Documentos de Académico
Documentos de Profesional
Documentos de Cultura
© Structuralia 2
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
ÍNDICE
ÍNDICE........................................................................................................................................................................... 3
3.1 IDS....................................................................................................................................................................... 19
3.2 IPS ....................................................................................................................................................................... 19
3.3 IoC ....................................................................................................................................................................... 20
3.4 TTP ...................................................................................................................................................................... 21
3.5 EDR ..................................................................................................................................................................... 22
3.6 SIEM .................................................................................................................................................................... 23
3.7 Pentest ................................................................................................................................................................ 24
3.8 Equipos Rojo, Azul y Púrpura .............................................................................................................................. 24
3.9 Ejemplos de resultados y artefactos de Detectar ................................................................................................ 27
© Structuralia 3
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
6. REFERENCIAS ....................................................................................................................................................... 41
© Structuralia 4
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Dwight D. Eisenhower1
En este capítulo vamos a hablar de los planes necesarios en ciberseguridad. Para ello
seguiremos la estructura y propuestas de las series estándar internacional ISO 27000 y NIST
Cybersecurity Framework que son los referentes en todo el mundo. Pese a que los estándares
poseen un nivel de detalle y alcance muy grande, en este capítulo obtendremos daremos las
herramientas y conocimientos necesarios para la puesta en marcha de lo mínimo necesario y a
partir de ello seguir evolucionando hasta poseer el plan adecuado para nosotros o nuestra
organización.
La cita de Dwight D. Eisenhower nos enseña que los planes se crean para ser cambiados,
porque lo importante es el ejercicio de crearlos, mantenerlos y mejorarlos en base a la
experiencia y los cambios que se perciban.
Vulnerabilidad
Estos «agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de
configuración o carencias de procedimientos.
© Structuralia 5
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
1.1.3. Ejemplo
▪ Errores de configuración.
o Gestión de contraseñas
o Recuperación de contraseñas
Amenaza
Una amenaza se define como cualquier "causa potencial de un incidente no deseado, que
puede resultar en daño a un sistema u organización".
Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios,
inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar
cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.
© Structuralia 6
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
1.2.3. Ejemplo
▪ Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo la
reputación de la empresa.
▪ Servicios en la nube: una empresa que contrate este tipo de servicios debe tener en
cuenta que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas a
su proveedor de servicios. Se ha de asegurar de contratarlos con empresas cuya
seguridad este demostrada, y firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los
que quede definida la seguridad que necesita la empresa.
Riesgo
© Structuralia 7
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
▪ Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
Si no entendemos y sabemos hacer entender las diferencias entre estos conceptos nunca
podremos entender la realidad respecto a la ciberseguridad a la que nos enfrentamos y
seremos incapaces de identificar los riesgos reales de nuestros activos (esto se aplica tanto a
nivel personal como de organización).
© Structuralia 8
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Y finalmente… Identificar
© Structuralia 9
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Todos la planificación y sus correspondientes planes deben siempre tener como objetivo
primario el poner a salvo a las personas y el negocio, para seguidamente aislar la contingencia
y sus posibles consecuencias, para finalmente empezar a operar de nuevo (incluso si no se ha
solucionado la contingencia).
Así pues primeramente necesitaremos un plan de contingencia para cada una de las posibles
que pueden suceder, una vez iniciado el plan de contingencia pasaremos a garantizar la
continuidad del negocio, es decir cómo nos empezamos a recuperar de la contingencia,
finalmente debemos ponernos en el peor de los escenarios posible y realizar nuestro plan de
recuperación en caso de desastre (terremotos, incendios, ataques terroristas…).
© Structuralia 10
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
2. PROTEGER LA ORGANIZACIÓN
La función de protección describe las salvaguardias adecuadas para garantizar la prestación de
servicios de infraestructura crítica. La función de protección admite la capacidad de limitar o
contener el impacto de un posible evento de ciberseguridad.
