See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/341541901

RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA ELABORACIÓN E

IMPLEMENTACIÓN DE ESTANDARES BASADOS EN NIST

Technical Report · May 2020

DOI: 10.13140/RG.2.2.36792.78086

CITATIONS READS

0 350

1 author:

Emanuel Ortiz
Red de Investigación Academica en Ciberseguridad
22 PUBLICATIONS   21 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Blockchain Conceptos Basicos para reducir el Fraude Financiero View project

neuronal model for data analytics View project

All content following this page was uploaded by Emanuel Ortiz on 21 May 2020.

The user has requested enhancement of the downloaded file.

RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Presentación de la Red de investigación Académica

La Red de Investigación en Cibercrimen y Ciberseguridad "RedCiber" realiza un trabajo colaborativo

a través de sus nodos de cooperación académica, los cuales trabajan en diferentes líneas de
investigación y apoyan el trabajo de los otros odos construyendo datos de alta importancia para
investigadores de las ciencias forenses y áreas afines a la informática, Ciberseguridad, Cibercrimen
y la Cibercriminologia.

El concepto y creación de la Red de Investigación en Ciberseguridad y Cibercrimen “RedCiber” en

alianza de la Asociación Internacional de Informática Forense, tiene como objeto difundir, ampliar y
reconocer a los expertos en estas áreas fundamentales para la Seguridad Digital, sin desconocer la
interdisciplinariedad o multidisciplinariedad que debe responder a las necesidades actuales de la
seguridad de forma integral.

Abstract

Las líneas base para poder entender y facilitar el trabajo de los Jefes de Seguridad en la Información
de las organizaciones, está asociada a la realización de tareas enfocadas a la implementación de
estándares relacionados con la Ciberseguridad y la Seguridad Digital, de igual manera con la
asignación de controles físicos, lógicos y electrónicos a dispositivos de naturaleza digital que poseen
elementos de identificación crítica de activos de la información y su incorporación en la evaluación
de las políticas relacionadas.

Palabras Clave: Ciberseguridad, SCADA, Infraestructura crítica, Seguridad en la Información, Riesgo

Cibernético.

El Instituto Nacional de Estándares y Tecnología (NIST, 2020) fue fundado en 1901 y ahora forma
parte del Departamento de Comercio de EE. UU. NIST es uno de los laboratorios de ciencias físicas
más antiguos del país. El Congreso estableció la agencia para eliminar un desafío importante para
la competitividad industrial de los Estados Unidos en ese momento: una infraestructura de medición
de segundo nivel que se quedaba por detrás de las capacidades del Reino Unido, Alemania y otros
rivales económicos.

Desde la red eléctrica inteligente y los registros de salud electrónicos hasta relojes atómicos,
nanomateriales avanzados y chips de computadora, innumerables productos y servicios dependen
de alguna manera de la tecnología, la medición y los estándares proporcionados por el Instituto
Nacional de Estándares y Tecnología.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Hoy en día, las mediciones NIST admiten las tecnologías más pequeñas hasta las creaciones
creadas por el hombre más grandes y complejas, desde dispositivos a nanoescala tan pequeños
que decenas de miles pueden caber en el extremo de un solo cabello humano hasta rascacielos
resistentes a terremotos y redes de comunicación global.

Teniendo en cuenta estos antecedentes para la industria en materia de Ciberseguridad, NIST

representa uno de los elementos principales para poder valorar el estudio de estándares aplicados
a todos los sectores, incluido el financiero, energético o empresarial; por ende es importante
elaborar una aproximación técnica que permita determinar aquellos escenarios en los que los Jefes
o gerentes de seguridad en la información o informática se relacionan con la implementación de
políticas para protegerlos activos críticos y no críticos de una organización. Mediante el presente
artículo se puede determinar aquellos aspectos esenciales que involucran la implementación de
políticas dentro de las capas de identificación de los riesgos frente a los activos de la información,
su determinada relación con los componentes de su identificación, protección, detección, respuesta
y recuperación (NIST F. , 2020).

En ese orden de ideas, es importante primero que todo determinar los factores que involucran la
implementación de una línea base o guía estándar para el fortalecimiento de políticas a nivel de una
organización, y para la lectura y levantamiento de sus activos críticos y no críticos, y así mismo
esquematizar los factores de importancia para la correcta asociación de cumplimiento; la versión
Draft NIST Special Publication 800-53, Versión 5 que trata de Controles de seguridad y privacidad
para Sistemas de información y organizaciones, señala importancia la seguridad en los dispositivos,
la privacidad de los mismos y la importancia para la política de Seguridad Digital Nacional de un país
y sus consecuencias frente a las organizaciones.

