Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE LA CIBERSEGURIDAD
La primera disyuntiva, habitual en entornos complejos y tan cambiantes como el digital, máxime
en un momento de absoluta inmersión no ya de los sistemas económicos, de mercado, adminis-
tración y sociales si no ya en la vida cotidiana y personal de cualquier individuo, es «saber de qué
estamos hablando». Y en el mundo empresarial este entendimiento es especialmente sensible y
está siendo un camino complejo y atiborrado de conceptos dispares que no siempre ayudan.
410 >Ei 61
R. BARATTA MARTÍNEZ
La tecnología se enfrenta al reto de su propia «como- Hoy, la «gente» utiliza la tecnología de formas sorpren-
ditizacionªFRQODOLFHQFLDGHOWpUPLQRORFXDOVLJQLÀFD dentes, produce sus propios servicios digitales, los con-
que la extrema complejidad de lo digital se aplica a sume como le place y exige a las organizaciones y fa-
la vida cotidiana de individuos y organizaciones de for- bricantes usos no pensados o diseñados previamente.
ma absolutamente relacionada, integrada, necesaria Decide y consume tecnología como nunca. Arbitrando
e imprescindible. Nadie espera que su teléfono móvil un escenario donde no hay nada preestablecido y todo
no funcione o se conecta cada mañana. Igual que puede ser reutilizado de formas absolutamente innova-
esperamos que haya agua corriente o electricidad doras y maravillosas, fuera de laboratorios y universida-
disponible. des. La «digitalización de la calle».
Si a este reto de convivencia tecnológica le aplicamos Y esto está al alcance de cualquiera. Tanto para pro-
ODQHFHVLGDGGHODFRQÀDQ]D\UHVLOLHQFLDGHHVWRVVLV- ducir y enriquecer como para explotar, malversar y de-
temas, nos encontramos en un nivel de expectativas linquir. La comoditizacion, democratización y globaliza-
GRQGHDSDUHFHODVRPEUtDÀJXUDGHOXVRLOHJLWLPROD ción es lo que tiene. Hay para todos.
vulneración, disrupción y demás maldades inherentes
al uso masivo, democrático y global de la tecnología. La exposición a daños, disrupciones, alteraciones y usos
indebidos de los sistemas de información y comunica-
< GRQGH HUD VXÀFLHQWH HQ HO SDVDGR FRQ JDUDQWL]DU ciones, de los datos la tecnología que los sustenta y los
la continuidad y recuperación de los sistemas, cierta procesos en que están implicados siempre han forma-
capacidad de autenticación y acceso y control del do parte del interés de las organizaciones. La diferen-
ÁXMRGHLQIRUPDFLyQQRVHQFRQWUDPRVDKRUDTXHGH- cia es la cantidad, calidad y escenarios a los que nos
bemos discernir que uso es legítimo y adecuado, ga- enfrentamos hoy. La multiplicación de la dependencia
rantizar la operación incluso en los peores escenarios de la tecnología, los usos sociales, la interrelación con
y cumplir regulaciones garantistas al nivel de la propia administraciones y otras organizaciones ofrecen un es-
individualización del uso digital y de la relación con FHQDULRGRQGHODUHÁH[LyQ\SHQVDUVHODVFRVDVGHQXH-
nuestro entorno. vo es más que necesario.
