Herramientas de análisis y gestión de la

información

Actividad 2: Ciberseguridad

Profesor:
Ramón Millares

Presentado por:
Francisco Amadeo Medina Gámez
Objetivos

Objetivo General

Adquirir conocimientos sobre el Marco para la mejora de la seguridad cibernética en

infraestructuras críticas del NIST para poder evaluar las políticas de la compañía
SIEMENS GAMESA, detallando el nivel de alineación entre estas las posibles políticas
o medidas para mejorarlas.

Objetivos específicos

 Conocer mediante la lectura las normas y políticas que se detallan en el Marco

para la mejora de la seguridad cibernética en infraestructuras críticas de NIST.

 Evaluar la alineación de las normas implementadas en la empresa SIEMENS

GAMESA con las normas Marco para la mejora de la seguridad cibernética en
infraestructuras críticas de NIST

 Mejorar las normas actuales según consideraciones de Ciberseguridad.

Introducción
La implementación de políticas de seguridad es de vital importancia para garantizar la
integridad y seguridad de la información de la empresa en la actualidad, es por eso la
importancia de estudiar y conocer las diferentes políticas de seguridad, en este caso
con un enfoque hacia la norma de Marco para la mejora de la seguridad cibernética en
infraestructuras críticas de las NIST.
La ciberseguridad se ha vuelto no solamente una moda, si no, una necesidad que
permite mantener los activos de la información de las diferentes empresas de forma
segura, esto implica realizar inversiones considerables y cambios en los diferentes
procesos de la empresa, pero que finalmente generan valor a la empresa y los
negocios, causando confianza en los clientes.
La empresa SIEMENS GAMESA es única en el mundo que opera a escala global en
todo el sector de energía eólica fundada en Dinamarca en los años de 1980 y
mudándose a España en los años de 1995, teniendo presencia en Portugal, Francia,
Grecia, Irlanda, Reino Unido, EE. UU., China y México, considerando una historia de
negocio de años y su amplio portafolio de productos, servicios y clientes, es de vital
que se tenga bien definidas sus políticas de ciberseguridad, para garantizar que todos
sus datos estén protegidos.

Alcance

El presente trabajo esta elaborado en el sentido de poder evaluar el nivel de

adaptación de las políticas que se encuentran en el “Marco para la mejora de la
seguridad cibernética en infraestructuras críticas” del NIST y algunas
recomendaciones como estudiante para mejorar dichas políticas.
Alineación de políticas SIEMENS GAMESA con NIS

En el anexo 1 podemos ver las normas de la empresa, la cual es el objeto de análisis

de este documento, la importancia de este es la interpretación adecuada de las
normas de seguridad que se implementan actualmente y las mejoras que puedan
presentarse, en el siguiente cuadro expondré mi percepción a las normas
implementadas por la empresa en comparación a las NIST.
A continuación, se tratará de elaborar el Núcleo Macro que es un cuadro para obtener
resultados específicos, esto con el objetivo de identificar en categorías y subcategorías
las acciones que conllevan en la normativa de Ciberseguridad.

CATEGORIA SUBCATEGORIA
IDENTIFICA Estandarizar y mantener Supervisión de ISO / IEC
R un modelo de gobierno de estándares, optimización 27001 e IEC
Ciberseguridad, de recursos, promover la 62443
organización de cultura de ciberseguridad,
Ciberseguridad, aplicación de estándares
implementando
estructuras y procesos
para mantener y
desarrollar capacidades
de seguridad
PROTEGER medidas de protección de confidencialidad, ISO / IEC
los activos digitales integridad y disponibilidad 27001 e IEC
de la información y los 62443
sistemas, implantación de
mecanismos de
seguridad y resiliencia a
DETECTAR uso de múltiples fuentes Uso de herramientas ISO / IEC
de inteligencia tecnológicas y vigilancia 27001 e IEC
de datos. 62443
RESPONDE Limitar impacto en la Promover las ISO / IEC
R compañía, asegurar la capacidades de 27001 e IEC
continuidad de los prevención, detección, 62443
servicios soportados reacción, análisis,
recuperación, respuesta,
investigación y
coordinación contra
incidentes y actividades
del cibercrimen
RECUPERA Restaurar cualquier Restauración inmediata ISO / IEC
R capacidad o servicio de servicios críticos. 27001 e IEC
Trabajo en conjunto con 62443
equipo especializado de
TI.
En el siguiente apartado identificare el Nivel de implantación del Marco según NIST de
la empresa SIEMENS GAMESA, esto para ver que tan alineado esta la empresa a
dichas políticas que desde mi punto de vista está en NIVEL 4.

