Demo Libro Digital Ciberseguridad

Libro digital de Ciberseguridad
E-book de Ciberseguridad 1
Contenido
1. Fundamentos y principios de seguridad…………………………………………… 3
2. Políticas, lineamientos y procedimientos…………………………………………. 12
3. Gestión de riesgos…………………………………………………………………….. 26
4. Estándares y marcos de referencia de seguridad………………………………... 31
5. Capas y prácticas de control de acceso…………………………………………… 37
6. Control de acceso y gestión de la identidad………………………………………. 41
7. Herramientas y amenazas de control de acceso…………………………………. 54
8. Seguridad y dispositivos de red…………………………………………………….. 61
9. Telecomunicaciones, Moldeo OSI y Modelo TCP/IP……………………………...73
10. Cloud computing, VPN, Seguridad de internet…………………………………….88
11. Detección de virus y spam…………………………………………………………...104
12. Amenazas de Ciberseguridad (Malware)....……………………………………….110
1. PRINCIPIOS FUNDAMENTALES DE SEGURIDAD
Concepto de seguridad: Conjunto de procesos, herramientas y personas que hacen parte

de la metodología que busca mantener la información correcta a quien lo necesite.
Es necesario comprender los objetivos básicos de la seguridad, los cuales proporcionan

disponibilidad, integridad y confidencialidad para la protección de los activos críticos, AIC
(availability, integrity, confidentiality). Cada activo de información requiere diferentes niveles
de protección como veremos más adelante en las siguientes secciones. Todos los controles
y mecanismos de seguridad se establecen para proporcionar uno o más de estos tipos de
protección. Los riesgos, amenazas y vulnerabilidades se miden por su capacidad potencial
de comprometer uno o todos los principios de la triada de seguridad AIC.
Disponibilidad
Protección que garantiza el acceso oportuno y confiable de los datos y recursos a las
personas autorizadas. Los dispositivos de red, ordenadores y aplicaciones deben
proporcionar una funcionalidad adecuada para garantizar la disponibilidad de la información
con un nivel de rendimiento aceptable. Estos deben ser capaces de recuperarse de
interrupciones de forma segura y rápida, de esta manera la productividad no es afectada
negativamente. Los mecanismos de protección necesarios deben ser implementados
contra amenazas internas y externas que pueden afectar la disponibilidad y productividad
de los componentes del negocio.
Integridad
Se confirma cuando se proporciona con exactitud la información requerida y cualquier

modificación no autorizada es evitada. Hardware, software y mecanismos de comunicación
deben trabajar en conjunto para mantener y procesar datos correctamente, además mover
datos a los destinos previstos sin ninguna alteración. Los sistemas y la red deben ser
protegidos de interferencias exteriores. Los entornos que proporcionan estos atributos de
seguridad garantizan que los atacantes o errores de los usuarios no pongan en peligro la
integridad de los sistemas o datos. Cuando un atacante inserta un virus, una bomba lógica
o una puerta trasera en un sistema la integridad del sistema se ve comprometida.
Confidencialidad
Asegura que el nivel secreto necesario se cumpla en cada procesamiento de datos y

previene la divulgación no autorizada. Este nivel de confidencialidad debe prevalecer
mientras que los datos residan en los sistemas y dispositivos dentro de la red, mientras es
transmitida y una vez llegue a su destino final. Los atacantes pueden burlar los mecanismos
de confidencialidad mediante la monitorización de red, mirar por encima del hombro de
alguien, robando archivos de contraseñas, rompiendo esquemas inscripción e ingeniería
social, etc.
** Términos Clave **
• Disponibilidad acceso confiable y oportuno a la información y los recursos que es
permitido a los individuos autorizados (aseguramiento de la información, sin
modificaciones).
• Integridad Confiablidad y exactitud en la información que es entregada y cualquier
modificación no autorizada es prevenida (aseguramiento de la información evitar
modificaciones).
• Confidencialidad Hacer cumplir el nivel de secreto necesario de la información y prevenir
la divulgación no autorizada (información solo para quien lo necesite).
“Un sistema de seguridad es tan fuerte como el eslabón más débil”
 SEGURIDAD BALANCEADA
Cuando la seguridad informática se trata esto comúnmente se hace a través de la

verificación de mantener la información en secreto (confidencialidad). Las amenazas de la
integridad y disponibilidad pueden ser pasadas por alto y sólo se tratan después de que
estén comprometidos. Algunos activos tienen un requisito fundamental la confidencialidad
(secretos comerciales de la empresa), algunos tienen requisitos de integridad de críticos
(valores de transacción financiera), y algunos tienen requisitos de disponibilidad (servidores
críticos de comercio electrónico web). Mucha gente entiende los conceptos de triada de
seguridad AIC, pero pueden no apreciar plenamente la complejidad de implementar los
controles necesarios para proporcionar toda la protección que estos conceptos cubren. A
continuación se muestra una pequeña lista de algunos controles y la forma en que se
asignan a los componentes de la tríada de seguridad AIC:
Disponibilidad
• Arreglo redundante de discos económicos (RAID)
• Clustering
• Balanceo de carga
• Líneas de datos y de alimentación electrica redundantes
• Software de datos y copias de seguridad
• Disk shadowing
• Colocación e instalaciones adicionales fuera de las principales
• Funciones de Roll Back
• Configuraciones de fail over
Integridad
• Hashing (integridad de los datos)
• Gestión de la configuración (la integridad del sistema)
• Control de cambios (integridad del proceso)
• Control de acceso (físico y técnico)
• Firma de software digital
Confidencialidad
• Cifrado de datos en reposo (disco, base de datos)
• Cifrado de datos en tránsito (IPSec, SSL, PPTP, SSH)
• Control de acceso (físico y técnico)
 DEFINICIONES DE SEGURIDAD
Las palabras vulnerabilidad, amenaza y riesgo a menudo se intercambian, a pesar de que

tienen diferentes significados, es importante entender la definición de cada palabra y las
relaciones entre los conceptos que representan.
Vulnerabilidad
Es una debilidad o falta de un control o una medida. Puede ser software, hardware,
procedimental o una debilidad humana que puede ser explotada. Una vulnerabilidad puede
ser un servicio que se ejecuta en el servidor, las aplicaciones o sistemas operativos sin
parches, un punto de acceso inalámbrico sin restricciones, un puerto abierto en un servidor
de seguridad, seguridad física laxa que permite que cualquiera pueda entrar en una sala de
servidores, o la gestión de contraseñas que no es ejecutada en servidores y estaciones de
trabajo.
Amenaza
Es cualquier peligro potencial que está asociado a la explotación de una vulnerabilidad. Es