Es precisamente el entorno, la esencia misma de la in- Intentemos aquí diseñar un acercamiento a la Ciber-
terrelación por medios digitales con nuestros par, igual, seguridad en doble sentido, de abajo arriba, partiendo
administración y compañías lo que fuerza y a la fuerza de una aproximación más técnica y tecnológica, más
UHTXLHUHXQDOWRJUDGRGHFRQÀDELOLGDG1RVROR\DSRU ingenieril, hasta llegar a los niveles de gestión y gobier-
la obvia necesidad de garantizar que los servicios digi- no de una organización. Y al mismo tiempo de arriba
tales se prestan a quien los requiere en tiempo y forma abajo, desde la perspectiva de la gestión empresarial,
(todo tiempo y todo lugar prácticamente) si no que se de la visión de los que deben tomar decisiones y estra-
hace en virtud de las características sociales, legislati- WHJLDVEDMDQGRKDVWDLGHQWLÀFDUTXp\FyPRVRSRUWDU
vas, éticas y estéticas oportunas. Cuando es ya cosa esas decisiones en el día a día, en la operación y en la
GHWRGRVHVREMHWRGHUHÁHMRGHORPHMRU\GHORSHRU SODQLÀFDFLyQ9HDPRVFyPR
de la esencia humana, y por lo tanto debe ser objeto
de regulación y control.
DEL ACTIVO AL PROCESO
La famosa transformación digital, como si hubiera una
En una aproximación de abajo a arriba en la organi-
nueva, como si no estuviésemos constantemente in-
zación, corresponde en primer lugar disponer de un in-
mersos en ella desde hace años y años, quizás como
YHQWDULDGR\FODVLÀFDFLyQGHDFWLYRVWHFQROyJLFRV\GH
humanos desde siempre, transforma a velocidades de
información adecuados. Ahí es nada.
vértigo la forma de hacer. Los individuos nos hemos
transformado solos, no hemos necesitado que nos in- En una organización de tamaño acotado o de muy
diquen, maticen o elaboren planes para nuestra trans- reciente establecimiento, puede considerar algo asu-
formación digital. mible y no muy complicado disponer de un sistema
similar, del tipo de las tradicionales CMDB (1) o similar.
Quizás por primera vez estamos ante un escenario en
En una organización compleja y de tamaño relevante,
donde la innovación, usos y transformación parten de
que además tenga ya a su cargo sistemas de años,
los propios individuos, de los usuarios donde tenemos
producto de múltiples cambios, de crecimientos o re-
la masiva capacidad de impulsar formas y usos y de-
cortes, de fusiones, de integraciones etc. puede ser una
nostar otros. Simplemente porque podemos.
DXWpQWLFDSHVDGLOOD3HURHVQHFHVDULRFRQRFHUTXHWH-
Tradicionalmente la tecnología se ponía a disposición nemos para decidir cómo protegemos (y que protege-
de los individuos, e incluyo a las organizaciones, en mos) contra que y por qué.
una ruta marcada de investigación y desarrollo, paten-
Entonces podemos concluir que en esta aproximación,
tes e industrialización, comercialización y producción,
lo primero que tenemos que determinar es el correcto
despliegue de servicios y uso y consumo. Es decir, lle-
gobierno de los activos de información y tecnología,
gaban los servicios tecnológicos a los ciudadanos, es-
HPSH]DQGRSRUVXLQYHQWDULDGR\FODVLÀFDFLyQ<HVWH
pecialmente los prestados por organizaciones, en una
puede y debe realizarse desde distintas ópticas: técni-
aproximación «top-down» que requería sus pasos y sus
ca (servidor, base de datos, Smartphone….), de servicio
tiempos.
62 410 >Ei
GOBIERNO DE LA CIBERSEGURIDAD
FIGURA 1
FIGURA 2
410 >Ei 63
R. BARATTA MARTÍNEZ
FIGURA 3
64 410 >Ei
GOBIERNO DE LA CIBERSEGURIDAD
6XSRQLHQGRTXHHVH3URFHVRGH&RQWUDWDFLyQHVUHOH-
vante para la compañía, ¿no correspondería explicar
en los órganos de decisión de la compañía que tal
proceso clave tiene un riesgo alto de Ciberseguridad y
SRUTXH"¢&RQTXHREMHWR"3XHVSUREDEOHPHQWHFRQVH-
guir al menos la aprobación de presupuesto o recursos
urgentes para acometer el correcto parcheado de esos
equipos, o sustituirlos. Y en el peor de los casos, que la
dirección conozca los riesgos y pueda tomar la deci-
8 sión de incluso aceptarlo, si la evaluación de costes o la
oportunidad por ejemplo no es la adecuada, de trans-
Fuente: Elaboración propia ferirlo externalizando el servicio de correo, contratando
una ciber póliza, etc.
