Estrategia de

Ciberseguridad en la
Empresa

© 2018 Instituto Europeo de Posgrado

1
 Estrategia de Ciberseguridad en la Empresa
2

Índice

1 Estrategia de Ciberseguridad ....................................................................................................................... 3

1.1 Estudio de la legislación vigente .................................................................................................. 4
1.2 Definir Caso de Negocio y buscar apoyo de Alta Dirección ......................................... 5
1.3 Establecer objetivos y medir .......................................................................................................... 6
1.4 Planificación de proyectos e implementación ...................................................................... 7
1.5 Re-Evaluación y actualización ....................................................................................................... 8
2 Conclusiones ......................................................................................................................................................... 9
3 Bibliografía Esencial .......................................................................................................................................... 9
4 Bibliografía Recomendada ............................................................................................................................ 9

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Estrategia de Ciberseguridad en la Empresa
3

Objetivos
 Poder planificar una estrategia a alto nivel y después delegar la implementación a
especialistas, para establecer la ciberseguridad en mi empresa.

 Entender la necesidad de establecer objetivos a cumplir en la estrategia de

Ciberseguridad, así como la importancia de los indicadores que se establezcan.

 Saber marcar las prioridades en un Plan de Proyectos de Ciberseguridad, que nos

lleve a conseguir los mayores beneficios en el menor tiempo posible y con el menor
coste.

1 Estrategia de Ciberseguridad

Recordemos el objetivo de la ciberseguridad:

Garantizar la disponibilidad, integridad, autenticidad, no repudio y confidencialidad de la

información, los sistemas y las comunicaciones

E igualmente, qué es la ciberseguridad:

Conjunto de herramientas, políticas, conceptos, salvaguardas, directrices, métodos de

Estrategia de ciberseguridad:
gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden
utilizarse para proteger los activos de la organización y los usuarios en el entorno de TI.
Tiene que ir orientada a la consecución
del objetivo de ciberseguridad,
Por tanto, la estrategia de ciberseguridad que planifiquemos y diseñemos, tiene que ir
estableciendo el conjunto de políticas,
orientada a la consecución del objetivo, estableciendo el conjunto de políticas, herramientas,
herramientas, formación y prácticas
necesarias en todo momento. formación y prácticas necesarias en todo momento.

La estrategia de ciberseguridad y Seguridad de TI debe formar parte de un plan mayor: la

Gestión de Riesgos. Y debe influir y verse influida por el Plan de Continuidad de Negocio.

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.

Continuidad de Negocio:
Capacidad estratégica y táctica de la
organización para planificar y ejecutar la
respuesta ante incidentes e interrupciones
en el negocio con el fin de permitir la
continuidad de las actividades
comerciales en un nivel aceptable
previamente definido.
Gestión del riesgo:
Políticas, procedimientos, directrices,
prácticas o estructuras organizacionales,
que pueden ser administrativas, técnicas,
gerenciales o legales por naturaleza.
Estrategia de Ciberseguridad en la Empresa
4
Según la British Standard BS-25999-2:2007, la Continuidad de Negocio es “la capacidad
estratégica y táctica de la organización para planificar y ejecutar la respuesta ante incidentes
e interrupciones en el negocio con el fin de permitir la continuidad de las actividades
comerciales en un nivel aceptable previamente definido”.
Y la Gestión del Riesgo, según la ISO/IEC 27000:2009, “formas de gestionar el riesgo,
incluidas las políticas, procedimientos, directrices, prácticas o estructuras organizacionales,
que pueden ser administrativas, técnicas, gerenciales o legales por naturaleza”.
La estrategia de ciberseguridad y/o estrategia de seguridad TI, debe estar íntimamente
ligada, por un lado, a la Gestión del Riesgo: cuantificar y evaluar las medidas a adoptar para
prevenir, evitar, minimizar, paliar y recuperarse de un evento contra nuestra seguridad
(disponibilidad, integridad, autenticidad, no repudio y confidencialidad de sistemas y datos)
respecto al coste presente y futuro de no hacer nada o hacer algo parcialmente.
Y por otro, respecto a la política de Continuidad de Negocio: evaluar y asegurar los sistemas
críticos que, sin ellos, y sin capacidad de tener unos semejantes o equivalentes, nuestra
organización desaparecería por alguna razón en un tiempo determinado.
1.1 Estudio de la legislación vigente
El primer punto de la estrategia debe ser revisar y comprender a qué niveles de seguridad,
control de acceso, auditoría de acceso y controles externos, está nuestra empresa obligada
a implementar, mantener, vigilar, probar y auditar, respecto a los datos que esta maneja.
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.

