Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nota Técnica Ciberseguridad M2 PDF
Nota Técnica Ciberseguridad M2 PDF
Ciberseguridad
Fuente: http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
Cualquier tipo de negocio puede resultar vulnerable a un ciber ataque y debe gestionar su riesgo
de ciberseguridad. Las personas también pueden sufrir ciber ataques, como por ejemplo el robo
de identidad digital, ciber extorsión o fraude. Es por tanto importante, identificar, analizar y
gestionar los riesgos ciber, dado que la ciberseguridad se centra en el diseño, implantación y
gestión de los controles/medidas de seguridad con el objetivo de mitigar el riesgo. En la definición
general de ciber riesgo proporcionada anteriormente, existen otros tipos de riesgo más específicos
que se aplican a la ciberseguridad.
En la actualidad existen diversos marcos y guías de buenas prácticas, que pueden ser utilizadas
para analizar y gestionar riesgos de ciberseguridad. Entre todas ellas, destacan principalmente:
ISO 31000, estándar que desarrolla metodología, principios y directrices generales en
gestión de riesgos.
ISO 27005, estándar que desarrolla directrices específicas para la gestión de riesgos de
ciberseguridad.
NIST SP - 800-30, metodología de gestión de riesgos ciber creada por el Instituto Nacional
Americano de estándares y tecnología.
Lobos solitarios: En este grupo encajarían los actores individuales, así como aquellos
pequeños grupos de actores con pocas capacidades (conocimiento, tiempo o medios) para
llevar a cabo ataques. Sus intenciones suelen ser el beneficio económico y el robo y venta
de información.
Insiders: Con este término se suele referir a los actores que estando dentro de una
organización llevan a cabo acciones maliciosas deliberadamente. Este tipo de actores
suele usarse también por grupos criminales, con el fin de saltarse las medidas de seguridad
y/o obtener más información acerca de la seguridad y funcionamiento del activo objeto de
ataque.
Hacktivistas: Este tipo de actores combinan las motivaciones de los activistas con la
habilidad técnica de los hackers para lograr diversos fines ideológicos. Entre este tipo de
actores se encontraría Anonymous.
Es importante a la hora de identificar los riesgos, analizar cuales son los tipos de eventos que se
pueden generar en un activo. De una manera sencilla y como ejemplo, estos se podrían enumerar
en los siguientes cuatro tipos de eventos:
Las investigaciones de incidentes de ciberseguridad también utilizan el modelo de cyber Kill Chain
para mejorar la comprensión de los ataques y obtener lecciones aprendidas, que permitan un
diseño mas efectivo de las medidas de seguridad.
Fuente:https://www.pandasecurity.com/spain/mediacenter/src/uploads/2017/11/Adaptive_Defense-
Understanding_CyberAttacks-es.pdf
Adicionalmente a las políticas, existen otros documentos que deben crearse para el buen gobierno
de la ciberseguridad en una organización. Esto dependerá del tamaño de la empresa y cómo se
articule. En general, es conveniente distinguir entre los siguientes documentos normativos:
Marco de Ciber seguridad: articula la estrategia ciber dentro de la organización. Debe ser
un documento conciso, bien definido y con un lenguaje muy sencillo de forma que sea fácil
de entender por todas las partes afectadas.
Políticas: describen los requisitos y controles de ciber seguridad en la organización. Qué
se tiene que hacer y quién lo debe hacer.
Estándar: interpreta las políticas en situaciones específicas (por ejemplo, estándar de
seguridad en dispositivos móviles)
Procedimientos: provee detalles de cómo se tiene que cumplir con las políticas y
estándares.
Guías: provee directrices generales en aspectos y circunstancias muy específicas. No son
requisitos generales.
5. Controles de Ciberseguridad
Un control, es la medida organizativa o técnica, implantada en la organización para mitigar el riesgo
inherente. La efectividad del control, tanto en diseño como en funcionamiento, es lo que
determinará el riesgo residual.
Es por ello, que en la identificación de riesgos resulta clave el mapeo a los controles existentes,
definidos y documentados en las políticas. Para el diseño de los controles, y como se ha visto
anteriormente en este módulo, existen diferentes marcos y buenas practicas que pueden servir de
base: COBIT5, ISO27001, CIS 20 critical controls o NIST Cybersecurity framework.
Al objeto de este módulo, se explicará en mayor detalle el NIST Cyber Security Framework, cuyos
controles se basan y están mapeados al resto de buenas prácticas descritas anteriormente. NIST
Cyber Security Framework permite de manera sencilla a las organizaciones, independientemente
de su tamaño, aplicar las mejores prácticas para la gestión de riesgos, mejorando la resiliencia de
sus infraestructuras.
Es imprescindible, por tanto, determinar el mejor plan de acción para abordar cada vulnerabilidad.