JHVWLyQ\GHÀFLHQWHSURFHGLPLHQWRVHGHJUDGHTXHOR $FDEDPRVGHUHDOL]DUHQSRFRVSiUUDIRVXQPDJQLÀFR
KDUi\UiSLGDPHQWH3RUWDQWRHVUHDOPHQWHVLJQLÀFDWLYR ejercicio de Gobierno de la Ciberseguridad. Fácil de es-
cuan de relevante es el Gobierno de la Tecnología para FULELUSHURQRWDQIiFLOGHDWHUUL]DU3HURWHQHUXQREMHWLYR
el Gobierno de la Ciberseguridad. es el primer paso de un plan.
En este ya prometedor estadio, donde la iniciativa, por
qué no, de Ciberseguridad ha llevado a Tecnología a DEL NEGOCIO A LA TECNOLOGÍA
«ordenarse más y mejor», es cuando comienza el tra-
EDMRGHHVWLPDFLyQLGHQWLÀFDFLyQ\GHWDOOH(VWLPDFLyQ 9ROYLHQGRDOLQLFLRGHHVWHDUWtFXORHQFRQWUDSRVLFLyQ
HVLGHQWLÀFDUHOPDSDGHDPHQD]DVSDUDQXHVWURVDFWL- al análisis de abajo a arriba realizado, tenemos otro en-
YRV\SRUWDQWRSDUDORV6HUYLFLRV7,¢(VODH[ÀOWUDFLyQXQD foque diferente, compatible y simultaneo si se desea. E
amenaza relevante en los servidores de correo? ponga- incluso, como veremos, incluso sustitutivo uno del otro.
PRVFRPRHMHPSORFODUDPHQWHVLODLQIRUPDFLyQTXH 8Q DFHUFDPLHQWR WDPELpQ LQWHUHVDQWH HV OD LGHQWLÀFD-
alojan es más que relevante. ción de «que es relevante para la organización» a alto
,GHQWLÀFDFLyQVHULDHOWUDEDMRHVSHFtÀFRGHYDORUDUHVD QLYHO (VWD LGHQWLÀFDFLyQ GHEH VHU VLHPSUH SURPRYLGD
amenaza, en el ejemplo, tipo de conexión al exterior del por los niveles de decisión mayores de la compañía u
FRUUHRÀOWURV\FRQWUROHVDSOLFDGRVHWF organización. Esta intrínsecamente ligada a la estrategia
y por tanto a la propiedad (accionista en su caso), a la
<HOGHWDOOHHVÀQDOPHQWHFXDQWLÀFDUHOULHVJRUHVLGXDO GLUHFFLyQ\SODQLÀFDFLyQHVWUDWpJLFDDODUHVSRQVDELOL-
si lo hay, su nivel de relevancia y el plan de acción al dad corporativa y cualquier otro elemento de relevan-
respecto. cia en la decisión de mayor nivel jerárquico.
Esto no suena a todos: metodología de análisis de ries- «Que es relevante para la organización» puede con-
gos. Tal cual. Algo que de forma natural se realiza en cluirse con un mayor o menor nivel de detalle. Cosa
cualquier competencia de Ciberseguridad pero que importante a la hora de aterrizar una ruta táctica desde
muchas veces no está normalizado y lo que es más la estrategia. Conclusiones del tipo «ser líder en el sec-
relevante y afecta directamente a la función de Gobier- tor», «ofrecer la mejor experiencia a nuestros clientes»,
no: publicado, aprobado y comunicado a quien deba «aumentar la facturación en el segmento X» o «reducir
estar informado y tenga capacidad de decisión. (8) los fondos ajenos en un %» no parecen ayudar mucho.