Erasmo de Rotterdam3
Esta máxima que tiene su origen en el mundo de salud puede igualmente ser aplicada al
mundo de la ciberseguridad. Ya que todo el esfuerzo correcto realizado en esta fase es donde
podremos evitar o minimizar los ataques que podamos sufrir (porque los sufriremos, de hecho
ya los estamos todos sufriendo tanto a nivel organizativo como personal).
Esta es la fase más importante de todas ya que materializa y evita las amenazas y riesgos
detectados en el punto 1. Donde una correcta aplicación y control de salvaguardas evitarán los
siguientes a puntos a tratar de la unidad ( y que normalmente representan el coste importante,
tanto económico como personal).
© Structuralia 11
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Gracias al grado de madurez que proporcionan los servicios por internet, ya estamos muy
familiarizados con los conceptos de gestión de la identidad y control de acceso. No es extraño
que la idea que la experiencia le haya aportado, estimado lector, le haga verlo como un todo
indivisible.
La gestión de identidades es el proceso organizativo para garantizar que las personas tengan
el acceso adecuado a los recursos tecnológicos.
Ahora piense en un ejemplo que incluya cada elemento de IAAA. Pensando en una página de
inicio de sesión estándar, que es la forma en que la mayoría de nosotros accedemos a los
sistemas, generalmente vemos dos campos; nombre de usuario y contraseña. El nombre de
usuario es su identidad, sin él, el sistema no sabe quiénes somos y no puede otorgarnos
acceso. Al proporcionar un nombre de usuario, le decimos al sistema quiénes somos.
Una vez que nos hemos identificado, debemos autenticarnos y probar nuestra identidad. Este
es el campo de contraseña. Debe autenticar su nombre de usuario para acceder al sistema, y
también se utilizan otros métodos como huellas dactilares, pines y escaneos de iris para la
autenticación.
Ahora que ha accedido con éxito al sistema, puede ver, editar y eliminar información según los
derechos que se le han otorgado.
© Structuralia 12
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Las organizaciones tienen que definir y encontrar la forma en como identifican a sus miembros
tanto internos como externos. Las organizaciones tradicionales suelen proporcionar una
identificación basada en la combinación de nuestro nombre y apellidos (nuestra forma de
identificarnos en la sociedad). Ejemplos como perico_palotes, ppalotes o pericopal son formas
habituales. Debido a la proliferación de nombres iguales o similares, se resuelven estas
duplicidades o bien añadiendo un cardinal al final del nombre (perico_palotes2), o
introduciendo nuevos componentes como el segundo apellido (perico_palotes_fernandez)
Las organizaciones más modernas o basadas en internet nos permiten el uso de alias, es decir
nombres o combinaciones de letras y palabras que nos permitan identificarnos. Ejemplos como
labellezadelamadretierra, angel_del_infierno,….Pese a que las duplicidades son mucho menos
probables, las organizaciones nos proponen incluir pequeñas variaciones en alguna letra o
introducir cardinales.
Puedes demostrar que eres el usuario definido en el punto 2.2.1 mediante 5 formas distintas:
▪ Algo que solo tú eres, como por ejemplo una huella dactilar.
Una vez finalizado el proceso de autenticación, se pasa a identificar tu rol y tus permisos de
acceso para los distintos recursos informáticos de la organización. Así pues, solo se deberá
poder acceder a aquellos sistemas y a aquella información a la que se nos haya permitido tener
acceso.
© Structuralia 13
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Autenticación multifactor
Como hemos visto en el punto 2.2.2 anterior, hay varias formas de demostrar quienes somos.
Nos encontramos actualmente en una situación en la que cada vez necesitamos acceder a
sistemas específicos dentro de las organizaciones y que hasta ahora estaban securizados ya
que no podían ser accedidos desde internet. La apertura de dichos sistemas a su posible
acceso desde internet (una red de no confianza, nunca debemos olvidar este punto) multiplica
tanto el número de ataques en forma de accesos fraudulentos.
