Security

Consulting
Services
AUDIT AND ANALYZE THE INFORMATION
FLOW OF YOUR ORGANIZATION [SCS]
COMPROMISO DE AUTOR

Yo, Jair Orlando Lindo Cabrales con célula de identidad 1019096831 de Bogotá
y alumno del programa académico Técnica Profesional en Mantenimiento
Electrónico, declaro que:

El contenido del presente documento es un reflejo de mi trabajo personal y

manifiesto que, ante cualquier notificación de plagio, copia o falta a la fuente
original, soy responsable directo legal, económico y administrativo sin afectar al
director del trabajo, a la Universidad y a cuantas instituciones hayan colaborado
en dicho trabajo, asumiendo las consecuencias derivadas de tales prácticas.

Firma: ___________________________
Tabla de contenido
I. Resumen ejecutivo.............................................................4
Introducción
Objetivos
Claves para el éxito
II. Análisis del entorno y contexto de la idea de negocio.....5
Objetivos de desarrollo sostenible
Teoría de valor compartido
Tecnologías disruptivas
Análisis del sector económico
III. Identificación del problema, necesidad, reto u
oportunidad......................................................................10
Árbol de problemas y objetivos
Pregunta de investigación
IV. Segmentación del mercado.............................................15
Análisis de la demanda
Buyer Persona
V. Descripción de la idea de negocio...................................18
Idea de negocio
Entorno de la empresa
Análisis del producto
Fuerzas de PORTER y entorno de la
empresa.
Competidores.
Análisis del producto.
Ciclo de vida del producto.
Precio.
Resumen ejecutivo
Ofrecemos un completo portafolio de productos y servicios de Seguridad y Privacidad, el
cual nos permite apoyar a nuestros clientes en la resolución de incidentes de Seguridad
y Protección de la Información con una visión estratégica, integral y técnica. Esta idea
se desarrollará primero estableciendo un portafolio de servicios y productos a ofrecer,
claro y enfocado, darle un nombre llamativo a la empresa como es SCS, de manera que
genere fácil recordación en los clientes; se deben establecer los socios con los que se
contará para cubrir las necesidades, así como la infraestructura donde funcionará la
empresa y el número de empleados que requeriría para funcionar. Se debe crear una
misión, visión, política de calidad, para llegar a esto se debe identificar los aspectos más
importantes, reconocer los objetivos de la empresa, esos objetivos se deben plantear a
corto y largo plazo, esto le permitirá que su empresa siempre este en constante
crecimiento corporativo y empresarial, en miras de cómo se van a lograr esos objetivos y
se deben definir los perfiles de los potenciales clientes, esto se logra realizando un
estudio del mercado, se debe analizar a la competencia e investigar cuáles son sus
fortalezas y debilidades, también se debe identificar lo que esperan los clientes que
adquirirán el servicios se puede realizar una prueba para reconocer en qué se debe
mejorar, y así definir el proceso para el negocio, se debe detallar paso a paso el proceso,
de acuerdo a la idea del negocio, también se debe realizar un estudio de costos, tanto
económicos como financieros, evaluar el presupuesto teniendo claro el monto a invertir
y cuánto es el tiempo estipulado en el que pretende recuperar lo gastado, con
proyecciones estimadas de egreso e ingreso, esto dependerá del nivel de desarrollo del
proyecto y preparando una proyección de costos así como el flujo de caja, para poder
establecer el monto que se necesitará y a qué entidades se solicitará, se debe realizar
una proyección del crecimiento de la empresa, estimando una proyección de crecimiento
y elaborando un cronograma de actividades para la operación.

Introducción
SCS, es una empresa consultora de seguridad informática que tiene como objetivo
principal ofrecer servicios de consultoría, que represente para el cliente sea una
excelente solución, que satisfaga todas las necesidades, teniendo en cuenta regulaciones
y normas, para cumplir los acuerdos establecidos con los tiempos y costos.

La consultoría de SCS se basa en estructurar los requisitos de las regulaciones y normas

de referencia de la manera más clara y sencilla posible, de forma que las compañías, no
se burocratice sino resulte dinámica y adecuada a sus necesidades, además, como
compañía dedicada a la consultaría, pretendemos concienciar y difundir las buenas
prácticas ambientales en todos nuestros clientes y de esta forma contribuir, a un
desarrollo sostenible real, que repercuta en la sociedad.

Objetivos
Los servicios de consultoría de seguridad Informática, están enfocados a analizar el
estado de la Seguridad de la información de una compañía, monitorear el desempeño de
las redes y estudiar los sistemas que se tienen y las que los mantienen para así poder
fortalecer la estructura de la Infraestructura Tecnológica de dicha compañía, una

SECURITY CONSULTING SERVICES - MARZO DE 2020 3 -

infraestructura de Tecnologías de la información que este correctamente analizada,
auditada, monitorizada, y estudiada es más fuerte ante cualquier eventualidad y así
podrá soportar fallas que puedan surgir y ser capaz de contenerlos y evitarlos en la
mayoría de los casos.

 Establecer procedimientos adecuados para la revisión y auditoría del área

informática en Empresas u Organizaciones.
 Dejar claro el concepto de Sistema de Información, sus principales componentes
y tipos de información manejados.
 Definir los conceptos básicos involucrados en la seguridad informática como son
la confidencialidad, integridad y disponibilidad.
 Definir las principales amenazas y vulnerabilidades de un sistema informático, así
como los distintos tipos de medidas que podemos utilizar para prevenirlas.
 Definir qué se entiende por política de seguridad, cómo se fija y cuáles son sus
principales contenidos.
 Introducir algunos principios básicos que subyacen en la aplicación de cualquier
política de seguridad informática.
 Realizar una Consultoría de Seguridad para una Empresa u Organización que
está interesada en alcanzar los estándares de Seguridad, u obtener una
certificación de seguridad.

Claves para el éxito

Las claves para el éxito son pautas que marcarán el rumbo de nuestra organización:

 Cumplir los acuerdos establecidos con nuestros clientes, para así consolidar
confianza en nuestra organización.
 Optimizar el desarrollo de nuestros proyectos, optimizando costos asociados, sin
dejar atrás el control y la revisión de nuestros servicios para así garantizar en
todo momento un alto nivel de calidad y satisfacción de nuestros clientes,
considerando los riesgos y las oportunidades que puedan afectar a la
conformidad de nuestro servicio.
 Gestionar la seguridad de la información (confidencialidad, integridad y
disponibilidad).
 Cumplir otros requisitos: legales, reglamentarios e implícitos que no apliquen
debido a nuestra actividad, tanto en el ámbito del desempeño de nuestros
servicios como en el ámbito medioambiental de nuestras actividades.
 Proteger el medio ambiente y el entorno, mediante actuaciones y medidas
orientadas a la prevención de cualquier tipo de contaminación que pudiera
originarse por operaciones debidas a nuestra actividad.
 Capacitación continua y concienciación a todo el personal, y así poder asegurar
la completa adaptación a las necesidades del mercado respecto a los cambios en
las legislaciones y normas aplicables, así como sobre la adecuada gestión
ambiental.
 Asegurar la Mejora Continua de nuestro Sistema de Gestión para continuar
afianzándonos en el sector de la consultoría.

SECURITY CONSULTING SERVICES - MARZO DE 2020 4 -

  Nos comprometemos a promover una comprensión y difusión de nuestra política
dentro de nuestra organización, mediante la formación y comunicación
continuada con nuestros trabajadores y colaboradores.

Análisis del entorno y contexto de la idea de

negocio
Para nosotros SCS, que estamos orientados al área de la Seguridad Informática,
sabemos que contamos con una naturaleza del entorno dinámica y compleja, ya que
constantemente aparecen nuevos productos al mercado como consecuencia de los
avances tecnológicos, y el precio de estos no es estable porque a pesar de que un
fabricante pertenezca a una categoría o línea, cuando lanzan al mercado un nuevo
producto el precio de sus predecesores siempre desciende.