Sobre esto volveremos porque en sí mismo es una de las Obviamente es de suponer que esas líneas estratégicas
funciones más relevantes del Gobierno de la Ciberse- van acompañadas con planes más detallados que si
guridad: promover las discusiones oportunas en base a nos proporcionaran mayor información. «Ser líder en el
la información adecuada para alimentar una toma de sector» podría acompañarse de «abrir más delegacio-
decisiones correcta. nes», «contratar X personal», «aumentar la facturación»,
«fomentar canales alternativos»…que ya pueden ali-
Sobre unos activos con su análisis de riesgo realizado QHDUVHPiVFRQODLGHQWLÀFDFLyQGHUHOHYDQFLDSDUDOD
HLGHQWLÀFDGRDEVWUDtGRHVHULHVJRDORVVHUYLFLRVTXH compañía.
apoyan esos activos, no debería ser muy complica-
GR LGHQWLÀFDU ORV SURFHVRV GH QHJRFLR R VLPLODUHV D ¿Dónde obtener la información necesaria para iniciar
los que sustentan o apoyan. En el ejemplo del correo este camino «top-down» de forma adecuada y con la
410 >Ei 65
R. BARATTA MARTÍNEZ
DGHFXDGDUHWURDOLPHQWDFLyQ\DFWXDOL]DFLyQ"3XHVVLHO • ¢7LHQHFODUDPHQWHGHÀQLGDVODIXQFLyQVXVUROHV
camino es desde «arriba» será en los más altos círculos y responsabilidades? ¿están entendidas y reco-
de decisión de la compañía u organización donde ob- nocidas por la organización?
tener esta información. Esto nos lleva necesariamente a
una reclamación clásica «presencia y visibilidad en la • Modelos y marcos de gestión: llegados a este pun-
alta dirección», un «mantra» cotidiano y continuo en la to, donde la misión y visión han sido establecidas
función de Ciberseguridad, adolecida por una historia y se dispone de una estructura de gestión llega el
vinculada al ostracismo técnico y a un virtuosismo in- PRPHQWRGHO©FRPRª(VQHFHVDULRGHÀQLUXQPR-
formático, poco entendido y menos valorado clásica- delo de gestión de Ciberseguridad, normalmen-
mente en la organización. te basado en alguno de tantos existentes (COBIT,
NIST…). El marco elegido, o bien desarrollado in-
3HUR¢FyPRORJUDUHVDSRVLFLyQTXHSHUPLWHDOD&LEHU- ternamente si es el caso, no muy recomendable
seguridad auparse en jerarquía organizativa que aporte ya que el esfuerzo será grande y será muy difícil
la necesaria visibilidad para no ya participar del diseño la comparación y benchmark DIXWXURGHEH
y de la estrategia, si no al menos tener la información acompasar la estrategia, capacidades y objetivos
necesaria para elaborar una aproximación que aporte \QRFRQYHUWLUVHHQXQÀQHQVtPLVPRVLQRHQHOPH-
valor? Desde luego es parte fundamental del Gobierno dio para.
de la Ciberseguridad el modelo organizativo.
1R HV HO REMHWR GH HVWH DUWLFXOR OH LGHQWLÀFDFLyQ
Dependiendo del tamaño, estructura, ámbito y negocio, de los marcos existentes y sus bondades y com-
cada organización tendrá que desarrollar una estructura SOHMLGDGHV+D\VXÀFLHQWHOLWHUDWXUDDOUHVSHFWR\HQ
GRQGHOD&LEHUVHJXULGDGGHVHPSHxHVXVIXQFLRQHV3HUR este texto simplemente se pretende despertar la
ORSULPHURVHUiGHÀQLUFXiOHVVRQ9HDPRVFRPR inquietud y servir de guía inicial para el gobierno de
una función relativamente nueva, compleja en sí
• Misión: es el motivo o razón de ser de la función de mismo y que requiere liderazgo para su desarrollo
Ciberseguridad. Está vinculada al presente a lo que y reconocimiento en las organizaciones. Es decir,
se espera y como se desempeña. Será necesario el sendero a transitar esta delante y es responsa-
GHÀQLUXQD©PLVLyQªGHODIXQFLyQDOLQHDGDFRQOD bilidad de los profesionales de la Ciberseguridad
visión estratégica ya que depende de la función y echar a andar y abrir camino.