Para evitar que la suerte se alíe con los atacantes podemos solicitar varias formas de
demostrar quién eres tú.
Así pues, la proliferación de solicitud de más de una forma de autenticación de los usuarios es
conocida como Autenticación multifactor (MFA, sus siglas en inglés). No nos sorprende que
para acceder a servicios web sensibles como la banca online, nos pidan nuestro ID de la
organización, nuestra contraseña y acto seguido un número único que obtendremos de un
generador de contraseñas que tenemos en un dispositivo que previamente habremos
configurado (Google Authenticator, Microsoft Authenticar,….).
En el ejemplo anteriormente descrito hemos utilizado los puntos 1 y 2 del apartado 2.2.2, pero
perfectamente podrían ser 2 o más de los elementos de dicho listado.
Confianza 0
Confianza 0 (o su expresión más utilizada en inglés, 0-trust) asume que los actores que no son
de confianza ya existen dentro y fuera de la red. Por lo tanto, la confianza debe ser
completamente eliminada de la ecuación. Zero Trust Security requiere precisos servicios de
identidad para asegurar el acceso de cada usuario a las aplicaciones e infraestructura.
Una vez que se autentica la identidad y se prueba la integridad del dispositivo, se concede la
autorización y el acceso a los recursos, pero con el privilegio suficiente para realizar la tarea en
cuestión.
La seguridad perimetral tradicional dependía de firewalls, VPN y gateways para separar las
zonas de confianza de los usuarios no confiables. Pero a medida que los "empleados móviles"
comenzaron a acceder a la red a través por su propia cuenta, con sus propios dispositivos, se
empezaron a crear perímetros borrosos.
© Structuralia 14
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
▪ Verificar el usuario.
▪ Verificar su dispositivo.
▪ Aprender y adaptar.
Concienciación y Formación
Una muy buena práctica es incluir dentro del paquete de bienvenida a cualquier nuevo
miembro de una organización una formación y concienciación en ciberseguridad. Esta acción
tendrá doble impacto ya que claramente pondremos la ciberseguridad al mismo nivel que
cualquier otro tipo de seguridad (control de acceso, no imprimir datos confidenciales,…) y
además informaremos de cómo actuar en caso de cualquier eventualidad (ej.: sufrir un phising,
perder el ordenador portátil).
© Structuralia 15
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Es una muy buena práctica que las personas involucradas en un incidente reciban una
formación y concienciación post-mortem. Esto es, tras la vuelta a la normalidad después del
incidente.
Hay que recalcar que este incidente puede ser debido a una acción directa de la persona (ej.:
robo de credenciales), o un hecho colateral sobre la persona (ej.: fuga de datos sobre usuarios
en plataformas web). El mensaje y la formación será diferente pero siempre es bueno que sea
obligatoria para cualquiera (incluyendo altos cargos y directores) que puedan verse implicados.
¡No hay ninguna vergüenza en realizar formaciones tras incidentes!
2.6.1. Políticas
Las políticas son establecidas por el liderazgo corporativo de una organización que establece la
"intención de la administración" para los requisitos de ciberseguridad y protección de datos que
son necesarios para respaldar la estrategia y misión general de la organización.
2.6.2. Procedimientos
Los procedimientos (también conocidos como actividades de control) establecen las prácticas
definidas o los pasos que se realizan para cumplir con los estándares de implementación y
satisfacer los controles / objetivos de control.
© Structuralia 16
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
2.6.3. Estándares
Son documentos donde se informa y se especifica al usuario u organización de cuáles son los
términos en los que utilizará un recurso o información (ej.: aceptación de uso de internet).