algo o alguien que identificara una vulnerabilidad específica para explotarla y usarla en
contra. La entidad que se aprovecha de una vulnerabilidad se refiere a un agente amenaza.
Un agente amenaza podría ser un intruso en la red a través de un puerto vulnerable en el
firewall, un acceso que viola la política de seguridad, un terremoto que acaba con las
instalaciones o un empleado cometiendo un error involuntario que podría exponer
información confidencial.
Riesgo
Es la probabilidad de que un agente amenaza pueda explotar una vulnerabilidad y el

impacto que este tendrá en el negocio. Si un servidor de seguridad tiene varios puertos
abiertos hay una mayor probabilidad de que un intruso utilice uno de estos para acceder a
la red a través de un método no autorizado. Si los usuarios no están educados en los
procesos y procedimientos, hay una mayor probabilidad de que un empleado cometa un
error involuntario que pueda eliminar los datos. Si un sistema de detección de intrusiones
(IDS) no está implementado en una red, hay una mayor probabilidad de un ataque pase
desapercibido hasta que sea demasiado tarde. El riesgo ata la vulnerabilidad, la amenaza
y la probabilidad de explotación al impacto final que este tiene en el negocio.
Una exposición es una instancia de estar expuesto a pérdidas. Una vulnerabilidad expone
a una organización a posibles daños. Si la administración de contraseñas es laxa y las
reglas no se hacen cumplir, la empresa se expone a la posibilidad de tener contraseñas
capturadas y usadas de manera no autorizada. Si una empresa no tiene su cableado
inspeccionado y no pone medidas de prevención contra incendios proactivas en su lugar,
se expone a sí mismo a que los incendios sean potencialmente devastadores.
Un control o medida se pone en marcha para mitigar (reducir) el riesgo potencial. Una
medida puede ser una configuración de software, hardware o un procedimiento que elimina
una vulnerabilidad o que reduce la probabilidad de que un agente amenaza sea capaz de
explotar una vulnerabilidad. Ejemplos de contramedidas incluyen una fuerte gestión de
contraseñas, cortafuegos, guardias de seguridad, mecanismos de control de acceso,
cifrado y capacitación en seguridad, etc.
 Vulnerabilidad Debilidad o la falta de un control o medida.
 Amenaza Entidad o agente que puede explotar una vulnerabilidad.
 Amenaza Peligro que un agente amenaza pueda explotar una vulnerabilidad.
 Riesgo Probabilidad de que un agente amenaza explote una vulnerabilidad y el
impacto asociado con el negocio.
 Control o medida Control que se pone en marcha para reducir el riesgo, también
llamado contramedida.
 Exposición Presencia de una vulnerabilidad que expone a la organización a una
amenaza.
 TIPOS DE CONTROLES
En los temas anteriores se cubrieron los objetivos de seguridad disponibilidad, integridad y

confidencialidad, además de los términos utilizados en la industria de la seguridad
informática como vulnerabilidad, amenaza, riesgo y control. Estos componentes
fundamentales deben ser entendidos para que la seguridad este establecida de manera
organizada.
A continuación se abordarán los tipos de control que pueden ser implementados y las
funcionalidades asociadas. Los controles se ponen en marcha para reducir el riesgo al que
una organización se enfrenta, estos controles se clasifican en tres partes: administrativos,
técnicos y físicos.
Los controles administrativos se refieren comúnmente a los que son orientados a la

gestión, algunos ejemplos de estos controles son documentación, gestión del riesgo y
capacitación. Los controles técnicos (también llamados controles lógicos) son
componentes de software y hardware con diferentes mecanismos de protección como
firewall, IDS, encripcion, identificación y autenticación, etc. Finalmente los controles físicos
son elementos puestos en marcha para proteger las instalaciones, el personal y los
recursos, por ejemplo guardias de seguridad, cerraduras, cercas e iluminación.
Controles administrativos
• Sistema de gestión de seguridad
• Creación y documentación de procesos
• Control de cambios
• Procesos de capacitación
Controles físicos
• Vallas, muros, cercas
• Puertas exteriores e interiores con cerradura
• Circuito cerrado de televisión
• Guardias de seguridad
• Sala de servidores con restricción de acceso
• Computadores asegurados físicamente (cerraduras de cable)
Controles técnicos
• Firewalls (cortafuegos)
• Sistema de detección de intrusos (IDS)
• Sistemas de prevención de intrusiones (IPS)
• Antimalware - Antivirus
• Control de acceso
• Encriptación
Las diferentes funcionalidades de los controles de seguridad son:
- Prevenir Intenta evitar que un accidente ocurra
- Detectar Ayuda a identificar las actividades relacionadas con un incidente y
potencializa a un intruso
- Corregir Arregla o restaura componentes luego de que un incidente ha ocurrido
- Disuadir Intenta persuadir a un potencial atacante
- Recuperar Intenta traer de vuelta el ambiente a las operaciones regulares
- Compensar Provee medidas alternativas de control
2. POLITICAS, LINEAMIENTOS Y PROCEDIMIENTOS
Computadores y la información procesada en estos suelen tener una relación directa con
los objetivos y la misión de la empresa, debido a este nivel de importancia la alta dirección
debe tomar la protección de estos elementos como una alta prioridad y proporcionar el
apoyo, fondos, tiempo y recursos necesarios para garantizar el aseguramiento de los
sistemas, las redes y la información. Esta protección debe establecerse de manera eficiente
y lo más rentable posible, de esta manera un enfoque de gestión integral debe desarrollarse
para lograr estos objetivos con éxito.
Todas las personas dentro de una organización pueden aportar al desarrollo y cumplimiento
de la seguridad. Es importante asegurar que todos dentro de la organización de acuerdo a
su nivel jerárquico ayuden al cumplimiento de lo determinado en las leyes, reglamentos,
políticas, requisitos y objetivos del negocio.
Un programa de seguridad contiene las piezas necesarias para proporcionar una protección
integral en una empresa y establece una estrategia de seguridad a largo plazo. La
documentación de un programa de seguridad debe estar compuesta por las políticas de
seguridad, procedimientos, normas y directrices. Diferentes áreas de las empresas como
recursos humanos, departamento jurídico, entre otros; deben participar en el desarrollo y
aplicación de las normas y requisitos establecidos en los documentos
 POLÍTICA DE SEGURIDAD
Es una declaración general producida por la alta dirección o un comité que habla del rol y
el papel que juega la seguridad en la organización. Una política de seguridad puede ser
generada de manera general a nivel organizacional o particular a nivel de un tema
específico como un sistema. En la política organizacional se definen los parámetros para
establecer un programa de seguridad, establecer las metas del programa,
responsabilidades, describe el valor estratégico y táctico de la seguridad, ademas describe
como debe llevarse a cabo. La política de seguridad de la organización proporciona el
alcance y la dirección de todas las futuras actividades de seguridad dentro de la
organización.
La política de seguridad organizacional tiene varias características importantes:
• Los objetivos de negocio deben impulsar la creación, implementación y ejecución de la