objetivos de la compañía, pero en el caso de la
Ciberseguridad con ente propio y donde se recoja • Recursos y presupuestos: y obviamente llegamos
el espíritu y forma de la función en la compañía. Un al momento de «con qué». Disponer de un presu-
ejemplo: «desarrollar capacidades de protección y SXHVWR\UHFXUVRVVXÀFLHQWHVSDUDHQEDVHDOPDU-
respuesta ante amenazas cibernéticas para la pro- FRGHÀQLGRORJUDUORVREMHWLYRVSURSXHVWRVHVXQD
tección de la compañía y sus activos» parte más de la gobernanza de la cosa. Evaluar
las necesidades y determinar un presupuesto no es
• 9LVLyQHVHOREMHWLFRTXHTXHUHPRVORJUDU'HLJXDO QDGDVHQFLOOR3HURHVXQWUDEDMRQHFHVDULR\TXH
IRUPD GHEH VHU GHÀQLGR FRUUHFWDPHQWH SDUD OD debe incluir el detalle de que, por qué y para qué.
función. Como ejemplo: «aportar valor tangible a Que se necesita, por qué se necesita y que objetivo
la organización reduciendo los riesgos de Ciberse- alcanzaremos con ello. Un «caso de negocio» al
guridad y apoyando las operaciones». Está vincu- uso.
lada a la organización y capacidades que deben
conducir al objetivo. Llegados a este punto nos encontramos con la nece-
VLGDGGHFXDQWLÀFDUXQDDSRUWDFLyQGHYDORUUHDOGHOD
• (VWUXFWXUDODGHÀQLFLyQGHPLVLyQ\YLVLyQQRVJXtDD Ciberseguridad a la organización. De construir un «caso
determinar una organización adecuada para res- de negocio» donde la inversión a efectuar reclame
ponder a lo que se espera de la función (misión) y unos resultados adecuados, entendibles, medibles y re-
DORTXHGHEHDVSLUDUYLVLyQ3DUDHOORGHEHPRV petibles. Y no es cosa sencilla.
responder a cuestiones como:
Una aproximación clásica de la Ciberseguridad siempre
• ¿Quién desempeña la misión? Estructura orga- ha sido proteger, con otros alcances pero básicamente
nizativa. ¿dentro de tecnología? ¿de operacio- SURWHJHU 3HUR ¢SURWHJHU TXp" 3URWHJHU WRGR ¢DFDVR
nes? ¿de control?.... todos los activos de información, la tecnología que los
sustenta y los procesos que los explotan no deben ser
• ¿Quién asume el rol y por tanto la responsabi-
todos y cada uno protegidos? Este discurso tuvo y tiene
OLGDG"¢([LVWHODÀJXUDGHO&,62&KLHI,QIRUPD-
aún su espacio. Lo primero es determinar como vimos
WLRQ6HFXUW\2IÀFHU (9)) o similar? ¿Qué depen-
la visión y misión en base a la organización y su estrate-
dencia orgánica ay funcional tiene? (frente a
gia. No es lo mismo que la organización sea una agen-
quien responde).
cia militar responsable de fuerzas de ataque, que una
• ¿Quién supervisa la función y quien es informa- HQWLGDGÀQDQFLHUDXQPLQLVWHULRXQDFHQWUDOQXFOHDUR
do sobre la misma? ¿existe una estructura de una tienda online.
rendimiento de cuentas e información? ¿for-
3URWHJHUOR WRGR QRV OOHYD D XQD FRQVWDQWH QHFHVLGDG
mal o informal? ¿existe una función auditora de
de inversión y esfuerzo que no necesariamente conlle-
Ciberseguridad?