2.6.5. Guías
© Structuralia 17
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
El fin de semana largo finaliza y al día siguiente al llegar a la oficina tras enchufar tu ordenador
te encuentras con la siguiente pantalla
¿Cómo?¿Qué está pasando?¿Es una broma? El ordenador donde está todo tu trabajo de los
últimos meses está ahí, no puede seguir y algo peor….¿Qué es exactamente lo que ha
pasado o está pasando?
© Structuralia 18
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Esta historia breve anterior es un resumen de lo suele pasar cuando los cibercriminales
obtienen éxito en algún ataque o incursión en los sistemas de una organización. Es por eso
que es fundamental implementar herramientas y detectores que nos ayuden a detectar cuando
hemos sido vulnerados y a actuar en consecuencia.
Esta parte será más técnica y sobretodo focalizada en acciones fáciles de implementar para
salvaguardar la ciberseguridad.
IDS
IPS
© Structuralia 19
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
IoC
De este modo, es posible realizar un intercambio sencillo y práctico de información con otras
personas y grupos de gestión de incidentes e implementar las firmas en diferentes
herramientas como:
▪ Firewalls.
4 https://iocbucket.com/
© Structuralia 20
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
TTP
Los TTP describen el comportamiento de alguien que realiza una acción, a quien a menudo se
le llama actor o actor de amenazas cuando se habla de delitos cibernéticos. TTP es una
jerarquía que describe estas acciones de menos a más específicas.
▪ Una técnica es una descripción más detallada. Son las tareas que se llevan a cabo
para lograr el objetivo táctico. Por tanto, cada táctica puede estar compuesta de varias
técnicas.
Un ejemplo de TTP de un atacante podría incluir el uso del robo de credenciales de usuario
como táctica para obtener acceso. Las técnicas para lograr esto podrían incluir el phishing y el
robo físico de los recursos de TI del objetivo, mientras que un procedimiento específico sería el
uso de OSINT para determinar un empleado valioso (información de LinkedIn) y una cafetería
frecuentada por ese empleado (información de Instagram). Esta información se puede utilizar
fácilmente para orquestar el robo de una computadora portátil.
© Structuralia 21
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
El primer y más importante paso para la protección es comprender los riesgos que enfrenta su
organización. Todo su programa de seguridad debe diseñarse para abordar estos riesgos, ya
que los TTP variarán según los actores que se dirijan a su industria, región o negocio. Una vez
que haya evaluado sus riesgos únicos, elija las estrategias de mitigación de riesgos
adecuadas, como implementar la autenticación multifactor (MFA), la capacitación en conciencia
de seguridad y las prácticas de seguridad de datos.
EDR
Gracias a esta conjunción de elementos y tecnologías permite detectar todos aquellos riesgos y
amenazas que pueden provocar de forma silenciosa e inadvertida un incidente de seguridad,
poniendo en riesgo la viabilidad de la empresa.
3.5.1. Características
Aunque comparte cometidos con el antivirus tradicional, también conocido como EPP (Endpoint
Protection Platform), como son la detección, identificación y la prevención de los efectos de
malware, exploits, y en algunos casos, ransomware, esta herramienta además puede detectar
amenazas avanzadas, como pueden ser malware de tipo polimórfico, vulnerabilidades 0-day,
ataques de ingeniería social, amenazas persistentes o APT, cuentas comprometidas, etc. En
caso de detectar una amenaza o comportamiento anómalo, permite actuar de forma inmediata
y casi automática para poder eliminar la amenaza o mitigar sus efectos.
Entre las aplicaciones y herramientas que incorpora, además del antivirus tradicional destacan:
© Structuralia 22
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
SIEM
© Structuralia 23
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Pentest
En la preparación del pentesting se realiza un plan con un conjunto de ataques dirigidos, según
la tecnología que se utilice en la empresa y sus necesidades de seguridad. Para ello, los
auditores cuentan con metodologías, —algunas específicas según la tecnología o estándares
de seguridad que queramos implantar, y otras más generales—, que les ayudan a realizarlas
de forma sistemática. Tendremos que elegir qué pruebas queremos que realicen y sobre qué
aplicaciones o servicios.