En cuanto al nivel competitivo, teniendo en cuenta que en SCS estamos orientados al

territorio capital, nos encontramos con un nivel de competitividad elevado, después de
analizar datos afirmamos que el entorno es dinámico por el sector de servicios, y esto se
debe a la gran cantidad de empresas con una plantilla reducida que brindan flexibilidad
y adaptación a las necesidades de sus clientes, también es que no se requiere una gran
inversión de capital inicial para abrir un negocio en el sector y esto propicia el
incremento en el número de empresas. Además, podemos ver que año tras año el sector
de las tiende a ir subiendo, esta tendencia es común en el mundo.

Objetivos de desarrollo sostenible

SECURITY CONSULTING SERVICES - MARZO DE 2020 5 -

SCS contribuye a los ODS el # 9 particularmente colaborando a fomentar una
infraestructura resiliente, promoviendo una industrialización inclusiva, sostenible y
fomentando la innovación para el objetico 9.c de los ODS, la infraestructura y los
servicios de Seguridad de la Información eficientes permite participar en la economía
digital y aumentar su bienestar económico general y competitividad, con efectos
significativos en la inclusión financiera, la reducción de la pobreza y la mejora de la
salud, la Seguridad de la Información pueden lograr resultados a una escala, velocidad,
calidad, precisión y costo que no se concebían hace 10 años atrás, puede contribuir a
reducir la pobreza, el hambre, mejorar la salud, crear nuevos puestos de trabajo, mitigar
el cambio climático, mejorar la eficiencia energética y proteger para que las ciudades y
las comunidades sean sostenibles.

La mitad de la población mundial no utiliza Internet, para cumplir con los 17 ODS es
indispensable que la sociedad digital incluya a las poblaciones marginadas, en particular
las mujeres y las niñas, los ancianos, las personas con discapacidad, las poblaciones
indígenas, los económicamente desfavorecidos, así como los habitantes de países menos
adelantados, países en desarrollo sin litoral y pequeños Estados insulares en desarrollo.
SCS está contribuyendo para poder efectuar la transición hacia la era digital. Un
aspecto fundamental de la estrategia de SCS para aprovechar el potencial de las
Seguridad de la Información es el marco de las "cuatro I", a saber, construir
Infraestructura, proteger la Inversión, fomentar la Innovación y garantizar la Inclusión.

SCS y sus miembros, el sector privado y el mundo académico, están elaborando normas -
criterios técnicos, procesos y prácticas - que garanticen el funcionamiento fluido,
eficiente y seguro de la Seguridad de la Información fundamentales y ofrecen nuevas
oportunidades para obtener economías de escala.

Teoría de valor compartido

Una forma de crear valor compartido es buscando nuevos mercados que favorezcan a la
comunidad a la que va dirigida. Un tipo de mercado que puede ser explorado es el de las
Pymes a quienes se puede llegar con productos que ya existen, pero cuyas
características los haga accesibles, con esta estrategia se crea valor compartido porque
se ganan nuevos clientes, sube la rentabilidad y a la vez las pymes se benefician.

Redefinir la productividad de la cadena de valor. Implica aumentar la productividad,

ayudando a resolver los problemas sociales o medioambientales que limitan la calidad y
eficiencia, Con capacitaciones de productos y servicios, para contar con talento
adecuado a sus necesidades. Con ello gana la empresa que cuenta con mejores
colaboradores y ganan las personas al tener una educación de calidad y valiosa para el
mercado.

SECURITY CONSULTING SERVICES - MARZO DE 2020 6 -

Tecnologías disruptivas

Las tecnologías disruptivas son aquellas que tienen como base la innovación como lo
son: el Big data, la virtualización, el iCloud, la ciberseguridad, la realidad virtual y
aumentada, el blockchain, tienen como denominador común su capacidad de evolucionar
rápidamente y adaptarse a diferentes sectores, generando nuevos modelos de negocio.
El eje central de la transformación digital de las organizaciones está en la interacción
entre las tecnologías digitales, el Managment Digital y el Marketing Digital. La clave del
éxito está en saber gestionar el impacto de esta interacción en los stakeholders de la
empresa, sus procesos y sus modelos de negocio. La seguridad informática en las
empresas se ha vuelto más y más compleja cada día. La causa de este desafío se
encuentra en la existencia de millones de usuarios conectándose desde millones de
Apps. Si queremos estar listos para afrontar futuras amenazas, debemos tender puentes
entre negocios y tecnologías.

Además, el 61% de los CEOs opinan que las amenazas de seguridad informática son uno
de los grandes problemas que pueden frenar la expansión de un negocio. La
problemática de la ciberseguridad no debe abordarse sólo desde el punto de vista
técnico. Es necesario conocer también la motivación de los ataques. Hace más de una
década esta rara vez tenían un afán económico. Ahora en cambio el hacktivismo ha
dejado paso a otras formas de ciberdelincuencia. En un 64,5% de los casos el motivo del
ataque es el cibercrimen que para algunas organizaciones se ha convertido en un
auténtico negocio lucrativo. También hay una creciente preocupación por el ciber
espionaje, perpetrado como forma de extorsión.

Para las empresas la protección de los datos de sus clientes constituye la base de la
confianza digital corporativa. En este sentido el nuevo Reglamento General de
Protección de Datos (GDPR) pone especial relevancia en la figura del Data Protection
Officer, que será obligatorio para aquellas empresas que manejen datos de usuarios a
gran escala.

Para las empresas y emprendedores utilizar un servicio Cloud para almacenar sus datos
supone importantes ventajas:

 Seguridad: la información se encuentra mucho más segura ya que los protocolos

de seguridad online de estos servidores son mucho más elevados que los que
pueden implementarse en las empresas.
 Centralización de datos y software: puede manejarse todo desde el mismo
entorno, sin necesidad de instalar varios programas de software para gestionar
diferentes tareas.
 Escalabilidad: a medida que las empresas crecen necesitan más espacio para
almacenar su información. Estos sistemas en la nube permiten ampliar el espacio
en los servidores bajo demanda, ahorrando tiempo y trabajo.
 Menor inversión: la empresa se ahorra el coste de equipos, servidores y personal
de mantenimiento. Las empresas proveedoras se ocupan de todos estos aspectos
a cambio del pago de una cuota mensual o anual, lo que por lo general resulta
mucho más rentable que poner en marcha toda la infraestructura al interior del
negocio.

SECURITY CONSULTING SERVICES - MARZO DE 2020 7 -

En definitiva, las ventajas de los servicios Cloud para empresas son similares a los de
uso personal (claro que a mayor escala). Ofrecen mayor flexibilidad, acceso rápido a la
información, seguridad y ahorro en inversiones. Poco a poco veremos cómo cada vez
más áreas de la empresa centralizan sus servicios en la nube.

Análisis del sector económico

A continuación, analizaremos cifras para una primera comprensión del sector de la

ciberseguridad en Colombia. Para ello, se debe tener en cuenta que la evolución de las
tecnologías de la información otorga al sector un carácter estratégico para el país.

 Población 2018 (millones de habitantes): 49,9

 Índice de Gini 2017: 50,8
 Networked Readiness Index 2016 del Foro Económico Mundial: 68 / 139
 Número de empresas de TIC 2017: 644
 Gasto en Ciencia y Tecnología (% del PIB): 0,25%
 Importaciones productos TIC (%): 10,2%
 Hogares con acceso a Internet 2016 (%): 38,0%
 Penetración banda ancha fija 2016 (líneas/100 hab.): 10,3
 Penetración móvil 2016 (líneas/100 hab.): 113,1
 Impacto de las TIC en nuevos bienes y servicios: 4,6 / 7
 Índice Mundial de Ciberseguridad 2017 de la UIT (puesto): 46 / 165
 Pérdidas económicas por ciberdelitos (% PIB): 0,14%
 Denuncias de ciberataques: 7.118
 Empresas del país no preparadas para contrarrestar un ciberataque (%): 43%
 N.º de colombianos afectados por ciberataques en 2015, último dato disponible
(millones de personas): 10

Según el estudio “Top Cybersecurity Trends for 2018”, elaborado por Gartner, el
mercado de la ciberseguridad global facturará en torno a 80.000 millones de euros en
2018. El siguiente gráfico muestra la inversión en tecnologías de la información en
Colombia, diferenciando entre software, hardware y servicios.

SECURITY CONSULTING SERVICES - MARZO DE 2020 8 -

 INVERSIÓN EN TI, POR RUBRO
Millones de pesos colombianos

Fuente: “Impacto de los incidentes de seguridad digital”, MinTIC, 2017.