66 410 >Ei
GOBIERNO DE LA CIBERSEGURIDAD
van mejoras niveles de Ciberseguridad, mejor entendi- 3HUR QRV TXHGDUtD XQ DVSHFWR VL FDEH WDQ UHOHYDQWH
miento en la compañía y lo que es peor, aportación las personas (11). Toda organización la componen per-
de valor real, esencia de cualquier función corporativa. sonas que, por mucha tecnología que aportemos y
Alguna vez nos puede llevar la tentación de creer que por muchos escenarios complejos diseñemos, son las
seguridad (ciber en este caso) es lo primero, pero inten- que marcan la diferencia. Está demostrado (12) que
tar siquiera evaluar responder a la pregunta de que es el factor humano es clave en el entorno digital actual,
primero, si los objetivos de seguridad o los de negocio, tanto como rigen de las brechas de seguridad donde
es que aún no lo hemos entendido. HVWXGLRVDÀUPDQTXHKDVWDXQVRQSURGXFLGDVSRU
errores o negligencia humana: como en la primeria lí-
9ROYLHQGRDOFDVRGHQHJRFLRHVREYLRTXHWUDEDMDU nea de defensa ciber.
en reducir los riesgos, en evitar incidentes y en proteger-
nos de futuras amenazas entra de lleno en el mundo A pesar de que la tecnología suple y suplirá a los huma-
GHODDGLYLQDFLyQ\FDVLGHOHVRWHULVPR,GHQWLÀFDUTXp nos en muchas facetas, lo que se ha puesto de ma-
es lo más relevante para la organización, evaluar las QLÀHVWRHQODH[SORVLyQWHFQROyJLFDGHORV~OWLPRVDxRV
amenazas en base a estadística y prospección, apli- es que al aportación humana es clave y que la tec-
FDUFULWHULRH[SHUWR\EHQFKPDUNLQJGHÀQLUWROHUDQFLD nología apoyara radicalmente la visión humana, pero
al riesgo y trabajar en aceptarlo, mitigarlo o transferir- difícilmente la sustituirá. Y por tanto, siendo las personas
lo no es exclusivo de Ciberseguridad. Es más, es una el activo más valioso de cualquier compañía, dotarse
ruta incluso algo ajena en modo formal a la tradicional GHORVSHUÀOHVDGHFXDGRVHQ&LEHUVHJXULGDGVHUiFODYH
JHVWLyQ3HURFDVLWRGRHVWiHVFULWRSRUORTXHHQFRQ- para el éxito.
trar el mecanismo de evaluación de riesgos que nos
lleva a determinar que una inversión nos ayudara a re- (OPHUFDGRDGROHFHGHSURIHVLRQDOHVFXDOLÀFDGRV (13),
ducir riesgo no debería ser muy complejo. y el escenario no parece mejorar en un futuro cerca-
QR,GHQWLÀFDUORVSURIHVLRQDOHVDGHFXDGRVSXHGHVHU
3HUR DGHPiV OD LQYHUVLyQ FLEHU SURSRUFLRQD HQ PX- una tarea ímproba. Es una buena aproximación buscar
FKDV RFDVLRQHV VLQHUJLDV \ HÀFLHQFLDV QR WDQ REYLDV talento interno, aunque no especializado si adaptable,
como las de riesgos pero muy útiles y provechosas. además de las oportunidades externas. Es relevante
La gestión de volúmenes importantes de información capacitar constantemente no solo ya al personal de la
SXHGH SURSRUFLRQDU PHMRUDV GH OD HÀFLHQFLD SRU función si no a otras unidades relevantes como Tecno-
ejemplo la gestión de identidades centralizada no logía, Recursos Humanos, Financiera e incluso Comer-
VROR UHGXFH ULHVJRV GH LQWHJULGDG \ FRQÀGHQFLDOLGDG cial. La Ciberseguridad es cosa de todos, en el ámbito
si no que permite provisionar y mantener usuarios de personal y profesional por lo que la preparación y con-
IRUPD HÀFLHQWH \ YHOR] UHGXFLHQGR WLHPSRV SXHGH cienciación siempre serán un activo valioso.