Más conocidos por sus nombres en inglés (Red team, Blue team, Purple team), el sector de la
ciberseguridad está en continua evolución y es necesario estar preparado para cada una de las
posibles situaciones que puedan ocurrir. Es por eso que existen diferentes equipos de
ciberseguridad: el Blue Team, el Red Team y el Purple Team. Cada uno tiene una función
diferente y se usan para evaluar y analizar posibles fallos en el sistema.
© Structuralia 24
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Los términos Red Team y Blue Team se usan comúnmente para describir equipos que usan
sus habilidades para imitar las técnicas de ataque que los “enemigos” podrían usar, y los
equipos que usan sus habilidades para defender. De hecho, estos equipos juegan un papel
importante en la defensa contra ataques cibernéticos avanzados que amenazan las
comunicaciones comerciales, los datos confidenciales de los clientes o los secretos
comerciales.
Cuando hablamos de seguridad informática y protección de datos estos dos equipos son
fundamentales, realizan un trabajo complementario para detectar vulnerabilidades, prevenir
ataques informáticos y emular escenarios de amenaza.
Es el que nombramos seguridad ofensiva y está formado por profesionales de la seguridad que
actúan como adversarios para superar los controles de ciberseguridad. Se encarga de poner a
prueba el Blue Team buscando vulnerabilidades.
El Red Team ataca el sistema de manera radical para probar la eficacia del programa de
seguridad. Este ataque no es avisado para que la defensa sea con máxima objetividad y ver
cómo sería un ataque real. Los ataques realizados pueden ser interno de la propia empresa o
puede ser de una empresa externa. Los equipos suelen estar formados por hackers éticos que
evalúan la seguridad de manera objetiva.
© Structuralia 25
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
El Blue Team tiene como objetivo analizar patrones y comportamientos que salen de lo común.
También se encarga de realizar evaluaciones de las distintas amenazas que pueden afectar a
la organización, monitorear y recomendar planes de actuación para mitigar los posibles riesgos.
Para prevenir los ataques crean una base de datos con un abanico de posibles casos de uso.
En caso de ataque, el Blue Team, pasa a la acción y realizan tareas de respuesta, incluyendo
análisis forense de las máquinas afectadas, trazabilidad de los vectores de ataque, propuesta
de solución y establecimiento de medidas de detección. Aunque el Blue Team se suele usar
para defenderse de ataques grandes, evalúa y analiza cualquier fallo de seguridad que pase en
el sistema aunque sea diminuto.
El Purple Team existe para analizar y maximizar la efectividad del Red y Blue Team.
Este equipo se encarga de enfrentar las técnicas de defensa del Blue Team contra las técnicas
de ataque del Red Team. Con este enfrentamiento se logra crear más posibles casos de fallo o
ataque y ver si el sistema está funcionando y está preparado correctamente. Si la defensa en el
enfrentamiento es positiva se integran los nuevos baremos o actualizaciones pertinentes.
La idea del Purple Team es coordinar y garantizar que los dos equipos anteriores compartan
información sobre las vulnerabilidades del sistema para lograr una mejora constante. El Purple
Team más que un equipo es un coordinador del Blue y Red Team.
© Structuralia 26
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
▪ Hay que asegurar que las anomalías y eventos se detecten y se comprenda su impacto
potencial.
© Structuralia 27
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Una contingencia o incidente es un evento que puede suceder y que puede tener
consecuencias perjudiciales, en ciberseguridad suele ser un ataque y las causas del mismo.
Ejemplos:
▪ Daños físicos.
▪ Denegación de servicio.
Recovery Time Objective, u Objetivo del Tiempo de Recuperación, está relacionado con el
tiempo de inactividad, y representa cuánto se tarda la restauración desde el incidente hasta
que las operaciones normales estén disponibles para los usuarios.