Con base a este argumento se pretende generar una relevancia superior a la implementación de
buenas y mejoradas practicas para implementar políticas asociadas a estándares internacionales
que involucren el “Ciberespacio” como elemento transversal de entendimiento para poder lograr
afianzar el objetivo que se busca ante el fortalecimiento y protección de los activos críticamente
vulnerables.

Antes que nada, y bajo este preámbulo, es bueno recordar que existen amenazas cibernéticas que
pueden convertirse en riesgos parametrizados y no parametrizados dentro de un ambiente de
protección de activos, uno de ellos es el Ciberterrorismo1 y sus acciones; estos pueden involucrar

1
Ciberterrorismo: Es la acción que involucra el aprovechamiento negativo de una Tecnología, Técnica o herramienta para poder generar
miedo, zozobra, temor o daño a un sistema informático ante un derecho colectivo (Victimas) en el ambiente del Ciberespacio. Esta misma
puede afectar una Infraestructura Críticamente Vulnerable conectada a un servicio indispensable. Termino recuperado del Departamento
de Justicia de los Estados Unidos y mejorado bajo la teoría de la Geometría del Cibercrimen.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
acciones que afectan la seguridad en la información en sus tres pilares fundamentales, a saber:
Integridad, Confidencialidad y Confidencialidad (ISO IEC, 2020).

Para entender el sendero de múltiples conductas que pueden afectar los pilares anteriormente
enunciados, indica (Ortiz Ruiz, 2020) en su teoría de geometría del Cibercrimen, existen
particularidades que pueden definirse en el cómo un cibercriminal puede actuar, bajo unas premisas
motivacionales y frente a unos aspectos u objetivos finales, las cuales involucran una cadena de
decisiones o herramientas que facilitan su actuación en el procedimiento o “modus operandi”, sin
embargo es bueno precisar que no todas las conductas como las relacionadas anteriormente
pueden afectar en cierta parte un sistema informático, sin embargo, si la mayoría están asociadas a
un medio ambiente común, que es el “Ciberespacio”.

Por este motivo, esta construcción amerita hablar de la Oportunidad deliberada y la vulnerabilidad
expuesta, la evolución tecnológica del a víctima hiperconectada y el apetito y aceptación del riesgo
Cibernético están asociadas entre sí, son los elementos fundamentales para poder comprender
desde que orientación se pueden asociar las amenazas de tipo informático o tecnológico.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
De tal manera que para hablar de riesgos cibernéticos asociados en le ciberespacio y puedan
asociarse a una víctima (sistema de información o persona), es importante definir su ubicación en
el ciberespacio de la siguiente manera:

Figura elaborada por el autor frente a la ubicación del riesgo cibernético en el ciberespacio

A partir de la anterior gráfcia se delimita si el riesgo cibernético posee una pertinencia actual con la
metodología, y desde la otica técnica se puede dar un propósito al estudio de los estándares
involucrados para este fin.

En otras palabras se denotan 4 intervalos de interacción con el ciberespacio:

• Lógico: Son todos aquellos orientados los datos estructurados en un ambiente de bits
• Físico: Son todos aquellos orientados a los datos en un ambiente físico y su medio ambiente.
• Electrónico: Son todos aquellos orientados a los ambientes eletrónicos interoperables
• Informático: Son los datos orientados que estan compuestos de información asociada a un
Sistema específico.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Cada uno de ellos posee un eje transversal destacado que son los datos2, el cual, es un concepto
que se ha construido através del tiempo para explicar las disposiciones informáticas,
computacionales y de sistemas. Por tanto la relación transversal con la informática, electrónica, el
espacio lógico y físcio, permiten determinar un amplio sentido en el ciberespacio, por tanto se
relaciona en los cuatro aspectos enumerados.

Por otro lado se encuentra la definición de impacto y probabilidad, que son dos conceptos teóricos
y simples orientados a la medición del daño que puede originar un riesgo; en ese orden de ideas se
puede determinar funcionalmente la definición de “riesgo cibernético”.