aportar visiones totalmente nuevas de la información
(otro ejemplo, la monitorización de dispositivos móviles /DRUJDQL]DFLyQGHODIXQFLyQGLFWDUDHOWLSRGHSHUÀO
puede darnos pautas de uso que permitan optimizar necesario, básicamente técnico y entrenado pero no
tareas comerciales o de atención a clientes), e inclu- solo. Cada vez es más relevante el conocimiento de
so proporcionar información de negocio inédita (por analítica de datos, de algorítmica y matemática, de le-
ejemplo, hábitos y costumbres de los clientes en base JDO\FRQWUDFWXDO«HQXQDIXQFLyQDPSOLDHVWRVSHUÀOHV
a la monitorización de su actividad y predicción). tienen no solo espacio si no mucha relevancia.
410 >Ei 67
R. BARATTA MARTÍNEZ
• 3URWHJHUODUHSXWDFLyQGHODRUJDQL]DFLyQ
Fuente: Elaboración propia
• Reducir la probabilidad de violaciones de privaci-
dad y sus sanciones y responsabilidades.
Desempeño: Resultado de ejercer las obligaciones in-
KHUHQWHVDODIXQFLyQ3RUORWDQWRGHEHVHULGHQWLÀFD- • 3URSRUFLRQDUPD\RUFRQÀDQ]DHQODVLQWHUDFFLRQHV
ble, medible y repetible. Un indicador de desempeño (o con terceros.
.3,SURSRUFLRQDUDLQIRUPDFLyQGHOQLYHOGHUHVXOWDGRV
de alcance de una acción o función. Un ejemplo po- • 3HUPLWLUQXHYDV\PHMRUDGDVFDSDFLGDGHVGLJLWDOHV
dría ser «% usuarios formados en Ciberseguridadª3HUR incluyendo las transacciones electrónicas.
también objetivos más de gestión como el seguimiento
presupuestario u horas dedicadas por proyecto. • Reducir costes operativos mejorando los riesgos
que afectan a los procesos con resultados prede-
1LYHOGHULHVJRLGHQWLÀFDFLyQGHH[SRVLFLyQDOULHVJRHQ cibles.
forma medible (o KRI) que permita realizar un seguimien-
to y que proporcione mecanismos de alerta temprana. (QWHQGHPRVHVWRVEHQHÀFLRVFRPRSURSLRVHLQKHUHQ-
Un ejemplo: % vulnerabilidades críticas en los sistemas. tes a la función de Ciberseguridad en una compañía,
O también elementos cuantitativos como «perdida por compartidos en gran medida con la Seguridad de la
fraude online». Información más clásica pero indesligable del todo de
la Ciberseguridad. En sí mismos, suponen ya una apor-
(VLQWHUHVDQWHREVHUYDUFRPRXQ.3,\XQ.5,VHUHODFLR- tación fundamental y valiosísima para cualquier orga-
QDQHQWUHVtGRQGHXQ.3,GHWHUPLQDDOFDQFHXQ.5, nización actual, máxime en aquellas de «base tecno-
puede determinar riesgo, en el ejemplo anterior: «% lógica» (18), que «basan su actividad empresarial en
usuarios formados en Ciberseguridad» puede ser un la innovación tecnológica orientada al mercado, de-
indicador de desempeño de una campaña de forma- dicándose a la comercialización y rentabilización de
ción siendo al mismo tiempo y con un leve cambio un productos y servicios innovadores generados a partir de
indicador de riesgo «% usuarios NO formados en Ciber- XQXVRLQWHQVLYRGHOFRQRFLPLHQWRFLHQWtÀFR\WHFQROyJL-
seguridad» que determine cuan expuesto está el per- co, y que cuentan con personal investigador y técnico
sonal a fallos relacionados con la Ciberseguridad. (15) GHDOWDFXDOLÀFDFLyQHQVXVHTXLSRVª
68 410 >Ei
GOBIERNO DE LA CIBERSEGURIDAD
FIGURA 6
17
bierno adecuado, ver descripción más arriba: «…para evaluación pero la Ciberseguridad puede y debe
HOORJURGHREMHWLYRV«ª FRQWULEXLUGHIRUPDGHÀQLWLYDDSURWHJHUUXQDFWLYR
tan relevante. Incluso la valoración de las capaci-