Fases de planificación estrategia de
ciberseguridad:
 Estudio de la legislación vigente
 Elaboración de lista de riesgos y
sus métodos de mitigación
 Definición de caso de negocio por
cada riesgo detectado
 Búsqueda de apoyo en la Alta
Dirección para Caso de Negocio
 Establecimiento de objetivos y
medición
 Planificación de proyectos;
implementación
 Re-evaluación y actualización
Estrategia de Ciberseguridad en la Empresa
5
Tanto los posibles datos de carácter personal, como otro tipo de datos. Sistemas,
comunicaciones, almacenamientos temporales, etc.
Cada vez más países, incluido la Comunidad Europea, tienen leyes estrictas al respecto.
Debemos tener claro cuáles son nuestras obligaciones como empresa para cumplir esta
legislación, y coste-riesgo de no cumplirla.
Además de las legislaciones generales respecto a seguridad y privacidad, debemos
igualmente prestar atención a legislaciones particulares y específicas de nuestro sector, al
poder existir legislación particular para él. Por ejemplo, las instituciones financieras, de salud
o gubernamentales, tienen unas normas de seguridad y privacidad específicas en muchos
países, mucho más estrictas que las de aplicación general.
En este punto, cuando hablamos de legislación que nos son aplicables como empresa,
debemos hacerla extensible a nuestros proveedores y partners, pues somos garantes y
responsables ante la ley de las infraestructuras y sistemas que usamos, sean propiedad
nuestra o no. Por tanto, nuestra estrategia, políticas y normativas de seguridad deben incluir
cómo revisamos que estas aplican y cumplen a nuestros socios tecnológicos.
Cuando tengamos toda la lista de requisitos legales que debemos cumplir, pasaremos al
siguiente punto para elaborar nuestra estrategia de ciberseguridad.
1.2 Definir Caso de Negocio y buscar apoyo de Alta Dirección
Deberemos elaborar una lista de los riesgos y amenazas de ciberseguridad que tiene nuestra
organización, junto con las necesidades a cumplir por imperativo legal o normativo.
Para cada uno de ellos, establecer el coste estimado de la implementación de las medidas
necesarias para evitarlo, minimizarlo o subsanarlo en el tiempo máximo que consideremos
límite de subsistencia o límite permisible para cada caso.
Por ejemplo, suponiendo que tenemos nuestros sistemas en un Datacenter on-premise,
podemos considerar tiempo límite de subsistencia en caso de que el Datacenter se viera
totalmente inoperativo, 2 días. Esto significaría que, si tras 2 días no somos capaces de
levantar nuestros sistemas críticos o unos equivalentes para hacer funcionar nuestro
negocio en un mínimo viable, nuestra empresa se vería tan gravemente afectada que se
vería abocada a dejar de existir. Por daño económico, a imagen de marca, por compromisos
contractuales, etc.
En este ejemplo sería conveniente incluir en la lista el riesgo de “indisponibilidad total de
datacenter”, con un tiempo máximo de 48 horas, una propuesta para levantar los sistemas
críticos en menos de ese tiempo, y el coste –desglosado o no en varias líneas- de conseguir
ese objetivo. Algo como:
®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Estrategia de Ciberseguridad en la Empresa
6

Riesgo Tiempo Remediación Coste

límite estimado
recurrente

Indisponibilidad total 48 hrs Housing sistemas críticos en Datacenter “B” 500K

de Datacenter

Comunicaciones Datacenter A <> B 50K

Copia de sistemas AB cada 3h 5K

Supongamos que el coste estimado de tener nuestros sistemas parados durante 48 horas
fuera de 5 millones de euros, calculándolo no solo por las “ventas” que dejamos de poder
hacer en ese periodo, sino incluyendo el coste de volver a levantar los sistemas, el coste de
personal o servicios externos contratados para tal fin, el coste del impacto mediático, etc.

Si el coste-riesgo (cuánto nos cuesta en caso de materializarse el riesgo) es inferior al coste

estimado de las medidas de paliación, debemos construir un Caso de Negocio que nos
ayude a defender la propuesta ante la Alta Dirección, y conseguir su apoyo para el proyecto.

