1 Tabla de contenido

1 Objetivos................................................................................................... 2

2 Estrategia de Ciberseguridad ................................................................... 2

2.1 Estudio de la legislación vigente ............................................................... 5

2.1.1 Fases de planificación estrategia de ciberseguridad ................................ 6

2.2 Definir Caso de Negocio y buscar apoyo de Alta Dirección...................... 6

2.3 Establecer objetivos y medir ..................................................................... 9

2.4 Planificación de proyectos e implementación ......................................... 10

2.5 Re-Evaluación y actualización ................................................................ 11

3 Conclusiones .......................................................................................... 12

4 Bibliografía.............................................................................................. 13

4.1 Bibliografía Recomendada ..................................................................... 13

1 Objetivos

 Poder planificar una estrategia a alto nivel y después delegar la

implementación a especialistas, para establecer la ciberseguridad en mi
empresa.
 Entender la necesidad de establecer objetivos a cumplir en la estrategia de
Ciberseguridad, así como la importancia de los indicadores que se
establezcan.
 Saber marcar las prioridades en un Plan de Proyectos de Ciberseguridad,
que nos lleve a conseguir los mayores beneficios en el menor tiempo posible
y con el menor coste.

2 Estrategia de Ciberseguridad

Recordemos el objetivo de la ciberseguridad:

Garantizar la disponibilidad, integridad, autenticidad, no repudio y confidencialidad
de la información, los sistemas y las comunicaciones

Estrategia de ciberseguridad:
Tiene que ir orientada a la consecución del objetivo de ciberseguridad,
estableciendo el conjunto de políticas, herramientas, formación y prácticas
necesarias en todo momento.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 2
E igualmente, qué es la ciberseguridad:
Conjunto de herramientas, políticas, conceptos, salvaguardas, directrices, métodos
de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y
tecnologías que pueden utilizarse para proteger los activos de la organización y los
usuarios en el entorno de TI.
Por tanto, la estrategia de ciberseguridad que planifiquemos y diseñemos, tiene que
ir orientada a la consecución del objetivo, estableciendo el conjunto de políticas,
herramientas, formación y prácticas necesarias en todo momento.
La estrategia de ciberseguridad y Seguridad de TI debe formar parte de un plan
mayor: la Gestión de Riesgos. Y debe influir y verse influida por el Plan de
Continuidad de Negocio.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 3
Continuidad de Negocio:
Capacidad estratégica y táctica de la organización para planificar y ejecutar la
respuesta ante incidentes e interrupciones en el negocio con el fin de permitir la
continuidad de las actividades comerciales en un nivel aceptable previamente
definido.
Gestión del riesgo:
Políticas, procedimientos, directrices, prácticas o estructuras organizacionales, que
pueden ser administrativas, técnicas, gerenciales o legales por naturaleza.

Según la British Standard BS-25999-2:2007, la Continuidad de Negocio es “la

capacidad estratégica y táctica de la organización para planificar y ejecutar la
respuesta ante incidentes e interrupciones en el negocio con el fin de permitir la
continuidad de las actividades comerciales en un nivel aceptable previamente
definido”.
Y la Gestión del Riesgo, según la ISO/IEC 27000:2009, “formas de gestionar el
riesgo, incluidas las políticas, procedimientos, directrices, prácticas o estructuras
organizacionales, que pueden ser administrativas, técnicas, gerenciales o legales
por naturaleza”.
La estrategia de ciberseguridad y/o estrategia de seguridad TI, debe estar
íntimamente ligada, por un lado, a la Gestión del Riesgo: cuantificar y evaluar las
medidas a adoptar para prevenir, evitar, minimizar, paliar y recuperarse de un
evento contra nuestra seguridad (disponibilidad, integridad, autenticidad, no repudio
y confidencialidad de sistemas y datos) respecto al coste presente y futuro de no
hacer nada o hacer algo parcialmente.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 4
Y por otro, respecto a la política de Continuidad de Negocio: evaluar y asegurar los
sistemas críticos que, sin ellos, y sin capacidad de tener unos semejantes o
equivalentes, nuestra organización desaparecería por alguna razón en un tiempo
determinado.

