Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia Supervision Ciberseguridad Fabrica Pensamiento Iai - Original PDF
Guia Supervision Ciberseguridad Fabrica Pensamiento Iai - Original PDF
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Ciberseguridad
Una guía de supervisión
El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de
las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios,
auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión
de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.
BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Ciberseguridad
Una guía de supervisión
Octubre 2016
El avance de las nuevas tecnologías ha propiciado un cambio sin precedentes que ha in-
fluido en la forma de operar de las organizaciones, cuyas actividades se desarrollan cada
vez más en el ciberespacio.
Este hecho propicia un gran desarrollo económico y social, pero a la vez la aparición de
nuevos retos y amenazas que es imprescindible gestionar. No en vano el Foro Económico
Mundial incluye varios riesgos asociados a la ciberseguridad en su ranking de Riesgos
Globales desde hace años. A modo de ejemplo, en 2016 el coste medio de un ataque in-
formático para las compañías ronda los 75.000 euros, lo que hace que solo los ciberdeli-
tos cuesten a las empresas españolas unos 14.000 millones de euros al año.
Los ciberataques y su naturaleza se han multiplicado en los últimos años, y cada vez son
más complejos y más difíciles de prevenir y detectar, lo que hace que los órganos de go-
bierno de las organizaciones deban incrementar y mejorar la supervisión sobre la ciberse-
guridad.
También se incluyen los 20 Controles Críticos de Seguridad que todas las organizaciones
deben implementar y cuál es el papel de Auditoría Interna en la revisión de cada uno de
ellos.
El valor que aporta esta guía de supervisión va más allá de los auditores internos de siste-
mas o de las Direcciones de Auditoría Interna. Las Comisiones de Auditoría y otros comi-
tés de la empresa encontrarán en estas páginas un importante aliado que les ofrecerá in-
formación completa y precisa para permitirles tomar decisiones sobre la estrategia, orga-
nización y operaciones para evitar que este riesgo se materialice en las organizaciones.
Un documento tan exhaustivo y a la vez de fácil comprensión como éste, incluso para los
profanos en auditoría de TI, solo podía estar firmado por expertos auditores internos co-
mo los que han formado parte de la Comisión Técnica. Les felicito por haber puesto su
experiencia y conocimiento al servicio de todos los socios y por mantener el nivel de exce-
lencia y sencillez al que nos tienen acostumbrados las publicaciones de LA FÁBRICA DE
PENSAMIENTO.
Ernesto Martínez
Presidente del Instituto de Auditores Internos de España
3
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Índice
INTRODUCCIÓN 06
CERTIFICACIONES PROFESIONALES 42
BIBLIOGRAFÍA RELEVANTE 46
5
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Introducción
La economía internacional, la prestación de Ningún dispositivo hardware o software exis-
servicios por parte de las administraciones, tente en la actualidad –desde el sistema más
empresas y profesionales, el acceso a la infor- complejo instalado en una infraestructura es-
mación, la educación, el comercio, el ocio o la tratégica, como una central nuclear, hasta la
La protección frente a salud de los ciudadanos, al igual que casi to- más sencilla aplicación informática instalada
los ciberriesgos se ha dos los ámbitos de nuestra sociedad, se sus- en un teléfono móvil– está exento de ser ata-
convertido en una tentan hoy más que nunca (y cada vez más) cado.
prioridad debido a las en el ciberespacio1.
nuevas amenazas Así, la ciberseguridad representa actualmente
procedentes de Las tecnologías de la información y las comu- una de las principales preocupaciones de to-
Internet, el crecimiento nicaciones (TIC) propician el desarrollo econó- das las empresas e instituciones, con indepen-
del número de ataques mico de la sociedad de manera integrada den- dencia del sector o ámbito al que pertenez-
y la mayor complejidad tro de las empresas y organizaciones, que can.
de las amenazas. usan en su actividad el amplio abanico de dis-
La protección frente a los ciberriesgos se ha
positivos electrónicos y redes de comunicacio-
convertido por tanto en una prioridad de las
nes disponibles.
mismas, fruto de la proliferación de nuevas
Sin embargo, de la mano de dicha expansión amenazas procedentes de Internet, el enorme
tecnológica y el aumento del uso de servicios crecimiento durante los últimos años del nú-
de Internet surgen nuevos retos y desafíos pa- mero de ataques recibidos por las organiza-
ra las organizaciones. Así, una de las principa- ciones, y el aumento en la complejidad y sofis-
les amenazas que han traído consigo estos ticación de estas amenazas.
avances es la proliferación de acciones delicti-
vas en el ciberespacio.
1. Se entiende por ciberespacio el entorno virtual común que comprende la interconexión del conjunto global de sistemas,
activos de información y redes de comunicaciones (incluyendo Internet), así como los usuarios de estos servicios y tec-
nologías.
6
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
3. Si bien no existe un criterio de clasificación estricto de las diferentes tipologías de malware, se entiende de manera ge-
neral que esta palabra incluye todo tipo de software o código malicioso que tiene el objetivo de infiltrarse y dañar un
sistema de información, abarcando virus, gusanos, troyanos, rootkits, spyware, keyloggers, botnets, etc.
7
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
pilada ocultándola mediante técnicas de ci- tra también el hecho de que el World Econo-
frado. mic Forum lo incluya desde el año 2014 en la
lista de los 5 principales riegos globales, en
• Carbanak. Ataque Persistente Avanzado
términos de probabilidad, junto al cambio cli-
(APT) diseñado y dirigido al sector bancario,
mático, el desempleo, las catástrofes naturales
capaz de alterar y manipular el funciona-
y la desigualdad económica.
miento de las redes y software de control
de los cajeros automáticos. Los principales vectores y razones que han
propiciado esta situación actual son:
• Ransomware. También conocido como el
“virus de la policía”, cifra la información • La creciente expansión del acceso a Internet
contenida en el sistema del usuario infecta- y el proceso de digitalización global (actual-
do, solicitando una compensación económi- mente existen más de 2.800 millones de
ca para su desbloqueo. personas con acceso –más del 40% de la
población mundial– y 10.000 millones de
• Stuxnet. Software malicioso descubierto en
dispositivos conectados), así como la popu-
2010, capaz de controlar y manipular soft-
larización de nuevos dispositivos (smartpho-
ware de control y supervisión de procesos
nes, tablets), nuevas tecnologías de proce-
industriales (SCADA).
samiento de datos (cloud computing, vir-
Actualmente la ciberseguridad representa un tualización de sistemas) y posibilidades de
problema global y sistémico, como lo demues- conexión remota y/o móvil (Wifi, VPN, 4G,
VOLUMEN DE CIBERINCIDENTES
18.232
+41%
12.916
7.263 Impacto
3.998
1.914
193 485
2009 2010 2011 2012 2013 2014 2015
CIBERAMENAZAS
Troyanos · Bots
Virus · Gusanos Spyware Malware · DoS APTs · Ingeniería social
8
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
satélite), con sus consiguientes riesgos y de- • La posibilidad de utilizar fuentes y sistemas
bilidades de seguridad asociados. anónimos, que amplía la cantidad de gente
dispuesta a cometer este tipo de delitos.
