Sección 1: Introducción y visión general de la ciberseguridad

temA 1—introdUcciÓn A LA ciBersegUridAd

LA eVoLUciÓn de LA ciBersegUridAd
Salvaguardar la información ha sido una prioridad desde que las personas han necesitado mantener la información de una
forma segura y privada. Incluso las técnicas de cifrado simples como César fueron creadas para garantizar la confidencialidad.
Pero conforme el tiempo y la tecnología avanzan, también lo hacen las exigencias de seguridad. Hoy en día, el objetivo de la
seguridad de la información es triple, involucrando los componentes críticos de confidencialidad, integridad y disponibilidad
(ver figura 1.1.). Los tres componentes tienen que ver con la protección de la información. La confidencialidad significa
protección contra el acceso no autorizado, mientras que la integridad significa protección contra modificaciones no
autorizadas, y la disponibilidad significa protección frente a las interrupciones en el acceso.

Figura 1.1—Tríada de ciberseguridad

Confidencialidad

Integridad Disponibilidad

Los términos "ciberseguridad" y "seguridad de la información" se suelen usar indistintamente, pero en realidad la
ciberseguridad es una parte de la seguridad de la información. Concretamente, la ciberseguridad se puede definir como la
protección de los activos de información, abordando las amenazas a la información procesada, almacenada y transportada por
sistemas de información interconectados.

Generalmente, la ciberseguridad hace referencia a las amenazas que afectan a una entidad debido a la existencia de un
ciberespacio global. A diferencia de la seguridad de la información, la ciberseguridad no incluye los peligros naturales, los
errores personales o la seguridad física. Para decirlo de una manera más simple, si eliminamos las amenazas derivadas de un
comportamiento humano ofensivo y adverso que vienen a través de sistemas interconectados, la ciberseguridad no sería un
problema, y la seguridad de la información por sí sola sería suficiente.

Guía de Estudio de Fundamentos de Ciberseguridad, 2ª edición 5

ISACA. Todos los derechos reservados.
 Sección 1: Introducción y visión general de la ciberseguridad

La Figura 1.2 muestra las complejas relaciones entre la ciberseguridad y otros dominios de la seguridad, tal y como
se describen en la Organización internacional de normalización (ISO) 27032. Por ejemplo, no todos los servicios de
infraestructuras críticas (por ejemplo, el agua, el transporte) afectarán directa o significativamente al estado de la
ciberseguridad dentro de una organización. Sin embargo, la falta de medidas apropiadas de ciberseguridad puede afectar
negativamente a la disponibilidad y fiabilidad de los sistemas de infraestructuras críticas que son utilizadas por los proveedores
de estos servicios (por ejemplo, las telecomunicaciones).1

Figura 1.2—Relación entre la ciberseguridad y otros dominios

de la seguridad

Cibercrimen Seguridad de la información Seguridad

cibernética

Seguridad de la aplicación

Ciberseguridad

Seguridad Seguridad
de la red de Internet

Protección de la Infraestructura de Información Crítica

Fuente: Organización internacional de normalización, ISO/IEC 27032:2012: Information

technology—Security techniques—Guidelines for cybersecurity, Suiza, 2012

©ISO. Este material se ha reproducido a partir de ISO / IEC 27032: 2012, con el
permiso del Instituto Nacional Estadounidense de Estándares (American National
Standards Institute, ANSI) en nombre de ISO. Todos los derechos reservados.

La gestión de las cuestiones de ciberseguridad exige la coordinación entre muchas entidades —públicas y privadas, locales
y globales— puesto que la ciberseguridad está estrechamente vinculada a la seguridad de Internet, las redes empresariales y
domésticas y la seguridad de la información. Ello puede ser complicado porque debido a cuestiones de seguridad nacional,
algunos servicios de infraestructuras críticas no pueden ser discutidos de una forma abierta, y el conocimiento de las
debilidades de estos servicios puede tener un impacto en la seguridad. Por lo tanto, se necesita un marco básico para el
intercambio de información y la coordinación de incidentes para asegurar a las partes interesadas que las cuestiones de
ciberseguridad se están tratando.2

ciBersegUridAd Y concienciAciÓn sitUAcionAL

La ciberseguridad juega un papel significativo en el panorama cibernético actual que está en constante evolución. Las
nuevas tendencias en movilidad y conectividad presentan una amplia variedad de desafíos, puesto que los nuevos ataques
continúan desarrollándose al mismo tiempo que las tecnologías emergentes. Los profesionales de la ciberseguridad deben
estar informados y deben ser flexibles para identificar y gestionar eficazmente nuevas amenazas potenciales, tales como las
amenazas persistentes avanzadas (APTs). Las APTs son ataques de un adversario que posee niveles sofisticados de experiencia
y que además dispone de tiempo, paciencia y recursos significativos, que permiten al atacante crear oportunidades para lograr
sus objetivos utilizando múltiples vectores de ataque.

Para proteger con éxito sus sistemas e información, los profesionales de la ciberseguridad deben mostrar un alto grado de
conciencia situacional. Este tipo de conciencia se adquiere con el tiempo, ya que generalmente se desarrolla a través de la
experiencia dentro de una organización específica. Cada organización tiene su propia cultura distintiva, lo que significa que las
condiciones varían mucho de una organización a otra. Por lo tanto, es fundamental que los profesionales de la ciberseguridad
tengan una comprensión detallada del entorno en el que operan y ser profundamente conscientes de las amenazas que afectan a
otras organizaciones e industrias para garantizar que se mantiene el conocimiento relevante.

1
Organización internacional de normalización, ISO/IEC 27032:2012: Information technology—Security techniques—Guidelines for
cybersecurity, Suiza, 2012
2
Ibid.

