clases online.
- La Agencia Europea para la Seguridad de

las Comunicaciones y la Información (ENI-
SA27, por sus siglas en inglés), ofrece tam-
bién una serie de cursos de formación en
26. http://web.mit.edu/
27. https://www.enisa.europa.eu/
28. https://www.incibe.es/
45
Bibliografía relevante
Estándares, normativa y legislación
- NIST (02/14): Framework for improving Cyber-security.
- ISO27032: Guidance from improving the state of cyber-security.
- Estrategia de Ciberseguridad Nacional (Gobierno de España).
- Ten steps to cyber security (UK GOV: CESG and CPNI).
- Cybersecurity Capability Maturity Model (C2M2) Program (USA Department of Energy).
- CIS Critical Security Controls (SANS Institute & Center for Strategic & International Studies).
Artículos, informes y presentaciones técnicas

- State of Cybersecurity: Implications for 2015 (Nexus, ISACA y RSA).
- Temas candentes de la Ciberseguridad - Un nuevo espacio lleno de incógnitas (IE y PWC).
- Presente y Futuro de la Ciberseguridad (CCN-CERT).
- Ciberamenazas 2014. Tendencias 2015 (CCN-CERT).
- Guía de gestión de ciberincidentes (CCN-CERT).
- Ciberinteligencia: de la reacción a la prevención en Ciberseguridad (KPMG).
- Ciberinteligencia aplicada al desarrollo de servicios (INCIBE).
- Análisis y caracterización del mercado de la ciberseguridad (INCIBE).
- Risk Intelligence Report (CEB).
- Informe sobre el estado de la ciberseguridad 2015 (U-TAD).
- State of the Internet Security Report 2015 (Akamai).
- System Design Guide for Thwarting Targeted Email Attacks (IPA, Japan).
- Controls for Effective Cyber Defense v6.0 (CIS: Center for Internet Security).
- Cybersecurity, What the Board Directors Needs To Ask (IIARF & ISACA).
- Assessing the Top Priorities for Internal Audit Functions (Protiviti)
- COSO in the Cyber Age (Deloitte).
- 2016 Data Protection & Breach Readiness Guide.
- Auditing Cybersecurity (ISACA Journal enero/febrero 2016).
46
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
Depósito Legal: M-36848-2016
ISBN: 978-84-945594-2-6
Diseño y maquetación: desdecero, estudio gráfico
Impresión: IAG, SL
OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO
COBERTURA DEL RIESGO TECNOLÓGICO: HACIA UNA AUDITORÍA

INTERNA DE TI INTEGRADA
El documento destaca la importancia de Auditoría Interna de TI en su
apoyo a la organización en la gestión, gobierno y control de los
riesgos de TI. Se han estudiado temas relacionados con la gestión de
las relaciones entre Auditoría Interna de TI y el área de TI,
destinatarios de los informes de Auditoría Interna de TI o las
herramientas que habitualmente se utilizan en este tipo de trabajos.
MARCO DE RELACIONES DE AUDITORÍA INTERNA CON OTRAS FUNCIONES

DE ASEGURAMIENTO
Ayuda a fijar posiciones sobre la necesidad de mejorar la eficiencia de
los recursos de las Direcciones de Auditoría Interna para mantener el
nivel adecuado de aseguramiento en coordinación con las distintas
funciones encargadas de proporcionarlo. Aborda la necesidad de
realizar un mapa de aseguramiento que proporcione una visión
global de las actividades de control llevadas a cabo, proponiendo a
Auditoría Interna como coordinador principal de todas las funciones
de aseguramiento.
GESTIÓN DEL RIESGO DE FRAUDE

Aborda los diferentes procesos para una óptima gestión del riesgo de
fraude, que pasa por el establecimiento de un programa eficaz de
prevención, detección e investigación de fraudes. La guía, resumen
ejecutivo de un estudio más amplio publicado por el Instituto de
Auditores Internos, define un enfoque efectivo para la gestión del
riesgo de fraude y un análisis profundo sobre las responsabilidades
en su prevención, detección e investigación.
Prácticamente todos los ámbitos de nuestra sociedad se sustentan hoy

más que nunca, y cada vez más, en el ciberespacio propiciado por las
tecnologías de la información y las comunicaciones. Una de las
principales amenazas que han traído consigo estos avances es la
proliferación de acciones delictivas en el ciberespacio, añadiendo
nuevos retos y desafíos para las organizaciones.
La ciberseguridad es una de las principales preocupaciones de empresas

e instituciones y exige extremar las medidas para establecer todos los
controles necesarios para mitigar los riesgos en las organizaciones.
Esta guía establece diversas buenas prácticas, incluyendo los 20 Con-

troles Críticos de Seguridad que todas las organizaciones deben
implementar, y cuál es el papel de Auditoría Interna en su revisión.
También aportará gran valor a Comisiones de Auditoría y otros comités,

que encontrarán aquí un importante aliado con información completa y
precisa para permitirles tomar decisiones sobre la estrategia, estructura
y operación de las organizaciones.