• La velocidad de los cambios tecnológicos y El concepto de riesgo
la adopción de tecnologías emergentes, en Se estima que el cibercrimen tiene un impacto cibernético proviene de
global en la economía de entre 300.000 mi- la amenaza continua y
ocasiones no suficientemente maduras des-
llones y un billón de dólares al año, cifra que a escala industrial por
de el punto de vista de seguridad.
equivale a cerca del 1% del PIB mundial, al- parte de terceros sobre
• La crisis económica de carácter global (gran canzando un nivel similar al de amenazas cri- los activos digitales, las
recesión) que se inició durante los años minales convencionales como el narcotráfico operaciones y la
y/o la piratería4. información
2007-2008 y que, en mayor o menor medi-
corporativa.
da, sigue vigente en muchos países y geo- Más aún, los riesgos cibernéticos tienen una
grafías. naturaleza sustancialmente superior a éstas
últimas, en la medida que pueden tener dife-
• Las importantes carencias existentes en las rentes objetivos simultáneamente: la rentabili-
legislaciones transfronterizas, laxa normati- dad que ofrece su explotación, la facilidad y el
va y escasa regulación en algunos países, y bajo coste de las herramientas utilizadas para
dificultad legal de perseguir el cibercrimen, la consecución de ataques, así como la facili-
de manera general. dad de ocultación del atacante; hacen posible
que estas actividades se lleven a cabo de for-
• La creciente actividad que presentan los ma anónima y desde cualquier lugar del mun-
movimientos activistas antisistema y anti- do, con lo que su trazabilidad y seguimiento
globalización. resulta sumamente complejo.
4. McAfee (2013): The Economic Impact of Cybercrime and CyberEspionage. Center for Strategic and International Stu-
dies.
9
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
tos clasificados son algunos de los principa- mientos, comunicaciones, etc) con el objeti-
les activos de información que deben ser vo de provocar una interrupción puntual o
especialmente protegidos. prolongada de los mismos.
Spam y Phishing.
PRINCIPALES AMENAZAS Hijacking.
Contra la información.
DoS (Denegación de Servicios).
Contra la infraestructura TIC.
SQL Injection.
Amenazas
Al igual que la naturaleza se adapta, las ame- usuario más molestas que dañinas, se están
nazas que en un principio eran puntuales y convirtiendo en sofisticadas herramientas po-
muy concretas en cuanto a objetivos, con téc- tencialmente dañinas. De este modo, las prin-
nicas muy simples y consecuencias para el cipales amenazas relacionadas con el ciberes-
10
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
11
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Las motivaciones son diversas y pueden va- Así las cosas, los recientes eventos de fuga de
riar desde la perpetuación de un fraude finan- información y fallos en la seguridad cibernéti-
ciero sobre los ingresos de la organización o ca de algunas organizaciones evidencian un
de sus clientes; la producción de un quebran- nuevo escenario de riesgo donde la informa-
to económico directo a una compañía, el en- ción se convierte en una de las armas estraté-
torpecimiento de sus operaciones o el sabota- gicas más letales, comprometiendo la estabili-
12
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
dad o continuidad de cualquier persona u or- aún sin estrenar8. Otros ejemplos relevantes
ganización. fueron las filtraciones de Edward Snowden,
Los principales ataques
cuando se comprometió la información de
En efecto, algunos ataques cibernéticos re- son los producidos en
más de 40 delegaciones de países en suelo
cientes han puesto en riesgo naciones e in- forma de DDoS,
estadounidense9, o el robo de datos de 83
dustrias. Un ejemplo fue la operación “Auro- hacking, ataques fuera
millones de clientes a la entidad bancaria JP
ra”, en 2009, que vulneró los sistemas de se- del perímetro, ataques
Morgan Chase.
guridad de hasta 34 compañías de EEUU (Go- a activos intangibles y
ogle, Yahoo, Symantec y Adobe, entre muchas Estos hechos demuestran que los objetivos de los basados en el
otras)7. O el ciberataque sufrido por Sony en los atacantes son cada vez más ambiciosos, fraude económico y la
2014, cuando se filtraron en Internet los da- se manifiesten sus acciones en el terreno de fuga de información
tos personales, números de identificación fis- la ciberdelincuencia o en los entornos del ci- confidencial.
cal e información médica de los más de 3.800 berespionaje (estados, empresas, personas) y
trabajadores de la empresa, así como varios del ciberterrorismo.
contenidos de producciones cinematográficas
INGENIERÍA SOCIAL
Técnicas y habilidades sociales o psicológicas para obtener información confidencial a tra-
vés de la manipulación de las personas o usuarios.
FINGERPRINTING
Búsqueda y recolección de todo tipo de información del objetivo, principalmente en Inter-
net, y realizada de manera pasiva, que pueda ser utilizada en la perpetración de un ataque.
Puede incluir tanto la recolección de información de fuentes públicas (OSINT: Open-Source
Intelligence), como de fuentes privadas o de pago.
8. CNet (2014): Sony encabeza la lista de los peores 'hackeos' del año.
13
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
ENUMERACIÓN Y ESCANEO
Identificación de sistemas, equipos y dispositivos existentes en la red. Obtención de nom-
bres de equipos, usuarios, recursos compartidos, etc.
También incluye habitualmente la identificación de posibles vulnerabilidades.
SPAM Y PHISHING
Ataques a través del servicio de correo electrónico, ya sea buscando la indisponibilidad del
mismo o la suplantación de identidad para obtener información confidencial de los usua-
rios.
Durante los últimos años las técnicas de phishing han evolucionado enormemente dada su
simplicidad y alta efectividad, y es habitual hablar de ataques concretos de smishing, vis-
hing, spear phishing, etc.
HIJACKING
Técnicas ilegales utilizadas por los atacantes para adueñarse o tomar el control de diferen-
tes recursos: navegador, credenciales de sesión, conexiones TCP/IP, páginas web, etc.
SQL INJECTION
Técnica de ataque sobre páginas web qu,e a través de la ejecución de comandos SQL, per-
mite la obtención y/o manipulación de información de la base de datos del servidor.
14
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Con carácter general, todas estas técnicas o ques sufridos por las empresas evidencian fa-
amenazas se basan en la detección y existen- llos ocasionados por la ausencia de medidas
cia de errores en la configuración de seguri- de seguridad, métodos, procedimientos, pro-
dad de los sistemas, obsolescencia o falta de ductos y herramientas debidamente imple-
actualización de las infraestructuras tecnoló- mentados y certificados.
gicas, y fallos de programación o diseño en
las arquitecturas de seguridad y comunicacio- A este hecho se suma la escasa conciencia-
nes, cuya identificación y mitigación debe ción y cultura de seguridad dentro de las or-
considerarse una prioridad por las entidades y ganizaciones, y la escasez de personal sólida-
organizaciones. mente formado y especializado dedicado a la
ciberseguridad. El 80% de los ataques ciber-
Por otro lado, a las facilidades derivadas de
una mayor superficie de explotación por parte néticos podrían prevenirse mediante una serie
de los atacantes (móviles, cloud, redes socia- de sencillas buenas prácticas en redes y equi-
les, etc.) o la existencia de un mercado negro pos, que suelen incluir el uso de contraseñas
de vulnerabilidades 0-Day, poco ayuda una seguras, configuraciones de seguridad ade-
realidad en la que la mayor parte de los ata- cuadas, correcta gestión del control de acce-
15
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
10. National Audit Office (2013): The UK cyber security strategy: Landscape review
11. Parte oculta de Internet, utilizada por los cibercriminales/delincuentes, no accesible desde los motores de búsqueda
tradicionales, y dotada de complejos sistemas de comunicación y reenvío del tráfico y contenidos para ocultar su ori-
gen, acceso y mantener el anonimato.