2.1 Estudio de la legislación vigente

El primer punto de la estrategia debe ser revisar y comprender a qué niveles de

seguridad, control de acceso, auditoría de acceso y controles externos, está nuestra
empresa obligada a implementar, mantener, vigilar, probar y auditar, respecto a los
datos que esta maneja.
Tanto los posibles datos de carácter personal, como otro tipo de datos. Sistemas,
comunicaciones, almacenamientos temporales, etc.
Cada vez más países, incluido la Comunidad Europea, tienen leyes estrictas al
respecto. Debemos tener claro cuáles son nuestras obligaciones como empresa
para cumplir esta legislación, y coste-riesgo de no cumplirla.
Además de las legislaciones generales respecto a seguridad y privacidad, debemos
igualmente prestar atención a legislaciones particulares y específicas de nuestro
sector, al poder existir legislación particular para él. Por ejemplo, las instituciones
financieras, de salud o gubernamentales, tienen unas normas de seguridad y
privacidad específicas en muchos países, mucho más estrictas que las de aplicación
general.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 5
En este punto, cuando hablamos de legislación que nos son aplicables como
empresa, debemos hacerla extensible a nuestros proveedores y partners, pues
somos garantes y responsables ante la ley de las infraestructuras y sistemas que
usamos, sean propiedad nuestra o no. Por tanto, nuestra estrategia, políticas y
normativas de seguridad deben incluir cómo revisamos que estas aplican y cumplen
a nuestros socios tecnológicos.
Cuando tengamos toda la lista de requisitos legales que debemos cumplir,
pasaremos al siguiente punto para elaborar nuestra estrategia de ciberseguridad.

2.1.1 Fases de planificación estrategia de ciberseguridad

 Estudio de la legislación vigente

 Elaboración de lista de riesgos y sus métodos de mitigación
 Definición de caso de negocio por cada riesgo detectado
 Búsqueda de apoyo en la Alta Dirección para Caso de Negocio
 Establecimiento de objetivos y medición
 Planificación de proyectos; implementación
 Re-evaluación y actualización

2.2 Definir Caso de Negocio y buscar apoyo de Alta Dirección

Deberemos elaborar una lista de los riesgos y amenazas de ciberseguridad que

tiene nuestra organización, junto con las necesidades a cumplir por imperativo legal
o normativo.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 6
Para cada uno de ellos, establecer el coste estimado de la implementación de las
medidas necesarias para evitarlo, minimizarlo o subsanarlo en el tiempo máximo
que consideremos límite de subsistencia o límite permisible para cada caso.
Por ejemplo, suponiendo que tenemos nuestros sistemas en un Datacenter on-
premise, podemos considerar tiempo límite de subsistencia en caso de que el
Datacenter se viera totalmente inoperativo, 2 días.
Esto significaría que, si tras 2 días no somos capaces de levantar nuestros sistemas
críticos o unos equivalentes para hacer funcionar nuestro negocio en un mínimo
viable, nuestra empresa se vería tan gravemente afectada que se vería abocada a
dejar de existir. Por daño económico, a imagen de marca, por compromisos
contractuales, etc.
En este ejemplo sería conveniente incluir en la lista el riesgo de “indisponibilidad
total de datacenter”, con un tiempo máximo de 48 horas, una propuesta para
levantar los sistemas críticos en menos de ese tiempo, y el coste –desglosado o no
en varias líneas- de conseguir ese objetivo. Algo como:

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 7
Supongamos que el coste estimado de tener nuestros sistemas parados durante 48
horas fuera de 5 millones de euros, calculándolo no solo por las “ventas” que
dejamos de poder hacer en ese periodo, sino incluyendo el coste de volver a
levantar los sistemas, el coste de personal o servicios externos contratados para tal
fin, el coste del impacto mediático, etc.
Si el coste-riesgo (cuánto nos cuesta en caso de materializarse el riesgo) es inferior
al coste estimado de las medidas de paliación, debemos construir un Caso de
Negocio que nos ayude a defender la propuesta ante la Alta Dirección, y conseguir
su apoyo para el proyecto.
Si el método de paliación que hemos pensado no compensa el coste-riesgo, es
decir, que con las medidas planteadas no compensa tenerlas porque su coste es
mayor que la propia ocurrencia del evento, debemos buscar otro tipo de medidas
que minimicen el impacto.
Este Caso de Negocio lo haremos para cada una de las obligaciones legales y
normativas, y para cada riesgo de ciber-seguridad que se detecte. Tan exhaustivo
como podamos.
Recordemos que la Estrategia de Ciberseguridad forma parte de la Gestión de
Riesgos, e impacta al Plan de Continuidad de Negocio. Cada sistema que se
implante para evitar o mitigar un riesgo de ciberseguridad, modificará el Plan de
Continuidad de Negocio. E igualmente, cada modificación del Plan de Continuidad
de Negocio (por ejemplo, al añadir la necesidad de cubrir nuevos sistemas que son
vitales para la organización y antes no existían o no eran vitales), deben lanzar una
modificación de la Estrategia de Ciberseguridad.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 8
2.3 Establecer objetivos y medir