En esa medida NIST se hace necesario acoplar la necesidad e interoperabilidad necesaria para poder
interactuar ante la gestión de los riesgos cibernéticos adaptado de la siguiente manera:

Diagrama tomado de paper ttitulado RANSOMWARE: METODOLOGÍA Y MEJORES PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES DE
SECUESTRO DE INFORMACIÓN (Ortiz Ruiz, ResearchGate, 2020)

2
Datos: Un dato es una representación simbólica (numérica, alfabética, algorítmica, espacial, etc.) de un atributo o variable cuantitativa
o cualitativa. https://es.wikipedia.org/wiki/Dato, conecto ampliado mediante su aplicación en el articulo propuesto.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST

Una vez se realiza un contexto mediante el cual es necesario aplicar un estándar o línea base para
poder implementar otro tipo de documentos que fortalezcan los antes indicados, es necesario poder
evidenciar la ubicación del concepto de riesgo Cibernético en cada una de ellas:

Tabla de diferencias o implementación del termino riesgo en la cibernética

La propuesta establecida en este articulo es poder enfocar el riesgo hacia un estándar debidamente
aplicado alienado a un marco de ciberseguridad (NIST F. , 2020) (Icontec, 2020) o relacionado con
los estándares actuales determinados en el ciberespacio:

Riesgo Digital Riesgo Riesgo de Riesgo de Riesgo

Cibernético Ciberseguridad Seguridad Informático
Informática
Riesgo asociado Tiene que ver Está asociado los Tiene que ver con Está asociado
al significado directamente componentes lo documenta con la
“Digital” y esto con el concepto enfocados a lo por (Roa información, se
concierne a: del ciberespacio, relacionado con Buendia, 2013) basa en su
datos ampliamente la ciberseguridad que tiene que ver categorización e
relacionados con reconocido en el y el mundo con los activos integralidad.
Videos e ámbito como cibernético, más críticos de la
imágenes y lo cibernético o exactamente a lo organización, y
enfocado en los relacionado con tratado en la que apuntan a
medios los esquemas de Giua de estudio los activos más
digitalizados. la ISO fundamental importantes
27032:2012 y el creada por relacionados en
framework de ISACA3. los pilares del
Ciberseguridad proceso.
de NIST
orientado a:
-Seguridad en la
información

3
ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de
Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de información.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
-Seguridad en
Redes
-Seguridad en
Internet
Protección de las
Infraestructuras
Críticas
Publicación de Publicación de Publicación de Publicación de Publicación de
Estándar Estándar Estándar Estándar Estándar
apropiado apropiado apropiado apropiado apropiado
Ninguno Framework de Framework de Complementarios ISO/IEC
Ciberseguridad Ciberseguridad con el campo de 17799:2005
COBIT Guia de Buenas la ciberseguridad
ISO 27001 y practicas COBIT (G. Ridley,
familias 2004)
relacionadas
ISO 27002
(Franco &
Guerrero, 2013)
en donde se
relacionan los
diferentes
controles
aplicabes a esta
metodología.

Referente a la anterior gráfica es importante delimitar cuál es el alcance del termino “Riesgo”, a
partir de un enfoque principal que es el ciberespacio; desde este en particular, poder determinar los
factores adecuados para determinar el alcance del presente articulo. Por lo cual, se encuentra
definido en la relación de la fila horizontal de los estándares aplicados, lo cual exige una liena de
estudio y análisis a partir de la bibliografía existente y el estado del arte.

Enfoque dirigido a sistemas de información

Basado en lo anterior, los dominios alcanzados por la identificación del “Riesgo Cibernético” están
ampliamente reconocidos por medio de la guía de estándares de la ISO 27032:2012 cuya fuente
garantiza la solvencia en 4 campos esencialmente:
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST

• Prevención: La prevención se basa en la implementación de medidas y controles que

limiten y contengan los impactos de posibles eventos de ciberseguridad

• Protección y Detección: Donde se implementan controles destinados a la gestión de la

seguridad y la monitorización de eventos de seguridad con el fin de detectar y protegerse
ante este tipo de eventos

• Respuesta y Comunicación: Debemos estar preparados ante posibles incidentes

relacionados con la ciberseguridad y constará de acciones para mitigar elementos
adversos una vez se hayan materializado

• Recuperación y Aprendizaje: Acciones para restaurar los sistemas y servicios relacionados

con el ciberespacio y se definirán procedimientos para reducir la probabilidad de
ocurrencia de estos incidentes

En la evolución de la ciberseguridad documentada por (Comité ISACA) en donde se destaca

estructura pagina 5, para entender cuáles son esas interacciones con la ciberseguridad, en el
entendido de comprender su tres pilares:

Figura 1 tomada de (Comité ISACA) p. 5

RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Entendido esto, se está cubriendo los principales aspectos enfocados en los “riesgos cibernéticos”
enfocados en la Ciberseguridad y la seguridad informática, para poder establecer las buenas
practicas asociadas a los estndares y marcos de trabajo orientados por (NIST, 2020), (ISO IEC, 2020)
e (Icontec, 2020); y poder emplear las herramientas necesarias para su evaluación y mejora.