El siguiente gráfico muestra los sectores más afectados por incidentes digitales en 2015,
según el “Reporte sobre Seguridad Cibernética y Protección de las Infraestructuras
Críticas” de la OEA (Organización de Estados Americanos).

Fuente: “Impacto de los incidentes de seguridad digital”. MinTIC, 2017.

SECURITY CONSULTING SERVICES - MARZO DE 2020 9 -

Además, según datos de INCIBE (Instituto Nacional de Ciberseguridad de España), cabe
destacar los siguientes datos:

 Las pérdidas económicas achacables a delitos cibernéticos suponen un 0,14% del

PIB colombiano.
 El 43% de las empresas colombianas no están preparadas para contrarrestar un
ciberataque.
 El aumento de ciberataques entre 2014 y 2015 fue del 40%.

Colombia cuenta con 11 clústeres tecnológicos que aglutinan a un total de 644 empresas
que desarrollan software, aplicaciones y tecnología. Respecto a las importaciones y
exportaciones TIC del país, la balanza comercial de productos TIC colombiana es
negativa dado que las importaciones superan a las exportaciones en un 10%. Sin
embargo, las exportaciones de servicios TIC, suponen un 14% sobre el total de las
exportaciones de servicios del país.

En Colombia, el 53% de los hogares cuenta con acceso a Internet, donde la penetración
de Banda Ancha es de 10,3 líneas de abonados por cada 100 habitantes. Sin embargo, la
penetración móvil en términos de suscripciones a telefonía celular es de 113,1 líneas
cada 100 habitantes, situada muy por encima de las 14,7 líneas de telefonía fija cada
100 habitantes.

Respecto a la usabilidad de Internet, en Colombia 52,6 personas de cada 100 cuentan

con acceso a la red mundial. En términos de calidad de la red, el ancho de banda se
sitúa en 76kb/s y por usuario, por debajo de la media europea, pero como país líder de
los países latinoamericanos analizados. Además, en una escala del 1 al 7 (el mejor), el
acceso a Internet en los colegios de Colombia se situaría en 6 puntos sobre 10.

En una escala del 1 al 7 (el mejor), el impacto que las TIC suponen en nuevos servicios o
productos, en modelos de organización o en servicios básicos cuenta con una puntuación
pareja en torno al 4,5/7, que se traduciría en un 6,5/10. No obstante, el impacto
económico en servicios y productos es un 2% mayor que el impacto económico de las
TIC en modelos organizativos y un 7% que el impacto social en el acceso a los servicios
básicos.

Colombia mantiene saldo negativo en la balanza comercial, dado que las importaciones
superan a las exportaciones en 11.255 M$, es decir, un 5,4% más sobre el PIB. Las
exportaciones mantienen una tendencia a la baja desde el año 2012 como consecuencia
a la caída de los precios del petróleo y de su posición comercial con Venezuela, que tras
la crisis se tradujo en el cierre de la frontera entre ambos países. Las importaciones
mantienen una tendencia creciente, incrementándose en 6.225 M$ desde 2012 a 2014,
es decir, un 9% más.

En los últimos años, el saldo de la balanza comercial hispano-colombiana ha resultado

positivo para España. Los datos respecto al sector TIC muestran que la principal partida
objeto de exportación e importación es la fabricación de equipos de telecomunicaciones,
representando alrededor del 65% en ambos casos; seguido de la fabricación de

SECURITY CONSULTING SERVICES - MARZO DE 2020 10 -

ordenadores y periféricos, con más de un 15%. Por ello, las dos actividades suponen
alrededor del 80% del total de las exportaciones o importaciones TIC, respectivamente.

Identificación del problema, necesidad, reto u

oportunidad

Necesidades de siete sectores principales, como puede observarse en el gráfico de la

página siguiente:

Fuente: INCIBE, “Tendencias en el mercado de la ciberseguridad”, 2016

La clasificación de tendencias se asienta en torno a los siguientes seis sectores o

ámbitos de actividad:

Sector Industrial y Medio Ambiente, cuyas necesidades de ciberseguridad se orientan

hacia la protección y seguridad de los diferentes dispositivos y redes que conforman las
Smart Grids, Infraestructuras Críticas, Industria 4.0 y demás servicios que tengan
cabida en el sector industrial y, fundamentalmente, energético.

Sector Movilidad, principalmente enfocado en el transporte y las comunicaciones, y

cuyos objetivos de ciberseguridad se fundamentan en la protección de medios de
transporte aéreo o terrestre, tales como los vehículos autónomos o conectados, o
dispositivos móviles que requieran de comunicación satelital.

SECURITY CONSULTING SERVICES - MARZO DE 2020 11 -

Sector Servicios, en el cual quedaría incluida la división financiera y de seguros, cuya
finalidad en ciberseguridad se asienta principalmente en la defensa y protección contra
incidentes derivados de la digitalización de sus servicios, tales como la banca online o
los servicios y aplicaciones Fintech.

Sector Ciudadanía, que incluye los servicios públicos básicos de sanidad y educación,
cuenta con necesidades en ciberseguridad, por un lado, orientadas hacia la protección
de dispositivos médicos interconectados, patentes o información sensible de pacientes
utilizadas en el ámbito sanitario y farmacéutico y, por otro lado, en la necesidad de
formación y capacitación profesional especializada en ciberseguridad.

Sector Gobernanza, basado en los organismos públicos y Administraciones Públicas y

sus correspondientes vulnerabilidades en ciberseguridad derivadas del control y gestión
de información y servicios públicos ciudadanos electrónicos, fundamentalmente.

Sector TIC, o basado en la digitalización, es un sector transversal a los anteriores que

recopila las necesidades y prácticas más habituales en materia de ciberseguridad,
ofrecidas desde un entorno como la nube, y las cuales pueden ser aplicadas al resto de
sectores definidos.

Las principales oportunidades de negocio se presentan en dos ámbitos diferentes:

 Servicios de gestión y reporte de incidentes para infraestructuras críticas:

Descripción: Se necesitan mecanismos de análisis, identificación, prevención,

investigación y persecución de ciberataques cuyo objetivo sean organismos públicos.
Para ello, hay que dotar a dichos organismos con los recursos técnicos necesarios para
combatir ciberataques y mitigar riesgos. Los principales clientes de estos servicios son
las infraestructuras críticas propias de todo país: sistemas de defensa, armamento,
puertos y aeropuertos, sector energético, etc.

Ventajas competitivas: hay un mercado poco explotado y una demanda todavía

insatisfecha, provocada por una desconexión entre la seguridad actual y los constantes
avances tecnológicos que se presentan en el mercado.

Barreras a la inversión: hay un gran desconocimiento relativo a este ámbito, dado que la
mayoría de los incidentes digitales de seguridad ni siquiera se comunican a las
autoridades competentes. Esto se debe a múltiples razones, entre las que destacan el
desconocimiento de los procedimientos adecuados, la mala imagen del sistema fiscal
colombiano, así como a aspectos relativos a la reputación de la propia empresa que
sufre un ciberataque.

 Formación en ciberseguridad

SECURITY CONSULTING SERVICES - MARZO DE 2020 12 -

 Descripción: uno de los grandes objetivos del sector de la ciberseguridad en Colombia es
mejorar la capacitación profesional, tanto para mitigar riesgos como para responder de
manera eficaz ante posibles amenazas.

Ventajas competitivas: hay un buen apoyo del Gobierno, a través del MinTIC, organismo
encargado de aumentar la concienciación ciudadana de los riesgos que conlleva el
desconocimiento en el uso de nuevas tecnologías. Por medio del Plan Vive Digital, el
MinTIC no solo pretende digitalizar la economía colombiana, sino también formar a sus
ciudadanos y profesionales en el campo de la ciberseguridad.

Barreras a la inversión: a pesar de los esfuerzos del MinTIC, el proceso de

concienciación se prevé largo, dada la baja concienciación de la ciudadanía colombiana
y el escaso uso de herramientas de protección y mitigación de riesgos digitales.