© Structuralia 28
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
RPO vs RTO
En todos los planes se definirá en caso de contingencia cuál será el tiempo máximo de
inactividad, y esto será la suma RPO (la información anterior comprometida) más el RTO
(tiempo que nos cuesta recuperarnos).
Plan de contingencia
Para cada contingencia o tipo de contingencia tendremos un plan asignado que se debe aplicar
en caso de ataque o escenario de crisis que mitigue, evite que se extienda los daños y
solucione el problema o volver a un nivel de servicio anterior al incidente.
Tras un incidente, si hemos aplicado el plan, tendremos una valiosa información para conocer y
valorar los riesgos existentes, y así evitar incidentes similares en el futuro.
4.5.1. Estructura
▪ Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles. Se
puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en las
aplicaciones más comunes. Se previenen ataques mediante la instalación de
herramientas de seguridad elementales.
▪ Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son considerables.
Se necesitan programas que requieren configuraciones complejas. Se pueden precisar
mecanismos de recuperación ante fallos.
© Structuralia 29
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
© Structuralia 30
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Definir el ámbito al que se aplicará el plan, por ejemplo si el plan de contingencia es ante
ataques “Ransomware”, y que se entiende y comprende dichos ataques, siguiendo el ejemplo
ransomware: “Ransomware se refiere específicamente a software malicioso que encripta datos
y/o sistemas y que suele venir acompañado por una extorsión”.
Debemos definir los equipos y recursos necesarios para abordar y solucionar la crisis. Esto
incumbe no solo a los que deben resolver la contingencia, también a los ejecutivos, manos
intermedios y personas relevantes que deben tomar decisiones y como deben interactuar y en
que jerarquía.
Desde los estándares ISO 27000 se proponen múltiples variaciones, a continuación se muestra
la opción más utilizada y más fácil de implantar.
Cada uno de los componentes de los equipos será definido de la siguiente manera:
Rol Nombre, título, mail y teléfono Sustituto Nombre, título, mail y teléfono
© Structuralia 31
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Así pues, cada componente del equipo corresponderá a un Rol, y este rol tiene una persona
encargada y un sustituto en caso de que cuando ocurra la contingencia el titular no pueda
ejercer el rol (ej.: baja médica o vacacional).
El jefe de la unidad de crisis será el que tomará decisiones para solucionar la contingencia.
© Structuralia 32
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Legal
Recursos Humanos
IT
Seguridad
Se debe nominar un equipo de soporte que asista a la unidad de crisis con la ejecución durante
el proceso de la gestión de la crisis.
Según sea el escenario de la contingencia si esta tiene uno o varios aspectos que lo definen,
se añadirán los roles necesarios para el escenario. Por ejemplo, incluir un perfil financiero que
pueda obtener financiación para resolver la crisis.
En esta sección se detallará los pasos a llevar a cabo para resolver la crisis.
© Structuralia 33
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Aunque nos parezcan cosas pequeñas o que se dan por hecho que se van a tener, éstas
deben estar definidas y especificadas.
Acceso independiente a
comunicaciones de la red de la
empresa
Estos planes deben estar integrados dentro de la estructura y funcionalidad de la empresa, las
empresas pueden ser de cualquier estructura y tamaña.
© Structuralia 34
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Uno de los proveedores externos más utilizados son aquellos que ofrecen salas independientes
y conectadas para la unidad de crisis, tales como centros de negocio y hoteles.
▪ El análisis se realiza para garantizar una respuesta eficaz y respaldar las actividades de
recuperación, incluido el análisis forense y la determinación del impacto de los
incidentes.
© Structuralia 35
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Plan de continuidad
La continuidad del negocio es un concepto que pertenece a una disciplina superior denominada
Administración de continuidad de negocios (BCM por sus siglas en inglés) y que abarca tanto el
Plan de recuperación ante el desastre (DRP – Disaster Recovery Plan), de naturaleza
típicamente tecnológica, como el Plan Restablecimiento del negocio, que normalmente se
enfoca en los procesos críticos del mismo.