Dentro del marco de trabajo de NIST, orientado a los riesgos cibernéticos, se puede relacionar varios
aspectos que se vienen enfocando en los diferentes trabajos de los dominios de la ciberseguridad
aplicando los controles necesarios para la administración del riesgo cibernético, sin desprenderse
del concepto de ciberseguridad. En lo comentado en CSAT: A User-interactive Cyber Security,
Architecture Tool based on NIST-compliance Security Controls for Risk Management (Huang Y,
2019), lo cual traduce al español con la arquitectura de ciberseguridad usada como herramienta
basada en el cumplimiento de los controles y administración del riesgo. Este articulo se orienta en
tres aspectos y preguntas para poder aproximarse para la aplicación de un estándar:

• Cómo proporcionar una función interactiva intuitiva basada en roles y generación de

cuestionarios del Marco de Ciberseguridad (CSF)y presentación de resultados para seguridad
de cumplimiento NIST informe de guía de control?

• Cómo generar un gráfico dinámico orientado a la entrada del usuario Visualización de mapa
de calor de arquitectura de referencia de seguridad (SRA) en aspectos de desarrollo técnico
y usuario experiencia?

• Cómo proporcionar una herramienta de controles de seguridad fácil de usar y seguridad del
sistema para mejorar la gestión de riesgos, por ejemplo,en control de acceso,
confidencialidad de datos, seguridad sistema,implementación de controles aplicables y
seguridad del sistema planificación?

Lo anterior aplicado al comercio electrónico y las distintos modelos de arquitectura que enfrente
al modelo explicado por (Huang Y, 2019), la respuesta a estas preguntas, fueron basadas en la
interacción del proceso de la aministracion del riesgo basado en NIST, de la siguiente manera:
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST

Figura 1 tomada del articulo CSAT: A User-interactive Cyber Security Architecture Tool based on NIST-compliance Security Controls for
Risk Management p.p 2 (Huang Y, 2019)

En la figura anterior se examina el procedimiento de una transacción en un servidor de comercio

electrónico el sistema se pregunta y se responde las tres preguntas antes formuladas, para ello se
plantearon un escenario, en el cual un atacante cibernético, podría aprovechar el ID (Identicación
numérica) de la sesión para realizar un ataque de fuera bruta4. Aquellos controles suministrados
por (M. Blank & Gallagher, 2013) en el apéndice IA-(2), IA-8(5), (PIV-I), AC-6, 8(1) (b), SA-17, SC-
28(1), lo cuales están relacionados en el apéndice 1 de sección de controles técnicos, relacionados
con la implementación de los diferentes controles técnicos para el desarrollo e implementación de
estos controles, así:

Descripción de los controles:

IA-2 El sistema de información identifica y autentica de manera única a los usuarios de la

organización (o procesos que actúan en nombre de los usuarios de la organización.

4
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles
hasta encontrar aquella que permite el acceso. https://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
IA-8(5) El sistema de información identifica y autentica de manera única a los usuarios que
no son de la organización utilizando y verifica electrónicamente la Verificación de identidad
personal- I (PIV-I) credenciales.

AC-3 El sistema de información aplica autorizaciones aprobadas para el acceso lógico a la

información y los recursos del sistema de acuerdo con las políticas de control de acceso
aplicables.

AC-6 La organización emplea el principio de privilegio mínimo, permitiendo solo accesos

autorizados para los usuarios que son necesarios para realizar las tareas asignadas de
acuerdo con las misiones de la organización y las funciones comerciales.

PL- 8(1)(b) La organización diseña su arquitectura de seguridad utilizando un enfoque de

defensa en profundidad para garantizar que las salvaguardas de seguridad asignadas operen
de manera coordinada y se refuercen mutuamente.

SA-17 La organización requiere que el desarrollador del sistema de información, los

componentes del sistema, produzca una especificación de diseño y una arquitectura de
seguridad.

SC- 28(1) El sistema de información implementa mecanismos criptográficos para evitar la

divulgación y modificación no autorizadas.

Una vez se establecen los controles tencicos de seguridad, es viable responder adecuadamente las
interacciones del sistema o servidor frente a los requerimientos del consumidor financiero5 o el
usuario que va tener la interacción con la plataforma, por ende es importante determinar y
establecer los controles necesarios para poder garantizar que la transacción de datos sea la acorde
a los principios fundamentales.