 Soluciones de seguridad para e-commerce y para ciberdefensa

Oportunidades: Cifrado de información, ciber cédulas, sistemas de gobierno en línea,

etc. Cabe destacar la importancia del Proyecto de Gobierno en Línea de la Alcaldía de
Tunja, desarrollado por Indra Colombia.

Árbol de problemas y objetivos

Pregunta de investigación

MODELO DEL ÁRBOL DE PROBLEMAS

E
Efecto
Efecto 1:1: Efecto
Efecto 2:
2: Efecto
Efecto 3:
3: Integridad:
Integridad: esta
esta Efecto
Efecto 4:4: Usabilidad: está
Usabilidad: está
Confiabilidad: seguridad
seguridad del
del sistema relacionada concon la
la facilidad
facilidad con
F Confiabilidad: se se Confidencialidad:
Confidencialidad: sistema relacionada con
refiere a la tiene que ver con la requiere
requiere que
que la
la información
información o o que
que los
los usuarios
usuarios pueden
pueden
los
los programas
programas no no se
se disfrutar
disfrutar dede los
los servicios
servicios
E reducción
reducción de de falsas
falsas protección de
protección de lala ofrecidos
falsifiquen, manipulen,
falsifiquen, manipulen, ofrecidos por
por ordenadores,
ordenadores,
C alarmas
alarmas incorrectas
incorrectas información
información dede los
los dispositivos
eliminen
eliminen o o inserten
inserten dispositivos y redes de
y redes de
en
en el
el usuarios
usuarios de
de la
la deliberadamente
deliberadamente en en el
el información.
información.
T funcionamiento
funcionamiento de de divulgación y la
divulgación y la proceso de almacenamiento,
proceso de almacenamiento, Incuestionabilidad:
Incuestionabilidad: esta esta
O un sistema obtención por parte operación y comunicación.
operación y comunicación. seguridad
seguridad se
se refiere
refiere aa
S informático
informático y y la
la de
de un
un tercero
tercero no
no En
En otras
otras palabras,
palabras, que
que no
no se
se garantizar
garantizar queque los
los actores
actores dede la
la
mejora pierdan
pierdan nini destruyan.
destruyan. información
información seansean responsables
responsables
mejora dede la
la autorizado.
autorizado. de
eficiencia de este. de su
su comportamiento.
comportamiento.
eficiencia
SECURITYde este.
CONSULTING SERVICES - MARZO DE 2020 13 -

Manifestación del problema:

Proble
 software o sistema
Causa Causa
Causa 3:3: desbordamiento
desbordamiento de de buffer.
buffer.
Causa
Causa 1:
1: vulnerabilidades
vulnerabilidades de de Causa 2:
2: “Phishing”,
“Phishing”, consiste
consiste enen la
la
suplantación Bugs.
Bugs. cuando
cuando una
una aplicación
aplicación nono es
es
inyección
inyección SQL”,
SQL”, de
de alguna
alguna suplantación dede un
un sitio
sitio web
web
verdadero por otro que no lo es. El capaz
capaz dede controlar
controlar lala cantidad
cantidad de
de
Causa manera,
manera, sese inserta
inserta oo "inyecta"
"inyecta" verdadero por otro que no lo es. El
datos que se copian en buffer los
usuario
usuario abre
abre su
su navegador
navegador y y se
se dirige
dirige datos que se copian en buffer los
: código
código SQL
SQL invasor
invasor dentro
dentro del
del bytes
bytes sobrantes
sobrantes se se almacenan
almacenan en en
a
a visitar
visitar un
un sitio,
sitio, pero
pero lo
lo que
que
Nivel código
código SQL
SQL programado,
programado, a a fin
fin de
de realmente zonas
zonas dede memoria
memoria adyacentes,
adyacentes,
realmente sucede
sucede es
es que
que el
el sitio
sitio en
en
1 alterar
alterar el
el funcionamiento
funcionamiento normal
normal que sobrescribiendo su contenido
sobrescribiendo su contenido
que se
se encuentra
encuentra nono eses el
el verdadero,
verdadero,
del
del programa y lograr así que se
programa y lograr así que se con original.
original. Este
Este problema
problema se se puede
puede
con todas
todas las
las probabilidades
probabilidades de de que
que
ejecute
ejecute la
la porción
porción de
de código le aprovechar
aprovechar para
para ejecutar
ejecutar código,
código, que
que
código le roben
roben su
su contraseña
contraseña y y demás
demás datos
datos
"invasor" le
le da
da a
a un
un atacante
atacante privilegios
privilegios de
"invasor" incrustado, en la base de
incrustado, en la base de de
de ingreso.
ingreso. de
datos. administrador.
administrador.
datos.
Causa
Causa 3.a:
3.a: Carga
Carga sin
sin
Causa
Causa 2.a:
2.a: restricciones
restricciones de
de tipos
tipos de
de
Causa
Causa 1.a:
1.a: Causa
Causa 1.b:
1.b: Falta
Falta Redireccionamiento
Redireccionamiento de de archivos
archivos peligrosos
peligrosos yy descarga
descarga
Software
Software que
que de
de autenticación
autenticación URL
URL aa sitios
sitios no
no de
de códigos
códigos sin
sin controles
controles de
de
ya está para una función confiables.
confiables. Falta
Falta de
de integridad.
integridad.
Causa infectado
infectado con
con crítica.
crítica. cifrado de datos.
virus. Denegación Causa
Causa 3.b:
3.b: Dependencia
Dependencia dede
: virus. Denegación de de “Windows
“Windows Spoofing”
Spoofing” entradas
“inyectando” servicio entradas no
no confiables
confiables en
en una
una
Nivel “inyectando” servicio se
se permite
permite que
que un
un decisión
código decisión de
de seguridad.
seguridad.
2 código foráneo
foráneo utiliza
utiliza con
con el
el atacante
atacante muestre
muestre
que permita el propósito de que ventanas
ventanas yy mensajes
mensajes dede Causa
Causa 3.c:
3.c: Cross-site
Cross-site scripting
scripting
proceso
proceso de
de los
los usuarios
usuarios nono notificación en la y
y falsificación,
falsificación, permite
permite ejecutar
ejecutar
datos
datos que
que el
el puedan
puedan utilizar
utilizar computadora
computadora de de la
la scripts
scripts de
de lenguajes
lenguajes como
como
atacante
atacante un
un servicio.
servicio. víctima.
víctima. VBScript
VBScript o o JavaScript
JavaScript
desee.
desee. Contraseñas
Contraseñas débiles.
débiles.

