Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tesis de Maestría
Autor/a:
Ing. Arsenio Antonio Aguirre Ponce
Tutor/a del Trabajo Final:
Mg. Patricia Prandini
Año de Presentación
2017
FIRMADO
I
RESUMEN
II
CONTENIDO
CAPÍTULO 1 .............................................................................................. 1
INTRODUCCIÓN ....................................................................................... 1
1.1 IDENTIFICACIÓN DEL PROBLEMA .................................................. 1
1.2 OBJETIVOS ....................................................................................... 3
1.3 ALCANCE .......................................................................................... 3
1.4 HIPÓTESIS DEL TRABAJO ............................................................... 4
1.5 METODOLOGÍA Y PLAN DE ACTIVIDADES .................................... 5
CAPÍTULO 2 .............................................................................................. 7
CIBERSEGURIDAD EN ............................................................................. 7
INFRAESTRUCTURAS CRÍTICAS ............................................................ 7
2.1 DEFINICIÓN DE INFRAESTRUCTURAS CRÍTICAS [1] ................... 7
2.2 VULNERABILIDADES EN LAS INFRAESTRUCTURAS CRÍTICAS
[4] ..................................................................................................... 10
2.3 AMENAZAS EN LAS INFRAESTRUCTURAS CRÍTICAS [5] ........... 13
2.4 CIBERSEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS....... 14
2.5 CONCEPTO E IMPORTANCIA DE UNA ESTRATEGIA DE
CIBERSEGURIDAD ......................................................................... 15
2.6 CIBERATAQUES A INFRAESTRUCTURAS CRÍTICAS [10] .............. 17
2.6.1 Estonia: Ciberataque de Denegación de Servicio Distribuido [11] ... 18
2.6.2 Irán: Ciberataque con malware Stuxnet [12] .................................... 19
2.6.3 Ucrania: Ciberataque con malware BlackEnergy [13] ...................... 21
2.6.4 Otros ciberataques a nivel mundial [14] ........................................... 22
2.7 CIBERSEGURIDAD EN INFRAESTRUCTURAS CRÍTICAS:
PANORAMA INTERNACIONAL ....................................................... 24
2.7.1 Aportes de organizaciones que trabajan en el tema ......................... 24
2.7.1.1 ENISA (European Network and Information Security Agency)
[15] ................................................................................................... 25
2.7.1.2 NIST (National Institute of Standards and Technology) [16] .......... 26
2.7.1.3 LACNIC (Latin America & Caribbean Network Information Centre)
[17] ................................................................................................... 27
2.7.1.4 OEA (Organización de Estados Americanos) [18] ......................... 28
2.7.1.5 UIT (Unión Internacional de Telecomunicaciones) [20] ................. 29
2.7.1.6 APEC (Asia-Pacific Economic Cooperation) [21] ........................... 31
2.8 ESTRATEGIAS DE CIBERSEGURIDAD ............................................ 32
2.8.1 España [22] ...................................................................................... 33
III
2.8.2 Estonia [23] ....................................................................................... 37
2.8.3 Colombia [24].................................................................................... 39
2.8.4 Otros países de América Latina [25]................................................. 42
CAPÍTULO 3 ............................................................................................ 43
CIBERSEGURIDAD EN ECUADOR ........................................................ 43
3.1 Situación Actual ................................................................................... 43
3.2 Ciberseguridad en Infraestructuras Críticas ........................................ 46
CAPÍTULO 4 ............................................................................................ 49
MODELO PARA IDENTIFICAR SERVICIOS CRÍTICOS ......................... 49
4.1 Desarrollo del modelo .......................................................................... 49
4.1.1 Identificación de servicios ................................................................. 50
4.1.2 Interdependencia de servicios .......................................................... 51
4.1.3 Definición de las variables ................................................................ 54
4.1.4 Categorización de los servicios ........................................................ 58
CAPÍTULO 5 ............................................................................................ 61
CONTROLES BÁSICOS DE CIBERSEGURIDAD PARA LAS
INFRAESTRUCTURAS CRÍTICAS .......................................................... 61
5.1 Categorías de los controles de ciberseguridad [28] ............................. 61
5.2 Controles críticos de ciberseguridad [29] ............................................. 63
CAPÍTULO 6 ............................................................................................ 66
RECOMENDACIONES ............................................................................ 66
CAPÍTULO 7 ............................................................................................ 68
CONCLUSIONES .................................................................................... 68
IV
ÍNDICE DE FIGURAS
ÍNDICE DE TABLAS
V
CAPÍTULO 1
INTRODUCCIÓN
1
Algunos países de Latinoamérica ya están trabajando en políticas y
estrategias nacionales de ciberseguridad. Sin embargo, considerando los
avances y resultados de los países de la Unión Europea y de los Estados
Unidos, Canadá, Australia o algunas naciones del Lejano Oriente, existe una
brecha significativa en cuanto a su desarrollo que debe ser cubierta a corto
plazo en la región. Latinoamérica no se encuentra exenta a los ciberataques,
cuya frecuencia e impacto son cada vez mayores.