En ese sentido el estándar NIST para la administración de los riesgos de seguridad y privacidad son
aplicables a un sistema informático, dependiendo de su alcance, por ende lo que indica que permite
aplicarse a un propósito que se fundamenta en cinco lienas fundamentales (M. Blank & Gallagher,
2013):

• Facilitar un enfoque más consistente, comparable y repetible para seleccionar y especificar

controles de seguridad para sistemas y organizaciones de información;

5
Es la persona (indenterminado) ó empresa (indeterminada) conectada por medio del ciberespacio por medio de una plataforma
tecnológica, la cual dispone de herramientas para poder realizar transacciones frente a un interés en particular, ejemplo: Una compra,
un servicio, etc. (Concepto elaborado por el autor)
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
• Proporcionar un catálogo estable pero flexible de controles de seguridad para satisfacer las
necesidades actuales de protección de la información y las demandas de futuras
necesidades de protección basadas en amenazas, requisitos y tecnologías cambiantes;
• Proporcionar una recomendación para los controles de seguridad para los sistemas de
información categorizados de acuerdo con la Publicación 199 de FIPS, Normas para la
categorización de seguridad de la información federal y los sistemas de información;
• Crear una base para el desarrollo de métodos y procedimientos de evaluación para
determinar la efectividad del control de seguridad; y
• Mejorar la comunicación entre las organizaciones al proporcionar un léxico común que
respalde la discusión de los conceptos de gestión de riesgos.

En ese sentido es importante determinar la relación entre los riesgos de ciberseguridad planteados
y los riesgos cibernéticos en general, para ello es relevante tener en cuenta que hay estándares
complementarios a esta metodología, por ejemplo la ISO 20032:2012 que trata de la guias para la
implementación de controles en Ciberseguridad, y a partir de esta determinar un contexto de la
tendencia formal de las herramientas; para ello construir un enfoque de administración del riesgo
cibernético se detaca en estos dos estándares aplicados ente sí.

Enfoque dirigido a Infraestructuras críticas

La aproximación técnica más adecuada para poder direccionar una base en esta materia está
adopadad mediante la Guía de Fundamentos en Ciberseguridad que posee ISACA mediante su
documento (Comité ISACA) en su página 6 el cual describe la participación de las infraestructuras
críticas basado en un estándar determinado, así:
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST

Figura obtenida de la guía de fundamentos e Ciberseguridad (Comité ISACA) página 6

Es importante determinar primero que todo, cual es la participación de la ciberseguridad en la

seguridad en la información, por tanto es importante establecer dentro de los dominios establecidos
para la seguridad. En este caso el estándar ISO27032:2012 establece que la protección a la
infraestructura crítica está relacionado de manera homogénea com la Seguridad de la red,
seguridad de internet, Ciberseguridad, la seguridad de las aplicaciones y la seguridad en al
información. En ese orden de ideas un caso de estudio NIST acoplado a las necesidades de elaborar
un mecanismo que ilustre la política como estándar de riesgo, se evidencia en lo descrito por
(Marshall D. Abrams, 2008) mediante Malicious Control System Cyber Security Attack Case Study–
Maroochy Water Services, Australia, donde se orienta como objetivo acoplar el estándar de
ciberseguridad con el apoyo del (FISMA) que traduce al español, Ley Federal de Gestión de
Seguridad de la Información. En ese mismo sentido como parte de las infraestructuras criticamente
vulnerables, se encuentra la industria energética, la financiera, petróleo, hídrica,
telecomunicaciones, entre otras, y se define para efectos prácticos de este articulo como (Donald L.
Evans, 2004) en su pagina 2-6 numeral 3 “Categorización de los sistemas de información”, y se
describe como la clasificación mediante los pilares de Confidencialidad, Integridad y Disponibilidad;
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
a partir del potencial impacto hacia las personas. De esa manera describe la importancia de estos
sectores ante este impacto, asimismo, limitado por su amplificación, el cual denota la importancia
de asimilar tres rincipios transcritos (i) causar una degradación en la capacidad de la misión en la
medida en que la organización pueda realizar sus funciones principales, pero la efectividad de las
funciones se reduzca notablemente; (ii) ocasionar daños menores a los activos de la organización;
(iii) resultar en una pérdida financiera menor; o (iv) ocasionar daños menores a las personas.