política. La política no debe dictar los objetivos de negocio.
• Debe ser un documento de fácil comprensión que se utiliza como punto de referencia para
todos los empleados y directivos.
• Debe ser desarrollado y utilizado para integrar la seguridad en todas las funciones y
procesos de negocio.
• Debe apoyar todas las leyes y reglamentos aplicables a la empresa.
• Cada iteración de la política debe estar fechada y bajo control de versiones.
• Las unidades y los individuos que se rigen por la política deben tener fácil acceso a ella.
Las políticas se publican habitualmente en los portales en una intranet o a través de
comunicados corporativos.
A continuación, se muestra una jerarquía de políticas de seguridad, que ilustran la relación

entre la política organizacional general y las políticas específicas o particulares que la
apoyan:
• Política organizacional
• Política de uso aceptable
• Política de gestión del riesgo
• Política de manejo de vulnerabilidades
• Política de protección de datos
• Política de control de acceso
• Política de continuidad del negocio
• Política de auditoria
• Política de seguridad personal
• Política de seguridad física
• Política de desarrollo de aplicaciones seguras
• Política de control de cambios
• Política de correo electrónico
• Política de respuesta de incidentes
 Tipos de políticas
Generalmente las políticas se categorizan dentro de las siguientes categorías:
Reguladora: Este tipo de política asegura que la organización está siguiendo los
estándares definidos por regulaciones específicas de la industria (HIPAA, GLBA, SOX, PCI-
DSS, etc.). Esta está bien detallada y especificada de acuerdo al tipo de industria, esta es
usada por instituciones financieras, instituciones del sector de la salud, entidades públicas
y otras industrias gubernamentalmente reguladas.
Consultiva: Este tipo de política asesora empleados acerca del tipo de actividades y
comportamientos que deben y no deben tener lugar dentro de la organización. Esta también
da un esquema de las posibles acciones a tomar si los empleados no cumplen con lo
establecido; este tipo de política puede ser usada por ejemplo para describir cómo manejar
información médica o financiera.
Informativa: Este tipo de política informa a los empleados acerca de ciertos temas. Esta
no es una política ejecutable si no que enseña a los individuos acerca de temas de interés
para la empresa, además puede explicar cómo interactúa la empresa con socios de
negocio, los objetivos, la misión y una estructura general de información de la misma en
diferentes situaciones.
 Implementación
Desafortunadamente las políticas de seguridad, normas, procedimientos, lineamientos

base y directrices a menudo se escriben porque un auditor lo requirió en empresa para
documentar estos los procedimientos, pero desafortunadamente luego se dejan en un
servidor de archivos y no se comparten, explican o se utilizan. Para que estos mismos sean
útiles deben ser puestos en acción, ninguna persona va a seguir las normas y
procedimientos si nos las conoce.
La publicación de esta información a través de diferentes recursos como correos

electrónicos corporativos, carteleras, manuales, boletines, entre otros; permiten la
visibilidad de las normas y procedimientos establecidos para crear una cultura y conciencia
de seguridad en las personas de la organización.
La implementación de políticas de seguridad y sus elementos de apoyo demuestran la

gestión y el debido cuidado que se tiene por la empresa y los empleados. Es de suma
importancia Informar a todos los empleados lo que se espera de ellos sus deberes y
derechos en las políticas establecidas, además de las consecuencias que puede acarrear
el incumplimiento de las mismas. Si un empleado es despedido por descargar material
prohibido como material pornográfico y el empleado no tenía el debido conocimiento de la
prohibición de la descarga y manejo de este material dentro de la empresa, este mismo
puede entablar medidas judiciales ante la empresa y ganar si demuestra que no fue
debidamente informado y desconocía las políticas y normas de prohibición establecidas
para este tipo de contenido.
 LINEAMIENTOS, DIRECTRICES Y PROCEDIMIENTOS
Se refieren a las actividades, acciones o normas obligatorias. Las normas pueden apoyar y
reforzar una política. Los estándares de seguridad organizacionales pueden especificar
cómo los productos de hardware y software van a ser utilizados, también pueden ser
utilizados para indicar el comportamiento esperado del usuario. Estos proporcionan un
medio para asegurar que determinadas tecnologías, aplicaciones, parámetros y
procedimientos se implementen de forma adecuada en toda la organización.
Un estándar organizacional puede requerir que todos los empleados usen sus tarjetas de
identificación dentro de la empresa en todo momento, para permitir identificar individuos
desconocidos dentro de la organización y descubrir el propósito que tienen los mismos en
las diferentes áreas que visitan. Estas reglas son obligatorias dentro de una empresa y
deben hacerse cumplir para que sean eficaces.
Lineamiento Base (Baseline)
El termino base se refiera a un punto en el tiempo que es usado con una comparación para
cambios futuros. Una vez un riesgo es mitigado y la seguridad puesta en marcha, una línea
base es revisada formalmente para realizaran comparaciones y mediciones contra este
procedimiento. Una línea base es un punto de referencia constante.
Los lineamientos base también se utilizan para definir el nivel mínimo de protección
requerido, en seguridad pueden definirse según el tipo de sistema para indicar los ajustes
necesarios y el nivel de protección. Por ejemplo una empresa puede definir que todos los
sistemas contables deben cumplir con un nivel de evaluación específico, para que solo los
sistemas que han superado por el proceso de evaluación definido pueden ser utilizados en
el departamento.
Directrices (Guidelines)
Son las acciones y guías operacionales recomendadas para los usuarios, el personal de TI,
personal de operaciones y los demás cuando una norma específica no es aplicada. Las
directrices pueden hacer frente a las metodologías tecnológicas, el personal o la seguridad
física. Los estándares son reglas específicas obligatorias, las directrices son enfoques
generales que proporcionan la flexibilidad necesaria para circunstancias imprevistas.
Una política podría afirmar que el acceso a datos confidenciales debe auditarse, una
directriz de apoyo podría explicar con más detalle que las auditorías deben contener
información suficiente para permitir la conciliación con las revisiones anteriores.
Procedimientos de apoyo podrían dar una idea de los pasos necesarios para configurar,
implementar y mantener este tipo de auditoría.
Procedimientos
Son tareas detalladas paso a paso que se deben realizar para alcanzar un determinado
objetivo. Estos pasos se pueden aplicar a los usuarios, el personal de TI, personal de
operaciones, miembros de la seguridad y otros que necesiten llevar a cabo tareas
específicas. Muchas organizaciones han escrito procedimientos acerca de cómo instalar
sistemas operativos, configurar los mecanismos de seguridad, implementar listas de control
de acceso, crear nuevas cuentas de usuario, asignar privilegios en los equipos, actividades
de auditoría, destrucción de material, informes de incidentes y mucho más. Los
procedimientos se consideran el nivel más bajo en la cadena de documentación, ya que
son los más cercanos a los equipos y usuarios (en comparación con las políticas) y
proporcionan pasos detallados para problemas de configuración e instalación.
Los procedimientos explican como la política, normas y directrices se pueden implementar