2
1.2 OBJETIVOS
1.3 ALCANCE
3
depende del plan de acción que se establezca en cada país y de los recursos
con los que cuente.
5
referido. Por último, se definirán los controles de ciberseguridad sugeridos
para las infraestructuras críticas del país que deberán implementar el gobierno
y las instituciones responsables de la ciberseguridad en el Ecuador. Los
controles se definirán en base a estándares y buenas prácticas de
ciberseguridad, reconocidos y utilizados internacionalmente. El trabajo se
cierra con las conclusiones y una serie de recomendaciones sobre el tema.
6
CAPÍTULO 2
CIBERSEGURIDAD EN
INFRAESTRUCTURAS CRÍTICAS
7
otros. En este contexto se debe tener en cuenta que los servicios vitales o
críticos de un país están respaldados por infraestructuras críticas y que estas
infraestructuras críticas están formadas por activos críticos que deben ser
protegidos.
- Telecomunicaciones
- Energía
- Servicios financieros
- Transporte
- Comercio
- Agua
8
- Salud
- Seguridad
- Industria (alimentación, petróleo, etc.)
9
Dependiendo la legislación interna de un país y de su economía, las
infraestructuras críticas pueden ser administradas solo por instituciones
públicas o en proporciones variables, por organizaciones públicas y privadas.
Sin embargo, en la mayoría de los casos, el Estado a través de las
instituciones públicas es el responsable de supervisar y controlar a las
instituciones que provean servicios críticos.
10
se conectaran con las redes de datos corporativas, facilitándose el acceso
remoto para la administración y el monitoreo. Además esta conexión
habilitaba que la información de las redes industriales se pudiera compartir
con otros sistemas de tipo corporativo, para procesar temas relacionados,
como por ejemplo: el inventario, la contabilidad, la facturación, etc.
Esto llevó a que los sistemas SCADA actualmente en uso, sean menos
seguros debido a que muchos emplean sistemas operativos y programas muy
antiguos, que carecen de las últimas actualizaciones de seguridad y en la
mayoría de casos, son difíciles de actualizar. Desde el punto de vista de
seguridad, estas redes necesitan controles adicionales y compensatorios para
su protección y para minimizar los riesgos a los que se exponen.
11
alcanzados por regulaciones locales en muchos países, que obligan a
implementar políticas y controles de seguridad en los servicios que brindan.
12
- Inexistencia de un plan de continuidad de las operaciones.
- Carencia de profesionales con experiencia en ciberseguridad.
- Falta de entendimiento por parte de la gerencia de la trascendencia
de la temática.
- Estados extranjeros
- Crimen organizado
- Hacktivistas
- Delincuentes
- Organizaciones terroristas
13
2.4 CIBERSEGURIDAD EN LAS INFRAESTRUCTURAS
CRÍTICAS
Los ciberataques que sufren hoy en día las infraestructuras críticas son
cada vez más sofisticados y se han convertido en una gran preocupación para
sus responsables y proveedores. Debido a esto, los países a través de
instituciones públicas y privadas deben estar preparados para enfrentar a
estos ciberataques. Además se necesita trabajar coordinadamente entre
países y entre diferentes sectores, para evitar la interrupción de los servicios
imprescindibles o críticos para los ciudadanos.
14
En este contexto, es posible afirmar que el proceso de adopción de
nuevas tecnologías en infraestructuras críticas es irreversible. Por ello, se
debe trabajar sobre el campo de la ciberseguridad para minimizar los riesgos
a los que se exponen. Los gobiernos deben promover la creación de una
estrategia de ciberseguridad para proteger la información y los servicios
vitales de un país, y reconocer la importancia de la protección de las
infraestructuras críticas de información.
15
para un gobierno, una organización o un usuario. Por otra parte, los países
deben garantizar la tranquilidad y seguridad a los ciudadanos en el mundo
digital.
16
- Contar con capacidad forense sobre amenazas persistentes
avanzadas.