16
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CIBERSEGURIDAD
· Controles centrados en el cumplimienro normativo.
ENFOQUE PREVENTIVO
· Desarrollo de una estrategia global de seguridad. · Compliance técnico con auditorías y estándares.
ENFOQUE REACTIVO
· Monitorización y vigilancia de la seguridad.
· Escaso análisis de amenazas externas, con foco casi
· Gestión de amenazas de manera proactiva. exclusivo en el personal interno.
· Coordinación e intercambio de información.
· Análisis de logs y eventos de seguridad, únicamente
· Personal dedicado y experto. realizado tras sufrir incidentes o ataques relevantes.
· Formación y concienciación de personal.
SEGURIDAD DE TI
17
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
De la rapidez y extensión del impacto que tie- detección de los riesgos de ciberseguri-
nen las nuevas amenazas en toda la organi- dad.
zación se concluye que la ciberseguridad no
· Medidas organizativas, como la difusión
es una cuestión cuya responsabilidad deba
La ciberseguridad no de políticas de seguridad en las organiza-
debe circunscribirse a circunscribirse a los departamentos de TI, sino
ciones o la concienciación a los usuarios de
los departamentos de que la Alta Dirección de la empresa ha de es-
los riesgos en el uso de las tecnologías de
TI, sino que la Alta tar implicada en su gestión eficiente con un
la información.
Dirección ha de compromiso activo continuo.
implicarse en su · Medidas técnicas que pueden incluir desde
Por tanto la seguridad corporativa ya no se
gestión eficiente con un la existencia de herramientas para la ges-
identifica únicamente con la seguridad pre-
compromiso activo tión centralizada de alertas y eventos de
ventiva, ni es responsabilidad exclusiva de un
continuo. seguridad en los sistemas a técnicas que
departamento, ni se separa en un escenario
interior o exterior o con un enfoque reactivo o permitan detectar y prevenir fugas de infor-
preventivo. mación confidencial; contratación de servi-
cios de hacking ético y auditorías forenses
De este modo surgen en el seno de las em- de seguridad; búsqueda de información en
presas nuevas actividades y tareas relaciona- Internet, prensa o redes sociales; suscrip-
das entre las que cabe destacar: ción a servicios de alertas, incidentes y vul-
nerabilidades de seguridad; e incluso la
· Análisis de la exposición a los ciberries-
contratación de pólizas de los denominados
gos por parte de las entidades, identifica-
ciberseguros que cubran la pérdidas ocasio-
ción y clasificación de información crítica
nadas por un ciberataque, y la participación
existente en una organización y estableci-
miento de una estrategia de seguridad. en ciberejercicios que permitan evaluar las
capacidades de organización y resiliencia
· Concienciación: Cualquier persona o área ante el cibercrimen.
de una entidad puede ser víctima de un ci-
berataque, por lo que resulta necesario es- Servicios y sistemas de seguridad
tablecer una cultura de seguridad en las or-
ganizaciones con el objetivo de cambiar la En los últimos años han surgido diferentes
manera en que la seguridad es percibida servicios avanzados de seguridad para el con-
por las personas, adoptando entre otras al- trol y gestión de estos riesgos que cada vez
gunas de estas medidas: más organizaciones están adaptando e im-
- Divulgación de políticas y manuales de plantando en su operativa diaria, y entre los
seguridad. que cabe destacar:
18
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
19
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Actualmente, resulta cada vez más común es- Para ello, las entidades están adoptando mo-
cuchar en las entidades y medios de comuni- delos para la gestión de los ciberriesgos, ba-
cación términos como ciberinteligencia, resi- sados en algunos de los estándares y buenas
liencia o seguridad operacional, que represen- prácticas del mercado, propuestos por las
Las organizaciones
tan perfectamente este cambio de paradigma, principales organizaciones de referencia (ISO,
deben implantar una
y ahondan en la idea del establecimiento de CobiT, ISACA, ITIL).
estrategia de seguridad
acorde a su exposición una estrategia global del ciclo de vida de la La siguiente figura muestra las principales
a los riesgos y a las seguridad y la gestión de incidentes, así como funciones asociadas a la gestión de la ciber-
necesidades, en las capacidades de las organizaciones de seguridad según el modelo de control pro-
posibilidades y defenderse, resistir e incluso responder a un puesto por el Instituto Nacional de Estándares
recursos. ciberataque. y Tecnología Norteamericano (NIST13).
Fuente: NIST (National Institute of Standards and Technology) (Feb. 2014): Framework for Improving Critical Infrastructure
Cybersecurity
Si bien la seguridad no existe al cien por cien sobre todo, es necesario un cambio de menta-
(siempre estaremos expuestos en mayor o lidad.
menor medida), sí es posible hacer nuestras
En este sentido, las organizaciones deben rea-
organizaciones más seguras. Para ello, la anti- lizar un análisis detallado de la exposición a
cipación es clave. Hay que ir por delante de estos riesgos, e implantar una estrategia de
los ataques siendo capaces de detectarlos y seguridad acorde a la misma, así como a las
prevenirlos. necesidades, posibilidades y recursos de cada
organización, construyendo un modelo de
Además, se puede limitar de forma significati-
gestión de la seguridad donde, además de las
va el daño si se reacciona de forma rápida y áreas clásicas de la seguridad IT, tengan refle-
decidida ante cualquier intento de compro- jo capacidades más avanzadas asociadas con
meter nuestro entorno. Todo esto requiere los conceptos de ciberseguridad y ciberresi-
continuidad y constancia en la vigilancia pero, liencia14.
20
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CIBEREJERCICIOS Y CIBERSEGUROS
De la misma forma que en el mundo de la mite evaluar el estado de preparación de los
continuidad de negocio y la gestión de crisis participantes frente a crisis de origen ciberné-
el modelo de gestión evoluciona principal- tico, facilitando además lecciones aprendidas
mente por la realización de sucesivos escena- y recomendaciones para el futuro…”
rios de prueba, dentro de la ciberseguridad la
Con carácter general, y aunque la naturaleza
sucesiva realización de ciberejercicios permi-
de estos ejercicios es variada, pueden cumplir
ten a las organizaciones mejorar su desempe- con los siguientes objetivos:
ño dentro de este ámbito.
- Evaluar las medidas de seguridad perime-
tral, monitorización de seguridad y protec-
Ciberejercicios ción de sistemas y activos de información,
Tal y como se recoge en el documento Taxo- mediantes ejercicios de hacking ético o
nomía de Ciberejercicios desarrollado por el pentesting que simulan y utilizan las técni-
INCIBE (Instituto Nacional de Ciberseguri- cas y modos de actuación de los atacantes.
dad), se puede definir el concepto de cibere- - Evaluar las capacidades de tratamiento y
jercicio como: “…una herramienta que per- recuperación de las entidades ante un ci-
21
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
22
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
dencia muy interesante para los organismos vez en 2015 contó con la participación de ins-
de defensa de cara a reducir la carga de tra- tituciones europeas) o los más recientes Pro-
bajo que puede representar la preparación y teus (Brasil), CBEST Cyber Exercise (Inglaterra)
realización de ciberejercicios. y Ciber Perseu (Portugal).