en un entorno operativo. Si una política establece que todas las personas que tienen acceso
a información confidencial deben estar debidamente autenticadas, los procedimientos de
apoyo explicaran los pasos a seguir para que esto suceda mediante la definición de los
criterios de autorización de acceso, como se implementan y configuran los mecanismos de
control de acceso y cómo se auditan las actividades de acceso. Si una norma establece
que se deben realizas copias de seguridad, entonces los procedimientos definirán los pasos
detallados para realizar la copia de seguridad, los tiempos de las copias de seguridad, los
medios de almacenamiento y demás. Los procedimientos deben ser lo suficientemente
detallados para ser comprensibles y útiles para diferentes grupos de personas.
 CLASIFICACION DE LA INFORMACION
La clasificación de información es un tema importante dentro del concepto de seguridad de

la información en una empresa. Esta clasificación permite asignar valores específicos y
cuantificar la importancia de los diferentes tipos de datos y activos de información de
acuerdo al nivel de sensibilidad identificado en cuanto a la pérdida o divulgación de la
misma.
Luego de realizar un análisis y clasificación de la información en diferentes segmentos con

base al nivel de sensibilidad identificado, la empresa debe definir las mediciones correctas
para asignar los recursos necesarios en la implementación de mecanismos y controles que
garanticen la protección de la información. Esto asegura que los activos de información
reciban el nivel de protección adecuado de acuerdo a la prioridad indicada en niveles de
clasificación establecidos. La clasificación de datos ayuda a asegurar que los mismos están
protegidos de la manera más rentable, además la protección y el mantenimiento de los
datos cuesta, por eso importante invertir el dinero en la información que realmente requiere
protección.
Niveles de Clasificación
No hay reglas en los niveles de clasificación que una organización debe utilizar, hay algunos
establecidos en estándares y marcos de referencia, sin embargo, las empresas pueden
optar por utilizar niveles de clasificación personalizados
Los siguientes niveles de sensibilidad se muestran del más alto al más bajo en términos
empresariales:
• Confidencial
• Privado
• Sensitivo
• Publico
Los siguientes niveles de sensibilidad se muestran del más alto al más bajo en propósitos
militares:
• Ultra secreto
• Secreto
• Confidencial
• Sensitivo pero desclasificado
• Desclasificado
A continuación, se muestra el detalle de los niveles de clasificación corporativo y militar:
Clasificación
Definición Ejemplos
Corporativa
La divulgación de la información no causa ningún Información del portafolio de

Publico impacto adverso a la organizacional o el personal productos y servicios, información
de la misma. de proyectos públicos, licitaciones.
Requiere que el personal tenga precaución y se
Información financiera, Detalles
asegure que la integridad y confidencialidad de la
Sensitivo específicos de proyectos, Ventas y
información es protegida a modificaciones o
Ganancias
publicaciones no autorizadas
Información para uso exclusivo de la organización Historial de negocios, clientes,
Privado , la divulgación no autorizada puede afectar a la aliados, información de recursos
empresa o el personal de la misma humanos, información médica.
Para uso exclusivo de la organización, la
Secretos de desarrollo de un
divulgación de la información está protegida por
producto, formulas secretas,
Confidencial leyes y regulaciones, la publicación de la
archivos fuentes de código o
información puede traer serios problemas a la
programación de aplicaciones.
empresa o el personal de la misma
Clasificación
Definición Ejemplos
Militar
Información de reclutamiento,
No Clasificada La información no es sensible
servicios públicos
Secretos menores, si la información Información del personal,
Sensitiva pero no
es divulgada no se causa mayor información médica, resultados de
clasificada
daño estudios
Si la información es divulgada puede Planes para tropas, ubicación de

Secreto causar problemas de seguridad bases militares, detalles de armas
nacional y programas
Si la información es divulgada puede Información de nuevas

Ultra Secreto causar serios problemas de tecnologías, armas y desarrollos,
seguridad nacional información de estado, espionaje
Una vez que el plan se decide, la organización debe desarrollar los criterios que utilizará
para decidir qué información ira en cada nivel de clasificación. La siguiente lista muestra
algunos parámetros que una organización puede utilizar para determinar la sensibilidad de
los datos.
• La utilidad de los datos