- Definir un marco normativo para la seguridad y particularmente,
sobre la gestión de riesgos de ciberseguridad.
- Desarrollar nuevas tecnologías de ciberseguridad.
- Cooperar internacionalmente sobre temas de ciberseguridad, con
el fin de contribuir al establecimiento de una política internacional
para asegurar el ciberespacio.
17
Muchos de estos ataques han sido dirigidos contra infraestructuras
críticas específicas y en la mayoría de los casos, no fue posible determinar su
origen. Pero aún incluso conociendo el origen, no suelen existir acuerdos,
protocolos o una legislación entre los distintos países para contrarrestar y
eliminar la amenaza, en forma rápida y efectiva.
Estonia es desde hace ya varios años, uno de los países con mayor
acceso a Internet a altas velocidades, que es considerado un derecho humano
básico en ese país. Alrededor del 90% de toda la actividad bancaria se realiza
por Internet y fue el primer país en votar a través de la gran red. Esto creó el
campo propicio para que en el 2007 se enfrentara a un gran ciberataque que
amenazó principalmente al gobierno, al sistema financiero y a los medios de
comunicación.
18
a una locación diferente, lo que provocó que varios ciudadanos rusos locales
se sintieran disconformes.
19
En el año 2010, el gobierno de Irán confirmó su intención de seguir
adelante con el programa nuclear de enriquecimiento de uranio que había
iniciado. Anteriormente, los Estados Unidos y algunos países de la OTAN
(Organización del Tratado del Atlántico Norte) habían expresado su
disconformidad, considerando que dicho país estaba desarrollando una
carrera armamentista en el campo nuclear.
20
Stuxnet fue de algún modo, un arma cibernética perfecta, inteligente y
generadora de una gran destrucción. El virus saltaba de una computadora a
otra e iba verificando su tipo y el entorno en que trabajaba. El virus fue
resultado del uso armamentístico de la programación y se considera que fue
originado por una nación con muchos recursos económicos, computacionales
y profesionales, ya que su desarrollo está fuera del alcance de un hacker
promedio o aún, de un grupo organizado.
21
Como antecedente, este malware ya había sido detectado por el
gobierno de los Estados Unidos, cuando intentó infiltrarse en el sistema
eléctrico norteamericano, sin registrar un impacto. El objetivo era desconectar
las estaciones y subestaciones eléctricas mediante el acceso remoto a las
instalaciones.
22
diversos motivos, los grupos criminales organizados están realizando
ciberataques. Adicionalmente y como ya se mencionó, las vulnerabilidades
presentes en las infraestructuras críticas permiten una fácil ejecución de un
ciberataque.
23
En cambio, diferentes países Latinoamericanos han sufrido
ciberataques que han comprometido la privacidad y confidencialidad de la
información. Estos ciberataques incluso afectaron a algunos países de
Europa. A través de filtraciones de información realizados por expertos y
trascendidos periodísticos, se pudo confirmar que Estados Unidos a través de
sus agencias de servicio secreto estuvo espiando los correos y llamadas
telefónicas de los presidentes o autoridades gubernamentales de
Latinoamérica y Europa.
24
A continuación citamos diferentes organizaciones que han desarrollado
documentación, publicaciones o normas, desarrollado eventos, etc., para la
construcción de estrategias de ciberseguridad y protección de infraestructuras
críticas.
- Seguridad en la nube
- Seguridad en Big Data
- Infraestructuras Críticas de Información
- Gestión de incidentes de seguridad
- Educación y concienciación en ciberseguridad
- Privacidad y protección de datos
- Estrategias Nacionales de Ciberseguridad
- Entrenamiento para especialistas en ciberseguridad
- Gestión de amenazas y riesgos en ciberseguridad
25
Con su aporte, veinte países europeos ya cuentan con estrategias de
ciberseguridad y actualmente se encuentran en la fase de implementación.
26
sobre ciberseguridad. La segunda es una nueva serie de publicaciones
creadas a partir de la serie SP 800, que se enfoca en los nuevos desafíos de
ciberseguridad, específicamente en los sectores público y privado.
29
La UIT es el organismo especializado de las Naciones Unidas para el
desarrollo de las Tecnologías de la Información y Comunicación - TIC.
Elaboran normas técnicas que garantizan la interconexión continua de redes
y las diferentes tecnologías asociadas. Esta organización está comprometida
en desarrollar normas que conecten a toda la población mundial, dondequiera
que viva y a través de cualquier medio que disponga.