23
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
que están enfocadas a cubrir las pérdidas y de 61 millones de dólares, de los cuales su
gastos relacionados con fallos en los siste- seguro cubrió 44 millones.
mas, notificación y atención a clientes, investi-
Un reciente estudio de Wells Fargo sobre 100
gación forense, extorsión, gastos de consulto-
Los ciberseguros no empresas medianas y grandes de Estados
suelen cubrir las rías y asesoramiento legal, impactos reputa-
Unidos desveló que el 85% de ellas tenían un
pérdidas económicas cionales o responsabilidades derivadas de ro-
ciberseguro. De éstas, el 44% habían sufrido
directas de un bos de información y publicación de conteni-
incidentes que fueron cubiertos por su asegu-
ciberataque, sino que dos en medios digitales. radora.
cubren aquellas
Valga como ejemplo el caso de la cadena de Según la correduría de seguros Marsh, el mer-
relacionadas con fallos
supermercados norteamericana Target, que cado de los ciberseguros generó en Estados
en los sistemas,
disponía de un ciberseguro. A finales de 2013 Unidos 1.000 millones de dólares en 2013,
notificación a clientes,
sufrió un cibertaque por el que le fueron sus- cantidad que se dobló en 2014 y cuya de-
investigación forense o
impactos traídos los números de tarjetas de crédito y manda sigue aumentando significativamente
reputacionales, entre débito de 40 millones de clientes, así como en la actualidad. El mercado europeo de ci-
otras. los datos personales de 70 millones de perso- berseguros es aún pequeño comparado con
nas. El coste del ataque para la compañía fue Estados Unidos, pero crece a buen ritmo.
24
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
25
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
26
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
27
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Aunque sus recomendaciones están enfoca- nas prácticas aplicables a la realidad de las
das a estrategias nacionales de ciberseguri- organizaciones.
dad, su lectura puede ayudar a extraer bue-
REGULACIÓN Y NORMATIVA
Sector Público · Objetivos de la ciberseguridad. En este
apartado se establece el objetivo global de
El documento más importante en materia de lograr que España haga un uso seguro de
ciberseguridad en el ámbito regulatorio na- los Sistemas de Información y Telecomuni-
cional fue el publicado en el año 2013 desde caciones.
la Presidencia del Gobierno con el título Es-
trategia de Ciberseguridad Nacional. Este · Líneas de acción de la ciberseguridad na-
documento, conforma el eje central estratégi- cional. Define una serie de líneas maestras
La Estrategia de co y recoge los principios fundamentales para para alcanzar los objetivos expuestos en el
Ciberseguridad la definición de la estrategia española en ma- capítulo anterior.
Nacional recoge los teria de ciberseguridad.
puntos fundamentales · La ciberseguridad en el Sistema de Segu-
para la definición de la El documento se encuentra estructurado en ridad Nacional. Define la estructura orgá-
estrategia española en los siguientes capítulos: nica al servicio de la ciberseguridad.
materia de · El ciberespacio y su seguridad. Este capí- En el ámbito del sector público, se puede pro-
ciberseguridad. tulo recoge las características del ciberes- ducir una nueva diferenciación respecto al
pacio, así como sus principales oportunida- ámbito de aplicación de esta estrategia nacio-
des y amenazas. nal. Por un lado, se puede diferenciar el ámbi-
· Propósito y principios rectores de la ciber- to específico de defensa (militar) y por otro, se
seguridad en España. Establece una defini- puede identificar el ámbito de las administra-
ción de las directrices generales del uso se- ciones públicas. Aunque la estrategia en ma-
guro del ciberespacio. teria de ciberseguridad es la misma para es-
tos ámbitos, la aproximación empleada para
su desarrollo es diferente.
Ciberespacio
y su EN EL ÁMBITO DE LAS ADMINISTRACIONES
seguridad
PÚBLICAS, la principal normativa empleada
Sistema de Propósito y
Seguridad principios para la gestión de la ciberseguridad lo confor-
Nacional Estrategia de rectores man las normas internacionales ISO (princi-
Ciberseguridad
Nacional palmente ISO27002 e ISO18044).
28
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
y, por otro lado, la norma ISO18044 define las desde un punto de vista técnico de los requi-
medidas de seguridad aplicables para el trata- sitos del ENS en entornos Windows 7 y Win-
miento y respuesta a incidentes tecnológicos. dows server 2008 R2.). Estos documentos y
herramientas son también empleados dentro
EN EL ÁMBITO DE DEFENSA, como ya se ha del ámbito de defensa para la implantación
mencionado anteriormente, se toma como de medidas de ciberseguridad.
principal guía el documento Estrategia de Ci-
berseguridad Nacional. Sin embargo, se ma- Finalmente, y aunque su ámbito de actuación
nejan y toman como documentación adicional excede el de la seguridad de las comunicacio-
los documentos de benchmarking elaborados nes telemáticas y el ciberespacio, abarcando
La serie de guías de la
por el CIS (Center for Internet Security) y las el terreno de la seguridad física y la lucha
serie STIC establece las
guías DISA STIGs (Defense Information Sys- contra el terrorismo, es relevante mencionar
políticas y
tems Agency - Security Technical Implementa- la creación del Centro Nacional de Protección
procedimientos
tion Guides) elaboradas por organismos esta- de las Infraestructuras Críticas (CNPIC) –de-
acecuados para la
dounidenses, que definen medidas de seguri- pendiente del Ministerio del Interior– encar-
gado de impulsar, coordinar y supervisar to- implantación de las
dad específicas para diferentes entornos y
das las actividades y mecanismos necesarios medidas contempladas
plataformas. Estas guías definen gran canti-
dad de medidas de seguridad, algunas de para garantizar la seguridad de la infraestruc- en el Esquema Nacional
ellas bastante costosas de implementar, pero turas que proporcionan servicios esenciales a de Seguridad.
son una pieza fundamental y muy completa a nuestra sociedad, fomentando la participación
la hora de bastionar distintas plataformas. de todos y cada uno de los agentes del siste-
ma en sus correspondientes ámbitos, con el
A nivel nacional también se cuenta con un objetivo de crear un modelo de seguridad ba-
conjunto de guías de la serie STIC (Seguridad sado en la confianza mutua, y creando una
de las Tecnologías de la Información y las Co- asociación público-privada que permita mini-
municaciones). En concreto, cabe destacar la mizar las vulnerabilidades de las infraestruc-
serie 800 relacionada con el ENS (Esquema turas críticas ubicadas en el territorio nacio-
Nacional de Seguridad). Esta Serie CCN-STIC- nal.