Si el método de paliación que hemos pensado no compensa el coste-riesgo, es decir, que

con las medidas planteadas no compensa tenerlas porque su coste es mayor que la propia
ocurrencia del evento, debemos buscar otro tipo de medidas que minimicen el impacto.

Este Caso de Negocio lo haremos para cada una de las obligaciones legales y normativas, y
para cada riesgo de ciber-seguridad que se detecte. Tan exhaustivo como podamos.

Recordemos que la Estrategia de Ciberseguridad forma parte de la Gestión de Riesgos, e

impacta al Plan de Continuidad de Negocio. Cada sistema que se implante para evitar o
mitigar un riesgo de ciberseguridad, modificará el Plan de Continuidad de Negocio. E
igualmente, cada modificación del Plan de Continuidad de Negocio (por ejemplo, al añadir
la necesidad de cubrir nuevos sistemas que son vitales para la organización y antes no
existían o no eran vitales), deben lanzar una modificación de la Estrategia de Ciberseguridad.

1.3 Establecer objetivos y medir

Hemos elaborado en el punto anterior unos Casos de Negocio que nos ayudan a cuantificar
el coste-riesgo, y el coste de remediación.

Teniendo en cuenta que el tener los sistemas de ciber-seguridad adecuados suponen una
ventaja competitiva, y son fácilmente convertibles en herramientas comerciales –usarlos

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Estrategia de Ciberseguridad en la Empresa
7

como facilitadores en la captación de nuevos clientes, retención de los actuales, y

herramienta para ganar la confianza-, debemos procurar hacer cada vez más eficientes
estos sistemas, reduciendo su coste y/o aumentando el nivel de ciber-seguridad que
ofrecen.

Y no podemos mejorar aquello que no medimos. Así que debemos buscar las variables
necesarias para cuantificar el nivel de ciber-seguridad que nos ofrecen los sistemas que se
implementen. Puede ser el número de sistemas críticos cubiertos, el número de horas que
transcurren entre un incidente y la recuperación, los eventos de seguridad con impacto que
tienen lugar en la actualidad, etc.

Y una vez tengamos las variables, dentro de nuestro plan de ciber-seguridad,

estableceremos objetivos que nos ayuden a mejorar las variables indicadas, y hacer ver a la
organización en su conjunto los beneficios de la inversión en esta, con datos palpables y su
referente económico.

Por ejemplo, supongamos que los ordenadores de su empresa se ven infectados por virus
en un número de 10/ordenadores/año. Podemos evaluar el impacto económico de cada
infección: reparación del sistema, tiempo del empleado sin poder trabajar, tiempo
empleado en repararlo, otros costes derivados, etc.

Tenemos por tanto 2 variables: número de eventos de seguridad, y coste de cada evento de
seguridad.

Y podemos establecer un objetivo para el año como “reducir a un 50% las infecciones por
virus en los equipos”, que tendrá un impacto positivo en la organización transformable
directamente en Euros, una vez descontado el coste del proyecto o mejoras que se deben
poner en práctica para conseguirlo: cambio de antivirus, sistemas de control de acceso al
antivirus para evitar que el usuario lo bloquee o pause, sistemas de control que verifiquen la
versión del antivirus en cada ordenador, etc.…

1.4 Planificación de proyectos e implementación

Llegados a este punto, ya deberíamos tener una lista de los proyectos a implementar y que
beneficios y objetivos nos van a ayudar a alcanzar cada uno.

A partir de ahora, los trataremos como cualquier otro plan de proyectos de Negocio, puesto
que hemos conseguido tener un Caso de Negocio para cada uno, un ROI, y unos objetivos a
alcanzar con cada uno.

Buscaremos como siempre priorizarlos según “quick-wins” (atención al coste-riesgo y coste-

implementación) y escalados por criticidad y dependencias.

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Estrategia de Ciberseguridad en la Empresa
8

Los proyectos de ciberseguridad en muchos de los casos, y casi siempre en los grandes
proyectos, involucra a perfiles muy diversos y de alta especialización: comunicaciones, bases
de datos, sistemas redundantes, sistemas de monitorización, etc. y deberemos contar con
un experto en cada área (SME) como pare del equipo.