• El valor de los datos
• La antigüedad de los datos
• El nivel de daño que puede ser causado si esta es divulgada
• El nivel de daño que puede ser causado si esta es modificada o corrupta.
• Responsabilidad legal o contractual de proteger los datos
• Los efectos que la información tiene en la seguridad
• Quien puede tener acceso a los datos
• Quien debe almacenar y mantener los datos
• Quien debe reproducir o controla la información
ROLES (algunos de ellos)
Administrador de Seguridad
El administrador de seguridad es responsable de la implementación y el mantenimiento de
los dispositivos de seguridad de red y software. Estos controles suelen incluir firewalls, IDS,
IPS, antimalware, proxies de seguridad, prevención de pérdida de datos, control de acceso,
etc. Es común que haya delimitación entre el administrador de seguridad y el administrador
de la red. El administrador de seguridad tiene el objetivo principal de mantener la red segura
y el administrador de la red tiene el objetivo de mantener las cosas en marcha y
funcionando.
Analista de Seguridad
El papel analista de seguridad se desarrolla en un nivel más alto, más estratégico. Ayuda a
desarrollar las políticas, normas y lineamientos establecidos. Un analista de seguridad
ayuda a definir los elementos del programa de seguridad y hace seguimiento a través de
diferentes elementos para asegurar que los procedimientos se están llevando a cabo
correctamente. Esta persona trabaja más a nivel de diseño que en un nivel de ejecución u
operacional.
Dueño de aplicación
Son personas encargadas de algunas aplicaciones específicas del negocio, por ejemplo, el
sistema de información del departamento de contabilidad. Por lo general los directores de
los diferentes departamentos o los dueños de aplicaciones son los responsables de decidir
quiénes pueden acceder a sus aplicaciones, sujeto a las políticas y los procedimientos
establecidos.
Supervisor
El supervisor es el responsable de toda la actividad de los usuarios y todos los recursos
creados para los usuarios. Es el responsable en materia de seguridad de que un número
de empleados entiendan sus responsabilidades y las políticas establecidas, además de
reportar cualquier novedad sobre la suspensión, transferencia o despido de algún
empleado. El supervisor debe informar al administrador de seguridad todos los cambios
presentados en los usuarios para que se habilite o deshabilite el acceso a los recursos
corporativos.
Integrantes Comité de Control de Cambios
Dado a la gran presencia de cambios en el ambiente y las configuraciones, alguien debe
asegurarse que los cambios se apliquen de forma segura. Los integrantes del comité de
control de cambios son responsables de aprobar o rechazar las solicitudes para realizar
cambios en la red, sistemas o servicios. Deben asegurarse que los cambios aprobados no
generaran ninguna indisponibilidad ni vulnerabilidad en la operación dela empresa. El
comité de cambios debe tener el conocimiento y la experiencia necesaria para entender
cómo los cambios pueden afectar la seguridad, operatividad y productividad del negocio.
Usuario
Un usuario es cualquier individuo que utiliza de forma rutinaria la información y los recursos
corporativos para desarrollar las tareas y actividades relacionadas con su trabajo. El usuario
debe tener un nivel de acceso necesario a los datos para realizar las actividades
relacionadas con sus funciones, además es responsable de seguir las políticas y normas
establecidas para garantizar la integridad, confiabilidad y disponibilidad de la información
para el mismo y los demás usuarios.
Auditor
La función del auditor se realiza periódicamente para asegurar que todo lo estipulado se
esté haciendo correctamente, se asegura que los controles y procedimientos adecuados
estén en su lugar y se mantengan de forma segura. El objetivo del auditor es asegurarse
que la organización cumpla con sus propias políticas, normas y reglamentos establecidos.
Las organizaciones pueden tener auditores internos y/o externos, los auditores internos son
personas que trabajan dentro de la organización y se capacitan para verificar todos los
procedimientos y controles se estén cumpliendo; los auditores externos suelen trabajar en
nombre de un organismo regulador que se encarga de verificar al igual que todo este
marchando en orden. CobiT es un modelo que la mayoría de los auditores de seguridad de
información siguen en la evaluación de un programa de seguridad.
 GOBERNABILIDAD DE SEGURIDAD
Una organización puede estar siguiendo muchos de los pasos descritos anteriormente: la
construcción de un programa de seguridad, integración con la arquitectura empresarial,
desarrollo de un programa de gestión de riesgos, documentación de los diferentes aspectos
del programa de seguridad, realización de protección de datos y la capacitación del
personal. Pero, ¿cómo sabemos que se está haciendo todo correctamente y de manera
permanente?, Aquí es donde el gobierno de la seguridad entra en juego. Este permite que
los objetivos de seguridad se establezcan en una organización, se apoyen por la alta
dirección y se comuniquen a través de los diferentes niveles de la organización. Además
permite establecer las medidas necesarias para implementar y reforzar la seguridad y
verificar su desempeño.
Para que los administradores, jefes de área y la dirección general se enteren de lo que esté
sucediendo con la integración de la seguridad se deben desarrollar mecanismos de
supervisión que integren adecuadamente todos los niveles de la organización, de manera
que todas las personas encargadas del proceso y los usuarios finales estén actualizados
sobre el rendimiento de la seguridad a través de los canales de comunicación, reportes y
métricas establecidas.
Vamos a comparar dos empresas. La empresa A tiene un programa eficaz de gobierno de

la seguridad y la empresa B no lo hace. Ahora para el ojo inexperto, parece como si las
empresas A y B son iguales en sus prácticas de seguridad, ya que ambos tienen las
políticas de seguridad, procedimientos, normas, los controles de la tecnología misma
seguridad (firewalls, IDS, gestión de identidad, etc.).
Empresa A Empresa B
Los miembros de la junta directiva
entienden que la seguridad de la Los miembros de la junta no
información es algo crítico para la entienden la importancia de la
empresa y requieren estar al tanto de seguridad de la información, sus
las actualización en seguridad, responsabilidades en el proceso
rendimiento y amenazas
Los directivos, administradores e

Los directivos, administradores e
integrantes de comités no se
integrantes de comités se reúnen cada
involucran en la seguridad de la
mes y la seguridad de la información es
información y piensan que todo es
uno de los temas en la agenda a revisar
responsabilidad del área de TI
El oficial de seguridad establece
Los administradores y directivos
algunas políticas de seguridad y las
establecen un nivel de riesgo aceptable
implementa en la empresa en
que será la base para las políticas y las
nombre del gerente o la junta
actividades de seguridad de la empresa
directiva
Todas las actividades de seguridad se

Los administradores y directores de
llevan a cabo dentro del
área designan responsables para llevar
departamento de seguridad de la
a cabo la gestión del riesgo y las
información y estas no son integradas
actividades relacionadas
con el resto de la empresa
Los procesos de negocio críticos son