800 establece las políticas y procedimientos
adecuados para la implementación de las me- El primer Plan Nacional de Protección de las
didas contempladas en el Esquema Nacional Infraestructuras Críticas, aprobado en mayo
de Seguridad (RD 3/2010). de 2007, reconoce que el riesgo de ataques
terroristas catastróficos contra infraestructu-
Adicionalmente, tal y como se ha indicado, ras críticas está viviendo un aumento, y por
dentro del ámbito de las administraciones pú- ello se ha creado un catálogo de instalaciones
blicas se pueden destacar las normativas ela- sensibles a estos atentados.
boradas por el CCN-CNI (Centro Criptológico
Nacional) a través de las series de guías STIC. Este plan establece que las infraestructuras
Estas guías cuentan, en algunas ocasiones, críticas son aquellas instalaciones, redes, ser-
con herramientas propias de desarrollo como vicios y equipos físicos y de tecnología de la
son CARMEN (Centro de Análisis de Registros información cuya interrupción o destrucción
y Minería de Datos), LUCIA (Listado Unificado pueden tener una repercusión importante en
de Coordinación de Incidentes y Amenazas) o la salud, la seguridad o el bienestar económi-
CLARA (que permite verificar el cumplimiento co de los ciudadanos o en el eficaz funciona-
29
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
miento de los gobiernos de los Estados miem- nanzas, entre otros, a informar a las autorida-
bros. des nacionales acerca de incidentes de impac-
to significativo.
Entre estas instalaciones sensibles destacan
INFRAESTRUCTURAS
CRÍTICAS las centrales y redes de energía, las comunica- Se ha establecido que las 5 estrategias priori-
PLAN NACIONAL DE PROTECCIÓN ciones, las finanzas, el sector sanitario, la ali- tarias a desarrollar son:
Factores
mentación, el agua –embalses, almacena- · La resiliencia contra ciberataques.
miento, tratamiento y redes–, los transpor- · La reducción drástica de la delincuencia en
Rango
tes –aeropuertos, puertos, etc.–, monumentos la red.
Escala
nacionales, así como la producción, almacena-
Efectos en el tiempo · El desarrollo de una política de ciberdefen-
miento y transporte de mercancías peligrosas,
sa y de las capacidades correspondientes
como material químico, biológico o nuclear.
Parámetros en el ámbito de la Política Común de Segu-
El criterio para incluir a dichas instalaciones ridad y Defensa (PCSD).
Daños causados
Impacto económico
en el catálogo es una mezcla de diversos fac- · El desarrollo de los recursos industriales y
tores: rango, escala y efectos en el tiempo; y tecnológicos necesarios en materia de ci-
Impacto en servicios
esenciales de parámetros: daños causados, impacto eco- berseguridad.
nómico e impacto en servicios esenciales; y · El establecimiento de una política interna-
Áreas estratégicas comprende actualmente más de 3.500 insta-
cional coherente del ciberespacio en la
Energía laciones e infraestructuras sensibles dentro de
Unión Europea y la promoción de los valo-
Industria Nuclear las siguientes áreas estratégicas: Energía, In-
res europeos esenciales.
TI dustria Nuclear, Tecnologías de la Informa-
Transportes ción, Transportes, Suministro de Agua, Sumi- Así pues, son numerosas las iniciativas a nivel
Suministro de Agua nistro de Alimentos, Salud, Sistema Financie- internacional que diferentes organismos, re-
Suministro de Alimentos ro, Industria Química, Espacio y Administra- guladores y gobiernos están promoviendo en
Salud ción. el ámbito de la ciberseguridad y protección de
Sistema Financiero las infraestructuras críticas, entre las que cabe
EN EL ÁMBITO INTERNACIONAL caben desta-
Industria Química destacar la aprobación y promulgación de di-
car otras iniciativas como La Estrategia de Ci-
Espacio versas leyes en diferentes países:
berseguridad de la Unión Europea (publica-
Administración
da en 2013), o la Directiva de Seguridad de · Cybersecurity Enhancement Act of 2014 (Es-
la Redes y la Información (NIS), que estable- tados Unidos). Proporciona una asociación
ce medidas de control y mecanismos de coo- permanente público-privada para mejorar y
peración concretos entre los estados miem- fortalecer la investigación y el desarrollo
bros, como la red de equipos de respuesta a del personal, educación, preparación y con-
incidentes de seguridad (CSIRT) y el grupo de ciencia en materia de ciberseguridad.
cooperación, compuesto por miembros de au-
toridades nacionales competentes, la Comi- - Cybersecurity Act of 2015 (Estados Unidos).
sión de la Unión Europea y la ENISA. La Di- Creada con el objetivo de promover y alen-
rectiva también obliga a diseñar una estrate- tar al sector privado y gobierno de Estados
gia de ciberseguridad nacional, y la obliga- Unidos para intercambiar con rapidez y de
ción para empresas que trabajan en sectores manera responsables información sobre las
críticos tales como energía, transporte y fi- amenazas cibernéticas.
30
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
- IT Security Act (Alemania). En respuesta, y Por supuesto no hay que olvidar que el sector
tras la alarma del ciberataque al parlamen- privado deberá realizar un levantamiento de
to alemán (Bundestag) conocido en junio las leyes y regulaciones de los países en los
de 2015, Alemania aprobó una ley de se- que tiene presencia con objeto de conocer sus
guridad informática destinada a reforzar los obligaciones legales.
dispositivos de protección a las empresas,
debiendo además informar de inmediato Así pues, la regulación en materia de ciberse-
acerca de cualquier incidente, anomalía o guridad en el sector privado ha cobrado espe-
sospecha de virus. cial importancia durante los últimos años, co-
La realización de
mo demuestran algunos de estos hechos:
cuestionarios, pruebas
Sector Privado - La creación por parte del NERC (Corpora- internas de ingeniería
ción para la confiabilidad del sector eléctri- social y actividades de
Dentro de las compañías de sector privado se co norteamericano) de un estándar de bue- concienciación para
debe desarrollar un cuerpo normativo de se- nas prácticas en ciberseguridad y soporte a que los empleados
guridad que cubra todos los riesgos a los que la industria e infraestructura eléctrica.
conozcan sus
la compañía se encuentra expuesta, sin olvi- - La creciente exigencia a los bancos y enti- responsabilidades en
dar la ciberseguridad. Este cuerpo normativo dades financieras en materia de sistemas y materia de
debe ser debidamente publicado y comunica- para la prevención y detección de amena- ciberseguridad son
do a todos los empleados de modo que co-
zas de ciberseguridad por parte de los dife- buenas prácticas a
nozcan los riesgos a los que nos exponemos
rentes reguladores del sistema financiero. aplicar en el sector
cuando nos enfrentamos a la ciberseguridad.
Así lo demuestran las constantes revisiones, privado.
Una buena práctica es realizar cuestionarios y
auditorías y procesos periódicos de análisis y
actividades de concienciación que permitan a
evaluación de la capacidad de ciberresiliencia
los empleados conocer sus responsabilidades
de las mismas, realizadas por la FED17, OCC18
en materia de ciberseguridad y realizar prue-
y FDIC19 en Estado Unidos, PRA20 y FCA21 en
bas internas de ingeniería social que nos ayu-
Inglaterra, y más recientemente por el Meca-
den a medir el nivel de concienciación im-
nismo Único de Supervisión (MUS) del Banco
plantado en la compañía. Realizar revisiones
Central Europeo. A este respecto, es impor-
periódicas de cumplimiento del cuerpo nor-
tante mencionar que el BCE inició sus diligen-
mativo permitirá identificar debilidades y es-
cias el pasado año sobre las principales enti-
tablecer acciones correctoras.
dades bancarias a nivel europeo, con la reali-
Cabe mencionar la importancia de colabora- zación de un primer proceso de evaluación de
ción con entidades públicas, tal y como esta- ciberseguridad a través del envío de un cues-
blece la Estrategia de Ciberseguridad Nacio- tionario, y seguido por inspecciones in situ ac-
nal comentada con anterioridad. tualmente en curso.