Hemos elaborado en el punto anterior unos Casos de Negocio que nos ayudan a
cuantificar el coste-riesgo, y el coste de remediación.
Teniendo en cuenta que el tener los sistemas de ciber-seguridad adecuados
suponen una ventaja competitiva, y son fácilmente convertibles en herramientas
comerciales –usarlos como facilitadores en la captación de nuevos clientes,
retención de los actuales, y herramienta para ganar la confianza-, debemos procurar
hacer cada vez más eficientes estos sistemas, reduciendo su coste y/o aumentando
el nivel de ciber-seguridad que ofrecen.
Y no podemos mejorar aquello que no medimos. Así que debemos buscar las
variables necesarias para cuantificar el nivel de ciber-seguridad que nos ofrecen los
sistemas que se implementen. Puede ser el número de sistemas críticos cubiertos,
el número de horas que transcurren entre un incidente y la recuperación, los eventos
de seguridad con impacto que tienen lugar en la actualidad, etc.
Y una vez tengamos las variables, dentro de nuestro plan de ciber-seguridad,
estableceremos objetivos que nos ayuden a mejorar las variables indicadas, y hacer
ver a la organización en su conjunto los beneficios de la inversión en esta, con datos
palpables y su referente económico.
Por ejemplo, supongamos que los ordenadores de su empresa se ven infectados
por virus en un número de 10/ordenadores/año. Podemos evaluar el impacto
económico de cada infección: reparación del sistema, tiempo del empleado sin
poder trabajar, tiempo empleado en repararlo, otros costes derivados, etc.
Tenemos por tanto 2 variables: número de eventos de seguridad, y coste de cada
evento de seguridad.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 9
Y podemos establecer un objetivo para el año como “reducir a un 50% las
infecciones por virus en los equipos”, que tendrá un impacto positivo en la
organización transformable directamente en Euros, una vez descontado el coste del
proyecto o mejoras que se deben poner en práctica para conseguirlo: cambio de
antivirus, sistemas de control de acceso al antivirus para evitar que el usuario lo
bloquee o pause, sistemas de control que verifiquen la versión del antivirus en cada
ordenador, etc.…

2.4 Planificación de proyectos e implementación

Llegados a este punto, ya deberíamos tener una lista de los proyectos a

implementar y que beneficios y objetivos nos van a ayudar a alcanzar cada uno.
A partir de ahora, los trataremos como cualquier otro plan de proyectos de Negocio,
puesto que hemos conseguido tener un Caso de Negocio para cada uno, un ROI, y
unos objetivos a alcanzar con cada uno.
Buscaremos como siempre priorizarlos según “quick-wins” (atención al coste-riesgo
y costeimplementación) y escalados por criticidad y dependencias.
Los proyectos de ciberseguridad en muchos de los casos, y casi siempre en los
grandes proyectos, involucra a perfiles muy diversos y de alta especialización:
comunicaciones, bases de datos, sistemas redundantes, sistemas de
monitorización, etc. y deberemos contar con un experto en cada área (SME) como
pare del equipo.
Igualmente, debe nombrarse un gestor por cada uno de los proyectos del plan y
buscarse un patrocinador o promotor en Negocio que sea quien intervenga en la
alta dirección cuando el proyecto se estanque o se encuentre con alguna dificultad
“superior”.
DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE
UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 10
2.5 Re-Evaluación y actualización