Los procesos de negocio no son
documentados teniendo en cuenta el
documentados y no es analizado el
nivel de riesgo relacionado en cada
riesgo potencial para las operaciones
paso dentro de las unidades de negocio
y la productividad
o áreas de la empresa
Los empleados son mantenidos bajo Las políticas y estándares están
seguimiento en sus actividades implementadas, pero no hay
realizadas seguras, maliciosas y prácticas de apoyo y seguimiento de
accidentales las actividades de los empleados
Las soluciones de seguridad, servicios Las soluciones de seguridad, servicios

administrados o consultores administrados o consultores no son
contratados son analizadas de forma analizados de una buena manera sin
diligente para evaluar la productividad costo-beneficio, efectividad o retorno
y el costo-beneficio de los mismos. de la inversión
La organización analiza y evalúa sus

La organización no analiza ni evalúa
procesos continuamente, incluyendo la
sus rendimiento y mejoramiento,
seguridad de la información con el
pero continua avanzando y
objetivo de lograr una mejora
cometiendo los mismos errores
continua.
3. GESTION DE RIESGOS
EVALUACIÓN Y ANÁLISIS DEL RIESGO
La evaluación del riesgo es una herramienta para la gestión de riesgos, un método de

identificación de amenazas y vulnerabilidades que permite evaluar los posibles impactos y
determinar dónde aplicar los controles de seguridad necesarios. El análisis de riesgos es
utilizado para garantizar la rentabilidad del costo-beneficio de la implementación de la
seguridad en las organizaciones y garantizas la oportuna respuesta ante amenazas.
La seguridad informática es un tema complejo incluso para los profesionales en esta área,
ya que los mecanismos y controles implementados podrían no ser los adecuados para
garantizar el cumplimiento de los objetivos de seguridad, además es posible gastar mucho
dinero en el proceso de implementación el cual al final podría no cumplir con los objetivos
propuestos inicialmente.
El análisis del riesgo ayuda a las empresas priorizar sus riesgos y permite realizar una
adecuada gestión de la cantidad de recursos que deben ser utilizados para aplicar la
protección necesaria a los mismos.
El análisis del riesgo tiene cuatro objetivos principales:
• Identificar los activos y su valor para la organización.
• Identificar las vulnerabilidades y amenazas.
• Cuantificar la probabilidad de ocurrencia y el impacto del negocio para las amenazas
potenciales.
• Proporcionar un equilibrio económico entre el impacto de la amenaza identificada y el
costo de la medida definida.
El análisis del riesgo proporciona una comparación costo-beneficio, que compara el costo
anual de los controles de protección con el costo potencial de pérdida. En la mayoría de los
casos un control no debe aplicarse si el costo anualizado excede el valor del costo de
perdida; esto quiere decir que si una instalación de una empresa tiene un valor de 50
millones no tiene sentido gastar 70 millones para tratar de protegerla.
IDENTIFICAR VULNERABILIDADES Y AMENAZAS
Existen muchos tipos de amenazas que pueden tomar ventaja de los diferentes tipos de
vulnerabilidades que pueden afrontar las organizaciones en los programas de gestión del
riesgo.
Como se mencionó anteriormente la definición de un riesgo es la probabilidad de que un

agente amenaza explote una vulnerabilidad para causar daño a un activo y el impacto final
que este pueda tener en el negocio. Existen muchos tipos de agentes amenaza que pueden
tomar ventaja de varios tipos de vulnerabilidades como se indica en la tabla de la siguiente
página, en la cual se representa sólo una muestra de los riesgos que muchas empresas
deben abordar en sus programas de gestión del riesgo.
Vulnerabilidad que puede
Amenaza Resultado de la amenaza
ser explotada
Malware Falta de software antivirus Infección de virus
Servicios importantes en un Acceso no autorizado a

Hacker
servidor de bases de datos información confidencial
Parámetros de seguridad no
Mal funcionamiento del
Usuarios configurados en el sistema
sistema operativo
operativo
Divulgación de
información confidencial,
Falta de entrenamiento o alteración de las entradas
Empleado
falta de auditoria y salidas en las
aplicaciones de entra y
salida de datos
Daño en las locaciones y

Fuego Falta de extintores
equipos a causa del fuego
Robo o pérdida de activos

Falta de mecanismos de
Contratista e información de la
control de acceso
empresa
Código de aplicaciones
Ataques de fuerza bruta y
Atacante débil, configuración
sobrecarga de buffer
ineficiente del firewall
Falta de un guardia de Daños de dispositivos y
Intruso
seguridad partes físicas del edificio
Riesgo total vs riego residual
La razón para que una empresa implemente medidas es para reducir el riesgo global hacia
un nivel aceptable. Es importante aclarar que ningún sistema o medio ambiente es 100%
seguro, lo que quiere decir que siempre habrá algún tipo de riesgo restante a enfrentar, esto
se conoce riesgo residual.
El riesgo total es diferente al riego residual, este es el riesgo al que se enfrenta una
empresa si decide no aplicar ningún tipo de medida o garantía. Una empresa puede optar
por tomar el riesgo total si los resultados del análisis costo-beneficio indican que por su
valor esta es la mejor decisión. Por ejemplo, si hay una pequeña probabilidad de que los
servidores web de una empresa puedan verse comprometidos y las medidas necesarias
para dar un mayor nivel de protección van a costar más que la pérdida potencial, la empresa
optara por no aplicar la contramedida eligiendo no hacerle frente y aceptando el riesgo total.
 MANEJO DEL RIESGO
Una vez que una empresa sabe la cantidad de riesgo total y residual que enfrenta debe
decidir cómo manejarlo. El riesgo puede ser tratado en cuatro formas: transferirlo, evitarlo,
reducirlo o aceptarlo.
Muchos seguros están disponibles para proteger los activos en las empresas, si una
empresa decide que el riesgo total es demasiado alto como para jugar con él y manejarlo,
puede adquirir un seguro con el cual podrá transferir el riesgo a la compañía de seguros.
Si una empresa decide poner fin a la actividad está causando el riesgo esto se conoce como
evitar el riesgo, por ejemplo, si una compañía permite o deniega el uso de la mensajería
instantánea (IM) en los empleados evita o mantiene muchos riesgos que rodean a esta
tecnología.
Otro enfoque es la mitigación o reducción del riesgo, en el que el riesgo este se reduce a
un nivel que se considera lo suficientemente aceptable para continuar con normalidad en la
operación del negocio, por ejemplo, la implementación y capacitación de dispositivos de
seguridad como sistemas de protección/detección de intrusión, firewalls u otros tipos de
control representan tipos de esfuerzos para la mitigación de riesgos. El último enfoque es
aceptar el riesgo, lo que significa que la compañía entiende el nivel de riesgo al que se
enfrenta, el costo potencial del daño y decide vivir con el mismo sin implementar ninguna
contramedida. Muchas empresas aceptan el riesgo cuando analizan la relación costo-
beneficio y el costo de la contramedida es mayor al valor de la potencial pérdida.
Gestión del riesgo:
- Análisis del riesgo