Nivel 4: Adaptable
Tipo NIST SIEMENS GAMESA
Proceso de gestión de La organización adapta sus El proceso de gestión de
riesgos prácticas de seguridad SIEMENS GAMESA se basa
cibernética basándose en en políticas definidas según
actividades previas y buenas prácticas y
actuales de ciberseguridad, estándares de
el cual incluye las lecciones ciberseguridad, así también
aprendidas y los indicadores en la experiencia de sus
predictivos. A través de un antecedentes, según la
proceso de mejora continua lectura y en su sitio web
que incorpora prácticas y cuentan con la tecnología
tecnologías avanzadas de necesaria para responder
seguridad cibernética, la ante cualquier amenaza de
organización continuamente seguridad de los datos.
se adapta a un panorama
cambiante de amenazas y
tecnologías, y responde de
manera eficaz y oportuna a
las nuevas y sofisticadas
amenazas.
Programa integrado de Existe un enfoque en toda la Según la política de
gestión de riesgos organización para gestionar ciberseguridad SIEMENS
el riesgo de seguridad GAMESA cuenta con un
cibernética que utiliza las Comité Holístico de
políticas, los procesos y los Seguridad el cual tiene la
procedimientos informados autoridad para dar directrices
sobre riesgos para abordar y orientación en todo tipo de
posibles eventos de tareas de ciberseguridad,
seguridad cibernética. Se implementando también un
entiende claramente la Gobierno de Ciberseguridad,
relación entre el riesgo de esto indica que la empresa
seguridad cibernética y los está enfocada como una sola
objetivos de la organización, organización que utiliza
y se tienen en cuenta al políticas y procesos para
tomar decisiones. Los altos abordad cualquier riesgo.
ejecutivos vigilan el riesgo de
seguridad cibernética en el
mismo contexto que el riesgo
financiero y otros riesgos
organizacionales. El
presupuesto de la
organización se basa en la
comprensión del entorno al
riesgo actual y previsto, y su
tolerancia al riesgo. Las
unidades de negocios
implementan la visión
ejecutiva y analizan los
riesgos a nivel del sistema
en el contexto de las
tolerancias del riesgo
organizacional. La gestión
del riesgo de seguridad
cibernética es parte de la
cultura organizacional y
 evoluciona a partir de la
conciencia de las actividades
previas y la conciencia
continua de las actividades
en sus sistemas y redes. La
organización puede adaptar
de forma rápida y eficiente a
los cambios en los objetivos
empresariales /de misión en
la forma en que se aborda y
comunica el riesgo.
Participación externa La organización entiende su Es claro que SIEMENS
rol, sus dependencias y sus GAMESA mantiene definidos
dependientes en el los roles dentro de la
ecosistema más amplio y organización en cuanto a
contribuye a una mayor Ciberseguridad se refiere,
comprensión de los riesgos así también mantiene
por parte de la comunidad. constante retroalimentación
Recibe, genera y revisa con entidades
información priorizada que gubernamentales y
informa el análisis continuo asociaciones de
de sus riesgos a medida que Ciberseguridad para
evolucionan los paisajes de garantizar la seguridad de
amenazas y tecnología. La sus activos de información.
organización comparte esa
información con otros
colaboradores de forma
interna y externa. La
organización utiliza
información en tiempo real o
casi en tiempo real para
comprender y actuar de
forma coherente sobre los
riesgos de la cadena de
suministro cibernético
asociados con los productos
y servicios que proporciona y
que utiliza. Además, se
comunica de manera
proactiva, utilizando
mecanismos formales (por
ejemplo, acuerdos) e
informales para desarrollar y
mantener relaciones sólidas
de la cadena de suministro.

Es claro que SIEMENS GAMESA esta alineado con la normativa NIST, así también
esta claro el compromiso de proteger la información de sus clientes y negocios,
implementando controles y estándares de Ciberseguridad.
No obstante podría agregar que la ciberseguridad es un tema cambiante día con día,
lo cual no basta con tener definidas las políticas de seguridad, para lo cual
recomendaría la creación de un comité de vigilancia el cual evalué semanal o
mensualmente las nuevas amenazas de ciberseguridad y las falencias en el
cumplimiento de las normas dentro de la empresa, así tendrán actualizaciones
importantes tanto a nivel humano como normativo.
Conclusiones

 La empresa SIEMENS GAMESA esta alineada con el marco regulatorio “Marco

para la mejora de la seguridad cibernética en infraestructuras críticas” del NIST
el cual trata de que las empresas tengan una política de ciberseguridad
integral.

 La ciberseguridad es un área que día a día esta en constante evolución lo cual

tener un comité de evaluaciones de riesgo elevaría los niveles de protección de
los datos de la empresa.

 La implementación de tecnología para la vigilancia de datos es importante, ya

que estas herramientas pueden detectar lo que las personas a simple vista no
pueden percibir.
Anexos
Anexo 1.