Las vulnerabilidades pueden ser identificadas por información proporcionada directamente por
fabricantes y proveedores de software (por ejemplo, a través del lanzamiento de parches y
actualizaciones) o por la propia organización a través de testing de sus activos. Las dos técnicas
más comunes de testing son el escaneo de vulnerabilidades y las pruebas de penetración.
Por otro lado, las pruebas de penetración incluyen la identificación de vulnerabilidades y el uso de
métodos de explotación con el objetivo de:
Definir claramente el alcance de la prueba, incluyendo qué sistemas o redes están dentro
y fuera del alcance, el tipo de exploits que pueden ser utilizados y el nivel de acceso
permitido (por ejemplo, ingeniería social, Web, aplicación móvil y otros tipos de pruebas…).
Obtener permiso explícito y por escrito de la organización propietaria del sistema por la
cual autoriza las pruebas. En algunos casos, pese a que el activo presta servicio a la
organización o pertenece a la misma, la infraestructura que lo soporta es de un tercero.
Esta autorización explícita será lo que distingua al servicio como autorizado y legal.
Certificar que los hackers éticos (pentesters) implementan procedimientos para asegurar
que ningún activo se vea perjudicado.
Poner en marcha planes de comunicación y escalado para que la organización y los
pentesters se comuniquen rápidamente durante las pruebas.
Las pruebas de penetración pueden ser de caja blanca o de caja negra. La diferencia, radica en
que en las pruebas de caja negra no se le proporciona ninguna información del activo al pentester,
mientras que en las de caja blanca dispone de información (por ejemplo, passwords de acceso).
Rango
Probabilidad Descripción
5 Casi seguro
4 Muy probable
3 Posible
2 Improbable
1 Muy improbable
El nivel de riesgo inherente sería la probabilidad de ocurrencia por el impacto sin tener
en cuenta los controles existentes. El nivel de riesgo residual se calcularía de la misma
forma, pero teniendo en cuenta la efectividad de los controles implantados en la
organización. De esta manera, se obtendría una ordenación de riesgos de mayor a
menor criticidad.
3. Tratamiento del riesgo: En esta fase se seleccionará la opción de tratamiento más
adecuada para cada riesgo: evitar, mitigar, transferir o aceptar. Para elegir las
opciones, o una combinación de ellas, se considerará el nivel de tolerancia al riesgo y
criterios coste-beneficio.
o Evitar el riesgo dejando de realizar la actividad, ya que por ejemplo el coste de
la mitigación es mayor que el beneficio.
o Mitigar el riesgo implantando los controles necesarios para reducirlo por debajo
del nivel de tolerancia
o Transferir el riesgo por ejemplo contratando un seguro
o Aceptar el riesgo al estar por debajo del nivel de tolerancia.
4. Seguimiento y monitorización: Esta fase es continua y paralela a las anteriores. Dado
que los riesgos pueden variar a lo largo del tiempo es necesario realizar una
monitorización continua de los mismos. Para ellos, deberá monitorizarse los planes de
acción definidos en la fase de tratamiento, así como establecer las herramientas
adecuadas para una medición continua (por ejemplo, a través de indicadores).
8. Regulación y leyes
República Dominicana es uno de 10 países de la región con una Estrategia de Nacional de
Ciberseguridad para proteger a ciudadanos, empresas y gobierno en el ciberespacio. La Estrategia
Nacional de Ciberseguridad fue aprobada mediante el decreto No. 230-18 , como voluntad del
Los otros países de la región que cuentan con una Estrategia Nacional de Ciberseguridad son
Colombia, Chile, Costa Rica, Jamaica, México, Panamá, Trinidad y Tobago, Panamá y Guatemala.
La regulación dominicana sobre seguridad informática y ciberseguridad está repartida entre varias
leyes y acuerdos internacionales. La de seguridad TIC es cubierta por la ley contra delitos de alta
tecnología (http://www.oas.org/juridico/PDFs/repdom_ley5307.pdf) y la seguridad de datos
personales está cubierta por las leyes de comunicaciones electrónicas y la de protección integral
de los datos personales (http://dominicana.gob.do/index.php/seguridad-y-delito-electronico) .
Es importante, no obstante, que cada organización identifique las diferentes regulaciones que le
aplican. Estas pueden resultar de aplicación por la geografía en la que operan o por los datos que
manejan (por ejemplo, PCI para datos de tarjetas). A continuación, se resumen, las principales
regulaciones en Estados Unidos y Europa sobre la protección de datos, así como PCI para datos
de tarjetas:
9. Roles y capacitación
El CISO (Chief Information Security Officer) es el director de seguridad de la información y la figura
responsable de la ciberseguridad en una organización. Cada vez más, es un rol desempeñado a
nivel ejecutivo y su función principal es la de alinear la ciberseguridad con los objetivos de negocio.
De esta forma se garantiza en todo momento que los activos de la organización están protegidos
adecuadamente.