6 Guía de Estudio de Fundamentos de Ciberseguridad, 2ª edición

ISACA. Todos los derechos reservados.
 Sección 1: Introducción y visión general de la ciberseguridad

La protección de los activos contra las amenazas es una preocupación primordial para la seguridad en general. A su vez,
las amenazas se clasifican en función de la probabilidad (es decir, posibilidad) de que afecten a los activos protegidos. En
seguridad, las amenazas que están relacionadas con actividades maliciosas u otras actividades humanas a menudo reciben
mayor atención. La Figura 1.3 ilustra estos conceptos y relaciones de seguridad.

Figura 1.3—Conceptos y relaciones de seguridad

valor
Partes
interesadas desea minimizar

imponer
para reducir
controles

que puede
eso puede ser poseer
reducido por

vulnerabilidades
puede ser
consciente de

llevando a
Agentes
de
amenaza riesgo
ese exploit
dar
lugar a para
ese aumento
amenazas para activos

desea abusar y / o puede dañar

Fuente: Organización internacional de normalización, ISO/IEC 27032:2012: Information technology—Security

techniques—Guidelines for cybersecurity, Suiza, 2012

©ISO. Este material se ha reproducido a partir de ISO / IEC 27032: 2012, con el permiso del Instituto Nacional
Estadounidense de Estándares (American National Standards Institute, ANSI) en nombre de ISO. Todos los
derechos reservados.

La responsabilidad de proteger estos activos recae en las partes interesadas para quienes estos activos tienen valor. Por lo
tanto, las partes interesadas deben tener en cuenta las amenazas al evaluar el riesgo a estos activos. Esta evaluación del
riesgo, discutida en la sección 4.1, ayudará en el proceso de selección de los controles. Los controles se usan para proteger
activos, reducir vulnerabilidades e impactos, y / o reducir el riesgo a un nivel aceptable. Deben ser monitorizados y revisados
para asegurar que cada control específico sea adecuado para contrarrestar el riesgo a mitigar para el que ha sido diseñado.
Es importante tener en mente que el riesgo no puede ser eliminado totalmente, permanece el riesgo residual. Las partes
interesadas deben tratar de minimizar el nivel de riesgo residual. También puede ser necesario utilizar recursos externos para
garantizar que los controles funcionen correctamente.

El entorno empresarial, en particular, tiende a impulsar las decisiones sobre el riesgo. Por ejemplo, una pequeña empresa de
nueva creación puede ser mucho más tolerante con el riesgo que una empresa grande y consolidada. Por lo tanto, puede ser útil
hacer referencia a los criterios generales enumerados a continuación cuando se evalúan los factores que afectan la seguridad de
una organización específica.

Guía de Estudio de Fundamentos de Ciberseguridad, 2ª edición 7

ISACA. Todos los derechos reservados.
 Sección 1: Introducción y visión general de la ciberseguridad

Respecto a la tecnología, muchos factores pueden afectar a la seguridad, tales como:

• Nivel de complejidad de las TI
• Conectividad de red (por ejemplo, interna, de un tercero, pública)
• Instrumentación y dispositivos de la industria especialista
• Plataformas, aplicaciones y herramientas utilizadas
• En sistemas en la nube o en sistemas híbridos
• Apoyo operativo para la seguridad
• La comunidad de usuarios y sus capacidades
• Herramientas de seguridad, nuevas o emergentes

Al evaluar los planes de negocio y el entorno empresarial general, considere impulsores, tales como:
• Naturaleza del negocio
• Tolerancia al riesgo
• Apetito de riesgo
• Misión, visión y estrategia de seguridad
• Alineamiento con la industria y tendencias de seguridad
• Requisitos de cumplimiento y regulaciones específicos de la industria
• Requisitos regionales de cumplimiento y regulatorios
– País o estado en el que se opera
• Fusiones, adquisiciones y alianzas
– Considerar el tipo, la frecuencia y el nivel resultante de la integración
• Servicios de externalizados o proveedores

Aunque los impulsores de negocios y de la tecnología no pueden predecirse con certeza, se deben anticipar razonablemente
y gestionar tan eficientemente como sea posible. El fracaso en la predicción de los impulsores clave de seguridad refleja la
incapacidad para reaccionar con eficacia ante las circunstancias cambiantes del negocio, lo que a su vez se traduce en una
seguridad reducida y en la pérdida de oportunidades de mejora.

BrecHA en LAs HABiLidAdes de ciBersegUridAd

La ciberseguridad es un campo que demanda profesionales cualificados que posean los conocimientos básicos, la educación y
el liderazgo de pensamiento necesario para hacer frente a las dificultades que acompañan el cambio tecnológico constante. Los
vectores de amenazas avanzados, las tecnologías emergentes y las innumerablesregulaciones requieren de profesionales de la
ciberseguridad expertos en tecnología, así como en negocios y en comunicación.

La ciberseguridad se encarga tanto de las amenazas internas como de las externas a los activos de información digital de una
organización, centrándose en los procesos críticos de datos electrónicos, procesamiento de transacciones, análisis de riesgo y la
ingeniería de seguridad de los sistemas de información.

Se estima que hay entre 410.000 a 510.000 profesionales de seguridad de la información en todo el mundo, y se espera que
la demanda aumente un 53% para 2018 con más de 4,2 millones de puestos de trabajo disponibles. Sin embargo, estudios e
informes recientes sugieren que simplemente no hay suficientes profesionales capacitados para cubrir dichos puestos.

8 Guía de Estudio de Fundamentos de Ciberseguridad, 2ª edición

ISACA. Todos los derechos reservados.