Dado esa medición también se establecen los tipos de daños potenciales que puede causar este
riesgo, descrito (Donald L. Evans, 2004) por categorías, así:

• Categoria Generalizada: Tipo de información C = {(confidencialidad, impacto), (integridad,

impacto), (disponibilidad, impacto)}
• Información pública SC = {(confidencialidad, NA), (integridad, MODERADO), (disponibilidad,
MODERADO)}.
• Información de investigación SC = {(confidencialidad, ALTA), (integridad, MODERADO),
(disponibilidad, MODERADO)}
• Información administrativa SC = {(confidencialidad, BAJA), (integridad, BAJA),
(disponibilidad, BAJA)}
• Sistema de información SC = {(confidencialidad, impacto), (integridad, impacto),
(disponibilidad, impacto)}

Esto se tradujo en 4 ejemplos fundamentalemtne descritos de la siguiente manera:

• La tipo de información “C” está compuesta por valores de impacto potencial BAJO,
MODERADO, ALTO o NO APLICABLE, Ej. Una organización que administra la información
pública en su servidor web determina que no hay un impacto potencial por una pérdida de
confidencialidad (es decir, los requisitos de confidencialidad no son aplicables), un impacto
potencial moderado por una pérdida de integridad y un impacto potencial moderado por
una pérdida de disponibilidad.
• La categoría “SC” cuya información gestionada por parte de la organización
extremadamente sensible y determina que la perdida o imapcto hacia la información es
alto, lo que permite que también se afecte la integridad de manera moderada, y exista un
impacto potencia a la perdida de disponibilidad de manera moderada.
• La categoría “SC” que posea información fiannciera y de tipo administrativo cuya
información no relacione privacidad, se determian que le impacto potencial de la perdida
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
de información es bajo, y el impacto potencial de una pérdida de integridad es bajo y el
impacto potencial de una pérdida de disponibilidad es bajo.
• La ultima categoría “SC” está relacionada con Información dentro de la organización
contratante determina que: (i) para la información confidencial del contrato, el impacto
potencial de una pérdida de confidencialidad es moderado, el impacto potencial de una
pérdida de integridad es moderado y el impacto potencial de una pérdida de disponibilidad
es bajo; y (ii) para la información administrativa de rutina (información no relacionada con
la privacidad), el impacto potencial de una pérdida de confidencialidad es bajo, el impacto
potencial de una pérdida de integridad es bajo y el impacto potencial de una pérdida de
disponibilidad es bajo. Ej. Información dispuesta por terceros bajo contrato

Lo anterior se refiere a la información que posee la organización dentro del marco de la política
o subactegorización interna. Ello define los tipos y categorías en tres partes: SC Información
contractual, información administrativa, sistema de adquisición.

De esta manera se logra determinar la participación de los sistemas categorizados (SCADA) que
traduce (Control de supervisión y Adquisición de Datos), estos sistemas categorizados
especialmente en este numeral, poseen características esenciales para su funcionamiento; para
la adopción de riesgos cibernéticos y la metdologia adecuada para poder aterrizar el estándar
de trabajo marco dispuesto en este articulo, se tuvo en cuenta lo siguiente:

TABLA de comparación y adaptación al marco de trabajo NIST

IMPACTO POTENCIAL
Obejtivo de Bajo Moderado Alto
Seguridad
Confidencialidad Se podría esperar Se podría esperar Se podría esperar
que la divulgación no que la divulgación no que la divulgación no
autorizada de autorizada de autorizada de
información tenga un información tenga un información tenga un
efecto adverso efecto adverso grave efecto adverso grave
limitado en las en las operaciones de o catastrófico en las
operaciones de la la organización, los operaciones de la
organización, los activos de la organización, los
activos de la organización o las activos de la
organización o las personas. organización o las
personas personas. individuos.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Disponibildiad Se podría esperar Se podría esperar Se podría esperar
que la interrupción que la interrupción que la interrupción
del acceso o uso de la del acceso o uso de la del acceso o uso de la
información o un información o un información o un
sistema de sistema de sistema de
información tenga un información tenga información tenga un
efecto adverso un efecto adverso efecto adverso
limitado en las grave en las severo o catastrófico
operaciones de la operaciones de la en las operaciones de
organización, los organización, los la organización, los
activos de la activos de la activos de la
organización o las organización o las organización o las
personas. personas. personas

Integirdad Se podría esperar Se podría esperar Se podría esperar

que la modificación o que la modificación o que la modificación o
destrucción no destrucción no destrucción no
autorizada de la autorizada de la autorizada de la
información tenga un información tenga un información tenga un
efecto adverso efecto adverso grave efecto adverso grave
limitado en las en las operaciones de o catastrófico en las
operaciones de la la organización, los operaciones de la
organización, los activos de la organización, los
activos de la organización o las activos de la
organización o las personas. organización o las
personas. personas.