- Identificar las amenazas
- Determinar las probabilidades
- Valorar el riesgo
- Evaluar las protecciones
- Cuantificar el impacto de las amenazas
- Calificar el impacto
- Determinar probabilidad de ocurrencia: alta, media, baja, critica
- Aceptación, mitigación, transferencia y evadir el riesgo
• Análisis del riesgo cuantitativo Asignar valores monetarios y numéricos a todos los
elementos de datos de una evaluación del riesgo.
• Análisis del riesgo cualitativo Método basado en el análisis del riesgo con el uso de
escenarios y valoraciones.
• Funcionalidad versus efectividad del control Funcionalidad es lo que el control hace y
la efectividad es que también lo hace
• Riesgo total Es la cantidad total de riesgo existente antes de que un control sea
implementado, Amenazas x Vulnerabilidades x Activos = Riesgo total
• Riesgo residual El riesgo que permanece luego de la implementación de un control,
Amenazas x Vulnerabilidades x Activos x (brecha del control) = Riesgo residual
• Manejo del riesgo Aceptar, transferir, mitigar o evitar
4. MARCOS DE REFERENCIA, ESTÁNDARES Y MEJORES PRÁCTICAS DE
SEGURIDAD
MARCOS DE REFERENCIA DE SEGURIDAD (FRAMEWORK)
Hasta este punto sabemos lo que necesitamos para llevar a cabo (disponibilidad, integridad
y confidencialidad), sabemos que las herramientas que podemos utilizar (controles
administrativos, técnicos y físicos), además de cómo hablar de este tema (vulnerabilidad,
amenaza, riesgo y control).
El concepto de seguridad por oscuridad (no recomendado) supone que los atacantes no
son tan inteligentes como usted y no pueden imaginar algo se piensa es muy difícil. Por
ejemplo, poner una llave adicional debajo de un tapete o encima de un marco en caso de
que la puerta de la casa se cierre o perdamos las llaves. Usted asume que nadie sabe el
lugar donde escondió la llave de repuesto, siempre y cuando los demás no se enteren de
esto se puede considerar seguro. La vulnerabilidad es que cualquier persona podría
acceder fácilmente a la casa si conoce el lugar donde se guardan las llaves.
 ISO/IEC 27000 SERIES
La industria se ha movido desde el estándar ambiguo BS7799 hasta toda la lista de

estándares ISO/IEC que tratan de dividir y poner en módulos los componentes necesarios
de un sistema de gestión de seguridad de la información (SGSI) siglas en español,
(ISMS) siglas en ingles.
• ISO/IEC 27000 Información general y vocabulario
• ISO/IEC 27001 Requerimientos del SGSI
• ISO/IEC 27002 Código de prácticas para la gestión de seguridad de la información
• ISO/IEC 27003 Pautas para la implementación del SGSI
• ISO/IEC 27004 Pautas de medición y métricas para la gestión de seguridad de la

información
• ISO/IEC 27005 Pautas para la gestión del riesgo de seguridad de la información
• ISO/IEC 27006 Guía para los organismos que realizan auditoria y certificación de sistemas
de gestión de seguridad de la información
• ISO/IEC 27011 Pautas de seguridad de la información para empresas de

telecomunicaciones
• ISO/IEC 27031 Pautas en tecnologías de la información y las comunicaciones (TIC) para

la preparación de continuidad del negocio
• ISO/IEC 27033-1 Pautas para seguridad de red
• ISO 27799 Pautas para la gestión de seguridad de la información en organizaciones de

salud
Este grupo de normas se conoce como la serie ISO/IEC 27000 y sirve como mejores
prácticas de la industria para la gestión de los controles de seguridad de manera integral
dentro de las organizaciones de todo el mundo.
Ciclo (PHVA)
ISO sigue el Planificar - Hacer - Verificar - Actuar, que es un proceso iterativo que se
utiliza comúnmente en los programas de control de calidad de procesos de negocio. El
componente Planificar hace referencia al establecimiento planes y objetivos, el
componente Hacer hace referencia a la ejecución de los planes, el componente Verificar
hace referencia a la medición de los resultados relacionado con el cumplimiento de los
objetivos y finalmente el componente Actuar proporciona orientación acerca de cómo
corregir y mejorar los planes para lograr un mayor éxito.
 El estándar ISO 27001 es el punto de partida para la implementación del sistema de
gestión de seguridad de la información (SGSI) en las organizaciones.
 ISO/IEC 27001 es el estándar para el establecimiento, implementación, control y mejora
del sistema de gestión de seguridad de la información.
 Un sistema de gestión de seguridad de la información (SGSI) es un conjunto coherente
de políticas, procesos y sistemas que permiten gestionar los riesgos de los activos de
información como se indica en la norma ISO\IEC 27001.
 NIST CYBERSECURITY FRAMEWORK
Es un estándar creado por el NIST, instituto estadounidense. Utiliza un lenguaje de fácil

entendimiento, guiar a las empresas y organizaciones de todos los tamaños, a gestionar y
reducir los riesgos de ciberseguridad y proteger su información.
Está enfocado a la seguridad y protección de infraestructuras críticas, de las cuales,

dependa al normal funcionamiento de un país; como la generación de electricidad,
tratamiento y entrega de agua potable, la economía, seguridad, telecomunicaciones, etc.
Los pasos o las funciones de este marco se enfocan en Identificar, proteger, detectar,
responder y recuperar. Cinco pilares, para llevar todo este ciclo y poder gestionar los
riesgos de forma adecuada. Enfrentar, manejar, mitigar y contener de buena manera las
ciber amenazas.
Identificar: Desarrollar y generar un entendimiento para administrar el riesgo de

ciberseguridad de los sistemas, personas, activos, información. Comprensión del contexto
empresarial, los recursos que respaldan las funciones críticas y los riesgos relacionados con la
ciberseguridad, permiten que se enfoque y prioricen sus esfuerzos.
Proteger: Describe las medidas de seguridad indicadas para garantizar la entrega de servicios
o funcionalidad de las infraestructuras críticas. La capacidad de limitar o contener el impacto de
un potencial evento de ciberseguridad.
Detectar: Identifica actividades necesarias para identificar el nivel de ocurrencia de un evento
de ciberseguridad, permitiendo el descubrimiento oportuno.
Responder: Permite tomar medidas con respecto a un incidente de ciberseguridad detectado,

desarrollando la capacidad de contener y mitigar el alcance y el impacto del incidente.
Recuperar: Planes para resistir y recuperar las capacidades y servicios, que hayan podido
afectar el incidente de ciberseguridad.
 ALGUNOS MARCOS DE REFERENCIA Y MEJORES PRÁCTICAS
Desarrollo de programas de seguridad