Guia Supervision Ciberseguridad Fabrica Pensamiento Iai - Original PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia Supervision Ciberseguridad Fabrica Pensamiento Iai - Original PDF

Cargado por

Copyright:

Formatos disponibles

BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S

MIEMBROS DE LA COMISIÓN TÉCNICA

LA FÁBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-

PRINCIPALES CUESTIONES RELATIVAS A LA CIBERSEGURIDAD 07

De la seguridad de TI a la ciberseguridad: el cambio de paradigma ..............16

Ciberejercicios y ciberseguros ...................................................................................21

Metodologías y estrategias de control y gestión de ciberriesgos ....................24

Regulación y normativa ..............................................................................................28

BUENAS PRÁCTICAS DE AUDITORÍA INTERNA PARA LA 32

20 Controles Críticos de Seguridad que todas las organizaciones

Principales cuestiones relativas

2. DoS: Del inglés Denial of Service.

Fuente: elaboración propia a partir de datos de CCN-CERT

RIESGOS, AMENAZAS Y VULNERABILIDADES

INDISPONIBILIDAD DE SERVICIOS PÉRDIDA DE REPUTACIÓN

PERFIL DE LOS ATACANTES Cross-site scripting (XSS).

Hacking. Virus, malware, gusanos y troyanos.

pacio se pueden agrupar en las amenazas AMENAZAS CONTRA LAS INFRAESTRUCTU-

Perfil de los atacantes

5. Spanish Cyber Security Institute (2014): La Ciberseguridad Nacional, un compromiso de todos.

gobiernos, naciones u otros organismos, e je/destrucción de infraestructuras críticas; has-

ACTORES MOTIVACIÓN OBJETIVOS

HACKING. Personal. Notoriedad, pequeños disturbios, …

CIBERCRIMEN. Ecónomica/lucro. Robo dinerario o de información.

HACKTIVISMO. Ideológica. Daño reputacional, divulgación de

CIBERESPIONAJE. Política. Trastrornos graves, robo de información

INSIDERS. Varias. Varias

Fuente: elaboración propia

6. Deloitte (2015): 12º Programa para el Desarrollo de Directores Financieros.

Principales técnicas de ataque y vulnerabilidades

7. El Economista (2010): Operación Aurora, el ciberataque más sofisticado de la historia.

9. Onemagazine (2014): La ciberseguridad en 2013: un año marcado por Snowden.

ATAQUES DE DÍAS CERO (0-DAY)

DoS (DENEGACIÓN DE SERVICIOS)

CROSS-SITE SCRIPTING (XSS):

VIRUS, MALWARE, GUSANOS Y TROYANOS

sos a aplicaciones y datos, y un apropiado ni- Seguridad), el mayor porcentaje de ataques

DE LA SEGURIDAD DE TI A LA CIBERSEGURIDAD: EL CAMBIO DE PA-

Fuente: elaboración propia

temas y revisión de logs o registros de even- de sus planes de transformación a la econo-

en empresas cotizadas, que han de ser ejem-

12. IBM (2014): Global Study on the Economic Impact of IT Risk

- Difusión de incidentes y ataques de se- · SOC (Security Operations Center). La exis-

· SIEM (System Information Event Manage- información, etc. Incluye la coordinación e

CICLO DE VIDA DE GESTIÓN DE LOS CIBERRIESGOS

Identificar Proteger Detectar Responder Recuperar

13. NIST: del inglés “National Institute of Standards and Technology”.

14. Deloitte (2015): Modelo Colaborativo de CiberSeguridad (MCCS).

A nivel agregado, el conjunto de medidas y · Prevención frente a ciberataques mante-

berataque, tanto de las medidas organizati- que con la participación de organismos de

Sin embargo, actualmente la realización y par-

15. Financial Services–Information Sharing and Analysis Center. https://www.fsisac.com/

METODOLOGÍAS Y ESTRATEGIAS DE CONTROL Y GESTIÓN DE CIBER-

riesgos para la gestión de la ciberseguridad y · Niveles de implantación del marco y proce-

“FRAMEWORK FOR IMPROVING CIBERSECURITY” · MARCO BASE

Identificar Proteger Detectar Responder Recuperar

Gestión de activos Control de acceso Anomalías y eventos Plan de respuesta Plan de

Fuente: National Institute of Standards and Technology (NIST)

ISO / IEC 27032 pos de seguridad, definición de grupos de in-

· ISO 27003 “Directrices para la implanta- CESG UK GOV

Se trata de 20 controles críticos o acciones ISACA

16. Sistema de Gestión de Seguridad de la Información.

riormente) para la ciberseguridad: “Imple- · “Gestión de riesgos”.