Variables 𝐸𝐸𝐸𝐸𝐸𝐸𝐸𝐸 𝐸𝐸𝐸𝐸𝐸𝐸𝐸𝐸 𝑇𝑇𝑇𝑇 𝐸𝐸𝐸𝐸𝐸𝐸𝐸𝐸

𝐶𝐶𝐶𝐶 = 𝐷𝐷𝐷𝐷 = =
encontradas 𝐼𝐼𝐼𝐼 𝐼𝐼𝐼𝐼𝐼 𝐼𝐼𝐼𝐼
Figura adaptada de (Donald L. Evans, 2004) p. 6 y mejorada en la adaptación al estándar NIST

En ese orden de ideas se extrae una única variable uniforme a las tres categorías dispuestas:
Confidencialidad, Integridad y Disponibilidad y se detaca dos variables más orientadas a la
calificación de limpacto desarrollado mediante la publicación especial (FIPS PUB 199) de NIST,
este complementado frente a (M. Blank & Gallagher, 2013) que orienta los tipos de
infraestructuras criticas y sistemas de información sometidos a evaluación de criticidad.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
Enfoque dirigido a los activos críticos

Dentro de la dinámica del estudio y la aproximación metodológica, también se orientó la

importancia destacada de los activos de información. Por ello se hace necesario enfocar los activos
críticos que componen los sistemas de informáticos determinados anteriormente.

Se entiende por activos de información6 como los elementos fisicos, lógicos, electrónicos e
informáticos que posee la organización y se considera como los datos creados en ese proceso
específico de la organización.

Desde este punto de vista, están categorizados y calsificados por su criticidad mediante una
inventario que realiza la organización; por ende se denota según la importancia, cuál es la
importancia para la estrategia, y su visaulización a futuro.

Cunado se denota como activo critico, como se evidencia en la medición, la organización define su
impacto y su importancia, esto permite evaluar la relación que posee ante los tres pilares
(Confidencialidad, Integridad y Disponibilidad).

En ese orden de ideas la lectura de activos para los sistemas de información y las infraestructuras
tiene asociado el riesgo cibernético, de la siguiente manera:

6
Activos de la información: Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y
por lo tanto debe proteger”. Se puede considerar como un activo de información a: Los datos creados o utilizados por un proceso de la
organización en medio digital, en papel o en otros medios
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST

Esta clasificación está orientada poderse resolver los siguientes interrogantes:

• ¿Qué vinculación tiene la “estrategia” para valorar los activos críticos de la organización o
infraestructura?
• ¿Cuál es el negocio de la organización y la relación con los activos críticos?
• ¿De que depende la misión crítica para el mantenimiento y gestión de los activos de
información?
• ¿La visión empresarial y organizativa posee una transversalidad con los activos expuestos o
críticos?
• ¿La evolución tecnológica posee el análisis necesario para poder enfocar los activos críticos
afectados ante esta necesidad escalable?

A partir de esto, la aproximación para examinar un estándar es necesario para poder ajustar y
evaluar la relación de los riesgos cibernéticos ante la necesidad de proteger los pilares de seguridad
de la información determinado por medio de la ISO 27001; sin embargo también es necesario
determinar si la categoría de riesgos cibernéticos está directamente asocaida a la estrategia,
negocio, visión, misión crítica y la evolución tecnológica determinada, para poder relamente
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
determinar sus amenazas cibernéticas, la valoración de un impacto desconocido o conocido, y su
posicionamiento frente a este tipo de impacto y probabilidad.

De la misma manera el estudio en su primera parte determina el camino a seguir mediante la

publicación especial 800-53 de NIST y provee los elementos necesarios para poder evaluar los
riesgos cibernéticos en dos frentes:

• Los sistemas de información y

• Las infraestructuras críticas.

Del mismo modo determinar cuales son las características de estos activos frente a los datos y su
relacionamiento con los procesos críticos en cada una de estas, mediante un caso de estudio de su
implementación y el desarrollo de la metodología aplicada a los sistemas SCADA.

Por este motivo, es importante que las organizaciones fiabilice nla aplicación de una acertada
metodología para poder afianzar el conocimiento sobre los riesgos cibernéticos aplciados a las
diferentes noramtivas de cumplimiento, como lo son: ISO 27001 e ISO 27032 (Buenas prácticas).
Para que por medio de estas se posea el conocimiento necesario frente a la dinámica del
Ciberespacio y la Ciberseguridad.