• ISO/IEC 27000 series estándares internacionales que hacen referencia a cómo
desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI).
Desarrollo de arquitectura tecnológica empresarial

• Zachman framework Modelo para el desarrollo de arquitectura empresarial
• TOGAF Modelo y metodología para el desarrollo de arquitectura empresarial
• DoDAF Marco de referencia de arquitectura empresarial del departamento de defensa de
los Estados Unidos que garantiza interoperabilidad de los sistemas para cumplir los
objetivos militares
• MODAF Marco de referencia de arquitectura usado principalmente en apoyo de misiones
militares
Gestion de procesos
• ITIL Procesos para permitir la gestión de servicios de TI
• Six Sigma Estrategia de gestión de negocios que puede ser usada para realizar el
mejoramiento de procesos
• Capability Maturity Model Integration (CMMI) Desarrollo de procesos de mejoramiento
organizacional
Desarrollo de arquitectura de seguridad empresarial

• SABSA model Modelo y metodología para el desarrollo de arquitectura empresarial de
seguridad
Desarrollo de controles de seguridad

• CobiT Conjunto de objetivos de control para la gestión de TI
• SP 800-53 Conjunto de controles para proteger sistemas federales
Gobiernancia corporativa
• COSO Conjunto de controles corporativos para ayudar a reducir el riesgo de fraude
financiero

Demo Libro Digital Ciberseguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Demo Libro Digital Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Libro digital de Ciberseguridad

Concepto de seguridad: Conjunto de procesos, herramientas y personas que hacen parte

Es necesario comprender los objetivos básicos de la seguridad, los cuales proporcionan

Se confirma cuando se proporciona con exactitud la información requerida y cualquier

Asegura que el nivel secreto necesario se cumpla en cada procesamiento de datos y

“Un sistema de seguridad es tan fuerte como el eslabón más débil”

Cuando la seguridad informática se trata esto comúnmente se hace a través de la

Las palabras vulnerabilidad, amenaza y riesgo a menudo se intercambian, a pesar de que

Es cualquier peligro potencial que está asociado a la explotación de una vulnerabilidad. Es

Es la probabilidad de que un agente amenaza pueda explotar una vulnerabilidad y el

En los temas anteriores se cubrieron los objetivos de seguridad disponibilidad, integridad y

Los controles administrativos se refieren comúnmente a los que son orientados a la

La política de seguridad organizacional tiene varias características importantes:

• Los objetivos de negocio deben impulsar la creación, implementación y ejecución de la

A continuación, se muestra una jerarquía de políticas de seguridad, que ilustran la relación

Generalmente las políticas se categorizan dentro de las siguientes categorías:

Desafortunadamente las políticas de seguridad, normas, procedimientos, lineamientos

La publicación de esta información a través de diferentes recursos como correos

La implementación de políticas de seguridad y sus elementos de apoyo demuestran la

Lineamiento Base (Baseline)

Los procedimientos explican como la política, normas y directrices se pueden implementar

La clasificación de información es un tema importante dentro del concepto de seguridad de

Luego de realizar un análisis y clasificación de la información en diferentes segmentos con

A continuación, se muestra el detalle de los niveles de clasificación corporativo y militar:

La divulgación de la información no causa ningún Información del portafolio de

Si la información es divulgada puede Planes para tropas, ubicación de

Si la información es divulgada puede Información de nuevas

• La utilidad de los datos

ROLES (algunos de ellos)

Vamos a comparar dos empresas. La empresa A tiene un programa eficaz de gobierno de

Los directivos, administradores e

Todas las actividades de seguridad se

Los procesos de negocio críticos son

Las soluciones de seguridad, servicios Las soluciones de seguridad, servicios

La organización analiza y evalúa sus

EVALUACIÓN Y ANÁLISIS DEL RIESGO

La evaluación del riesgo es una herramienta para la gestión de riesgos, un método de

IDENTIFICAR VULNERABILIDADES Y AMENAZAS

Como se mencionó anteriormente la definición de un riesgo es la probabilidad de que un

Servicios importantes en un Acceso no autorizado a

Daño en las locaciones y

Robo o pérdida de activos

Riesgo total vs riego residual

 MANEJO DEL RIESGO

Gestión del riesgo:

- Análisis del riesgo

• Manejo del riesgo Aceptar, transferir, mitigar o evitar

MARCOS DE REFERENCIA DE SEGURIDAD (FRAMEWORK)

 ISO/IEC 27000 SERIES

La industria se ha movido desde el estándar ambiguo BS7799 hasta toda la lista de

• ISO/IEC 27001 Requerimientos del SGSI

• ISO/IEC 27002 Código de prácticas para la gestión de seguridad de la información

• ISO/IEC 27003 Pautas para la implementación del SGSI

• ISO/IEC 27004 Pautas de medición y métricas para la gestión de seguridad de la

• ISO/IEC 27005 Pautas para la gestión del riesgo de seguridad de la información

• ISO/IEC 27011 Pautas de seguridad de la información para empresas de

• ISO/IEC 27031 Pautas en tecnologías de la información y las comunicaciones (TIC) para

• ISO/IEC 27033-1 Pautas para seguridad de red

• ISO 27799 Pautas para la gestión de seguridad de la información en organizaciones de

Es un estándar creado por el NIST, instituto estadounidense. Utiliza un lenguaje de fácil

Está enfocado a la seguridad y protección de infraestructuras críticas, de las cuales,

Identificar: Desarrollar y generar un entendimiento para administrar el riesgo de

Responder: Permite tomar medidas con respecto a un incidente de ciberseguridad detectado,

 ALGUNOS MARCOS DE REFERENCIA Y MEJORES PRÁCTICAS