9HDPRV HQ TXH HVFHQDULRV OD &LEHUVHJXULGDG SXHGH dades de ciber- resiliencia están comenzado a ser
JHQHUDUYDORUPiVDOOiGHORVREMHWLYRVHVSHFtÀFRV relevantes en la valoración de una compañía. (19)
• Cumplimiento: el cada vez más complejo esce- • Cadena de suministro: es obvio que la necesidad
nario de regulación, donde a las normativas secto- de disponer de un marco de control interno en
riales o de mercados se le unen nuevas directrices todos los sentidos necesarios de la organización.,
gubernamentales, transnacionales e incluso glo- incluyendo la Ciberseguridad, es una necesidad. Y
bales, además de buenas prácticas o estándares en un mundo hiper conectado donde el ecosiste-
de la industria, requiere de un nivel de controles y ma de funcionamiento de cada organización es
monitorización de los mismos, además de segui- cada día más complejo, este marco de control
PLHQWR GH RSHUDFLRQHV FRPSRUWDPLHQWR W ÁXMRV debe garantizar la inclusión de aquellas terceras
de información que caen completa o en parte en partes que participan de forma relevante en el
las competencias de Ciberseguridad. Muchas ve- negocio y sus procesos. Y por tanto, extender el
ces los controles y funciones ya existentes en una marco de control a los proveedores y otros actores
compañía, enfocado adecuadamente pueden es fundamental, incluyendo por tanto en las eva-
SURSRUFLRQDUGHIRUPDHÀFLHQWHHYLWDQGRHQPX- luaciones, contratos, licitaciones y relaciones con
chos casos nuevas inversiones y esfuerzos conside- terceros las consideraciones en materia de Ciber-
rables) el alcance de cumplimiento necesario. Una seguridad que se consideren.
adecuada relación con los responsables de cum-
plimiento con un buen entendimiento del mismo • Ingeniería de la información y análisis de datos: la
y de las necesidades de la organización pueden propia naturaleza de las funciones de Ciberseguri-
determinar que el programa de Ciberseguridad de dad implican la recopilación, tratamiento, evalua-
una compañía u organización apoya, promueve ción y consolidación de información de todo tipo.
y facilita la estructura de cumplimiento necesaria. Además en tiempo real o casi real. Esta informa-
ción seguro incluye datos de negocio, de clientes,
• 9DORUDFLyQGHQHJRFLRR©%XVLQHVV9DOXDWLRQªPiV de empleados, de los sistemas… información que
allá de los impactos tecnológico, de operaciones tratada de forma adicional a la de su función base
e incluso legales esta la reputación de una enti- puede proporcionar información muy valiosa a las
dad. Esta reputación maraca en muchos casos unidades de negocio a la que puede no tengan
le estimación del valor de una compañía ara su acceso o simplemente nunca se les había ocurrido
propiedad, los accionistas, el mercado… Esta re- pedir o preguntar. La monitorización de usuario per-
putación es un activo complejo en su valoración y
410 >Ei 69
R. BARATTA MARTÍNEZ
NOTAS
[1] http://www.cantabriatic.com/federacion-de-las-cm-
db/
[2] http://www.normas-iso.com/iso-20000/
[3] https://seguinfo.wordpress.com/category/iso/
page/23/
[4] https://www.fundeu.es/recomendacion/segurizar-se-
curizar-securitizar/
[5] https://www.incibe.es/sites/default/files/contenidos/
guias/doc/guia_ransomware_metad.pdf
70 410 >Ei