Igualmente, debe nombrarse un gestor por cada uno de los proyectos del plan y buscarse
un patrocinador o promotor en Negocio que sea quien intervenga en la alta dirección cuando
el proyecto se estanque o se encuentre con alguna dificultad “superior”.

1.5 Re-Evaluación y actualización

No vale de nada tener unos sistemas de ciberseguridad, políticas, normativa y formación, si

están anclados en el pasado.

Las amenazas y riesgos de ciberseguridad, son sin duda los que más cambian, evolucionan y
crecen. Nuestras políticas, sistemas de defensa, procedimientos y formación deben estar
sometidos a controles constantes, incansablemente. Deben estar adaptándose
continuamente, con dedicación completa por parte de especialistas, a estar enterados de
nuevas amenazas, estudiar su impacto en nuestra organización, montar sistemas de
evaluación, control y seguimiento del cumplimiento de normas y políticas.

No podemos actuar a golpe de “aparición en los medios”, porque con total seguridad, de
hacerlo así, más pronto que tarde seremos víctimas de algún ataque, brecha o contingencia,
sin haber estados preparados, alertados y formados al respecto con la suficiente antelación.

Dependiendo de nuestro ámbito, sector, y riesgo expuesto, dentro de nuestra estrategia de

ciberseguridad y en el Plan de Gestión de Riesgos, debemos incluir planes de pruebas de
nuestros sistemas de contingencias, sistemas de evaluación continua y automáticas –en la
medida de lo posible-.

Igualmente, debemos considerar planificar evaluaciones y auditorías externas a todos los

niveles de forma periódica, y revisar en consecuencia nuestros planes.

La planificación de proyectos relativos a ciberseguridad, deben contemplar estas

evaluaciones y deben ser lo suficientemente flexibles en capacidad y planificación
económica para hacer frente a nuevos riesgos derivados de descubrimientos de nuevas
amenazas (vulnerabilidades en sistemas operativos, sistemas, software, hardware,
comunicaciones…), nuevas normativas legales o sectoriales, o cambios en las ya vigentes.

La ciber-seguridad no se trata como “implementar y listo”. Nunca se llega a estar “listo”.

Debemos re-evaluar y actualizar de forma constante. De ello depende nuestra marca,
nuestra imagen, nuestros ingresos, y la seguridad y privacidad de nuestros clientes.

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Estrategia de Ciberseguridad en la Empresa
9

2 Conclusiones

 La estregia de seguridad que planifiquemos y diseñemos tiene que ir orientada a la

consecución del objetivo, estableciendo el conjunto de políticas, herramientas,
formación y prácticas necesarias en todo momento.

 Debe formar parte del Plan de Gestión de Riesgos. Debe influir y verse influída por el
Plan de Continuidad de Negocio.

 La Continuidad de Negocio es “la capacidad estratégica y táctica de la organización

para planificar y ejecutar la respuesta ante incidentes e interrupciones en el negocio
con el fin de permitir la continuidad de las actividades comerciales en un nivel
aceptable previamente definido”

 Las fases para establecer y planificar una estrategia de Ciberseguridad son: estudio
de la legislación vigente; elaboración de lista de riesgos, métodos de mitigación;
definición de caso de negocio por cada riesgo detectado; búsqueda de apoyo en la
Alta Dirección para Caso de Negocio; establecimiento de objetivos y medición;
planificación de proyectos; implementación; y re-evaluación y actualización.

3 Bibliografía Esencial

 CIBERSEGURIDAD, LA PROTECCIÓN DE LA INFORMACIÓN EN UN MUNDO DIGITAL

Fundación Telefónica, 2016.
Editorial Ariel SA
ISBN: 978-84-08-16304-6

4 Bibliografía Recomendada

 Ciberseguridad en 9 pasos. El manual sobre seguridad de la Información para el

Gerente.
Dejan Kosutic
EPPS Services
 Ciberseguridad. Retos y amenazas a la Seguridad Nacional en el Ciberespacio.
Instituto Español de Estudios Estratégicos.
Cuadernos de Estrategia 149
Ministerio de Defensa. España.

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Estrategia de Ciberseguridad en la Empresa
10

ISBN: 978-84-9781-622-9
 Insider Threats as the Main Security Threat in 2017.
Marcel Gogan.
The state of security. Tripwire.
https://www.tripwire.com/state-of-security/security-data-protection/insider-
threats-main-security-threat-2017/

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.