31
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Tanto el volumen como el impacto de las Debe poner en funcionamiento todas las me-
amenazas están aumentando exponencial- didas técnicas y organizativas necesarias. Los
mente en los últimos tiempos. Por todo esto empleados y usuarios (o los propietarios de
hay que extremar las medidas en materia de las aplicaciones sean o no desarrolladas inter-
ciberseguridad y establecer todos los contro- namente por la organización) deben ser cons-
les necesarios para poder mitigar los riesgos cientes de que son parte primordial de esta
en las organizaciones. primera línea de defensa. Son el primer obje-
32
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Regulador / Supervisor
Auditoría de Cuentas
Cumplimiento Normativo
Control de TI
de las áreas
Seguridad de TI Auditoría Interna
de TI
Gestión de Riesgos de TI
Control
Interno de TI …
tivo y la puerta de entrada más débil para los tendrán más presencia que otras, pero todas
“malos”. ellas deberían tener en cuenta la ciberseguri-
dad y sus riesgos.
Deben tener mucho cuidado con correos elec-
trónicos sospechosos, dispositivos móviles, re- La relación entre todas ellas debe formar un
des Wifi, redes sociales, etc. Un uso adecuado modelo de aseguramiento en ciberseguridad
de los mismos y conforme a las políticas de que facilite que los riesgos y controles en este
seguridad de la compañía provee una garan- ámbito se manejan de manera consistente,
tía que minimiza el riesgo existente. Pero esto mediante revisiones proactivas de la seguri-
no es suficiente, también se tienen que im- dad y procesos de detección, corrección y me-
plantar todas las medidas técnicas (firewall, jora continua, proveyendo de tranquilidad y
IDS, gestión de accesos, cifrado de la informa- confianza a la alta dirección de la organiza-
ción, etc.) al alcance de la organización y en ción.
consonancia con la información que se mane-
ja. Como principales tareas debe:
· Desarrollar e implementar las políticas ge-
La segunda línea de defensa nerales (ciberseguridad) y facilitar el desa-
rrollo e implantación del marco general de
La segunda línea de defensa puede estar
riesgos y controles.
compuesta por diferentes funciones en la or-
ganización tales como Gestión de Riesgos de · Establecer las metodologías y métricas para
TI, Seguridad de Sistemas, Cumplimiento Nor- evaluar y monitorizar el proceso.
mativo de TI, Asesoría Jurídica, etc. Es eviden- · Reforzar los marcos de control definidos
te que dependiendo de la organización unas por la primera línea de defensa.
33
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La colaboración con la segunda línea de de- 2. Asegurar que la organización cuenta con
fensa es muy importante facilitando el alinea- un correcto nivel de madurez y capacidad
miento con el modelo de aseguramiento a ni- para la identificación y mitigación de los
vel corporativo y poner en contexto y elevar riesgos de ciberseguridad.
tanto las bondades del modelo como los gaps 3. Verificar los mecanismos para reconocer
o deficiencias encontradas en materia de ci- incidentes de ciberseguridad procedentes
berseguridad. de un empleado o proveedor externo.
En este punto, Auditoría Interna debería parti- 4. Aprovechar las relaciones con la dirección
cipar de manera pasiva o estar informada de la compañía para aumentar el nivel de
puntualmente de las actividades de las áreas concienciación con los riesgos de ciberse-
PLAN
DE AUDITORÍA INTERNA Información sobre ciberseguridad
34
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
guridad de la Junta y el Consejo, así como alcanzar los objetivos y retos de ciberse-
su implicación y compromiso con cuestio- guridad de la compañía.
nes clave en esta materia, como la actua-
lización de la estrategia de ciberseguridad Ciberseguridad en comités y comisio-
de la compañía. nes
5. La ciberseguridad se encuentra formal-
Además de las funciones vistas en las tres lí-
mente cubierta e integrada en el Plan de
neas de defensa, existen multitud de comités
Auditoría Interna.
y comisiones delegadas dependiendo de las
6. Entender y desarrollar un perfil de riesgo propias características de las organizaciones,
en ciberseguridad de la compañía, tenien- para tomar decisiones en cuanto a la estrate-
do en cuenta las nuevas tecnologías y gia, organización y operación. La ciberseguri-
tendencias emergentes. dad debería estar presente en todos ellos y
tomada en consideración como un aspecto
7. Evaluar el programa de ciberseguridad de
relevante en los siguientes:
la compañía con el marco de ciberseguri-
dad de la NIST, y otros estándares tales · Comités de Sistemas, de Seguridad, de Con-
como ISO 27001 y 27002. tinuidad de Negocio.
8. Identificar y evaluar las capacidades pre- · Comités de Cumplimiento, de Riesgos. Auditoría Interna debe
ventivas de control de la ciberseguridad entender y desarrollar
en materia de educación, formación y · Comités de Dirección. el perfil de riesgo en
concienciación de usuarios, así como pro- · Comisiones de Auditoría y Cumplimiento, ciberseguridad de la
cesos y herramientas de control y vigilan- de Riesgos. organización, teniendo
cia digital. en cuenta las nuevas
Con esta presencia aseguramos que los máxi- tecnologías y
9. Asegurar que la monitorización y gestión
mos responsables de las organizaciones: pre- tendencias emergentes.
de ciberincidentes es considerada una
sidencia, consejeros delegados, consejos de
prioridad en la compañía, existiendo un
administración, etc., estén informados en to-
proceso de escalado claro al respecto.
do momento de los riesgos que tienen las or-
10. Identificar cualquier carencia o falta de ganizaciones en materia de ciberseguridad,
personal de IT y Auditoría Interna que las medidas adoptadas y las responsabilida-
pueda representar un impedimento para des que asumen.
35
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CSC 1 INVENTARIO DE DISPOSITIVOS Gestionar activamente todos los dispositivos hardware en la red, de
AUTORIZADOS Y NO AUTORIZADOS forma que sólo los dispositivos autorizados tengan acceso a la red.
CSC 2 INVENTARIO DE SOFTWARE AUTORIZADO Gestionar activamente todo el software en los sistemas, de forma
Y NO AUTORIZADO que sólo se pueda instalar y ejecutar software autorizado.
CSC 3 CONFIGURACIONES SEGURAS Establecer una configuración base segura para dispositivos móviles,
DE SOFTWARE Y HARDWARE PARA portátiles, equipos de sobremesa y servidores, y gestionarlas
DISPOSITIVOS MÓVILES, PORTÁTILES, activamente utilizando un proceso de gestión de cambios y
EQUIPOS DE SOBREMESA Y SERVIDORES configuraciones riguroso, para prevenir a los atacantes explotar
servicios y configuraciones vulnerables.
CSC 4 PROCESO CONTINUO DE IDENTIFICACIÓN Disponer un proceso continuo para obtener información sobre
Y REMEDIACIÓN DE VULNERABILIDADES nuevas vulnerabilidades, identificarlas, remediarlas y reducir la
ventana de oportunidad a los atacantes.