MODELO DEL ÁRBOL DE OBJETIVOS

Impacto
Impacto 3:3: Evita
Evita la
la Impacto
Impacto 4: 4: No
No permite
permite un un
Impacto
Impacto 1: Impacto modificación
modificación queque no
no ataque
ataque yaya que
que han
han sido
sido
1: Impacto 2:2:
I Previene
Previene una Detecta intercepten
intercepten nini diseñados
diseñados para
para engañar
engañar al al
una Detecta una
una
Interrupción
Interrupción ya Intercepción, manipulen
manipulen la la usuario
usuario cuando
cuando accede
accede a a un
un
M ya Intercepción, nono
que
que el
el daño
daño que permite información
información sinsin estar
estar sitio
sitio web
web que
que cree
cree legítimo.
legítimo.
P que permite que
que el
el
produce
produce un intruso autorizados,
autorizados, yaya que
que En
En este
este caso
caso se
se crea
crea una
una
un intruso atacante
atacante
A ataque
ataque dede acceda
acceda aa la
la
esto
esto produce
produce enormes
enormes página
página web
web idéntica
idéntica a a una
una
C interrupción
interrupción es información daños
daños debido
debido aa que
que la
la original,
original, por
por ejemplo,
ejemplo, el el
es información que
que
T básicamente hay empresa
empresa o o el
el usuario
usuario sitio
sitio de
de un
un banco,
banco, por
por lolo
básicamente hay almacenada
almacenada
conseguir
conseguir queque un en está
está trabajando
trabajando concon cual
cual el
el usuario
usuario ingresa
ingresa
O un en nuestro
nuestro
recurso
recurso dede la
la red sistema datos
datos falsos
falsos debido
debido a a la
la datos
datos personales
personales y y
red sistema oo que
que
deje
deje de
de estar
estar estemos manipulación.
manipulación. confidenciales
confidenciales queque luego
luego lele
estemos
disponible
disponible para transmitiendo son
son sustraídos
sustraídos con
con fines
fines
para transmitiendo porpor
sus
sus usuarios. la delictivos.
delictivos.
usuarios. la red
red a
a otros
otros
usuarios.
usuarios.
SECURITY CONSULTING SERVICES - MARZO DE 2020 14 -
PRO
PÓ Propósito: Fortalecer y proteger los
SI
sistemas operativos, software o redes
 Efecto
Efecto Directo
Directo 1:1: Efecto
Efecto Directo
Directo 2:
2: Detección:
Detección: Efecto
Efecto Directo
Directo 3: 3: Recuperación:
Recuperación:
Prevención:
Prevención: Poner
Poner especial
especial Estar
Estar seguros
seguros de
de que
que contamos
contamos Implica
Implica creación
creación dede copias
copias de
de
EFEC atención con las herramientas seguridad
seguridad dede todo,
todo, como
como elel cambio
cambio
atención enen la
la actualización
actualización con las herramientas
TO de
de antivirus,
antivirus, estar
estar atentos
atentos a
a adecuadas
adecuadas para
para la
la detección
detección de
de de
de todas
todas las
las contraseñas
contraseñas queque
ataques,
ataques, lo
lo mejor
mejor es
es utilizar utilizamos.
utilizamos. Cuando
Cuando sese detecta
detecta una
DIRE los
los enlaces
enlaces que
que aparecen
aparecen enen utilizar
violación,
una
correos una
una herramienta
herramienta antivirus
antivirus que
que violación, tenemos
tenemos queque tomar
tomar
CTO correos electrónicos,
electrónicos, Evitar
Evitar medidas
cualquier circunstancia en la
también
también nos
nos ofrezca
ofrezca la
la medidas drásticas,
drásticas, yy es
es por
por ello
ello por
por
posibilidad
posibilidad detectar
detectar intrusiones
intrusiones lo
lo que
que las
las mencionadas
mencionadas copias
copias dede
que
que podamos
podamos entrar
entrar en
en seguridad
en
en la
la red.
red. seguridad son
son esenciales
esenciales para
para
peligro.
peligro. recuperar
recuperar elel buen
buen funcionamiento.
funcionamiento.

Producto
Producto 3.a:
3.a: Aseguramiento
Aseguramiento de de
Producto Producto Producto 2.a: Infraestructura:
Infraestructura: Reforzar
Reforzar lala
P 1.a: 1.b: Seguridad seguridad
seguridad de
las
de dispositivos
dispositivos críticos
críticos de
de
las organizaciones.
organizaciones. Servidores,
Servidores,
R Mecanismo software perimetral: aplicaciones,
aplicaciones, equipos
equipos activos
activos de
de red,
red,
sistemas
sistemas operativos,
operativos, entre
entre otros;
otros; son
O s de antivirus Proxy, firewall, objeto
son
objeto para
para entorpecer
entorpecer lala labor
labor del
del
D seguridad DMZ y filtrado atacante
atacante yy minimizar
minimizar las
las
consecuencias
consecuencias dede un
un incidente
incidente de
U del de paquetes seguridad
seguridad y evitar que este se
y evitar que este se
de

C Sistema concrete en su totalidad.

concrete en su totalidad.
T Operativo: Producto
Producto 3.b:
3.b: Hacking
Hacking Ético
Ético --
O actualizaci Ethical
Ethical Hacking
Hacking (Penetration
(Penetration
Test)
Test) aa través
través de
de una
una metodología
metodología
ón de definida,
definida, generando
generando ataques
ataques de
de
software manera
manera controlada
controlada yy con
con la
la
autorización
autorización de
de la
la organización.
organización.
Producto
Producto 3.c:3.c: Análisis
Análisis de de
Vulnerabilidades:
Vulnerabilidades: Identifica
Identifica
vulnerabilidades
vulnerabilidades a a través
través dede un
un
análisis
análisis completo
completo dede dispositivos
dispositivos yy
procesos.
procesos. Mediante
Mediante pruebas
pruebas dede
detección,
detección, servicios
servicios disponibles
disponibles y y
vulnerabilidades,
vulnerabilidades, junto
junto a a
verificaciones
verificaciones manuales
manuales y y automáticas
automáticas
de
de falsos
falsos positivos,
positivos, para
para identificar
identificar los
los
puntos
puntos débiles de la red e informar
débiles de la red e informar
fallas, así la organización cuenta
fallas, así la organización cuenta con con
la
la información
información necesaria
necesaria para
para tomar
tomar
las
las medidas
medidas dede remediación
remediación precisas.
precisas.

Segmentación del mercado

Análisis de la demanda
los principales destinatarios de los productos y servicios de ciberseguridad del sector, es
decir, se desglosa el último eslabón de la cadena de valor de la ciberseguridad. Para
ello, se clasifica cada uno de los grandes demandantes de ciberseguridad desde dos
perspectivas: desde el punto de vista de las grandes amenazas sufridas y de los
principales servicios o soluciones demandados, en función de su actividad. Los clientes
finales o demandantes de ciberseguridad se clasifican en cuatro grandes grupos:

SECURITY CONSULTING SERVICES - MARZO DE 2020 15 -

En función del grado de complejidad de los sistemas empleados por los clientes, éstos
demandarán distintos tipos de servicios y soluciones, quedando estructurados de la
siguiente manera.

Administraciones Públicas

Las Administraciones Públicas son demandantes de seguridad para la protección de la

información gestionada por la propia administración o bien, demandantes de soluciones
de protección y seguridad en el ámbito de la defensa y de la inteligencia nacional. Las
principales amenazas que pueden sufrir el gobierno y las administraciones públicas son
el ciber espionaje y la sustracción de información, que como resultado pueden
provocar la publicación y venta de información sensible a través de Internet. En base a
ello, el sector público requiere soluciones de seguridad integral, basadas en ciber
inteligencia y ciberdefensa, que contribuyan a la protección de los organismos públicos
locales, regionales y nacionales. Concretamente, las administraciones públicas o
gobiernos demandan servicios de gestión de ciberseguridad, ofrecidos con el fin de
dotar de seguridad a los procesos de trabajo; servicios de ciberseguridad reactivos,
destinados a controlar y responder a una amenaza o incidente que pueda haber
sufrido un sistema de información, minimizando su impacto; o servicios de seguridad
proactivos, destinados a reducir los riesgos de seguridad a través de información e
implantación de sistemas de protección y detección.

Grandes empresas y operadores críticos

La demanda de soluciones de ciberseguridad del sector privado atiende al sector en el

que opera la empresa, diferenciándose específicamente aquellos denominados como
infraestructuras críticas, que son las infraestructuras estratégicas que proporcionan
servicios esenciales y cuyo funcionamiento es indispensable, por lo que su interrupción o
destrucción acarrea un grave impacto sobre los servicios. Los principales servicios de
seguridad demandados por las infraestructuras críticas son soluciones industriales, con
una alta especialización en el sector, en la región o en la tecnología; y soluciones de
seguridad integral. El resto de las grandes empresas, por su parte, son también
susceptibles de ataques de ciber espionaje industrial, de control e interrupción de
sistemas y de sustracción y venta de información confidencial. Por lo tanto, las
soluciones y servicios que demandan son de todo tipo, desde auditorías técnicas, gestión
de incidentes, soluciones de seguridad integral hasta seguridad en la nube.

Pymes y autónomos

SECURITY CONSULTING SERVICES - MARZO DE 2020 16 -

Para el grupo de destinatarios conformado tanto por pymes como por trabajadores
autónomos, las principales amenazas se basan en el uso/abuso o reventa de información
privada que proporcionan los clientes a organizaciones privadas y, los ataques apoyados
en ciberdelincuencia. Con base en dichas amenazas, los principales productos
orientados a estos clientes son soluciones o herramientas estándar, desarrolladas de
manera genérica por proveedores de ciberseguridad y enfocadas a empresas o usuarios
a pequeña escala, cuya utilización deriva del uso de entornos de trabajo online. Por otro
lado, la distribución se realiza mediante la concesión de licencias, o bien la entrega de
un producto físico. Es también frecuente la existencia de un modelo freemium y otro
gratuito de este tipo de soluciones.