El plan de continuidad de negocio abarca todos los sectores de negocio, dado con más énfasis en
aquellos donde la disponibilidad de la información es su mayor activo.
Esta será una clasificación que definiremos en función de las necesidades de negocio y la
capacidad de necesitemos de recuperación (RTO).
© Structuralia 36
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Para cada uno de los puntos que componen el BIA – Business Impact Analysis se deberá
realizar la evaluación de la criticidad de al menos estas dos criticidades ( financiera y
recuperación) siendo el resultado final el más restrictivo (ej.: un proceso puede no ser
necesario recuperarla rápidamente pero por el contrario puede tener un impacto financiero muy
importante, piense en un departamento de inversiones de una organización, no tiene
importancia en el tiempo de recuperación pero sí que es cierto que no atender alguna
obligación puede tener un impacto económica alto).
Existen más tipos de criticidades, como por ejemplo la criticidad en impacto ambiental, pero
estas dos son las mínimas en ciberseguridad.
Como veremos a continuación, una vez hemos cumplimentado y valorado todos sus elementos
podremos clasificar los procesos de negocio en función de su criticidad y lo que es más
importante: establecer la prioridad de recuperación (o su orden secuencial).
© Structuralia 37
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
En este punto listaremos todas las fuentes de información que necesita el departamento o el
proceso (sistemas de backoffice, aplicaciones,…), así como de los backups de dichos registros.
Los departamentos y los procesos dentro de las organizaciones tienen dependencias (como
mínimo aquellos que les envían órdenes o información, y aquellos a los que se dirige su
trabajo elaborado).
Esto es muy importante ya que puede que un proceso o departamento no ser crítico ni
importante pero no obstante encontrarse como dependencia de otros que sí y, por tanto,
cambiar su catalogación a crítico.
© Structuralia 38
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Se listará los proveedores externos necesarios para el desempeño de las actividades del
departamento o proceso.
Este punto listará todas las fuentes de información del departamento o proceso que intervienen
en su desempeño y se les asignará una criticidad que ayudará a una correcta evaluación del
impacto de negocio.
Por eso, tener unos patrones de como el personal de seguridad de la información interactúan
de forma temporal con los usuarios finales puede ser clave para evitar desastres mayores a
posteriori.
Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de
recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda
comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de
personal clave, aunque esto no sea cubierto en este artículo, el propósito es la protección de
datos.
© Structuralia 39
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de
una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el
desastre y a que riesgos es susceptible una empresa específica, incluyendo:
▪ Catástrofes.
▪ Fuego.
▪ Ataques terroristas.
▪ Error humano.
▪ Cuestiones legales.
MTD o Tiempo máximo de baja de servicio tolerable de sus siglas en inglés, es el tiempo en
que podemos estar sin la prestación de un servicio tecnológico (email, portales, compras,…).
El valor ideal es siempre menor a la suma de los tiempos RTO - Recovery Time Objective y
RPO - Recovery Point Objective.
© Structuralia 40
Introducción a la ciberseguridad – Cómo gestionar ciberseguridad en la organización
Siendo el foco la ciberseguridad, el DRP reflejará las necesidades encontradas en los planes
de contingencia y continuidad de la empresa y asegurará los tiempos de recuperación allí
especificados.
Análisis post-mortem
Un post mortem es una herramienta de análisis retrospectivo que se hace tras la recuperación
total de los servical final de un proyecto o proceso de desarrollo, o cualquier otra actividad
creativa.
En un post mortem intentamos entender qué ha fallado o qué ha ido mal en el desarrollo de un
proyecto para poder aprender de nuestros errores y pulir los procesos dentro de un equipo o
compañía.
6. REFERENCIAS
▪ Guía de introducción series ISO 27000:
http://www.iso27000.es/download/doc_iso27000_all.pdf
© Structuralia 41