Es particular si a partir de la metodología planteada, se puede definir que tipo de ambiente o

ecosistema se debe desarrollar a partir de los diferentes ambientes o ecosistemas tecnológicos para
determinar el impacto generado através del cibercrimen hacia el modelado de amenazas, que tieen
que ver con todas las actividades que un sistema de información puede procesar y que usualmente
está relacionado con los activos críticamente vulnerables de un sector en particular.

De tal manera que los retos ante la transformación digital debe nenfocar realmente sus necesidades
en plantear metodologías disruptivas ante nuevos elementos de competititividad, como por
ejemplo las aplicaciones conectadas a la nueve IAAS, PAAS o SAAS, que en su necesidad particular,
requiere un análisis de riesgo de infraestructura, plataformas y software. Todo esto orientado a
conocer el adversario y los riesgos que permiten se asocie o se relacione con la matriz actual de sus
activos más sensibles o vulnerables.
RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST

BILIOGRAFIA

Comité ISACA. (s.f.). Fundamentos de Ciberseguridad (ISBN 978-1-60420-772-9 ed.). CSX.

Recuperado el 12 de Mayo de 2020

Donald L. Evans, P. J. (2004). https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf. Obtenido

de FIPS PUB 199 Publicación Standards for Security Categorization of Federal Information
and Information Systems.

Franco , D., & Guerrero, C. (2013). Sistema de Administración de Controles de Seguridad

Informática basado en ISO/IEC 27002. Obtenido de http://www.laccei.org/LACCEI2013-
Cancun/RefereedPapers/RP239.pdf

G. Ridley, J. Y. (2004). COBIT and its utilization: a framework from the literature. 37th Annual
Hawaii International Conference on System Sciences, 2004, 8.

Huang Y, D. J. (2019). A User-interactive Cyber Security Architecture Tool based on NIST-

compliance Security Controls for Risk Management. 2019 IEEE 10th Annual Ubiquitous
Computing, Electronics & Mobile Communication Conference (UEMCON). Computing,
Electronics & Mobile Communication Conference , 11.

Icontec, I. (29 de 04 de 2020). ISECAUDITORES. Obtenido de

https://www.isecauditors.com/consultoria-csf-iso-27032

ISO IEC, 2. E. (18 de Febrero de 2020). Intranet Bogotá. Obtenido de

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/NTC-
ISO-IEC%2027001.pdf

M. Blank, R., & Gallagher, P. (2013). Security and Privacy Controls for Federal Information Systems.
National Institute of Standards and Technology.

Marshall D. Abrams, J. W. (2008). Malicious Control System Cyber Security Attack Case Study–
Maroochy Water Services, Australia. NIST Industrial Control System (ICS) Cyber Security
Project.

NIST. (18 de 02 de 2020). NIST. Obtenido de Acerca de NIST: https://www.nist.gov/about-nist

 RIESGOS CIBERNÉTICOS: APROXIMACIÓN TÉCNICA PARA LA
ELABORACIÓN E IMPLEMENTACIÓN DE ESTANDARES
BASADOS EN NIST
NIST, F. (18 de Febrero de 2020). NIST . Obtenido de
https://www.nist.gov/cyberframework/online-learning/components-framework

Ortiz Ruiz, E. E. (2020). LIBRO SOBRE A APLICAO PRACTICA DA INVESTIGACAO CRIMINAL

TECNOLOGICA. En Coautores. Brasil: Juspodivm.

Ortiz Ruiz, E. E. (01 de Enero de 2020). ResearchGate. Obtenido de

https://www.researchgate.net/publication/338712657_RANSOMWARE_METODOLOGIA_Y
_MEJORES_PRACTICAS_PARA_LA_GESTION_DE_INCIDENTES_DE_SECUESTRO_DE_INFOR
MACION

Roa Buendia, J. F. (2013). Seguridad Informática. España: McGraw-Hill/Interamericana de España,

S. L. Obtenido de
https://s3.amazonaws.com/academia.edu.documents/34758985/Seguridad_Informatica_
McGraw-Hill_2013_-_www.FreeLibros.me_-_copia.pdf?response-content-
disposition=inline%3B%20filename%3DSeguridad_Informatica_Mc_Graw-
Hill_2013.pdf&X-Amz-Algorithm=AWS4-HMAC-SHA25

View publication stats