Particulares

Los usuarios particulares o consumidores de ciberseguridad fuera del ámbito

profesional son usuarios cuya seguridad versa en la necesidad de protegerse y prevenir
los ataques, principalmente, hacia dispositivos móviles u ordenadores con acceso a
Internet. Al igual que para el caso de pymes y trabajadores autónomos, las principales
amenazas se basan en el uso/abuso o reventa de información privada, derivado de la
digitalización de la ciudadanía dado el inminente crecimiento del comercio electrónico
para consumidores y, la puesta en marcha de las iniciativas de dinero electrónico para la
inclusión económica. Los principales productos orientados a estos clientes son
soluciones o herramientas genéricas y esenciales de ciberseguridad enfocadas a
cualquier destinatario y cuya utilización deriva, fundamentalmente, de un uso asiduo de
Internet. Además, en este caso, resulta fundamental promover el desarrollo de
conocimientos básicos de seguridad informática en el usuario con el objetivo de generar
conciencia del riesgo representado por utilizar software de dudosa procedencia, así
como antivirus u otro software desactualizado.

SECURITY CONSULTING SERVICES - MARZO DE 2020 17 -

Buyer Persona
Inserta una foto del
cliente
Demográficos y
geográficos
45 años, casado y con dos
hijos. Me gusta tener un
balance entre mi vida
personal y profesional.
Tengo más de 15 años de
experiencia en sistemas y
seguridad. He sido el
encargado de la gestión de
seguridad de software y
SECURITY CONSULTING SERVICES - MARZO DE 2020 18 -
Describe los miedos, Desea, necesita, anhela
frustraciones y y sueña.
ansiedades. o Obtener mejores
o Los tiempos de resultados de ventas,
implementación de para lo que necesita
herramientas y disponer de las mejores
formación de herramientas.
empleados. o Mejorar la eficacia de
o Dudan sobre el retorno la empresa, optimizar
de la inversión. tareas, alcanzar mayor
Necesitan verlo. agilidad en los
o Desconfían sobre el procesos comerciales,
control de los datos. ahorrar en tiempo y
o El manejo de la costes…
herramienta puede ser o Construir una
un problema para sus metodología de trabajo
empleados comercial.
o Diferenciarse de su
competencia.
¿Qué están tratando de ¿Cómo alcanzan esas
hacer y porqué es metas hoy?
importante para ellos? o Promover proyectos
que sean beneficios
o Supervisar todas las para la economía de la
inversiones que realiza empresa.
la empresa. o Gestionar
o Mantener en equilibrio adecuadamente la
la balanza de gastos e liquidez de la
ingresos. compañía.
o Garantizar la sanidad o Garantizar el ROI de
 aplicaciones en empresas
grandes. Me gusta estar
actualizado con las
novedades del sector en
seguridad e IT a través de
webinars o eventos,
disponemos de un equipo
pequeño encargado de
sistemas y seguridad.
Superviso la tecnología
que utilizamos y los
resultados, manejamos un
volumen alto de datos de
usuarios y empresas
privadas, así como
entidades públicas.
Frases que mejor
describen sus
experiencias
“Mi responsabilidad es
incrementar la seguridad
de los datos de la web y
software internos para
evitar ataques que puedan
afectar a la privacidad”
¿Existen otros factores
que deberíamos tener en
cuenta?
Descripción de la idea de negocio
Idea de negocio
Evaluación y gestión de vulnerabilidades
SECURITY CONSULTING SERVICES - MARZO DE 2020 19 -
económica de la todas las inversiones
empresa. que se realizan.
o Estudiar el ROI de ¿Hay alguna barrera en
todas aquellas su camino?
inversiones que se o Necesita mantener a
realizan. raya la solvencia de la
o Buscar el ahorrar en empresa.
tiempos y costes. o Duda sobre el retorno
o Elaborar políticas de de la inversión.
crecimiento para la o Necesita verlo.
empresa. o Control de gastos
innecesarios.
o Búsqueda de
financiación para
abordar los proyectos a
nivel general dentro de
la empresa.
El CEO es quien toma la decisión de contratar los
servicios de ciberseguridad en función del presupuesto,
aunque la formación que tiene en torno a seguridad no
es muy elevada. Debido a la expansión digital de los
mercados y los riesgos que conlleva es cada vez más
importante disponer de medidas de ciberseguridad
relevantes para el negocio. Necesitamos darle la
importancia que tiene a la seguridad y posibles ataques,
así como protección de la información. Me gusta
informarme de las noticias a través de diarios de habla
no hispana, donde es más frecuente leer noticias acerca
de seguridad y actualidad. En mi día a día utilizo
plataformas como Twitter, LinkedIn o WhatsApp.
Proceso de decisión:
o Un departamento de la empresa requiere una
solución específica para algún problema o necesidad.
o El responsable del departamento es quien realiza
una búsqueda inicial de soluciones y se las pasa para
que estudie el coste y el ROI.
o El director financiero es quien analiza las diferentes
opciones y filtra las dos o tres más interesantes que
presenta al CEO para que tome la decisión final.
¿Qué es la evaluación y gestión de vulnerabilidades? ¿Cómo puede ayudarme a estar
más seguro? La primera no es una pregunta fácil de responder ya que no hay un
consenso en cuanto a los términos. A menudo te puedes encontrar empresas donde la
evaluación de vulnerabilidades es ofrecida como lo que la mayoría de las empresas
venden como gestión de vulnerabilidades, se define la evaluación de vulnerabilidades
como el proceso de catalogar recursos, identificar, cuantificar y priorizar
vulnerabilidades; mientras que la gestión de vulnerabilidades se entiende como el
proceso de buscar, identificar, verificar y mitigar amenazas. Pese al hecho de que estas
dos definiciones que se superponen están muy extendidas, no consiguen evitar que las
empresas que ofrecen estos servicios les cambien el nombre o que ofrezcan ambas bajo
el nombre de una, todo esto sin criterio alguno y solo respondiendo a labuzzword1del
momento en el sector de la ciberseguridad. Más allá de los procedimientos que tienen
en común a la hora de conseguir su objetivo, no sería concebible el uso de un conjunto
de técnicas sin el otro, ya que sería a todas luces dejar el trabajo inacabado. La
evaluación de vulnerabilidades se alimenta de los procesos de la gestión de
vulnerabilidades y viceversa, produciendo un resultado mucho más potente en términos
de seguridad por un poco más de esfuerzo respecto del trabajo necesario para realizar
uno de los procesos solo se puede definir la evaluación y gestión de
vulnerabilidades como el proceso de catalogar recursos, cuantificar la importancia de
los recursos, identificar las vulnerabilidades de estos, verificar estas vulnerabilidades y
realizar un plan para mitigar o eliminar estas amenazas en función de la importancia del
recurso.

FICHA TÉCNICA DEL PRODUCTO / SERVICIO

A. Nombre del producto o servicio: Evaluación y gestión de vulnerabilidades
B. Composición del producto (materias primas) / líneas de servicio o portafolio.
1. Catalogación de activos del sistema a auditar. En primer lugar, hay que
realizar un listado de todos los activos que se desean incluir en el proceso.
Estos activos pueden ser de cualquier tipo, desde redes enteras hasta PC
individuales. Los activos dependerán del tipo de evaluación, como se explicará
más adelante.
2. Descubrimiento de las vulnerabilidades para cada activo. Este es un proceso
crítico, ya que un óptimo resultado final de la evaluación dependerá de la
calidad y la cantidad de información recolectada durante esta fase. Escáneres
de vulnerabilidades, fuzzers2 y diccionarios de contraseñas para ataques de
fuerza bruta son tan solo unas pocas de las herramientas necesarias para
realizar el descubrimiento de vulnerabilidades. Cuanto mejores sean las
herramientas integradas también serán mejores los resultados, y, por ende,
más probabilidad de que no se trate de falsos positivos.
3. Verificación de las vulnerabilidades descubiertas para cada activo. No todas las
vulnerabilidades encontradas lo son realmente. En ciertas ocasiones los
sistemas responden de una manera que nos puede sugerir que es vulnerable a
cierto tipo de ataque cuando en realidad no loes. Estos son los denominados
falsos positivos. El objetivo de esta fase es descartar la mayoría de estos falsos
positivos generados en el descubrimiento de vulnerabilidades, asegurando que
casi todas las vulnerabilidades que pasan a la siguiente fase no constituirán
una pérdida de tiempo para el plan.
4. Cuantificación de la importancia de cada activo para el sistema. Una vez
tenemos catalogados todos los activos sobre los que trabajaremos y las
vulnerabilidades explotables, se procederá a realizar una evaluación de cada
dispositivo en el contexto del sistema. Es importante contextualizar con todo el
sistema, ya que activos que pueden parecer no críticos y con vulnerabilidades
que sí lo son pueden llegar a hacer caer el sistema en función del rol que estos