No vale de nada tener unos sistemas de ciberseguridad, políticas, normativa y

formación, si están anclados en el pasado.
Las amenazas y riesgos de ciberseguridad, son sin duda los que más cambian,
evolucionan y crecen. Nuestras políticas, sistemas de defensa, procedimientos y
formación deben estar sometidos a controles constantes, incansablemente. Deben
estar adaptándose continuamente, con dedicación completa por parte de
especialistas, a estar enterados de nuevas amenazas, estudiar su impacto en
nuestra organización, montar sistemas de evaluación, control y seguimiento del
cumplimiento de normas y políticas.
No podemos actuar a golpe de “aparición en los medios”, porque con total
seguridad, de hacerlo así, más pronto que tarde seremos víctimas de algún ataque,
brecha o contingencia, sin haber estados preparados, alertados y formados al
respecto con la suficiente antelación.
Dependiendo de nuestro ámbito, sector, y riesgo expuesto, dentro de nuestra
estrategia de ciberseguridad y en el Plan de Gestión de Riesgos, debemos incluir
planes de pruebas de nuestros sistemas de contingencias, sistemas de evaluación
continua y automáticas –en la medida de lo posible-.
Igualmente, debemos considerar planificar evaluaciones y auditorías externas a
todos los niveles de forma periódica, y revisar en consecuencia nuestros planes.

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 11
La planificación de proyectos relativos a ciberseguridad, deben contemplar estas
evaluaciones y deben ser lo suficientemente flexibles en capacidad y planificación
económica para hacer frente a nuevos riesgos derivados de descubrimientos de
nuevas amenazas (vulnerabilidades en sistemas operativos, sistemas, software,
hardware, comunicaciones…), nuevas normativas legales o sectoriales, o cambios
en las ya vigentes.
La ciber-seguridad no se trata como “implementar y listo”. Nunca se llega a estar
“listo”. Debemos re-evaluar y actualizar de forma constante. De ello depende
nuestra marca, nuestra imagen, nuestros ingresos, y la seguridad y privacidad de
nuestros clientes.

3 Conclusiones

 La estregia de seguridad que planifiquemos y diseñemos tiene que ir

orientada a la consecución del objetivo, estableciendo el conjunto de
políticas, herramientas, formación y prácticas necesarias en todo momento.
 Debe formar parte del Plan de Gestión de Riesgos. Debe influir y verse
influída por el Plan de Continuidad de Negocio.
 La Continuidad de Negocio es “la capacidad estratégica y táctica de la
organización para planificar y ejecutar la respuesta ante incidentes e
interrupciones en el negocio con el fin de permitir la continuidad de las
actividades comerciales en un nivel aceptable previamente definido”

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 12
  Las fases para establecer y planificar una estrategia de Ciberseguridad son:
estudio de la legislación vigente; elaboración de lista de riesgos, métodos de
mitigación; definición de caso de negocio por cada riesgo detectado;
búsqueda de apoyo en la Alta Dirección para Caso de Negocio;
establecimiento de objetivos y medición; planificación de proyectos;
implementación; y re-evaluación y actualización.

4 Bibliografía

 CIBERSEGURIDAD, LA PROTECCIÓN DE LA INFORMACIÓN EN UN

MUNDO DIGITAL Fundación Telefónica, 2016. Editorial Ariel SA ISBN: 978-
84-08-16304-6

4.1 Bibliografía Recomendada

 Ciberseguridad en 9 pasos. El manual sobre seguridad de la Información

para el Gerente. Dejan Kosutic EPPS Services
 Ciberseguridad. Retos y amenazas a la Seguridad Nacional en el
Ciberespacio. Instituto Español de Estudios Estratégicos. Cuadernos de
Estrategia 149 Ministerio de Defensa. España. ISBN: 978-84-9781-622-9
 Insider Threats as the Main Security Threat in 2017. Marcel Gogan. The state
of security. Tripwire. https://www.tripwire.com/state-of-security/security-data-
protection/insiderthreats-main-security-threat-2017/

DIPLOMADO VIRTUAL EN: BIG DATA BUSINESS INTELLIGENCE

UNIDAD DIDÁCTICA 1: SISTEMAS Y PLATAFORMAS TECNOLOGICAS
DOCUMENTO: ESTRATEGIA DE CIBERSEGURIDAD EN LA EMPRESA
Pág. 13