CSC 5 CONTROL SOBRE PRIVILEGIOS Desarrollar procesos y utilizar herramientas para identificar, prevenir
ADMINISTRATIVOS y corregir el uso y configuración de privilegios administrativos
en ordenadores, redes y aplicaciones.
CSC 6 MANTENIMIENTO, MONITORIZACIÓN Recoger, gestionar y analizar logs de eventos que pueden ayudar a
Y ANÁLISIS DE LOGS DE AUDITORÍA detectar, entender o recuperarse de un ataque.
36
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CSC 7 PROTECCIÓN DEL CORREO ELECTRÓNICO Minimizar la posibilidad de que los atacantes manipulen a los
Y DEL NAVEGADOR empleados a través de su interacción con el correo electrónico
y el navegador.
CSC 8 DEFENSAS CONTRA EL MALWARE Evitar la instalación, difusión y ejecución de código malicioso en
distintos puntos, al tiempo que se fomenta la automatización para
permitir una actualización rápida en la defensa, recopilación de
datos y la corrección.
CSC 9 LIMITAR Y CONTROLAR LOS PUERTOS Gestionar el uso de puertos, protocolos y servicios en los
DE RED, PROTOCOLOS Y SERVICIOS dispositivos que tengan red para reducir las vulnerabilidades
disponibles a los atacantes.
CSC 11 CONFIGURACIONES SEGURAS Establecer una configuración base para los dispositivos de
DE DISPOSITIVOS DE RED infraestructura de red, y gestionarlas activamente utilizando un
(FIREWALLS, ROUTERS Y SWITCHES) proceso de gestión de cambios y configuraciones riguroso, para
prevenir a los atacantes explotar servicios y configuraciones
vulnerables.
CSC 12 DEFENSA PERIMETRAL Desarrollar una estrategia para detectar, prevenir y corregir los flujos
de transmisión de información entre redes de distintos niveles de
seguridad (confianza).
CSC 13 PROTECCIÓN DE LOS DATOS Disponer de procesos y herramientas adecuadas para prevenir la
fuga de información, mitigar los efectos cuando se ha producido un
incidente de fuga de información, y asegurar la confidencialidad e
integridad de la información sensible.
CSC 14 ACCESO BASADO EN LA NECESIDAD DE El acceso a los activos críticos debe realizarse de acuerdo a una
CONOCER (NEED TO KNOW) definición formal de que personas, sistemas y aplicaciones tienen la
necesidad y el derecho de acceso. Los procesos y herramientas
utilizadas en el seguimiento, protección y corrección de estos
accesos deben estar alineados con las definiciones.
CSC 15 CONTROL DE ACCESO WIRELESS Disponer de procesos y herramientas para garantizar una seguridad
adecuada en las redes WiFi y en los sistemas clientes, incluyendo
seguimiento y corrección de las medidas de seguridad.
CSC 16 CONTROL Y MONITORIZACIÓN Gestionar activamente el ciclo de vida de las cuentas de sistema y
DE CUENTAS DE SISTEMA de aplicación (creación, uso, inactividad y borrado) para reducir su
utilización por parte de un atacante.
37
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CSC 17 VERIFICACIÓN DE LAS HABILIDADES Identificar los conocimientos específicos, habilidades y capacidades
DE SEGURIDAD Y FORMACIÓN ADECUADA necesarias en la organización para la defensa de los activos críticos
de la compañía, y desarrollar y evaluar un plan para identificar gaps
y remediar con políticas, formación y programas de sensibilización.
CSC 18 SEGURIDAD EN EL CICLO DE VIDA Gestionar el ciclo de vida de todas las aplicaciones, tanto las
DE LAS APLICACIONES desarrolladas internamente como las de proveedores para prevenir,
detectar y corregir vulnerabilidades técnicas.
CSC 20 REALIZAR TEST DE PENETRACIÓN Probar las defensas de la organización (tecnología, procesos
Y EJERCICIOS DE ATAQUE y personas) mediante la simulación de un ataque, utilizando sus
mismas acciones y objetivos.
38
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
tica está alineada con buenas prácticas y si se supuesto y personal suficiente se suele dispo-
dispone de un proceso de revisión de las vul- ner de un SIEM (Security Information and
nerabilidades que retroalimente la política de Event Management), sistema que permite dis-
bastionado. poner en tiempo real de alertas de seguridad.
Otra aproximación es que el auditor escanee La verificación pasa por analizar el contenido
los dispositivos/aplicaciones utilizando herra- de los logs, y, si actuamos como Red Team,
mientas automatizadas, actuando como Red las actividades que realicemos, como esca-
Team. near una red o conectarnos como usuario ad-
ministrador desde un puesto no habitual, de-
CONTROL 5
berían reflejarse en los logs y generarse las
Este control nos lleva a que las cuentas de
alertas correspondientes.
usuarios administradores de aplicaciones, dis- Los controles están
positivos y sistemas operativos deben estar CONTROL 7 pensados para
identificadas, su uso auditado, eliminando las organizaciones de
Nuevo en la versión 6.0, pasa por utilizar
que no se utilizan y cambiando las que están cualquier tipo. El
clientes de correo y navegadores actualizados
definidas por defecto. Adicionalmente, deben conocimiento de la
y evitar que el usuario pueda añadir extensio-
cumplir con la política de fortaleza de contra- organización y la
nes, así como cambiar su configuración. La
señas. exposición a las
configuración debe ser la más restrictiva posi-
amenazas condicionará
La revisión de este control puede orientarse a ble para que el usuario pueda trabajar, desha-
la propia priorización y
verificar la existencia de una política de alta, bilitando los plugins innecesarios. alcance de la
baja y mantenimiento de usuarios administra-
De forma complementaria, el control 8 habili- implantación.
dores, y la fortaleza de la contraseña (debería
ta el análisis de malware en los equipos, y de-
formar parte de la política de bastionado), y
ben definirse medidas para evitar que el mal-
las tareas que se desarrollan para comprobar
ware entre a través de la navegación del
su cumplimiento.
usuario o de la lectura de correo (IPS, antivi-
Por otro lado, también podemos solicitar el
rus de navegación y correo, bloqueo de URLs
listado de usuarios definidos en los sistemas y
maliciosas, etc.).
los ficheros de contraseñas cifradas asocia-
dos, y comprobar que no disponen de las cla- CONTROL 8
ves por defecto utilizando herramientas auto- El control 8 también recomienda agregar
máticas.
otras medidas contra el malware que deben
CONTROL 6 estar recogidas en la política, como el blo-
queo de USB y la monitorización continúa de
Implica que todos los sistemas y aplicaciones
los equipos.
deberían tener habilitadas las trazas de audi-
toría, incluyendo respuestas a desde dónde, Debe existir una política del uso seguro y de
quién, qué y cuándo, así como tener definidas configuraciones autorizadas, y tareas de revi-
acciones de alerta. sión automatizada de los equipos y servido-
Debería existir una política asociada, un for- res.
mato de log corporativo y una tarea de análi- Otra posible verificación pasa por enviar un
sis de estos logs. En organizaciones con pre- correo con contenido no autorizado a una
39
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
cuenta interna, o navegar por una página del uso del administrador y, adicionalmente,
dentro de una lista negra. control de cuentas por defecto (control 16).