- Medidas legales
- Medidas técnicas y de procedimientos
- Estructura organizacional
- Capacidad de las infraestructuras
- Cooperación internacional
30
- Identificar las agencias y organizaciones claves del gobierno con
responsabilidades de liderazgo en ciberseguridad y describir sus
roles.
- Identificar las estructuras organizacionales que se usarán para el
desarrollo de la política de ciberseguridad.
- Identificar las estructuras organizacionales a las que se le
asignarán las tareas vinculadas a las operaciones de
ciberseguridad.
- Identificar los objetivos y estructuras organizacionales para la
colaboración entre el gobierno y el sector privado.
- Identificar la ubicación dentro del gobierno de la función de gestión
de incidentes.
- Identificar objetivos para la actualización del marco legal
relacionado con los delitos informáticos.
- Identificar y priorizar objetivos para construir una cultura nacional
de ciberseguridad.
- Revisar los requisitos y las fuentes de financiación para cada
elemento de la estrategia nacional.
- Identificar los plazos de ejecución.
- Identificar las métricas y objetivos de re-evaluación.
31
interdependencia de la región de Asia y el Pacífico. APEC está formada por
veintiún Estados Miembros que tienen como objetivo crear una mayor
prosperidad para los pueblos de la región mediante la promoción de un
crecimiento equilibrado, inclusivo, sostenible, innovador y seguro y mediante
la aceleración de la integración económica regional.
32
entonces algunos países han realizado esfuerzos considerables para publicar
una estrategia nacional de ciberseguridad.
33
ciberespacio contribuye a incrementar el potencial económico, porque
promueve un ciberespacio más seguro para la inversión, la generación de
empleo y la competitividad.
- Objetivos de la ciberseguridad
Objetivo General
Objetivos específicos
34
- Alcanzar y mantener los conocimientos, habilidades, experiencia y
capacidades tecnológicas que necesita España para sustentar todos
los objetivos de ciberseguridad.
- Contribuir a la mejora de la ciberseguridad en el ámbito internacional.
35
- Conocimientos, Competencias e I+D+i (Investigación, desarrollo e
innovación).
Promover la capacitación de profesionales, impulsar el desarrollo
industrial y reforzar el sistema de I+D+i en materia de ciberseguridad
- Cultura de ciberseguridad
Concienciar a los ciudadanos, profesionales y empresas de la
importancia de la ciberseguridad y del uso responsable de las nuevas
tecnologías y de los servicios de la Sociedad de la Información.
- Compromiso Internacional
Promover un ciberespacio internacional seguro y confiable, en apoyo a
los intereses nacionales.
36
2.8.2 Estonia [23]
37
- La ciberseguridad es garantizada de manera coordinada a través de la
cooperación entre los sectores público y privado y con el denominado
“tercer sector”, teniendo en cuenta la interconexión e interdependencia
de la infraestructura y los servicios existentes en el ciberespacio.
- La ciberseguridad se basa primariamente en la responsabilidad
individual para el uso seguro de las herramientas de tecnologías de la
información y comunicación.
- Una de las principales prioridades para garantizar la ciberseguridad es
anticipando y previniendo las potenciales amenazas y respondiendo
eficazmente a las amenazas que se materializan.
- La ciberseguridad es apoyada por la investigación y desarrollo.
- La ciberseguridad es garantizada a través de la cooperación
internacional con aliados y socios. A través de la cooperación, Estonia
promueve la ciberseguridad global y mejora su propio desempeño.
Objetivo general
Objetivos específicos
39
CONPES 3701 es lo más cercano que tiene Colombia a una estrategia
de ciberseguridad. A continuación se destaca los puntos importantes del
documento:
Problema Central
Objetivo general
Objetivos específicos
40
lineamientos respecto a la gestión de las infraestructuras
tecnológicas, información pública y ciberseguridad y
ciberdefensa. Esta Comisión está encabezada por el Presidente
de la República.
41
- Ley 599 de 2000
Tipifica el acceso abusivo a un sistema informático y la violación
ilícita de comunicaciones.
- Ley 1273 de 2009
Impulsa la protección de la información y de los datos.
- Resolución de la Comisión de Regulación de Comunicaciones 2258
de 2009
Obliga a los proveedores de redes y/o servicios de
telecomunicaciones que ofrezcan acceso a Internet a implementar
modelos de seguridad de acuerdo con los marcos definidos por la
UIT.
- Circular 052 de 2007 (Superintendencia Financiera de Colombia)
Establece requerimientos mínimos de seguridad y calidad en el
manejo de información a través de medios y canales de distribución
de productos y servicios para clientes y usuarios.
42
CAPÍTULO 3
CIBERSEGURIDAD EN ECUADOR
43
- Robo de claves o alteración en sistemas de seguridad para
acceder u obtener información sensible en sistemas de
información.
- Alteración de mensajes de datos o información incluida en éstos.
- Destrucción, eliminación, alteración de programas, datos, bases
de datos, información o cualquier mensaje de datos contenido
en un sistema de información o red electrónica.
- Destrucción, alteración o inutilización de la infraestructura o
instalaciones físicas necesarias para la transmisión, recepción o
procesamiento de mensajes de datos.
44
- Resolución JB-2010-2148 Libro I “Normas generales para la
aplicación de la Ley General de Instituciones del Sistema
Financiero”.
45
Algunos de los propósitos del EcuCERT son:
46
Los sectores vitales en Ecuador que se encuentran trabajando en
temas de ciberseguridad son los siguientes:
- Financiero
- Gobierno
- Telecomunicaciones
- Defensa
47
organismos estatales que regulan los servicios ofrecidos por las
empresas privadas deben poner en su agenda los temas de
ciberseguridad y establecer requerimientos en este sentido.
48
CAPÍTULO 4
- Identificación de servicios.
- Interdependencia de servicios
- Definición de las variables
- Categorización de los servicios
49
A continuación se describe cada una de ellas y su resultado esperado.
Por otro lado, es importante destacar que dichos servicios pueden ser
brindados por instituciones públicas o privadas, si bien esta tarea es
independiente del tipo de prestador. Tampoco está relacionada con el nivel de
tecnologías de información que utiliza un servicio determinado para su
funcionamiento. Como resultado se obtiene la información presentada en la
Tabla 4.1.
Listado de sectores
Código Sector Servicios
S1 Agua Almacenamiento, distribución y tratamiento del agua.
S2 Alimentación Producción, suministro y distribución de alimentos.
S3 Comercio Compras, negocios, entretenimiento y alojamiento.
S4 Defensa Defensa / Soberanía nacional.
S5 Energía Suminstro de energía eléctrica.
Extracción, transporte, distribución y almacenamiento
S6 Gas Natural de gas.
S7 Gobierno Servicios públicos que rigen en la Constitución.
S8 Industria Servicios de manufactura.
S9 Manejo de Residuos Recoger y tratar aguas residuales.
Extracción, refinamiento, transporte y
S10 Petróleo almacenamiento de petróleo y derivados.
50
S11 Protección civil Servicios de emergencia y rescate.
Gestión, almacenamiento y eliminación de materiales
S12 Químico peligrosos.
S13 Salud Hospitales y control de infecciones y epidemias.
Seguridad y Orden
S14 público Orden público y seguridad en los ciudadanos.
S15 Servicios Financieros Bancos, transacciones de pagos y banca online.
Tecnologías de la
S16 información Servicios web y centros de datos.
Redes de voz (Telefonía móvil y fija) y datos
S17 Telecomunicaciones (Internet).
S18 Transporte Servicios de movilización aérea, terrestre y marítima.
51
Servicios Transporte
Financieros
Energía Telecomunic
aciones
52
estudios, trasladar personal o personas con necesidades sanitarias,
etc.
Con esta lógica, las “x” en la siguiente Tabla 4.2 reflejan cuando se evalúa el
mismo servicio tanto en las columnas como en las filas y su efecto sobre el
resto. Por ejemplo, si un incidente de ciberseguridad en el sector S1 afecta al
sector S3, S7 y S10 se debe marcar con una x, mientras que los casilleros en
blanco se entiende que no generan una interdependencia.
53
La “x” de la siguiente tabla refleja un efecto sobre el mismo sector. Cabe acotar
al respecto, que en este modelo no se toman en cuenta las interdependencias
intra-sector (por ejemplo, de un proveedor de energía respecto a otro), con el
fin de no agregar complejidad. No obstante este aspecto debe ser también
tenido en cuenta al establecer un plan de acción de protección de
infraestructuras críticas a nivel nacional.
54
amenaza cibernética que explota una vulnerabilidad en la infraestructura
afectada.
55
al Sector Químico podría tener un impacto ALTO en esta variable.
El impacto se considera:
56
- Económico-financiero.- Esta variable se refiere al impacto
económico-financiero de una interrupción de un servicio en un país.
El impacto se considera:
57
economía. A los fines del ejemplo presentado, el impacto se
considera:
Como resultado de esta tarea se obtiene una matriz con todos los
servicios y su valoración para cada variable de acuerdo, como ya se explicó,
a: ALTO, MEDIO y BAJO. Las columnas de la matriz hacen referencia a los
servicios y las filas a las diferentes variables indicadas en esta tarea. Esta
matriz servirá para después identificar la criticidad de un servicio.
58
van a establecer los criterios para categorizar un servicio como crítico. Como
primer punto se va a cuantificar el impacto en base a la siguiente Tabla 4.4,
de tal manera que tengamos una matriz con valores numéricos:
IMPACTO VALOR
ALTO 3
MEDIO 2
BAJO 1
Una vez que está cuantificada la matriz, se procede a sumar los valores
de impacto de cada sector y con estos resultados, se aplican las siguientes
conclusiones:
59
S9
S10
S11
S12
S13
S14
S15
S16
S17
S18
60
CAPÍTULO 5
61
críticos. Utiliza 5 categorías para proveer una vista estratégica de la gestión
de los riesgos de ciberseguridad en infraestructuras críticas.
62
detectado. La categoría de respuesta apoya la capacidad de
contener el impacto de un posible evento de ciberseguridad.
- Identificar
63
- Control 17 - Evaluar y capacitar al personal en
ciberseguridad
- Proteger
- Detectar
64
- Control 16 - Controlar y monitorear cuentas.
- Responder
- Recuperar
65
CAPÍTULO 6
RECOMENDACIONES
66
actualizado, para asignar recursos en función de la criticidad y establecer
prioridades para brindar un servicio más seguro.
67
CAPÍTULO 7
CONCLUSIONES
68
ciberseguridad, ubicando esta temática en un lugar prioritario sobre la base
del análisis de experiencias internacionales y publicaciones reconocidas en la
materia y ayudando a identificar servicios críticos. Si bien el modelo fue
pensado en el contexto de Ecuador, puede ser aplicado en cualquier otro país
ya que no se encuentra asociado a una política o normativa específica que
restrinja su uso a un área geográfica en particular.
69
BIBLIOGRAFÍA
https://www.enisa.europa.eu/publications/methodologies-for-the-
identification-of-ciis (Consultada el 28/02/2017)
https://s2grupo.es/wp-content/uploads/2017/01/PROTECCI%C3%93N-DE-
INFRAESTRUCTURAS-CR%C3%8DTICAS-4%C2%BA-INFORME-
T%C3%89CNICO-WEB..pdf (Consultada el 06/02/2017)
http://www.dsn.gob.es/es/sistema-seguridad-nacional/qu%C3%A9-es-
seguridad-nacional/riesgos-amenazas-para-seguridad-nacional (Consultada
el 19/05/2017)
ISO 27032:2012
70
[9] An evaluation framework for Cyber Security Strategies
https://www.enisa.europa.eu/publications/an-evaluation-framework-for-cyber-
security-strategies/at_download/fullReport (Consultada el 19/05/2017)
https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-
map/ES_NCSS.pdf (Consultada el 19/05/2017)
https://www2.cs.arizona.edu/~collberg/Teaching/466-
566/2012/Resources/presentations/2012/topic9-final/report.pdf (Consultada
el 19/05/2017)
https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf (Consultada
el 19/05/2017)
http://www.nato.int/docu/review/2013/Cyber/timeline/ES/index.htm
(Consultada el 19/05/2017)
71
[18] Organización de Estados Americanos – Seguridad Cibernética
https://www.sites.oas.org/cyber (Consultada el 25/02/2016)
http://www.lamoncloa.gob.es/documents/20131332estrategiadecibersegurida
dx.pdf (Consultada el 27/04/2016)
https://www.mkm.ee/sites/default/files/cyber_security_strategy_2014-
2017_public_version.pdf (Consultada el 28/04/2016)
https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf
(Consultada el 06/02/2017)
http://www.segu-info.com.ar/articulos/116-proteger-infraestructuras-
criticas.htm (Consultada el 06/02/2017)
https://www.enisa.europa.eu/publications/methodologies-for-the-
identification-of-ciis (Consultada el 28/02/2017)
https://pdfs.semanticscholar.org/7098/a29a404f8561c7f3c66801b6e1f36f88b
7b7.pdf (Consultada el 07/02/2017)
72
https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecu
rity-framework-021214.pdf (Consultada el 13/07/2017)
http://www.auditscripts.com/free-resources/critical-security-controls/
(Consultada 13/07/2017)
73