SECURITY CONSULTING SERVICES - MARZO DE 2020 20 -

 jueguen en el conjunto.
5. Elaboración de un plan de acción en función de la criticidad del activo y
vulnerabilidad. Llegados a este punto ya tenemos todas las piezas para
elaborar un plan de acción. Una vez que ya contamos con un listado de activos
con su respectiva importancia para el sistema y vulnerabilidades ya filtradas
solo queda que unir todas las piezas. Se priorizarán las vulnerabilidades en
función de su criticidad para el sistema completo en vez de para el propio
activo, buscando dar una mayor seguridad al sistema en conjunto.
6. Solución o mitigación de vulnerabilidades. Una vez establecida la hoja de ruta
no queda más que seguirla. Dependiendo de quién o para quién se haga esta
evaluación y gestión de vulnerabilidades como resultado obtendremos un
informe ejecutivo, un informe técnico, una serie de cambios a realizar o
directamente todo lo anterior. El resultado final de la evaluación y gestión de
vulnerabilidades siempre será aplicar sobre nuestro sistema las
recomendaciones o los cambios sugeridos por el documento final de acuerdo
con el orden de prioridades.
C. Presentaciones comerciales (litro, kilo, ml) / combos, paquetes especiales.
Externo: La prueba externo o black boxes realizado desde fuera del sistema a analizar,
sin un conocimiento previo de las características de este o de cualquier información
privilegiada y con la intención de comprometer el sistema desde el exterior. Se suele
comenzar con un trabajo de reconocimiento a través de OSINT3 para conseguir un
poco de información extra que pudiera ayudar en las siguientes fases de la prueba,
que son iguales a las explicadas previamente. En este tipo de evaluación se obtendrá
el punto de vista de un atacante sin acceso al sistema, por ello la información
recolectada será presumiblemente menora la obtenida en una evaluación de tipo
interno, pero más crítica al ser accesible directamente desde el exterior.
Interno: La prueba interno o White boxes realizado desde el interior del sistema a
analizar, en este tipo de evaluación es usual contar con información previa de la
estructura del sistema y se asume el rol de alguien de dentro en el que se confía, o
directamente es realizado desde un agente instalado en un activo. También es
habitual en este tipo de evaluaciones que se otorgue al evaluador un nivel de
privilegios moderado, de cara a analizar qué problemas podría causar un usuario
malicioso con esos privilegios o incluso si se pudiese llegar a elevar esos privilegios
iniciales de manera fraudulenta. Cuando se realiza la evaluación desde esta situación
se enfoca más a los riesgos respecto de un atacante que ha conseguido un acceso
limitado al sistema o un agente supuestamente confiable del sistema que está
actuando contra este. Sin embargo, la evaluación y gestión de vulnerabilidades bien
implementada realiza ambos tipos de evaluación a la vez, beneficiándose cada tipo de
los resultados obtenidos del otro y otorgando una visión más completa de las
vulnerabilidades del sistema.
D. Tipo de empaque o embalaje /canal de información.
Red: Los escaneos basados en red combinan el descubrimiento de hosts y servicios
con la enumeración de vulnerabilidades. En este tipo de evaluación se identificarán
los distintos dispositivos que componen la red, determinando su importancia en el
sistema y posibles vulnerabilidades. Una característica de este tipo de evaluación es el
uso de la técnica del finger printing, mediante la cual se averigua el tipo y versión del
dispositivo a partir de las respuestas que este proporciona, pudiendo luego buscar
vulnerabilidades específicas para ese tipo de dispositivo.
Host: Los escaneos basados en host se centran solamente en un dispositivo, del que se
puede tener un usuario y contraseña proporcionados con anterioridad para tener una
vía acceso a la máquina. Es por esto último que este escaneo puede aportar una mejor
imagen de las configuraciones establecidas y parches aplicados en cada dispositivo.
Una desventaja de este tipo de prueba es que debido a la gran cantidad de
configuraciones y características a las que tiene acceso el tiempo de análisis de estas
también será superior, prolongando la duración total del escaneo. Por ello es muy
importante encontrar un buen equilibrio entre el alcance deseado y el tiempo que
estamos dispuestos a asumir.
Wireless: Los escaneos basados en Wireless son similares a los de red, ya que también
presentan primero un descubrimiento de dispositivos y finger printing, pero esta vez
mediante Wi-Fi. Principalmente se ocupa de revisar las configuraciones de seguridad
del Wi-Fi como pueden ser el uso de un cifrado estándar seguro o que el WPS se
encuentra deshabilitado. También detecta puntos de acceso maliciosos o posibles

SECURITY CONSULTING SERVICES - MARZO DE 2020 21 -

 entradas a la red interna desde de la red de invitados.
Aplicación: Los escaneos de aplicación se suelen concentrar en los sitios web para
detectar malas configuraciones o vulnerabilidades del software usado. Este tipo de
prueba suelen tratar las vulnerabilidades típicas de la web, que ya se han explicado en
el OWASP Top 10, como pueden ser las inyecciones SQL, ataques XSS o la exposición
de datos sensibles entre otros. Debido a la batería de pruebas realizadas por este tipo
de escaneos se recomienda realizarlos en un entorno que no sea de producción o
hacer uso de pruebas no intrusivas, ya que algunas de estas vulnerabilidades pueden
llevar a un cambio permanente no deseado en la web auditada.
Base de datos: Los escaneos de base de datos se centran en las vulnerabilidades
características de las bases de datos, como pueden ser las inyecciones SQL o los
troyanos de base de datos. Al igual que en los escaneos de aplicación es recomendable
no realizar estas pruebas en un entorno de producción a no ser que se conozca
perfectamente la batería de pruebas realizadas y los posibles efectos que estas tienen
sobre la base de datos.
E. Material de empaque/ publicidad, brochures.
Para catalogar activos del sistema se hace uso de soluciones de descubrimiento
automatizado y gestión de activos. Estas herramientas realizan un escaneo del sistema
a evaluar para registrar todos los dispositivos que se encuentren. Estos activos se
pueden ver, gestionar y editar a posteriori, así como actualizar los activos tras nuevos
escaneos. En el mercado podemos encontrar herramientas especializadas en la
gestión de activos como pueden ser End point Manager, Manage Engine Asset
Explorer, MM-Soft Pulseway o Asset Panda entre otros.
F. Condiciones de conservación.
Clases más usuales: Escáner de vulnerabilidades de red: Nessus, Qualys, Acunetix,
Open VAS, Nexpose, etc. Escáner de vulnerabilidades de aplicaciones web: Nikto,
Qualys, OWASPZAP, w3af, Burp Suite, etc. Escáner de vulnerabilidades de bases de
datos: Scuba, App Detective Pro, McAfee Vulnerability Manager for Data bases,
AuditPro Enterprise, Microsoft Baseline Security Analyzer, etc.
G. Vida útil estimada / garantía.
La cuantificación de la importancia de una vulnerabilidad se suele llevar acabo
también por los escáneres de vulnerabilidades, que ya cuentan con sus propias
puntuaciones para cada vulnerabilidad, como podrían ser Qualys, Nessus o Acunetix.
Pero si el escáner no tiene un ránking propio también puede hacerse uso del de
terceros como Arcsight o idealmente del Common Vulnerability Scoring System
(CVSS), un estándar de industria abierto y gratuito para evaluar la peligrosidad de la
vulnerabilidad. Actualmente se encuentra bajo la custodia del NIST5y las
puntuaciones oscilan entre 0 y 10, calificando de 0 a 3.9 como Bajo, de 4 a 6.9 como
Medio y de 7 a 10 como Alto.
H. Porción recomendada /recomendaciones por tipo de cliente.
A la hora de generar el documento final la mayoría de las soluciones ya proporcionan
un generador de informes automatizado, el cual no suele ser incorrecto, pero es
recomendable no usarlo como documento final.
A la hora de realizar los informes manualmente habrá que tener en cuenta varios
aspectos en cuanto a la forma y el contenido, como bien se explica en el siguiente
punto.
ELABORÓ
REVISÓ
APROBÓ

La cadena de valor de la ciberseguridad es el modelo en el que se encuentran diseñadas

las principales actividades y los vínculos de relación entre los distintos eslabones de la
cadena para la creación de productos o prestación de servicios de ciberseguridad. A
continuación, en el siguiente gráfico se muestra la cadena de valor de la ciberseguridad,
compuesta principalmente por tres grandes actividades o eslabones:

 Fabricación de los componentes de hardware y desarrollo software.

 Distribución de productos de ciberseguridad.

SECURITY CONSULTING SERVICES - MARZO DE 2020 22 -

  Prestación de servicios de ciberseguridad.

Líderes

 Rapid7
 Beyond Trust
 NopSec
 Qualys

Actores Fuertes

 Tenable
 Skybox Security
 Digital Defense

Competidores

 Kenna Security
 Tripwire

Desafiadores

SECURITY CONSULTING SERVICES - MARZO DE 2020 23 -

  Beyond Security

Entorno de la empresa

Empresa: SCS - Security Consulting Services

AUDIT AND ANALYZE THE INFORMATION FLOW OF YOUR ORGANIZATION [SCS]

Categoría principal: Auditoria y análisis de información

Descripción: SCS ofrece servicios de consultoría de seguridad informática

Tamaño de la empresa a la que va dirigido: Pequeña empresa (10-49 empleados)

Mediana empresa (50-249 empleados)

Gratuito: No

Análisis del producto

Solución que dirige los tres pilares de la gestión de vulnerabilidades: análisis de

seguridad, administración de parches y auditoría de red mediante una única e integrada
consola. Mediante el escaneo de toda la red, identifica todos los posibles problemas de
seguridad y utilizando sus extensas funcionalidades de generación de informes le
proporciona las herramientas que necesita para detectar, valorar, informar y remediar
cualquier amenaza.

o Análisis de vulnerabilidad
o Administración de parches
o Auditoría de red y de software

Una herramienta de escaneo y evaluación de vulnerabilidades:

o Utiliza un enfoque amplio para identificar fallas y vulnerabilidades en toda la

empresa
o Escanea en una lista de riesgos conocidos, proporcionada a través de una base de
datos de vulnerabilidades
o Se puede ejecutar automáticamente y de forma programada
o Se compone de cuatro áreas principales: interfaz de usuario, lista de
vulnerabilidades, motor de exploración y herramienta de informes
o Puede priorizar las vulnerabilidades según la gravedad, la urgencia y la facilidad
de reparación
o Proporcionará sugerencias para corregir fallas identificadas

SECURITY CONSULTING SERVICES - MARZO DE 2020 24 -

El escaneo y la evaluación de vulnerabilidades permiten una identificación temprana y
confiable de las debilidades de TI. Estas herramientas dependen de que el proveedor de
software identifique regularmente las amenazas y las integre en la base de datos de
vulnerabilidades. Debido a que estas herramientas evalúan problemas de seguridad
previamente conocidos, también resaltarán las acciones restaurativas para corregir esos
defectos. La evaluación de la vulnerabilidad se centra en la identificación confiable de
los riesgos y la corrección de fallas de TI en toda la empresa.

Principios de prueba de penetración

Pruebas de penetración:

o Utiliza un enfoque específico para intentar romper con la seguridad y las

defensas de TI
o Intenta simular un ataque de la vida real por hackers y otros malos actores
o Intenta obtener acceso a sistemas críticos e información sensible
o Se adapta según la resistencia e intenta encontrar nuevos vectores de ataque
o No está tan preocupado con las vulnerabilidades específicas previamente
identificadas
o Puede utilizar una variedad de software, hacks, scripts y otros métodos para
penetrar en las defensas

Las pruebas de penetración permiten una comprensión profunda de cómo se puede

violar el ecosistema de TI. Utiliza una combinación de herramientas especializadas, una
comprensión del enfoque de un hacker y otras técnicas como la ingeniería social para
lograr resultados. Las pruebas de penetración se centran en cómo un mal actor podría
violar los sistemas de TI a través de un ataque dirigido.

Evaluaciones de vulnerabilidad y pruebas de penetración en diferentes entornos

Con la migración de la infraestructura, las aplicaciones y los datos a la nube, tanto las
evaluaciones de vulnerabilidad como las pruebas de penetración deben funcionar en
todos los entornos de TI. Ya sea que opere TI en el sitio, o dependa de una nube privada,
pública o híbrida, asegúrate de usar herramientas que puedan identificar
vulnerabilidades donde sea que estén, y también puede tratar con las integraciones y
conexiones entre estos entornos.

Principales diferencias entre la evaluación de vulnerabilidad y las pruebas de

penetración

Ahora que hemos explicado los principios de ambos enfoques, exploremos las
principales diferencias:

SECURITY CONSULTING SERVICES - MARZO DE 2020 25 -

 o Las evaluaciones de vulnerabilidad están basadas en listas; las pruebas de
penetración se basan en objetivos.
o Las pruebas de penetración son adaptables en base a esa prueba única; las
evaluaciones de vulnerabilidad usan un método consistente basado en
herramientas.
o Las evaluaciones de vulnerabilidad analizan una amplia gama de riesgos; las
pruebas de penetración usan un enfoque mucho más específico.

Las organizaciones deben usar pruebas de penetración y evaluaciones de vulnerabilidad

juntas, pero si necesita establecer prioridades, puede observar el vencimiento de las
operaciones de seguridad de TI.

Evaluaciones de vulnerabilidad, pruebas de penetración y madurez de TI

Una seguridad de TI menos madura obtendrá más beneficios de las evaluaciones y

análisis de vulnerabilidades. Debido a que estas herramientas analizan todo el
ecosistema de TI, expondrán los vectores de ataque y fallas de seguridad más comunes.
Estas herramientas ofrecen informes completos y acciones de mitigación. Esto puede
hacer que la asignación y restauración de recursos sea más rápida y fácil.

El análisis de vulnerabilidades es una herramienta ideal cuando una organización sabe

que tiene problemas de seguridad, pero no donde están. Dado que usa vulnerabilidades
previamente identificadas, puede probar todos sus sistemas rápida y exhaustivamente
contra esas vulnerabilidades.

Si su organización ya cuenta con una seguridad de TI madura, la evaluación de

vulnerabilidad aún puede ser útil. Incluso el software bien establecido puede tener
errores, y la programación de escaneos de seguridad significa que puede corregir esos
fallos a medida que se informan. Los nuevos proyectos e implementaciones también se
benefician del escaneo de vulnerabilidades, por lo que puede probar y corregir fallas en
el entorno de desarrollo o etapas antes de pasar a la producción.

Las pruebas de penetración son más útiles para organizaciones con una sólida madurez
en sus operaciones de seguridad de TI. Debido a que las pruebas de penetración se
adaptan a su infraestructura, aplicaciones y defensas únicas, puede brindarle una idea
temprana de cómo un pirata informático podría poner en peligro sus sistemas. Las
pruebas de penetración también son ideales si ha identificado o a repelido con éxito
piratas informáticos anteriores, por lo que puede corregir fallas que les permitan
penetrar más en sus sistemas.

SECURITY CONSULTING SERVICES - MARZO DE 2020 26 -

Precios

El costo de una prueba de penetración depende del alcance del proyecto y del entorno
que se debe probar. Si el entorno es grande y complejo, puede llevar semanas detectar y
explotar vulnerabilidades. Los precios de un pentest también dependen de si se trata de
un pentest externo o interno, una prueba de penetración de aplicaciones web, una
prueba de penetración inalámbrica o una ingeniería social realizada remotamente o en
sitio. Las calificaciones del equipo dedicado de pentest para el proyecto también pueden
afectar el precio.

SECURITY CONSULTING SERVICES - MARZO DE 2020 27 -