El test de este control sería de la misma for-
CONTROL 9
El acceso a la ma que los controles mencionados.
Nos habla de limitar los servicios expuestos a
información debe CONTROL 12
las redes, y separar físicamente las máquinas
seguir el principio de
que tienen esos servicios. Debe existir una po- En este control vemos que tenemos que tener
“necesidad de
lítica que defina que sólo los servicios y puer- una seguridad perimetral basada en aplicar
conocer”. Un perfilado
tos necesarios para la organización estén ha- filtros sobre las comunicaciones de nuestra
adecuado mitiga el
bilitados, o restringidos a las redes/usuarios organización hacia y desde fuera, así como
riesgo, pero deben
que realizan tareas asociadas. El resto debería desplegar sensores que detecten actividades
implantarse otros
estar deshabilitado/filtrado. sospechosas y alimenten a nuestro SIEM, te-
controles, ya que un
nemos que protegernos, pero también es im-
ataque puede obtener La aproximación para verificar este control
portante detectar si están intentando entrar
credenciales que pasa por realizar escaneos automáticos de las
o, si ya lo han hecho, identificarlos.
tengan acceso a la diferentes redes, para identificar puertos/ser-
información. vicios que deberían estar restringidos o des- Por otro lado, tenemos que tener una DMZ,
una zona donde los servicios expuestos a In-
habilitados. Un auditor interno puede realizar
ternet estén separados de la red interna.
esta tarea de forma puntual o verificar si exis-
te un proceso continuo que lo realice. Si necesitamos acceder a la red interna desde
fuera (teletrabajo), debemos implantar un se-
CONTROL 10 gundo factor de autenticación.
Nos pide que se hagan copias de seguridad El análisis de las reglas de FW nos permite
de todos los datos críticos, así como que se evaluar este control. De igual forma que en
verifique de forma periódica que estos se controles anteriores, podemos hacer un esca-
pueden recuperar en un tiempo asumible. Asi- neo de nuestro perímetro desde Internet para
mismo, los sistemas donde se guardan estas identificar puntos de entrada, servicios accesi-
copias deben tener acceso restringido, tanto bles sin autenticación robusta y, testear qué
física como lógicamente. alertas han generado nuestra actividad.
Para probar este control, se pueden solicitar CONTROL 13
las políticas de back up y el resultado de las Este control confía en el cifrado de la infor-
pruebas de recuperación. mación en reposo y en tránsito para garanti-
CONTROL 11 zar la privacidad y prevenir una fuga.
40
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
41
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Certificaciones profesionales
Con el aumento del nivel de amenazas y ries- dad de CyberCamp (celebrado los días 27, 28
gos relacionados con la ciberseguridad expe- y 29 de noviembre de 2015 en el Barclaycard
rimentado durante los últimos años, existe ac- Center de Madrid) con el objetivo de dar a
tualmente una alta demanda de profesionales conocer la oferta y demanda laboral de dife-
especializados en estas materias. La Unión rentes empresas, orientar a los jóvenes acerca
Europea prevé la creación de 90.000 nuevos de las posibles trayectorias profesionales, así
puestos de trabajo en este sector para el año como informar acerca de los diferentes pro-
2020. gramas y opciones de formación.
Sin embargo, no resulta fácil para las empre- En este marco, a las ya tradicionales certifica-
sas encontrar los perfiles adecuados y espe-
ciones para profesionales de seguridad y au-
cializados en los nuevos riesgos de la seguri-
ditoría de sistemas: ITIL (Information Techno-
dad de la información, puesto que no existe
logy Infrastructure Library), CobiT (Control
todavía demasiada formación reglada.
Objectives for Information and Related Tech-
En este sentido, se lanzaron iniciativas como nology), ISO 27000 (Estándar para la Seguri-
el Foro de Empleo y Talento en Ciberseguri- dad de la Información), CISA22 (Certified Inter-
22. Certificación otorgada por ISACA (Information Systems Audit and Control Association).
42
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
nal Systems Auditor), CISM (Certified Informa- · CSX Specialist. Certificaciones avanzadas y
tion Security Manager), CISSP23 (Certified In- especializadas en el conocimiento y habili-
formation Systems Security Professional), Se- dades de las siguientes áreas o dominios:
curity+ (certificada por CompTIA24), etc.; se Identificación de riesgos, protección de sis-
han incorporado otras muchas que han co- temas, detección de amenazas, respuesta y
brado importancia (especialmente aquellas análisis de incidentes, y recuperación de los
relacionadas con aspectos de pentesting y sistemas.
hacking ético, gestión de ciberincidentes o · CSX Expert. Certificación de nivel avanza-
análisis forense), tales como las ofrecidas por do para la identificación, análisis, respuesta
las siguientes organizaciones. y mitigación de incidentes de ciberseguri-
dad avanzados, y asociados a empresas con
ISACA entornos complejos y una alta exposición a
ataques.
Ha lanzado el programa Cybersecurity Ne-
xus25 (CSX), que ofrece una serie de certifica-
SANS
ciones en diferentes niveles para la formación
de profesionales, y alineadas con los principa- El Instituto SANS (SysAdmin Audit, Networ-
les estándares de ciberseguridad del merca- king and Security Institute) en colaboración
do: con la entidad certificadora GIAC (Global In-
formation Assurance Certification) ofrece un
· Cybersecurity Fundamentals Certificate. conjunto de más de 20 certificaciones agru-
Orientada a la introducción de los concep- padas en diferentes niveles en materia de ad-
tos, marcos, guías de buenas prácticas y es- ministración y gestión de seguridad, auditoría
tándares de ciberserguridad de la industria; legal y de seguridad, seguridad del software y
ciberseguridad en redes, sistemas, aplica- análisis forense:
ciones y datos, implicaciones de seguridad
NIVEL INTRODUCTORIO.
de las nuevas tecnologías y respuesta bási-
· Administración de Seguridad.
ca ante incidentes.
- GISF: Information Security Fundamentals.
· CSX Practitioner. Certificación orientada a NIVEL INTERMEDIO.
la primera capa de respuesta de seguridad, · Administración de Seguridad.
con el objetivo de conocer e implementar - GSEC: Security Essentials Certification.
los principales controles de seguridad, reali- · Gestión.
zar análisis y escaneos de vulnerabilidades, - GISP: Information Security Professional.
definición de procesos y procedimientos de · Forense.
seguridad en los sistemas. - GCFE: Certified Forensics Examiner.
23. Certificación otorgada por ISC2 (International Information Security Certification Consortium).
25. https://cybersecurity.isaca.org/csx-certifications
43
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
44
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
26. http://web.mit.edu/
27. https://www.enisa.europa.eu/
28. https://www.incibe.es/
45
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Bibliografía relevante
Estándares, normativa y legislación
- NIST (02/14): Framework for improving Cyber-security.
- ISO27032: Guidance from improving the state of cyber-security.
- Estrategia de Ciberseguridad Nacional (Gobierno de España).
- Ten steps to cyber security (UK GOV: CESG and CPNI).
- Cybersecurity Capability Maturity Model (C2M2) Program (USA Department of Energy).
- CIS Critical Security Controls (SANS Institute & Center for Strategic & International Studies).
46
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
ISBN: 978-84-945594-2-6
Impresión: IAG, SL
OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO