Cbest-Implementation-Guide en Es

Traducido del inglés al español - www.onlinedoctranslator.
com
Guía de implementación
Evaluaciones dirigidas por inteligencia de

amenazas CBEST
enero 2021
Evaluaciones dirigidas por inteligencia de amenazas CBEST 1
Delantero
La interrupción operativa puede afectar la estabilidad financiera, amenazar la viabilidad de las empresas individuales y las
infraestructuras del mercado financiero (FMI) o causar daño a los consumidores y otros participantes del mercado en el sistema
financiero. Las empresas y las FMI deben tener en cuenta todos estos riesgos al evaluar los niveles adecuados de resiliencia
dentro de sus respectivos negocios. Lidiar con el riesgo cibernético es un elemento importante de la resiliencia operativa y el
marco CBEST es una prueba de penetración basada en inteligencia que tiene como objetivo abordar este riesgo.
CBEST es parte del conjunto de herramientas de supervisión del Banco de Inglaterra y la Autoridad de Regulación
Prudencial (PRA) para evaluar la resiliencia cibernética de los servicios comerciales importantes de las empresas. Esta
evaluación priorizada y enfocada nos permite a nosotros y a las empresas comprender mejor las debilidades y
vulnerabilidades y tomar medidas correctivas, mejorando así la resiliencia de las empresas de importancia sistémica y, por
extensión, del sistema financiero en general. El uso continuo de CBEST ha confirmado su uso como una herramienta de
evaluación regulatoria altamente efectiva, que ahora también puede llevarse a cabo a nivel interjurisdiccional, en
colaboración con otros reguladores y marcos internacionales.
Esta última versión de la Guía de implementación de CBEST se basa en el marco anterior y contiene mejoras aprendidas
de las pruebas exhaustivas que se han llevado a cabo. En particular, hemos analizado e implementado cambios con el
objetivo de aclarar las funciones y responsabilidades de CBEST, así como las expectativas regulatorias para las
diferentes actividades de CBEST. Si bien el enfoque subyacente de las pruebas de penetración basadas en inteligencia
sigue siendo el mismo, hemos revisado y actualizado la orientación técnica para la mayoría de las actividades, hemos
preparado nuevas plantillas (por ejemplo, Informe de pruebas de penetración) e incorporado referencias importantes a
las evaluaciones entre jurisdicciones. Otro elemento clave es el mayor enfoque en las evaluaciones de capacidad de
respuesta e inteligencia de amenazas y detección.
A medida que evoluciona la amenaza cibernética, mantenemos CBEST y nuestro enfoque de supervisión general bajo revisión y
continuaremos desarrollándolos, a fin de establecer expectativas claras para las empresas y proporcionar herramientas probadas para
evaluar la resiliencia cibernética de las empresas.
pablo williams
Jefe de la División de Resiliencia y Riesgo Operacional de PRA, Banco de Inglaterra

1. Propósito
Esta Guía de implementación de CBEST ha sido desarrollada por la Autoridad de Regulación Prudencial (PRA) en
beneficio de los participantes de CBEST que son empresas e infraestructuras de mercados financieros (FMI). Esta guía
explica las fases clave, las actividades, los resultados y las interacciones involucradas en una evaluación CBEST.
Debido a que CBEST es un marco de orientación en lugar de una metodología prescriptiva detallada, esta guía debe
consultarse junto con otros materiales CBEST relevantes disponibles en el Banco de Inglaterra (CBEST (2020a,b)).
Estos se pueden encontrar enContinuidad del sector financiero .
Las empresas, las FMI o los proveedores de servicios pueden hacer preguntas o proporcionar comentarios sobre el proceso CBEST a la
PRA en:CBEST@bankofengland.co.uk .
Más información sobre el proceso CBEST también está disponible en elConsejo para probadores de seguridad
ética registrados (CREST) Sitio web de CBEST .
aviso de copyright
© 2020 Banco de Inglaterra
Este trabajo está bajo la licencia Creative Commons Attribution 4.0 International Licence.
Para ver una copia de esta licencia, visitecomunes creativos o envíe una carta a Creative Commons, 444
Castro Street, Suite 900, Mountain View, California, 94041, EE. UU.
Las figuras 3 y 6 no se pueden reproducir en ningún formato sin el permiso de Shutterstock.

2. Introducción
Las organizaciones que forman parte del sector de servicios financieros del Reino Unido deben permanecer resistentes a
los ataques cibernéticos. Para ayudar a las organizaciones a lograr este objetivo, el Banco de Inglaterra ha implementado el
marco de evaluación de seguridad CBEST, que los reguladores (p. ej., PRA y la Autoridad de Conducta Financiera (FCA))
ahora han integrado en sus estrategias de supervisión.
CBEST promueve un enfoque de prueba de penetración basado en inteligencia que imita las acciones de los atacantes
cibernéticos que intentan comprometer los servicios comerciales importantes (IBS) de una organización e interrumpir los
activos tecnológicos, las personas y los procesos que respaldan esos servicios.
La colaboración, la evidencia y la mejora se encuentran en el corazón de CBEST, así como un enlace cercano con los
reguladores relevantes. Para aquellas organizaciones que formen parte de la Infraestructura Nacional Crítica (CNI),
también se podrá requerir el enlace con el Centro Nacional de Ciberseguridad (NCSC).
Lo que diferencia a CBEST de otros regímenes de pruebas de seguridad es su enfoque basado en inteligencia.
Este es el 'hilo dorado' que recorre toda la duración de una evaluación CBEST. Este enfoque significa que las
actividades de una organización son atribuibles a su papel en el apoyo a la economía en general, y las amenazas
creíbles que enfrenta la organización al asumir ese papel. Esto se resume en la Figura 1.
Figura 1: 'hilo dorado' liderado por inteligencia

Evaluaciones dirigidas por inteligencia de amenazas de CBEST 4
2.1: Estructura de este documento
El resto de este documento está estructurado de la siguiente manera:
• La Sección 3 proporciona una descripción general de CBEST, incluida una descripción de las partes
interesadas relevantes, sus funciones y responsabilidades.
• La Sección 4 proporciona información sobre el proceso de acreditación de CBEST.
• La Sección 5 presenta el proceso de gestión de riesgos de CBEST y las actividades relevantes que el
Grupo de Control (GC) debe considerar para gestionar la evaluación.
• Las secciones 6, 7, 8, 9 y 10 brindan una descripción general del proceso CBEST y describen las cuatro
fases de CBEST con más detalle, incluidas sus consideraciones de planificación y gestión de proyectos.
2.2: Aviso legal

La información y las opiniones expresadas en este documento tienen únicamente fines informativos. No pretenden
constituir asesoramiento legal o profesional de otro tipo, y no se debe confiar en ellos ni tratarlos como un sustituto
de un asesoramiento específico relevante para circunstancias particulares. Los patrocinadores y autores de este
documento no aceptarán ninguna responsabilidad por errores, omisiones o declaraciones engañosas en este
documento, o por cualquier pérdida que pueda surgir de la confianza en la información y las opiniones expresadas
en él.
3: descripción general de CBEST
3.1: ¿Cuándo se debe realizar el CBEST?

Una evaluación CBEST debe llevarse a cabo solo si la empresa/FMI cumple uno de los siguientes criterios:
• La empresa/FMI es uno del grupo objetivo 'principal' para el regulador que debe realizar una CBEST
como parte del ciclo de supervisión. La lista principal es revisada y acordada por la PRA y la FCA cada
tres años de acuerdo con el enfoque temático y la estrategia de supervisión.
• La firma/FMI ha solicitado realizar un CBEST como parte de su propio programa de

resiliencia cibernética, y se ha buscado una consulta/acuerdo con el regulador.
• Ha ocurrido un incidente u otros eventos que han provocado que el regulador solicite un CBEST en
apoyo de la actividad de remediación y validación posterior al incidente, y
se ha buscado una consulta/acuerdo con el regulador.
3.2: Interesados y flujo de información
Las siguientes partes interesadas están involucradas en una evaluación CBEST:
• Grupo de Control de la firma participante/FMI;

• Regulador;
• proveedor de servicios de inteligencia de amenazas (TISP);
• proveedor de servicios de pruebas de penetración (PTSP); y
• Centro Nacional de Seguridad Cibernética (NCSC).
Más detalles sobre las acciones clave y las responsabilidades relacionadas se describen en la matriz RACI en el
Anexo B. Los flujos de información entre las partes interesadas anteriores se resumen en la Figura 2.
Figura 2: Partes interesadas y flujo de información

3.2.1: Grupo de control (GC)
El participante de CBEST es la empresa/FMI que realiza la evaluación de CBEST. Son responsables de seleccionar un
GC y nombrar un Coordinador del Grupo de Control (CGC) que coordinará todas las actividades de prueba para la
empresa/FMI.
El GC es responsable de la gestión de la evaluación CBEST y sus principales responsabilidades incluyen

garantizar que:
• todos los criterios mínimos de CBEST (Anexo A – Criterios mínimos de CBEST) y los requisitos descritos
en la Guía de implementación de CBEST se cumplen durante la implementación de la evaluación;
• un plan general del proyecto se define durante la Fase de Inicio y se actualiza sistemáticamente
durante el proyecto;
• la evaluación de CBEST se realiza de manera controlada, implementando un proceso de gestión de riesgos para
identificar, evaluar y mitigar los riesgos relacionados con la actividad de CBEST durante todas las fases;
• el secreto de la evaluación CBEST se conserva durante toda la implementación. Si este se ve

comprometido, o se sospecha que lo tiene, el GC debe informarlo de inmediato al regulador;
• el alcance de la evaluación CBEST es representativo de las IBS de la empresa/FMI. Los sistemas

importantes que sustentan las IBS y las acciones de compromiso en el ámbito de CBEST se
identifican mediante una evaluación de impacto;
• la coordinación, comunicación y compromiso con todas las partes externas (TISP, PTSP,
regulador, etc.) es eficaz;
• el TISP y el PTSP contratados para la evaluación son proveedores de servicios CBEST acreditados; y
• los entregables se producen de acuerdo con las pautas/plantillas de CBEST y se comparten con el
regulador de manera oportuna.
El CGC es responsable de las responsabilidades de observancia del CG, la gobernanza, la garantía de calidad (QA) y la
gestión de proyectos de CBEST. El CGC es responsable de la gestión del proyecto CBEST y la coordinación de las partes
interesadas.
El CG debe estar compuesto por un número selecto de personas de alto nivel en la parte superior de la cadena de escalada de
incidentes de seguridad. El GC debe incluir solo miembros, quienes están estrictamente obligados a:
• proporcionar información y conocimientos esenciales para implementar CBEST (por ejemplo, sobre IBS,
activos, procesos, etc.), generalmente uno para cada sistema que se prueba como parte del alcance de CBEST
para brindar experiencia en la materia; y
• asegurar que se implemente un proceso efectivo de gestión de riesgos de CBEST. Los miembros del GC deben
tener autoridad para tomar decisiones relevantes, pero la membresía no se limita necesariamente a funciones
como el director de operaciones, el director de información, el director de tecnología,
Director de Seguridad de la Información.
No hay un número fijo de miembros para el GC ya que esto dependerá de diferentes aspectos organizacionales
de la firma/FMI. Sin embargo, la membresía del GC debe ser lo más limitada posible y la información debe
compartirse solo cuando sea necesario.
También es posible que terceros deban ser parte del GC (p. ej., se subcontratan sistemas importantes que
sustentan IBS). En este caso, la empresa debe comprometerse con el tercero durante las primeras etapas del
proyecto y tomar todas las medidas necesarias para garantizar la integridad de la evaluación.
3.2.2: El regulador
CBEST es una evaluación guiada por la regulación; los reguladores brindan orientación y dirección a lo largo de la
evaluación, verificando que el ejercicio se ejecute de acuerdo con el marco CBEST. Para simplificar, el término
'Regulador' se utilizará en este documento incluso cuando haya múltiples organismos reguladores involucrados en la
evaluación.
La PRA, la Dirección de Infraestructura del Mercado Financiero (FMID) del Banco de Inglaterra o la FCA dirigirán la
evaluación de CBEST. Para las empresas/FMI con doble regulación, tanto la PRA como la FCA deberán establecer un
equipo con experiencia cibernética y gestión de proyectos. Para los CBEST interjurisdiccionales, los reguladores del
Reino Unido colaborarán con los organismos reguladores de otros países según lo acordado al comienzo de la
evaluación.
Los equipos regulatorios incluirán personal relevante de los equipos de especialistas cibernéticos y de supervisión. El
regulador es responsable de utilizar los resultados de la evaluación CBEST para formarse una idea de la posición de
seguridad cibernética del participante. Supervisarán el estado de las actividades de mitigación de riesgos
implementadas para gestionar el proceso y mantener el secreto y la integridad del proceso.
Las responsabilidades del regulador también incluirán:
• ejercer la supervisión de los resultados de CBEST y los planes de remediación a lo largo de todo el proceso
(por ejemplo, planificación, ejecución y revisión);
• recibir y actuar sobre notificaciones inmediatas de problemas que hayan sido identificados, y
que serían relevantes para su función regulatoria; y
• revisar los hallazgos de la evaluación CBEST para producir informes temáticos específicos del
sector.
El regulador también es responsable del enlace con NCSC durante CBEST. Esto incluirá notificar al NCSC sobre el inicio
de CBEST y garantizar que el NCSC proporcione información para el taller de validación de Threat Intelligence (TI).
3.2.3: Proveedor de servicios de inteligencia de amenazas (TISP)
El proveedor de servicios de Threat Intelligence (TISP) es una empresa independiente, que será contratada por la firma/
FMI para planificar y ejecutar un análisis de inteligencia de amenazas de su organización.
El TISP debe estar acreditado por CBEST. El TISP implementará el análisis de TI siguiendo las mejores prácticas
descritas en la guía de modelado de amenazas cibernéticas de CBEST.
Como mínimo, el TISP debe completar las siguientes tareas para satisfacer los criterios mínimos de
CBEST:
• proporcionar una evaluación de inteligencia de amenazas externa de la empresa/FMI, que presenta perfiles
respaldados por pruebas de los actores de amenazas cibernéticas que podrían potencialmente apuntar a la
empresa/FMI;
• proporcionar información que los posibles actores de amenazas podrían descubrir sobre los IBS y los
sistemas clave identificados como dentro del Alcance CBEST;
• crear escenarios de amenazas basados en los resultados de la evaluación de Targeting y Threat

Intelligence;
• completar la Evaluación de Capacidad de Inteligencia de Amenazas de la función de TI de la firma/FMI
basada en las pautas CBEST;
• proporcionar más inteligencia y dirección durante la fase de prueba de penetración (PT) e información
para el informe final de PT, según corresponda; y
• retroalimentación sobre la ejecución de CBEST durante la sesión informativa con el regulador.
Durante el compromiso de CBEST, el TISP debe trabajar en colaboración con la empresa/FMI y el proveedor de
servicios de pruebas de penetración (PTSP). Esto debe incluir:
• garantizar que el análisis de TI esté alineado con el plan de PT durante la fase de TI; y
• continuar brindando más inteligencia que pueda mejorar la implementación de los

escenarios, durante la fase PT.
El principal contacto diario dentro de TI/PTSP son los Gerentes de Proyecto, el Gerente de Inteligencia de
Amenazas Certificado por CREST (CCTIM) (CREST (2020a)).
3.2.4: Proveedor de servicios de prueba de penetración (PTSP)
El proveedor de servicios de Pruebas de Penetración (PTSP) es una empresa independiente, que será contratada por la firma/
FMI para planificar y ejecutar la actividad de pruebas de penetración sobre la base de los escenarios de amenazas
identificados durante la fase de TI.
Como mínimo, el PTSP debe completar las siguientes tareas para satisfacer los criterios mínimos de
CBEST:
• diseñar y planificar la ejecución del PT de acuerdo con las acciones objetivo acordadas en el alcance y los escenarios
de amenazas identificados en la fase TI;
• acordar un proceso de gestión de riesgos de PT con la empresa/FMI para realizar una evaluación
controlada y minimizar los riesgos inherentes a una evaluación CBEST;
• ejecutar los escenarios de amenazas identificados por el TISP y aprobados por la firma/FMI, utilizando una
metodología de prueba ética de equipo rojo;
• proporcionar actualizaciones sobre las acciones objetivo clave implementadas y los resultados durante la fase de PT;
• completar la evaluación de la capacidad de Detección y Respuesta (D&R) de la empresa/FMI según las

pautas de CBEST;
• redactar el Informe PT de acuerdo con las directrices CBEST; y
• proporcionar retroalimentación sobre la ejecución de CBEST durante la sesión informativa con el regulador.
Durante el compromiso de CBEST, el PTSP debe trabajar en colaboración tanto con la empresa/FMI como con el
TISP. Esto incluirá:
• proporcionar comentarios durante la fase de TI para mejorar el análisis y asegurar que los
escenarios de amenazas propuestos sean ejecutables durante la fase de PT; y
• adaptar la evaluación integrando más detalles de inteligencia proporcionados por el TISP
durante la fase PT.
Los principales puntos de contacto diario dentro de los PTSP son los Gerentes de proyecto y el Gerente de
ataque simulado certificado por CREST (CCSAM) (CREST (2020b)).
3.2.5: Centro Nacional de Seguridad Cibernética (NCSC)
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) es una organización del gobierno del Reino Unido que brinda
asesoramiento y apoyo al sector público y privado sobre cómo evitar las amenazas a la seguridad cibernética.
Durante la Validación de inteligencia de amenazas, el NCSC comentará sobre los escenarios de amenazas y otros
elementos descritos en el Informe de inteligencia de amenazas y el Informe de objetivos.

4: Proveedores de servicios CBEST acreditados

Los proveedores de servicios CBEST son proveedores profesionales de servicios de ciberseguridad que han pasado por
un proceso de acreditación realizado por el Banco de Inglaterra. Los proveedores de servicios deben estar acreditados
para llevar a cabo la inteligencia de amenazas, las pruebas de penetración y los elementos de informes del CBEST.
Los proveedores de servicios acreditados también deben ser miembros del organismo de membresía de seguridad
cibernética.CRESTA y los proveedores de servicios están obligados a cumplir con códigos de conducta estrictos y exigibles,
respaldados por un código de ética. Estos códigos se pueden encontrar en:Quejas y Resoluciones de la Compañía CREST y
Quejas y Resoluciones Individuales .
Es importante que se mantenga la integridad del proceso CBEST, por lo tanto, cualquier acción tomada por los
proveedores de servicios que esté diseñada para manipular el proceso o los resultados debe informarse a CREST para
que la empresa/FMI participante las investigue.
Es responsabilidad de los proveedores de servicios informar al regulador si sospechan que la firma/FMI ha

manipulado el proceso para brindar una respuesta más positiva al regulador. Esto podría incluir acciones tales
como la manipulación del alcance para excluir sistemas vulnerables o importantes, preparación inadecuada para
la prueba al informar a los propietarios del sistema de la prueba, manipulación de los informes finales o presión
indebida sobre el proveedor de servicios para presentar un resultado positivo.
4.1: Personas certificadas
Como condición previa para la acreditación en el esquema CBEST, los proveedores de servicios CBEST deben
emplear a personas certificadas que hayan demostrado estándares apropiados de competencia que les
permitan operar bajo el esquema CBEST.
Para los TISP, CREST ha desarrollado una calificación de CREST Certified Threat Intelligence Manager (CCTIM) (CREST
(2020a)). La calificación CCTIM valida el conocimiento y la experiencia de los candidatos para liderar un equipo que se
especializa en producir inteligencia de amenazas.
Para los PTSP, CREST ha trabajado con los reguladores y la industria para desarrollar las calificaciones de CREST
Certified Simulated Attack Manager (CCSAM) (CREST (2020b)) y CREST Certified Simulated Attack Specialist
(CCSAS) (CREST (2020c)).
El certificado CCSAM está diseñado para demostrar competencia en pruebas de penetración, gestión
de proyectos y gestión de riesgos para los sistemas operativos durante la evaluación. El certificado
CCSAS demuestra que el individuo tiene mucha experiencia en técnicas de ataque simulado.
Estos exámenes han sido evaluados por el regulador como una demostración de habilidad, conocimiento y
competencia en las disciplinas relevantes. La combinación de estos roles garantiza que se pueda proporcionar el más
alto nivel de pruebas en un entorno seguro y controlado. Las personas certificadas aprueban todas las actividades y
productos principales en nombre del proveedor de servicios. Las credenciales se pueden verificar enviando un correo
electrónicoadmin@crest-approved.org .
4.2: Organismo de acreditación CREST
Aunque no forma parte directamente del proceso CBEST, el organismo de acreditación CBEST CREST desempeña
una función muy importante. El regulador revisó los procesos de acreditación de empresas CREST, los códigos de
conducta y ética adoptados por CREST y aumentó sus estándares con requisitos adicionales específicamente para
la industria financiera.
Todas las quejas planteadas durante una CBEST entre la empresa/FMI y los proveedores de servicios CBEST o
los empleados en la asignación pueden remitirse a CREST, que actuará como punto de contacto; verQuejas y
Resoluciones de la Compañía CREST .
5: Gestión de riesgos
El CG es responsable de ejecutar CBEST de manera controlada. Esto significa que el GC debe identificar y analizar los riesgos
que podrían afectar la implementación de CBEST durante todo el proyecto. Para cada uno de los riesgos identificados, el GC
debe planificar e implementar acciones para mitigarlo. Los riesgos se reducen mediante la planificación avanzada, la
definición clara del alcance y los procedimientos de escalamiento predefinidos.
El GC debe completar una evaluación de riesgos de CBEST precisa antes del inicio de CBEST y las medidas de
mitigación identificadas deben ser revisadas regularmente por el GC e iteradas para garantizar que sigan siendo
apropiadas durante todo el proceso.
Nota:
La evaluación de riesgos de CBEST tiene como objetivo mantener el GC en control de CBEST durante todas
sus fases. La evaluación debe abarcar todas las fases CBEST y no limitarse a la fase PT.
La fase PT requiere especial atención. Las pruebas de penetración de los sistemas en vivo que entregan IBS
significarán que siempre habrá un nivel inherente de riesgo asociado con una evaluación CBEST.
El CG mantiene el control de CBEST durante toda la implementación de la evaluación y en cualquier momento puede
ordenar una suspensión temporal si surgen preocupaciones sobre daños (o daños potenciales) a un sistema o
interrupción de los IBS. El uso de un GC ubicado en la parte superior de la cadena de escalamiento de incidentes de
seguridad también ayuda a evitar la falta de comunicación y protege la confidencialidad de la evaluación CBEST.
Los siguientes párrafos presentan herramientas que el GC debe considerar durante la implementación de CBEST.
Contratación de TISP y PTST: El riesgo también se gestiona a través de contratos con TISP y PTSP. Para reducir el
riesgo, se requiere una planificación avanzada. El proceso de contratación debe incluir cláusulas específicas
sobre:
• requisitos mínimos de seguridad y confidencialidad;

• especificación del alcance; y
• acuerdo sobre la escalada e interrupción del problema.
El uso de proveedores acreditados es otra medida diseñada para mitigar aún más el riesgo de daño a importantes
sistemas activos (consulte la Sección 4).
Nombre del código del proyecto: el CG debe asignar un nombre del código del proyecto (no relacionado con el
nombre de la organización) y utilizarlo para hacer referencia a la organización dentro de las comunicaciones y la
documentación de CBEST. Esto brinda confidencialidad a la evaluación, que puede contener información
confidencial, como la identificación de vulnerabilidades en la entrega de IBS.
Nota:
Los entregables de CBEST (p. ej., informes) contienen información muy confidencial y, por lo tanto, deben gestionarse
en consecuencia durante su ciclo de vida. Los entregables compartidos con el regulador no deben contener
información sensible, que no es necesaria para el análisis regulatorio. Específicamente, el GC debe asegurarse de que
la información de identificación personal (PII) y los detalles técnicos (como direcciones IP, nombres de sistemas,
correos electrónicos, detalles de configuración, etc.) se eliminen de los informes antes de compartirlos con el
regulador.
Documento de inicio del proyecto (PID): la responsabilidad de la propiedad del proyecto general y los planes de
gestión de riesgos recae en el CG. La recomendación para el GC es utilizar herramientas apropiadas, como un PID
que detalle la evaluación de riesgos y las mitigaciones.
TISP y PTSP producen planes respectivamente para la fase TI y la fase PT y los compartirán con el GC, para
que puedan ser incluidos en el plan general de gestión de riesgos de CBEST.
La siguiente figura muestra cómo la gestión de riesgos PID y CBEST debe ser coordinada por el GC.
Figura 3: Proyecto PID y CBEST y gestión de riesgos

El PID también debe incluir el plan de gestión del proyecto CBEST. El GC organiza toda la actividad,
incluidas las reuniones reglamentarias y el compromiso con el TISP y el PTSP.
En la Figura 4 se proporciona un resumen de la estructura de los equipos de proyecto principales en la

empresa/FMI y TI/PTSP, y cómo interactúan entre sí.
Figura 4: Estructura e interacción del equipo del proyecto
(a) Gerente de inteligencia de amenazas certificado por CREST.
(b) Administrador de ataques simulados certificado por CREST.
(c) Especialista certificado en ataques simulados por CREST.
Proporcionamos más detalles sobre la práctica de gestión de proyectos CBEST en la Sección 6.1.
Colaboración: el enfoque general de gestión de proyectos de CBEST tiene que ser colaborativo para que funcione
de manera efectiva. Promover y mantener un enfoque colaborativo es responsabilidad de todas las partes
interesadas involucradas en la evaluación y, en particular, de los gerentes de proyecto TISP y PTSP. En detalle:
• durante la fase de TI, una vez aprobado por el GC, el TISP debe compartir sus entregables con el
PTSP para fines informativos;
• el PTSP debe proporcionar revisiones tempranas del borrador de entregables de TI y asegurarse de que toda la información
requerida esté disponible para garantizar una transferencia efectiva;
• durante la fase PT, el TISP debe permanecer disponible para brindar cualquier apoyo adicional que
se requiera; y
• el CG, TISP y PTSP también deben intercambiar información libremente con el regulador previa
solicitud.
El enfoque de colaboración permitirá identificar y mitigar cualquier problema de servicio que pueda afectar
a la empresa/FMI.
6: proceso CBEST
El proceso de evaluación CBEST consta de cuatro fases de trabajo, que se resumen en la Figura 5:
• Fase 1: Fase de inicio durante la cual se lanza formalmente la evaluación CBEST, se establece
el alcance y se adquieren TI/PTSP;
• Fase 2: Fase de inteligencia de amenazas durante la cual se producen los principales entregables de inteligencia de
amenazas, los escenarios de amenazas se desarrollan en un borrador del Plan de prueba de penetración y el control
de la evaluación se entrega al PTSP;
• Fase 3: Prueba de penetración Fase durante la cual se planifica, ejecuta y revisa una prueba de penetración
dirigida por inteligencia contra los sistemas y servicios de destino que sustentan cada IBS en el alcance. Se
evalúan las capacidades de inteligencia y detección de amenazas y de respuesta de las empresas; y
• Fase 4: Fase de cierre durante la cual se finaliza el Plan de remediación de la empresa/FMI, se informa
a los TI/PTSP y el regulador supervisa la ejecución del Plan de remediación por parte de la empresa/
FMI.
Figura 5: Modelo de proceso de evaluación CBEST
Fase de Iniciación
Fase TI
Fase PT
Fase de Cierre
6.1: Consideraciones sobre gestión y planificación de proyectos
Aunque la Figura 5 establece las fases de forma lineal, el proceso CBEST requiere un enfoque colaborativo de
todas las partes y, en la práctica, a menudo hay una superposición significativa entre las fases.
Figura 6: Cronología de CBEST
En la figura anterior se indica el tiempo estimado para cada fase aunque esto dependerá de:
• la eficiencia de las cadenas de contratación de la empresa/FMI;
• la disponibilidad de los proveedores de servicios de TI/PT;
• la disponibilidad de NCSC (cuando corresponda); y

• la naturaleza del Plan de Remediación.
Nota:
La experiencia hasta la fecha muestra que la duración promedio del tiempo transcurrido del proyecto CBEST es de
alrededor de nueve meses. En detalle: Inicio (~6 semanas), Inteligencia de amenazas (~10 semanas), Pruebas de
penetración (~14 semanas) y Cierre (~4 semanas).
Sin embargo, este plazo indicativo no es un plazo predefinido para las evaluaciones CBEST. Estos no deben
utilizarse como un plan preestablecido y, por lo tanto, dan lugar a una limitación de la evaluación. El enfoque
de 'hilo dorado' y el alcance de CBEST deben guiar los plazos y se debe asignar el tiempo adecuado para
todas las fases.
Por ejemplo, la indicación para la fase PT es de 14 semanas; sin embargo, si se requiere un período de prueba más
largo para cubrir el alcance CBEST acordado, entonces el GC debe planificarlo en consecuencia (fase PT de más de 14
semanas).
La recomendación para el GC es utilizar el PID para llevar el control del plan del proyecto CBEST
durante la ejecución de sus fases.
6.1.1: Fase de Inicio

La Figura 7 muestra un plan de proyecto típico para la Fase de Inicio.
• Durante el Lanzamiento (1.1), el regulador se pone en contacto con la empresa/FMI y se asegura de que todas las autoridades
pertinentes estén informadas y se incorporen.
• Durante el Compromiso (1.2), el CG toma la iniciativa. El cronograma en esta fase es relativamente flexible, ya que el
tiempo necesario para establecer un GC, el alcance de la evaluación y la contratación de proveedores de servicios puede
variar según los procesos de contratación de la empresa/FMI y la disponibilidad de los proveedores de servicios.
• Por lo general, habría una superposición significativa entre el Alcance (1.3) y Adquisiciones
(1.4) subfases.
Figura 7: Fase de inicio de CBEST

6.1.2: Fase de prueba de penetración e inteligencia de amenazas
• La Figura 8 muestra un plan de proyecto típico para las fases TI y PT.
• El TISP lidera la fase TI. A menudo hay una superposición significativa entre las subfases 2.2 a 3.2. Las mayores
ganancias de eficiencia provienen de las primeras revisiones de los documentos preliminares de inteligencia
sobre amenazas y durante las últimas etapas de la fase TI, el traspaso del TISP al PTSP.
• El PTSP comienza a planificar la prueba de penetración (pasos de ataque) durante la fase de TI al transformar
los escenarios de amenaza en un borrador del Plan de prueba de penetración.
• El traspaso formal de responsabilidad se produce después de que los escenarios hayan sido validados por el
regulador y el NCSC durante la Validación. Es entonces cuando el PTSP presenta el borrador del Plan de Pruebas de
Penetración, que muestra cómo se implementarán los escenarios de amenaza identificados por el TISP durante la
fase PT.
• El PTSP es responsable de la fase PT. Al comienzo de esta fase, el PTSP finaliza el plan de PT y
prepara un plan de gestión de riesgos de PT para evitar posibles problemas relacionados con las
actividades de prueba. La firma/FMI aprueba los planes.
• A partir de entonces, la prueba de penetración procede de manera lineal, como ejecución (3.2) y revisión.
(3.4) sigue a la finalización de la fase de planificación (3.1).
• Las fases de evaluación de las capacidades de TI y PT de las empresas (2.4 y 3.3) pueden ocurrir más adelante
en el proceso, después de la actividad de ejecución de PT. Esto es para minimizar el riesgo de comprometer el
secreto de la CBEST. Sus resultados se discutirán como parte de la revisión final (3.4).
Figura 8: Fases CBEST TI y PT

6.1.3: Fase de Cierre

• La Figura 9 muestra un plan de proyecto típico para la Fase de Cierre.
• El compromiso de CG CBEST finaliza con la subfase de Remediación (4.1).

• El informe final realizado con el regulador brinda una oportunidad para que el TISP y los PTSP brinden
retroalimentación sobre el proceso CBEST y hagan sugerencias sobre cómo podría mejorarse.
• El regulador recopilará los hallazgos anónimos de un ciclo CBEST para producir un informe temático que
cubra las lecciones clave aprendidas del proceso CBEST. Este documento se compartirá con empresas no
reguladas por CBEST con el objetivo de mejorar la resiliencia cibernética de la industria (4.4).
Figura 9: Fase de cierre de CBEST

7: Fase de Iniciación
Durante la Fase de Inicio de CBEST, el proyecto se lanza formalmente y el regulador comienza a relacionarse con la
empresa/FMI participante. El alcance se establece y los TI/PTSP acreditados son adquiridos por la firma/FMI. La
duración de esta primera fase podría variar dependiendo principalmente del proceso de contratación de la empresa/
FMI.
En la Figura 10 se muestra una descripción general de las actividades clave involucradas en esta fase.
Figura 10: Fase de inicio de CBEST
Documentos relevantes durante esta fase:
• Carta de notificación de CBEST.
• Documento de especificación de alcance de CBEST (CBEST (2020d)).
• Documento de Inicio de la Proyección.
• Cláusulas legales y aviso de privacidad de CBEST (CBEST (2020c)).
7.1: Lanzamiento
El lanzamiento marca el inicio del proceso CBEST. Tras la decisión de que se requiere una evaluación CBEST, el
regulador notificará a la empresa/FMI por escrito, utilizando una carta de Notificación CBEST formal. Esta
comunicación solicita que la firma/FMI se comunique con su equipo de supervisión dentro de los 40 días
hábiles para iniciar el proceso.
La firma/FMI debe comenzar su preparación para ejecutar CBEST de acuerdo con el marco y eso se
discutirá en Compromiso.
Durante esta fase, el regulador comienza a redactar la versión inicial del documento de especificación de alcance de
CBEST que identifica los IBS que se probarán.
Nota:
De acuerdo con los reguladores del Reino Unido, la empresa/FMI podría ejecutar CBEST como una evaluación
interjurisdiccional. En este caso, otras autoridades reguladoras relevantes (identificadas por la firma/FMI) pueden
participar en el compromiso si aceptan participar.
Los elementos a considerar al identificar otras autoridades relevantes incluyen: 1) la ubicación geográfica de
la firma/FMI; 2) la estructura organizativa y legal de la empresa/FMI (por ejemplo, estructura del grupo); 3) las
IBS de la empresa/FMI; 4) la ubicación geográfica de cualquier posible proveedor de IBS subyacente (que
puede estar dentro del alcance de las actividades de prueba) y su autoridad principal; 5) los arreglos de
vigilancia y/o supervisión de la empresa/FMI (p. ej., arreglos cooperativos de vigilancia, equipos conjuntos de
supervisión, etc.); y 6) el alcance esperado y final de la prueba.
Si la empresa/FMI desea proceder con una evaluación entre jurisdicciones, debe comunicar su decisión al
regulador del Reino Unido y luego comunicarse con las demás autoridades pertinentes. La colaboración
entre jurisdicciones solo tiene lugar cuando las autoridades pertinentes acuerdan realizar un ejercicio entre
jurisdicciones.
Cuando las autoridades se basen en otros marcos de Pruebas de Penetración Dirigidas por Amenazas en lugar
de CBEST, deben acordar el enfoque a seguir en términos de proceso, sesiones, entregables y
responsabilidades, antes de la reunión inicial con la empresa/FMI.
Las evaluaciones interjurisdiccionales deben cumplir con los criterios mínimos de CBEST para ser reconocidas como
CBEST.
7.2: Compromiso
Durante el Compromiso, el regulador se reunirá con la firma/FMI para discutir los siguientes temas:
• el proceso CBEST;
• roles y responsabilidades de las partes interesadas de CBEST;
• protocolos de seguridad (incluida la configuración de la transferencia segura de documentos);
• consideraciones contractuales (incluyendo borradores de plantillas de cláusulas); y
• el cronograma del proyecto.
Una semana antes de que se lleve a cabo esta reunión, el regulador envía a la firma/FMI los documentos de plantilla
apropiados del conjunto de documentos CBEST.
La firma/FMI identifica al Coordinador de CBEST (CGC) y la lista de partes interesadas en el Grupo de control,
asegurándose de que tengan una comprensión clara de las funciones y responsabilidades de CG, tal como se describe en
la Sección 3.2.1.
El CGC debe asegurarse de que el CG sea consciente de su función y responsabilidades y esté preparado para
ejecutar la evaluación de acuerdo con el marco CBEST.
La CGC debe buscar la aprobación de los reguladores para cualquier cambio en la lista de CG. Cualquier adición o
remoción al GC debe ser discutida y aprobada por el regulador.
Para que esta actividad se lleve a cabo adecuadamente, se deben cumplir las siguientes condiciones:
• reunión de compromiso (o lanzamiento de CBEST) celebrada entre el regulador y el GC; y

• GC y regulador para acordar los principales actores y roles definidos en el Grupo de Control.
Nota:
La entrega fluida de una evaluación CBEST requiere que el proceso sea transparente y que la
información y la documentación adecuadas fluyan libremente entre las partes relevantes.
Para facilitar esto, el regulador ha desarrollado una serie de borradores de cláusulas legales para agregar a los
contratos elaborados entre la empresa/FMI y las TI/PTSP. Estas cláusulas se ponen a disposición de la firma/FMI
durante el Compromiso y requieren consideración oportuna por parte de la firma/FMI.
Las cláusulas especifican que la empresa/FMI debe proporcionar, previa solicitud del regulador, copias de todos los
borradores y documentos finales producidos por los TI/PTSP, incluida toda la información relevante y de respaldo.
Además de la transparencia, también deben cumplir una serie de otras funciones:
• garantizar tiempo suficiente para revisar los informes en paralelo con el NCSC (cuando sea necesario);
• permitir que el PTSP planifique y ejecute una prueba de penetración legal y tratable;
• destaca cualquier posible problema de vulnerabilidad;
• asegura la calidad del proveedor de servicios; y
• promueve un Plan de Remediación apoyado comúnmente.
Lo anterior es cierto para los compromisos de PRA CBEST, pero es posible que no se aplique a todos los reguladores, ya que otros se basarán
en las secciones de políticas existentes, si es adecuado.
7.3: Alcance
Durante la determinación del alcance, el regulador se pone en contacto con el GC para discutir y acordar el alcance en el documento
de especificación de alcance de CBEST. El GC completa el documento de Especificación de Alcance CBEST habiendo sido emitido por el
regulador. El regulador permanece disponible durante la evaluación del alcance para aclarar los requisitos.
La especificación de alcance de CBEST define el alcance de la evaluación de CBEST; específicamente, el regulador

identifica las IBS que son relevantes para la empresa/FMI evaluada.
Nota:
CBEST define los servicios comerciales importantes como un servicio proporcionado por una empresa/FMI a un usuario final o
participante externo donde podría producirse una interrupción en la prestación del servicio; causar daños intolerables a los
consumidores o participantes del mercado; dañar la integridad del mercado; amenazar la protección de los asegurados; amenazar la
seguridad y la solidez; o amenazar la estabilidad financiera.

Luego, la firma/FMI también debe informar al regulador qué alcance y garantía buscan como parte
del proceso de alcance.
La especificación de alcance de CBEST enumera los sistemas y servicios clave que sustentan cada uno de los IBS de alcance.
La evaluación CBEST requiere que las actividades se ejecuten en el sistema de producción en vivo de la empresa/FMI.
Los sistemas importantes y las acciones de compromiso relacionadas son identificados por el GC, que evalúa los
impactos potenciales en su organización. La evaluación de impacto no debe limitarse a un análisis técnico, sino que
debe incluir consideraciones sobre la resiliencia de la empresa/FMI, los impactos comerciales y las expectativas sobre
los resultados de CBEST.
Nota:
Si los sistemas y servicios técnicos importantes son administrados por terceros (p. ej., proveedores de
servicios), el GC debe involucrarlos en la implementación de CBEST. El GC deberá tomar las medidas
necesarias para asegurar la participación de estos proveedores.
En estos casos se requiere una planificación ad-hoc. Los terceros deben participar como parte del GC, que
tendrá que implementar procesos de gobernanza ad-hoc, ejecutar CBEST con la participación de terceros.
El regulador y la empresa/FMI deben formalizarse en el documento de especificación de alcance de CBEST y acordar
conjuntamente las acciones de compromiso a las que apuntarán los evaluadores y se presentarán en los escenarios
posteriores del Informe de inteligencia de amenazas y el Plan de prueba de penetración.
Nota:
Todas las acciones de compromiso acordadas en el documento de especificación de alcance de CBEST deben ser
consideradas por el PTSP en su plan final de PT y priorizadas de acuerdo con los resultados de la fase de TI.
El documento de especificación del alcance de CBEST debe ser discutido por el regulador y la empresa/FMI
durante el taller de alcance. Cualquier cambio debe ser implementado posteriormente por el GC y la versión
final aprobada por la firma/FMI.
Se puede encontrar más información en el documento de especificación de alcance de CBEST (CBEST (2020d)).
El GC también comienza a trabajar en una versión preliminar de un cronograma de proyecto o Documento de

inicio de proyecto (PID). El PID es generalmente para fines internos propios de la empresa/FMI y no necesita ser
visto por el regulador. Se producirá un PID final al final de la siguiente fase (Adquisición) una vez que la firma/
FMI haya adquirido los CBEST TI/PTSP acreditados.
Una entrada clave en el PID es un cronograma de reuniones de revisión que se llevarán a cabo entre el GC y el
regulador, así como el taller de Validación de inteligencia de amenazas. Estas reuniones son organizadas por el
regulador. En circunstancias especiales, el regulador podría solicitar asistir a actividades técnicas o solicitar una
reunión ad-hoc, según se requiera.
El GC también debe completar una evaluación de riesgos preliminar que identifique los riesgos potenciales
relacionados con el proyecto CBEST. La evaluación de riesgos debe cubrir tanto los aspectos estratégicos como
operativos de todas las fases. El GC debe evaluar los riesgos y proponer acciones de mitigación para ejecutar CBEST
de manera controlada. Esta evaluación podría incluirse en el PID o en un documento independiente.
Para que esta fase se complete adecuadamente, se deben cumplir las siguientes condiciones:
• El documento de especificación de alcance de CBEST debe ser completado y aprobado por la

organización participante y el regulador;
• CG y regulador acuerdan el plan del proyecto CBEST;
• CG lleva a cabo la evaluación de riesgos de CBEST al identificar y evaluar los riesgos que podrían afectar la
implementación de CBEST; y
• CG prepara el PID con el plan del proyecto CBEST y la evaluación de riesgos CBEST.
Los productos de esta actividad son:
• una Especificación de Alcance CBEST final firmada por la empresa/FMI para su entrega al regulador; y
• un PID elaborado por el GC para sus propios fines de planificación interna. El PID incluye el plan del
proyecto CBEST y la evaluación de riesgos CBEST.
Nota:
Durante la determinación del alcance, el regulador comprobará si la empresa/FMI está registrada en el Sistema de alerta
temprana (EWS) del NCSC y solicitará confirmación de que los datos de la empresa/FMI están actualizados en el sistema del
NCSC. EWS es el servicio gratuito del NCSC para las organizaciones, diseñado para informar a las empresas/FMI de las
amenazas contra sus redes. Las organizaciones que se registren en el Sistema de Alerta Temprana del NCSC recibirán
notificaciones de fuentes de inteligencia de amenazas enfocadas en el Reino Unido para respaldar su ciberdefensa. Estos
feeds incluyen múltiples feeds del NCSC: estos son feeds privilegiados, exclusivos de este servicio y no disponibles en ningún
otro lugar.
7.4: Adquisiciones
Durante la contratación, la firma/FMI lleva a cabo las siguientes actividades:
• adquiere y lleva a bordo TISP y PTSP acreditados por CBEST. losregistro de empresas aprobadas
para proporcionar asignaciones CBEST está disponible en el sitio web de CREST;
• emite una invitación a licitar con objetivos preliminares;
• entrevista y selecciona proveedores apropiados;
• incluir cláusulas contractuales emitidas por el regulador estándar sobre aspectos legales y de privacidad en los contratos de los
proveedores de servicios; y
• garantiza la finalización del PID, incluido el programa final de reuniones que se llevarán a cabo entre la empresa/
FMI, el regulador y el NCSC (cuando sea necesario).

Nota:
La evaluación CBEST no puede continuar más allá de la Adquisición hasta que la empresa/FMI haya verificado y
proporcionado una certificación de que existen contratos legales apropiados entre la empresa/FMI y los TISP/PTSP.
Esto es particularmente clave para que el PTSP se asegure de que tiene el permiso correspondiente para realizar
pruebas contra los sistemas en el alcance para que no se descubra que infringe la Ley de uso indebido de
computadoras u otra legislación relevante.
8: Fase de inteligencia de amenazas
Tras la finalización de la Fase de Iniciación, el TISP toma la iniciativa. Durante la Fase de Inteligencia de Amenazas, el
TISP primero recibe instrucciones del CG que pueden incluir información de la propia función de Inteligencia de
Amenazas de la firma/FMI, si está disponible.
Después de un período de recopilación, análisis, difusión y revisión de inteligencia, el NCSC valida la inteligencia
de amenazas (cuando sea necesario) durante el taller de validación. Al mismo tiempo, el PTSP, con el apoyo del
TISP, comienza a desarrollar los escenarios de amenazas en un borrador del Plan de prueba de penetración.
Después del taller de validación, se finalizan los entregables de inteligencia de amenazas, lo que marca el punto de
entrega formal del control del TISP al PTSP. La fase de inteligencia de amenazas concluye con una evaluación de las
capacidades de inteligencia de amenazas de la empresa/FMI y TISP. El momento de esta evaluación puede retrasarse
para que coincida con la evaluación de la capacidad de D&R, a fin de preservar la confidencialidad y aumentar la
posibilidad de aprovechar los procesos BAU de la empresa, lo que puede requerir la participación de equipos o
personas que no están en la lista de información privilegiada de CG.
Figura 11: Fase de inteligencia de amenazas de CBEST
La Fase de Inteligencia de Amenazas es gestionada y ejecutada por el TISP. El PTSP se involucra cuando los escenarios de
amenazas se desarrollan en un borrador del Plan de prueba de penetración.
Los documentos a utilizar en esta fase son:
• Plan de inteligencia de amenazas.
• Especificación del informe de focalización (CBEST (2020e)).
• Especificación del informe de inteligencia de amenazas (CBEST (2020f)).
• Evaluación de inteligencia (CBEST (2020g)).

• Plan de Pruebas de Penetración (borrador).
8.1: Dirección
La dirección comienza cuando el CG envía la especificación de alcance CBEST finalizada al TISP. Esto le dice al
TISP qué IBS están dentro del alcance y los sistemas clave que los sustentan.
Nota:
La firma/FMI también debe enviar la Especificación de Alcance CBEST finalizada al PTSP. Esto informa al PTSP sobre las
acciones de compromiso para cada sistema de soporte de IBS en el alcance y garantiza que el PTSP pueda comenzar
su planificación lo antes posible.
El proceso CBEST está diseñado para crear escenarios de amenazas realistas que describen ataques contra una empresa/FMI.
Estos escenarios pueden ser utilizados por un equipo de ataque simulado para guiar su prueba de penetración. Los escenarios
se basan en la evidencia disponible de actores de amenazas del mundo real, combinados con inteligencia de fuente abierta
sobre la empresa/FMI, sus sistemas y su entrega de IBS. Juntos, estos formarán el alcance y el objetivo de la prueba de
penetración.
Si bien este enfoque es muy valioso, los actores de amenazas del mundo real pueden tener meses para preparar un
ataque. También pueden operar libres de algunas de las restricciones que deben observar los proveedores de servicios
CBEST. Los TISP están limitados por el tiempo y los recursos disponibles, además de respetar los límites morales, éticos
y legales. Esta disparidad puede causar dificultades al intentar crear escenarios realistas, ya que el conocimiento sobre
las redes internas suele ser el más difícil de obtener utilizando técnicas justificables moral, ética o legalmente.
Se aplica una restricción similar en relación con la entrega de IBS, que normalmente no tienen una gran huella
en la Internet pública. Esto también se aplica a los sistemas que los sustentan, ya sean sistemas internos
personalizados o sistemas externos que abarcan varias organizaciones con una infraestructura de conexión
común.
Por lo tanto, para que la recopilación de inteligencia sea lo más eficiente posible dadas las limitaciones de tiempo y
recursos, y garantizar que la inteligencia sea relevante para el alcance de CBEST y el negocio de la empresa/FMI, el
TISP debe contar con:
• información sobre la estructura organizativa (p. ej., nombre y marca de la empresa/FMI, ubicación de los sitios
físicos, proveedores de TI y servicios de TI relacionados proporcionados a la organización, etc.);
• una descripción comercial y técnica de cada uno de los sistemas en el alcance que soportan el IBS;
• la evaluación de amenazas actual de la firma/FMI y las fuentes de inteligencia de amenazas;
• información que podría ayudar a definir la exposición potencial a ciberataques (por ejemplo, presencia en
Internet y redes sociales, dominios web públicos, rangos de IP externos, etc.);
• detalles sobre ciberataques o incidentes recientes (por ejemplo, datos filtrados conocidos, cadenas de prevención de
pérdida de datos, etc.); y
• detalles que podrían ayudar a identificar ataques desconocidos (p. ej., los nombres de los proyectos, la convención de nomenclatura y los
nombres de los activos secretos se pueden usar para identificar las infracciones desconocidas).
Por lo tanto, la fase de inteligencia de amenazas de CBEST refleja un enfoque de prueba de "caja gris" en contraste con el
enfoque de "caja negra" utilizado por los evaluadores de penetración. El resultado de esta actividad es un plan de inteligencia
de amenazas centrado en IBS producido por el TISP.
Este se entrega a la empresa/FMI, quien luego lo consultará cuando discuta asuntos de programación con el
regulador. La firma/FMI también envía el documento al PTSP para su referencia. El plan debe permitir tiempo
para revisiones y talleres de entregables, y hacer explícitos entregables clave.
puntos de entrega. El plan es efectivamente una elaboración del componente de inteligencia de amenazas del plan
del proyecto contenido en el PID de la firma/FMI o documentación equivalente del proyecto.
Si aún no ha ocurrido, el gerente del proyecto TISP debe comunicarse con su contraparte PTSP para intercambiar detalles de
contacto y establecer un cronograma para actualizaciones de progreso.
El GC debe actualizar el PID (plan de proyecto CBEST y plan de gestión de riesgos) en función del Plan de inteligencia
de amenazas inicial diseñado por el proveedor de TI. Cualquier cambio significativo en el riesgo debe comunicarse al
regulador.
• un Plan de Inteligencia de Amenazas centrado en IBS producido por TISP; y

• un PID actualizado realizado por el GC en base al Plan de Inteligencia de Amenazas inicial elaborado por el
TISP.
8.2: Inteligencia
Durante la subfase de inteligencia, el TISP recopila, analiza y difunde inteligencia centrada en
IBS relacionada con dos actividades clave:
• Orientación: posibles superficies de ataque en toda la empresa/organización de la FMI; y
• Inteligencia de amenazas: actores de amenazas relevantes y escenarios de amenazas probables.
Tras la finalización de las actividades anteriores, el TISP desarrolla escenarios basados en los escenarios de
amenazas y los transforma en un borrador del Plan de prueba de penetración.
A continuación, se describen con más detalle la orientación, la inteligencia de amenazas y el desarrollo de escenarios.
Nota:
Si en algún momento durante su recopilación de inteligencia, el TISP identifica una vulnerabilidad importante o una
amenaza inminente que podría resultar en el compromiso de un IBS con alcance, o cualquier otra función comercial,
entonces esa información debe divulgarse inmediatamente al GC. El GC es libre de remediar cualquier vulnerabilidad
identificada. Las vulnerabilidades remediadas deben discutirse con el PTSP, quien puede simularlas durante la Fase de
prueba de penetración para evitar estar en desventaja como resultado de dicha divulgación. Cualquier vulnerabilidad
remediada debe informarse al regulador.
8.2.1: Orientación
Durante la focalización, el TISP ejecuta un amplio ejercicio de focalización basado en inteligencia del tipo que suelen
realizar los actores de amenazas mientras se preparan para su ataque. El objetivo es dibujar una imagen preliminar de
la empresa/FMI como objetivo desde la perspectiva del atacante. Esto permitirá poner en contexto la información sobre
amenazas y contribuirá al desarrollo de escenarios de amenazas en el Informe de información sobre amenazas.
Nota:
El TISP debe tratar de minimizar el riesgo de detección por parte de la empresa/centro de operaciones de seguridad
(SOC) de FMI durante la fase de TI. Por lo tanto, en la medida de lo posible, deben evitar y reducir las actividades que
impliquen una interacción directa con la organización objetivo.
Si bien el objetivo final es el compromiso de uno o más IBS, estos están arraigados por su naturaleza dentro de la
organización de la firma/FMI. Comprometer un IBS generalmente requiere primero comprometer a la organización para
encontrar una forma de entrar. Por lo tanto, Targeting refleja este enfoque de 'amplio a enfocado' mediante la recopilación
de inteligencia sobre la organización de la empresa/FMI para descubrir sus puntos débiles.
El resultado de esta actividad, el Informe de focalización, identifica, sobre una base de IBS, sistema por
sistema, las superficies de ataque de las personas, los procesos y la infraestructura relacionados con la
empresa/FMI. Esto incluye información que la organización publica intencionalmente e información
interna que se filtró sin querer. Esto podría incluir datos de clientes, material confidencial u otra
información que podría resultar un recurso útil para un atacante.
Se pueden encontrar más detalles de este informe en el documento de especificación del informe de focalización de CBEST
(CBEST (2020f)).
El Informe de focalización forma una entrada valiosa en el Informe de inteligencia de amenazas, donde se utiliza para
adaptar el perfil y los escenarios de amenazas. Al enumerar parte de la superficie de ataque de la empresa/FMI e identificar
los objetivos iniciales, también es un aporte valioso para las actividades de focalización más profundas y enfocadas del PTSP.
8.2.2: Inteligencia de amenazas
Durante Threat Intelligence, el TISP recopila, analiza y difunde inteligencia sobre actores de amenazas relevantes y
escenarios de amenazas probables. El objetivo es presentar una imagen creíble del panorama de amenazas
cibernéticas, basada en inteligencia de amenazas respaldada por evidencia, que se adapta específicamente al
entorno comercial de la empresa/FMI.
El resultado de esta actividad, el Informe de inteligencia sobre amenazas, presenta un resumen de las amenazas clave, perfiles
detallados de las amenazas con la puntuación más alta y escenarios potenciales en los que un actor de amenazas con una puntuación
alta podría apuntar a la empresa/FMI.
Como se mencionó anteriormente, este informe se basa en la inteligencia adquirida durante la focalización. Por ejemplo,
cualquier activo relevante identificado (como un servidor inseguro expuesto) se integrará en escenarios para que los actores
de amenazas puedan explotarlos. Si bien el objetivo final es encontrar inteligencia directamente relacionada con los IBS en el
alcance, es posible que el TISP no siempre pueda descubrir la evidencia. En cambio, pueden encontrar evidencia de una
amenaza más general que se aplica a uno o más IBS.
Si bien los escenarios de amenazas del informe son ficticios, se basan en ejemplos reales de ataques
cibernéticos, incluidas las motivaciones de los atacantes, sus objetivos y los métodos que emplean para
enfrentarlos. Al centrarse en lo que es probable en lugar de lo teóricamente posible, el Informe de inteligencia
sobre amenazas respalda al PTSP para justificar el enfoque que planea adoptar.
Nota:
El objetivo de cada escenario debe corresponder a uno o más sistemas compatibles con IBS. Los escenarios
deben cubrir tantos sistemas de soporte de IBS como sea posible, dado el tiempo y los recursos disponibles.
La descripción de los escenarios de amenazas debe incluir:
• objetivo y blanco del ataque;

• información de los actores y su intención;
• tácticas, técnicas y procedimientos (TTP); y
• Las etapas del ataque deben describirse en términos de la cadena de destrucción y los TTP asignados
al marco MITRE ATT&CK.
La parte de acción clave de los escenarios deberá informarse en el Plan de prueba de penetración que
muestre cómo se implementarán durante la fase PT.
Equipado con el Informe de Inteligencia de Amenazas y el Informe de Orientación, el PTSP tendrá una base
probatoria firme para diseñar y justificar su prueba de penetración propuesta. Tres resultados del Informe de
inteligencia sobre amenazas son particularmente relevantes a este respecto:
• los escenarios personalizados respaldan la formulación de un plan de prueba de penetración realista y

efectivo y serán la base clave para las discusiones de traspaso con el PTSP;
• Los objetivos de los actores de amenazas proporcionan un conjunto de "indicadores" que el equipo de pruebas de penetración debe
intentar capturar y los recursos, capacidades y tácticas de los actores de amenazas ayudan a garantizar que el plan de pruebas de
penetración se articule con precisión; y
• la evidencia validada respalda el caso comercial para la remediación y mejora posterior a la prueba.
Se pueden encontrar más detalles de este informe en el documento de especificación del informe de inteligencia de amenazas de
CBEST (CBEST (2020f)).
8.2.3: Proceso de reporte de TI
El proceso de entrega y revisión del Informe de inteligencia de amenazas y el Informe de focalización es el

siguiente:
• el TISP produce un primer borrador para entregar al GC;

• el GC remite los borradores de los documentos al regulador y al PTSP;
• el TISP posteriormente lleva a cabo un taller (de Inteligencia o de punto medio) con el GC y el PTSP para
discutir el borrador del informe y obtener retroalimentación; y
• el proveedor de servicios de TI produce un segundo borrador revisado (listo para la revisión del NCSC cuando sea
necesario) para entregarlo al GC.

Nota:
El regulador no es un asistente requerido en el taller de inteligencia (o taller de punto medio). Sin embargo, el
regulador puede solicitar asistir para tener una discusión preliminar sobre los resultados de Inteligencia y una
actualización sobre el estado del trabajo de la fase TI.
Una vez que el GC ha recibido el segundo borrador revisado, se llevan a cabo las siguientes actividades de enrutamiento:
• el CG envía el Informe de Inteligencia de Amenazas y el Informe de Identificación de Amenazas (listo para NCSC) al
regulador y/o al PTSP;
• el regulador envía los informes al NCSC para su validación; y

• después del taller de Validación (Sección 8.3), el TISP realiza cambios adicionales a los dos
informes y emite versiones finales para entregar al GC, que luego envía los documentos al
regulador y al PTSP.
Nota:
Tanto el borrador como la versión final del Informe de inteligencia de amenazas y el Informe de focalización se envían al
regulador para darles tiempo suficiente para revisar los informes antes del Taller de revisión que se lleva a cabo durante la
Validación.
Nota:
Solo cuando los comentarios del regulador y del NCSC se hayan incorporado en el Informe de focalización y el Informe de
inteligencia de amenazas, estos pueden considerarse definitivos.
8.2.4: Desarrollo de escenarios
El desarrollo de escenarios representa el punto clave de transición entre el TISP y los PTSP. Esta actividad está
dirigida por el PTSP y se lleva a cabo justo antes o en paralelo con la evaluación del NCSC del Informe de
inteligencia sobre amenazas.
Usando los escenarios contenidos en el segundo borrador (listo para NCSC) del Informe de inteligencia de amenazas, y habiendo tenido
una visión temprana de la Especificación de alcance de CBEST (consulte la Sección 7.3), el PTSP desarrolla los escenarios en un borrador
del Plan de prueba de penetración.
Luego se lleva a cabo un taller, en el que participan el CG, el TISP y el PTSP, durante el cual el TISP revisa los escenarios
y el PTSP revisa el borrador del Plan de prueba de penetración. La finalización del Plan de prueba de penetración es
responsabilidad del PTSP como se detalla en la Sección 9.1.
Nota:
TISP y PTSP deben usar el marco MITRE ATT&CK para describir el escenario de amenaza en sus informes. Esto
garantizará el uso de un lenguaje técnico común y aumentará la alineación y la comprensión entre las partes
interesadas de CBEST.
Esto también mejorará la alineación entre las fases de CBEST, creando un camino desde la creación de
escenarios basados en amenazas hasta la prueba y remediación de rutas de ataque vulnerables.
Las descripciones de escenarios deben mapear la estructura de la cadena de eliminación de CBEST con tácticas, técnicas y
procedimientos (TTP) a través del marco MITRE ATT&CK. Cada etapa de la cadena de eliminación debe describirse con una referencia
directa a los identificadores de MITRE TTP.
TISP debe incluir el mapeo en el Informe de TI, mientras que PTSP debe usarlo durante sus actualizaciones de PT y
en el Informe de PT, de acuerdo con las pautas de informes de CBEST.
Nota:
Al crear el plan de prueba de penetración, es posible que algunos de los escenarios presenten elementos de ataque comunes
que se pueden combinar en uno o más pasos de prueba con fines de eficiencia y luego se ramifican en diferentes "acciones en
el objetivo". Sin embargo, el borrador del Plan de prueba de penetración debe mostrar explícitamente cómo los pasos de la
prueba finalmente se corresponden con los escenarios del Informe de inteligencia de amenazas y los sistemas compatibles con
IBS en la Especificación de alcance de CBEST. Esto garantiza que se conserve el "hilo dorado" de la inteligencia de amenazas
centrada en IBS.
Nota:
Es posible que algunos de los escenarios de amenazas presentados en el Informe de inteligencia de amenazas estén
más allá del alcance de una prueba de penetración de CBEST. Los principales ejemplos son DDoS (Distributed Denial of
Service) y ataques físicos. También pueden existir otros escenarios que no se pueden llevar adelante por razones
morales, éticas o legales. Aunque se puede demostrar que el equipo de pruebas de penetración puede "ganar una
posición" desde donde se podría ejecutar un ataque destructivo, no tendrá el mismo impacto que una prueba de
penetración CBEST dentro del alcance. Por lo tanto, si la empresa/FMI considera que dicho escenario tiene la
importancia suficiente, puede explorarlo fuera de CBEST como un ejercicio de simulación de simulación.
El resultado de esta actividad es un borrador del Plan de Prueba de Penetración listo para presentar en el taller de
Validación descrito en la Sección 8.3. El Plan de Prueba de Penetración final será elaborado por el PTSP durante la
Planificación (Sección 9.1).
8.3: Validación
Durante la validación, el NCSC revisa las versiones preliminares del Informe de focalización y el Informe de inteligencia sobre amenazas.
La revisión del NCSC generalmente toma tres semanas. Durante este tiempo, el regulador se comunica con el NCSC para asegurar la
disponibilidad para un taller de validación de tres horas. A continuación, el taller es organizado por el
regulador que involucra a todas las partes interesadas de CBEST; el GC; NCSC; regulador y TI/PTSP. Facilitado por el
regulador, el taller involucra las siguientes actividades:
• el TISP presenta una descripción general del Informe de focalización y el Informe de inteligencia de amenazas;
• El NCSC envía sus comentarios sobre el Informe de focalización y el Informe de inteligencia sobre
amenazas. Si el NCSC no asiste al taller de Validación, sus comentarios se compartirán a través del
Regulador;
• los reguladores retroalimentan sus comentarios sobre el Informe de focalización y el Informe de inteligencia sobre amenazas;
• el PTSP presenta el borrador del Plan de prueba de penetración, incluido el mapeo de escenarios/IBS, las acciones de
compromiso, la mitigación de riesgos, los procedimientos de escalada, las fechas de inicio/finalización de la prueba y la fecha de
entrega del borrador del Informe de la prueba de penetración.
Luego del taller de Validación, el TISP revisa y produce las versiones finales del Informe de Orientación y el
Informe de Inteligencia de Amenazas para su entrega al GC. El GC luego envía los documentos al regulador y al
PTSP. El PTSP también debe revisar el borrador del Plan de prueba de penetración a la luz del taller y los riesgos
identificados.
Finalmente, el GC debe revisar el plan CBEST y la evaluación de riesgos en base a lo discutido en el taller de
Validación. El GC debe asegurarse de que las partes interesadas clave sean conscientes tanto de los riesgos
identificados en los escenarios de prueba propuestos como de los riesgos al realizar la evaluación en sí.
Nota:
La entrega del Informe de identificación de objetivos y el Informe de inteligencia de amenazas finales por parte del
TISP al final de la Validación marca el punto de entrega formal del control del TISP al PTSP.
Nota:
Los escenarios de cadena de suministro e información privilegiada malintencionada son una característica del panorama de amenazas para
muchas empresas. Estos escenarios siempre deben analizarse y discutirse durante CBEST.
El TISP debe incluir amenazas internas maliciosas y de terceros maliciosos en su evaluación de inteligencia y considerar
estas amenazas en el desarrollo de escenarios. TISP debe colaborar estrechamente con el GC para recopilar
información suficiente, analizar adecuadamente estas amenazas y diseñar escenarios relacionados. El diseño debe
describir la intención de la amenaza y las capacidades de un tercero/intruso malintencionado como atacante
independiente o parte de un ataque patrocinado.
El PTSP debe colaborar con el TISP y el GC para comprender la viabilidad de los escenarios propuestos y cómo se puede
hacer que la evaluación sea realista. Los escenarios de amenazas internas maliciosas/de terceros deben diseñarse
teniendo en cuenta los aspectos técnicos y organizativos. Si bien desde una perspectiva técnica, el PTSP y el CG deben
acordar la mejor configuración (p. ej., perfil y nivel de privilegio de acceso), desde una perspectiva organizacional,
deben acordar la información relevante que se necesita compartir para simular de manera efectiva a estos actores de
amenazas (p. ej., negocios relevantes). o información operativa conocida por los actores de la amenaza simulada).
Cuando sea necesario, el GC debe planificar con anticipación la participación del personal y de terceros para aumentar
la realidad de la evaluación.
CG y PTSP deben considerar simulación avanzada, para hacer la simulación lo más real posible y reducir el riesgo de
detección por parte del SOC. Esto podría incluir la participación del personal/terceros y el uso de perfiles de usuarios reales y
dispositivos en vivo, cuando sea posible. La simulación de personas internas maliciosas y el escenario de la cadena de
suministro deben prepararse mucho antes de la actividad de ejecución de la fase PT.
8.4: Evaluación
La actividad final que se lleva a cabo durante la fase de inteligencia de amenazas es la evaluación. Durante esta actividad, el
TISP evalúa la capacidad interna de inteligencia de amenazas de la empresa/FMI.
Esta evaluación es parte de un ejercicio de evaluación de la capacidad de seguridad cibernética más general realizado
como parte de una evaluación CBEST. Junto con los CI de evaluación de la capacidad de D&R (Sección 9.3), se utilizan
antes del taller de revisión para proporcionar:
• una evaluación objetiva de la capacidad de seguridad cibernética de la empresa/FMI (en la medida en que
CBEST pueda utilizarse para tal evaluación);
• una comprensión más amplia de la capacidad de seguridad cibernética del sector financiero; y
• mayor conciencia en la empresa/FMI sobre las capacidades internas de TI y las

posibles mejoras.
La firma/FMI debe tratar de identificar a los miembros clave del personal más adecuados para responder a las preguntas de
la evaluación. La empresa también debe contratar personal clave (de la antigüedad y la experiencia adecuadas) de
proveedores externos si todas o parte de las actividades de la función de TI se subcontratan.

Del mismo modo, el TISP debe proporcionar un recurso CCTIM (CREST Certified Threat Intelligence
Manager) (CREST (2020a)) acreditado para realizar la evaluación y garantizar la evidencia presentada y
los puntajes finales.
El proceso para evaluar la empresa/FMI es el siguiente:
• el regulador proporciona al TISP la directriz CBEST Threat Intelligence Capability Assessment (CBEST
(2020g)), que requiere el uso de laHerramienta de evaluación de madurez de inteligencia de amenazas
CREST - Nivel intermedio;
• el TISP celebra una reunión inicial con la empresa/FMI para entregar la directriz CBEST
Threat Intelligence Capability Assessment (CBEST (2020g)) y explicar su contenido;
• la firma/FMI luego dedica un período de tiempo a autoevaluar su capacidad para cada uno de los IC y
recopilar evidencia que respalde cada uno de los puntajes elegidos;
• la firma/FMI luego celebra una reunión final con el TISP para presentar la evidencia y revisar y acordar las
puntuaciones finales. Durante la reunión, el TISP revisa y cuestiona las puntuaciones de las empresas/FMI
en función de su expectativa de madurez de la función CTI para empresas/FMI similares y en función de las
tendencias y la experiencia de la industria;
• el TISP proporciona al GC y al regulador un Informe de evaluación de inteligencia, que es un

resumen de los principales hallazgos y recomendaciones;
• los resultados de la evaluación se discuten durante la actividad de Revisión final (Sección 9.4) y
las recomendaciones deben incluirse como parte del Plan de Remediación CBEST final; y
• el TISP puede reunirse con el regulador para discutir los resultados de la evaluación. No es un
requisito que la firma/FMI esté presente en dichas reuniones.
Nota:
Aunque forma parte de la fase de TI, la evaluación de inteligencia debe completarse y devolverse al regulador después
de que se haya ejecutado la prueba de penetración; esto es para evitar llamar la atención del personal fuera del GC de
que se está llevando a cabo un CBEST.
Si el TISP o la empresa/FMI experimentan problemas con el cumplimiento, deben comunicarse con el regulador. Los
CI permiten que el TISP, como experto en la materia del participante de CBEST, proporcione al regulador una
opinión imparcial sobre la capacidad de la empresa/FMI.
Este proceso no es una autocertificación y no está sujeto a la verificación por parte de firmas/FMI individuales antes de
que el regulador reciba los resultados.
El resultado de esta actividad es la Evaluación de inteligencia producida por el TISP para su entrega a la
empresa/FMI y al regulador. Se pueden encontrar más detalles de esta evaluación en la guía de evaluación de
inteligencia CBEST.
9: Fase de prueba de penetración

Tras la finalización de la Fase de Inteligencia de Amenazas, el PTSP toma la iniciativa. Durante la fase de prueba de
penetración, el PTSP planifica y ejecuta una prueba de penetración dirigida por inteligencia CBEST contra los sistemas y
servicios de destino que sustentan cada IBS en el alcance. A esto le sigue una revisión de la prueba y los hallazgos. La
fase concluye con una evaluación de la capacidad de detección y respuesta de la empresa/FMI.
La duración de esta tercera fase de trabajo depende del alcance de la evaluación y la disponibilidad del PTSP. En la
Figura 12 se muestra una descripción general de las actividades clave involucradas en esta fase.
Figura 12: Fase de prueba de penetración CBEST
Una prueba de penetración implica el uso de una variedad de técnicas manuales y automatizadas para simular un ataque a los
arreglos de seguridad de la información de una organización. Los actores de amenazas pueden ser personas externas
maliciosas o el propio personal de la organización (personas internas maliciosas). No existe ningún requisito para que el
método de ataque de prueba de penetración utilizado en CBEST sea aprobado por un organismo externo ya que, por
definición, CBEST no ofrece una prueba de penetración estandarizada. Aunque no es necesario aprobar el método, los PTSP sí
deben estar acreditados por CREST, como se explica en la Sección 4. La naturaleza de las pruebas significa que se basan en el
modus operandi de los actores de amenazas cibernéticas de la vida real.
Documentos a utilizar en esta fase:
• Plan de prueba de penetración.
• Plan de Gestión de Riesgos de Pruebas de Penetración.
• Especificación del informe de prueba de penetración (CBEST (2020h)).
• Evaluación de detección y respuesta (CBEST (2020i)).

• Plantilla del plan de remediación (CBEST (2020j)).
9.1: Planificación
Durante la planificación, el PTSP finaliza el plan de prueba de penetración que se había iniciado durante la fase de inteligencia
de amenazas. Debido a que el PTSP tuvo una visión temprana de la especificación de alcance de CBEST y también tuvo la
oportunidad de revisar el borrador y las versiones finales del Informe de focalización y el Informe de inteligencia de amenazas,
puede comenzar su planificación detallada desde un "comienzo en caliente".

Por lo tanto, la planificación debe implicar una revisión de la Especificación de alcance de CBEST, que informa al PTSP sobre las
acciones de compromiso para cada sistema de soporte de IBS en el alcance. El PTSP también debe revisar el Informe de
focalización y el Informe de inteligencia de amenazas. Estos proporcionan la base probatoria para diseñar y justificar el Plan de
Prueba de Penetración propuesto.
El equipo de pruebas debe alinear sus objetivos de prueba con las metas de cada uno de los actores. Los escenarios de
amenazas están diseñados para proporcionar antecedentes sobre el oficio empleado por cada actor de amenazas para
llevar a cabo un ataque exitoso. Por lo tanto, el equipo de prueba debe adaptar su metodología de ataque para replicar los
escenarios de amenazas.
Nota:
Se debe presupuestar suficiente tiempo para que el PT sea lo más realista posible. La evaluación debe cubrir los
procesos y sistemas de extremo a extremo que respaldan los servicios comerciales en el alcance, a menos que todas las
partes acuerden lo contrario.
El tiempo de prueba asignado debe ser adecuado para cubrir el alcance de la evaluación. Los PTSP tienen que colaborar con
la empresa/FMI para refinar el plan de PT a fin de ejecutar todos los escenarios en el alcance. Esto es particularmente
relevante cuando se solicita a la empresa/FMI que implemente una configuración avanzada o que prepare activos dedicados
para la ejecución (p. ej., simulación de información privilegiada malintencionada), lo que puede requerir una gestión
adicional de las partes interesadas y un plazo de entrega más largo que otras actividades de PT.
Durante la Ejecución, si los escenarios no se implementan completamente, se debe considerar una extensión del
ejercicio.
El equipo de pruebas también debe basarse en el Informe de focalización que enumera algunas de las superficies de
ataque de la empresa/FMI, como base para actividades de focalización más profundas y enfocadas.
Realizar cualquier tipo de prueba de penetración siempre conlleva un nivel de riesgo para el sistema de destino y la
información comercial asociada con él. Los riesgos para la empresa/FMI, como la degradación del servicio o la
divulgación de información confidencial, deben reducirse al mínimo absoluto. Por lo tanto, el PTSP debe incluir un
plan adecuado para gestionar este riesgo.
El resultado de esta actividad es el Plan de Pruebas de Penetración final, y un Plan de Gestión de Riesgos de Pruebas
de Penetración adjunto, elaborado por el PTSP para su entrega a la empresa/FMI y al regulador.
Nota:
El plan de prueba de penetración debe describir cómo el escenario técnico planificado por el
PTSP finalmente vuelve a:
• Los escenarios de amenazas descritos por el TISP en el Informe de Inteligencia de Amenazas; y
• Los sistemas compatibles con IBS en la especificación de alcance CBEST.
Esto garantiza que se conserve el "hilo dorado" de la inteligencia de amenazas centrada en IBS.
El plan de PT también debe incluir el cronograma de prueba, el plan de ataque y un plan de gestión de riesgos de
prueba de penetración.
La descripción del escenario en el Plan PT debe aclarar para cada paso de la cadena de destrucción:
• Requisitos previos que deben implementarse antes de la ejecución de la acción;

• La acción/banderas de destino;
• Los criterios de éxito o resultado esperado de las acciones;
• Las posibles acciones de desencadenamiento y criterios a cumplir para solicitar la información al GC; y
• cronograma esperado para cada acción de desencadenamiento.
Se reconoce como mejor práctica el uso de diagramas de ataque, lo que simplifica el enfrentamiento durante la
ejecución del PT.
Estos elementos deben representar la línea de base para la discusión durante la fase de ejecución con el GC y el
regulador.
9.2: Ejecución
Con la planificación completa, el PTSP pasa ahora a Ejecución, durante la cual ejecuta una prueba de penetración basada
en inteligencia contra los sistemas de destino identificados durante la determinación del alcance.
Nota:
CBEST requiere que la evaluación se realice en un entorno de sistemas de producción en vivo a menos que
existan restricciones legales o éticas.
Los objetivos de los actores de amenazas identificados durante la inteligencia proporcionan las "señales" que el equipo de pruebas de
penetración debe intentar capturar durante la prueba a medida que avanzan en los escenarios. En caso de que el equipo de pruebas
obtenga acceso a la red interna de la firma/FMI, o de lo contrario 'captura la bandera', entonces otras banderas pueden ser
descubiertas de manera oportunista.
A lo largo de la actividad de prueba de penetración (ejecución), el PTSP revisará periódicamente el informe de

orientación en colaboración con el TISP. Cualquier cambio en los escenarios descritos en el Informe de
inteligencia de amenazas se discute con el CG y el regulador, según sea necesario.
PTSP, al igual que sus contrapartes TISP, están limitados por el tiempo y los recursos disponibles, así como por los
límites morales, éticos y legales. Por lo tanto, es posible que el PTSP y el participante deban discutir la posibilidad de
'desencadenarse' en caso de que el progreso de la evaluación sea lento. Cualquier actividad de este tipo debe
acordarse con el regulador y la idoneidad debe anotarse en el Informe de prueba de penetración. La actividad de
'Desencadenamiento' o 'Leg up' implica que el PTSP reciba alguna ayuda para pasar a la siguiente fase del ataque a fin
de probar las vulnerabilidades que, de otro modo, el PTSP no tendría suficiente tiempo para probar.
En todo momento, el PTSP debe estar en estrecho contacto con el GC y el regulador. Durante la Ejecución, se podría
requerir que el PTSP proporcione actualizaciones sobre el estado del trabajo. Durante estas reuniones, el PTSP debe ser
capaz de describir las acciones/banderas objetivo capturadas, aquellas no capturadas y cualquier riesgo y problema
relevante. El PTSP también debe proporcionar una indicación clara de cuándo se podría requerir el apoyo del GC; esto
debe definirse en función de la posición esperada alcanzada, en relación con el plan original.
El enfoque y frecuencia de las actualizaciones es consensuado por todas las partes

(regulador, CG y PTSP), aunque estas suelen ser semanales.
El TISP debe continuar participando en la fase de ejecución, proporcionando elementos de TI adicionales o

nuevos para mejorar el mapeo y la implementación de escenarios. El Informe de TI y los Informes de
focalización deben actualizarse con nueva información relevante que esté disponible durante la ejecución.
El resultado de esta actividad es una versión preliminar del Informe de Prueba de Penetración producido por el PTSP para su
entrega a la empresa/FMI y al regulador. El borrador del informe debe emitirse dentro de un período acordado con el
regulador, generalmente a más tardar dos semanas después de la finalización de la prueba.
Nota:
El informe de prueba de penetración debe desarrollarse de acuerdo con la especificación del informe de
prueba de penetración CBEST. El Informe PT debe incluir como requisito mínimo lo siguiente:
• resumen ejecutivo para la Junta y el Ejecutivo Principal;

• resumen ejecutivo para los líderes técnicos (por ejemplo, COO, CIO, CISO, etc.);
• descripción de los resultados en relación con el escenario y acciones objetivo en el alcance
• resumen de los hallazgos;

• descripción detallada de los hallazgos y recomendaciones para la firma/FMI; y
• desglose de los escenarios, que describe el progreso realizado por los evaluadores de penetración en términos de su
viaje a través de las diversas etapas de cada escenario de amenaza.
Solo los elementos anteriores del Informe PT deben compartirse con los reguladores.
Toda la información confidencial, como PII (por ejemplo, correos electrónicos, nombres de personal, direcciones IP, etc.) y evidencia técnica
(por ejemplo, nombres de servidores, líneas de comando, detalles del nivel del sistema, etc.) deben redactarse en el informe antes de
compartirse con el regulador.
Consulte la especificación del informe de prueba de penetración para obtener más orientación.
9.3: Evaluación
Antes de la actividad de revisión final, el PTSP evalúa la capacidad de detección y respuesta de la empresa/FMI.
Los Indicadores de Capacidad (IC) involucrados en esta evaluación son tanto cuantitativos como cualitativos. Miden la
capacidad relacionada con la respuesta de la empresa/FMI a las pruebas de penetración basadas en inteligencia.
Al igual que los CI utilizados por el TISP en su actividad de evaluación, estos CI están involucrados en un ejercicio de evaluación de la
capacidad de seguridad cibernética más general realizado como parte de una evaluación CBEST.
El proceso utilizado por el PTSP para evaluar la empresa/FMI sigue en términos generales el proceso descrito para el TISP en la
Sección 8.4, pero en su lugar se basa en el documento de evaluación de la capacidad de D&R. Esto incluirá entrevistas
posteriores a la prueba con el SOC de la firma/FMI y el Equipo de Respuesta a Incidentes.
Por lo tanto, la firma/FMI deberá tratar de identificar a los miembros clave del personal más adecuados para
responder a las preguntas de la evaluación. Del mismo modo, el PTSP debe proporcionar un recurso acreditado
por el CCSAM (CREST Certified Simulated Attack Manager) (CREST (2020b)) para realizar la evaluación y dar fe de las
pruebas presentadas y los puntajes finales.
El resultado de esta actividad es la evaluación de la capacidad de D&R producida por el PTSP para su entrega
simultánea a la empresa/FMI. Se pueden encontrar más detalles de este informe en el documento de evaluación de
detección y respuesta de CBEST (CBEST (2020i)).
Nota:
La evaluación de la capacidad de D&R debe completarse y devolverse al regulador no más de dos semanas después
de que se haya completado la ejecución de la prueba de penetración. Si el PTSP o la empresa/FMI experimentan
problemas con el cumplimiento, deben comunicarse con el regulador.
Los CI permiten que el PTSP, como experto en la materia del participante de CBEST, proporcione al regulador una
opinión imparcial sobre la capacidad de la empresa/FMI. Este proceso no es una autocertificación y no está sujeto a la
verificación por parte de firmas/FMI individuales antes de que el regulador reciba los resultados.
El PTSP puede reunirse con el regulador para discutir los resultados de la evaluación. No es un requisito que la firma/
FMI esté presente en dichas reuniones.
9.4: Revisión
Durante la Revisión, el CG, el regulador, el PTSP y el TISP realizan un Taller de Revisión para revisar los resultados de la prueba
de penetración como se detalla en el borrador del Informe de la Prueba de Penetración, la evaluación de la capacidad de TI y la
evaluación de la capacidad de D&R. El taller es organizado por el regulador para discutir:
• Rendimiento de la prueba del PT y vulnerabilidades identificadas (liderado por el PTSP);
• la capacidad de detección y respuesta de la empresa/FMI (dirigida por el PTSP);
• revisión de los hallazgos y recomendaciones de TI (dirigida por el TISP);
• evaluación de la capacidad de TI de la empresa/FMI (dirigida por el TISP); y
• factores atenuantes y remediación propuesta (dirigida por el GC).

Si el GC identifica inexactitudes fácticas dentro del borrador del informe de la prueba de penetración, estas
pueden discutirse con el regulador durante el taller o antes de este y luego pueden incorporarse al informe
final antes de la remediación (Sección 10..1).
Al reproducir los resultados de la prueba durante el Taller de revisión, el PTSP debe expresar esto en términos de hasta
qué punto el equipo de prueba logró progresar a través de las etapas de cada escenario de amenaza. El PTSP también
debe ofrecer una opinión sobre qué más se podría haber logrado con más tiempo y recursos (para reflejar la amenaza
de los verdaderos actores de amenazas, que no están limitados por las limitaciones de tiempo y recursos de CBEST).
Además de los resultados de la prueba de penetración, el PTSP también debe mencionar los escenarios de amenazas
presentados en el Informe de inteligencia de amenazas que estaban más allá del alcance de la prueba como se describe en
la Sección 7.3. Esto recordará nuevamente al CG que estos podrían explorarse como ejercicios de simulación de mesa fuera
de CBEST y presentar la oportunidad de involucrar la función de Continuidad del negocio.
El taller de revisión debe asegurarse de que el alcance de la prueba de penetración acordado se haya cubierto adecuadamente y de
que se realice un seguimiento inmediato de cualquier anomalía.
El Taller de Revisión es una ocasión para revisar los hallazgos y recomendaciones proporcionadas durante la
fase de TI por el TISP.
TISP y PTSP presentan también los hallazgos y recomendaciones de las evaluaciones de capacidad de TI y
D&R, respectivamente.
Nota:
El Plan de remediación debe desarrollarse sobre la base de la plantilla del Plan de remediación de CBEST. Debe
basarse en la evidencia del borrador del Informe de prueba de penetración, el Informe de orientación, el Informe de
inteligencia de amenazas y el Taller de revisión de PT para respaldar el caso comercial para implementar mejoras en
los controles para mitigar las vulnerabilidades identificadas durante la prueba de penetración.
Nota:
El Plan de Remediación también debe considerar acciones de mejora en las áreas más débiles
identificadas en los informes de evaluación de Inteligencia y D&R.
Después del Taller de revisión, el GC debe comenzar a trabajar en un borrador del Plan de remediación a la luz de las
vulnerabilidades identificadas como resultado de la prueba de penetración.
• un informe de prueba de penetración final elaborado por el PTSP para su entrega a la empresa/FMI,
quien luego envía el documento al regulador; y
• un borrador del Plan de Remediación elaborado por la empresa/FMI para su entrega al regulador.
10: Fase de Cierre

Después de completar la fase de prueba de penetración, la evaluación CBEST pasa a la fase de cierre final.
Durante esta fase se finaliza el Plan de remediación de la empresa/FMI. Luego, los reguladores inician una
revisión periódica del Plan de remediación como parte de su compromiso de supervisión.
Figura 13: Fase de cierre de CBEST
Documentos a utilizar en esta fase:
• Plan de Remediación (CBEST (2020j)).

• Registro de informes.
• Actualizaciones periódicas del progreso del Plan de Remediación.
10.1: Reparación
Luego del Taller de Revisión, el GC revisa los hallazgos, las vulnerabilidades identificadas y la remediación
propuesta por el PTSP. El GC prepara un borrador inicial del Plan de Remediación, utilizando la plantilla
(CBEST (2020j)) proporcionada por el regulador.
Cuando esté listo, el GC comparte el borrador del Plan de Remediación con el regulador.
El GC y el regulador se reúnen para revisar el resultado de la evaluación y el Plan de Remediación

elaborado por el GC.
Si bien CBEST no es una prueba de aprobación/rechazo, las vulnerabilidades identificadas se revisan y el regulador brinda
retroalimentación sobre el borrador del Plan de Remediación de la empresa/FMI. Luego, todas las partes acuerdan las revisiones del
Plan de remediación.
• un Plan de Remediación final elaborado por la empresa/FMI para su entrega al regulador.
10.2: Informe
Al final de la evaluación de CBEST, los representantes de TISP y PTSP se reúnen con el regulador para
realizar un informe final.
Los temas clave que se cubrirán, desde la perspectiva de todas las partes, son:
• qué actividades/productos progresaron bien;

• qué actividades/productos podrían haberse mejorado;
• qué aspectos del proceso CBEST funcionaron bien;
• qué aspectos del proceso CBEST podrían mejorarse; y
• Algún otro comentario.
De esta manera, el TISP y el PTSP compartirán sus comentarios y discutirán las oportunidades para mejorar el proceso
CBEST que llevará adelante el regulador. El resultado de esta actividad es un registro de información producido por el
regulador.
10.3: Supervisión
Tras la finalización del CBEST, el regulador lidera la actividad de Supervisión; este consiste en una
evaluación continua de la implementación del Plan de Remediación de CBEST, verificando que se lleve a
cabo en línea con cualquier otra iniciativa regulatoria.
La actividad de supervisión implica el seguimiento y la revisión continuos por parte del regulador de las actividades de
remediación planificadas de la empresa/FMI. Los plazos pueden variar entre seis y doce meses, o más, según la
naturaleza del Plan de remediación.
Se solicita a la empresa/FMI que proporcione actualizaciones de acuerdo con la plantilla del plan de remediación y la
confirmación oficial de cuándo se han cerrado las acciones de remediación.
10.4: Análisis
El regulador analiza todas las evaluaciones CBEST y compila un informe periódico basado en los hallazgos
temáticos. El informe incluye un análisis temático derivado de los hallazgos observados en las
evaluaciones CBEST y destaca cualquier tema común que surja de las evaluaciones de Threat Intelligence,
Threat Intelligence Capability Assessments y Threat Intelligence Capability Assessments.
El informe es compilado conjuntamente por la PRA y la FCA, mientras buscan la alineación y el aporte del NCSC. Este
informe anónimo se comparte con empresas/FMI que no participan en CBEST con el objetivo de mejorar la resiliencia
cibernética a nivel de la industria utilizando las lecciones aprendidas mediante la realización de estas evaluaciones.
Referencias
CEST (2020a), 'Comprensión de las operaciones de inteligencia de ciberamenazas ', PRA, Banco de Inglaterra.
CEST (2020b), 'Guía de evaluación de servicios CBEST ', PRA, Banco de Inglaterra.
CEST (2020c), 'PRA Cláusulas legales y aviso de privacidad', PRA, Banco de Inglaterra.
CEST (2020d), 'CBEST Scope Specification', PRA, Banco de Inglaterra.
CEST (2020e), 'Targeting Report Specification', PRA, Banco de Inglaterra.
CBEST (2020f), 'Especificación de informe de inteligencia de amenazas', PRA, Banco de Inglaterra.
CBEST (2020g), 'Guía de evaluación de la capacidad de inteligencia de amenazas', PRA, Banco de Inglaterra.
CEST (2020h), 'Especificación del informe de prueba de penetración', PRA, Banco de Inglaterra.
CEST (2020i), 'Evaluación de detección y respuesta', PRA, Banco de Inglaterra.
CBEST (2020j), 'Plantilla de Plan de Remediación', PRA, Banco de Inglaterra.
CRESTA (2020a), 'Gerente de inteligencia de amenazas certificado por CREST '.
CRESTA (2020b), 'Administrador de ataques simulados certificado por CREST ', CRESTA (GB).
CRESTA (2020c), 'Especialista certificado en ataques simulados por CREST ', CRESTA (GB).
CRESTA (2020d), 'Guía de adquisición de servicios de pruebas de penetración v1.0 ', CRESTA (GB).
Glosario
CCSAM: administrador de ataques simulados certificado por CREST
CCSAS: especialista en ataques simulados certificado por CREST
CCTIM - Administrador de inteligencia de amenazas certificado por CREST
GC – Grupo de Control
CGC – Coordinador del Grupo de Control
CI: indicador de capacidad
CRESTA –Consejo de probadores de seguridad ética registrados
FCA – Autoridad de Conducta Financiera
Firma – Un banco regulado por la PRA
FMI – infraestructura del mercado financiero
FMID - Dirección de Infraestructura del Mercado Financiero (del Banco de Inglaterra)
IBS: importante servicio comercial
NCSC - Centro Nacional de Seguridad Cibernética
PRA – Autoridad de Regulación Prudencial
PT - Pruebas de penetración
PTSP: proveedor de servicios de pruebas de penetración
SOC – Centro de Operaciones de Seguridad
SRPC – Comité de Políticas y Riesgos de Supervisión (Foro de gobierno bancario)
TI – Inteligencia de amenazas
TISP: proveedor de servicios de inteligencia de amenazas

Anexos
Anexo A: Criterios mínimos de CBEST
• Este anexo describe los criterios mínimos que debe satisfacer una evaluación de prueba de
penetración dirigida por amenazas (TLPT) para ser reconocida como CBEST.
• El alcance de la evaluación CBEST se centra en los activos subyacentes relevantes (por ejemplo, personas,
procesos, servicios y tecnología), que respaldan las IBS de la empresa. (Fase de Iniciación)
• Los proveedores de inteligencia de amenazas de terceros y los probadores de penetración están acreditados por
CBEST por el Banco de Inglaterra. Los proveedores poseen las certificaciones y calificaciones dentro de sus
organizaciones para entregar un CBEST. (Fase de Iniciación)
• La firma administra CBEST con orientación y dirección regulatoria en todo momento. Todas las partes involucradas (p. ej.,
empresa, proveedores, reguladores) tienen una comprensión clara de las funciones y responsabilidades de todas las partes
interesadas de CBEST. (Todas las fases)
• Las pruebas de CBEST se basan en inteligencia de amenazas actual y creíble, proporcionada por un
proveedor externo acreditado y validada por el Centro Nacional de Seguridad Cibernética. (Fase TI)
• La duración de la evaluación es proporcional al alcance del trabajo. Los escenarios de los
proveedores de inteligencia de amenazas y los IBS en el alcance determinan la duración. (Fase de
Iniciación)
• La evaluación se lleva a cabo en sistemas de producción en vivo, incluido el entorno
corporativo, a menos que existan restricciones legales o éticas. (Fase PT)
• La evaluación cubre los procesos y sistemas de extremo a extremo que respaldan los servicios
comerciales en el alcance, con la excepción de la desconexión acordada cuando sea necesario. (Fase PT)
• Los escenarios propuestos evalúan controles perimetrales, controles internos y puntos de ingreso y
egreso. (Fase PT)
• Los resultados de la evaluación cubren un contenido/estructura mínimos predefinidos como
parte del marco CBEST. (Fase PT)
• Los informes se comparten según sea necesario con todos los reguladores relevantes. (Fase PT)
• Los supervisores deben poder supervisar los resultados de CBEST y los planes de remediación a lo largo
de todo el proceso (por ejemplo, planificación, ejecución y revisión). (Todas las fases)
• Después de la prueba, se lleva a cabo una sesión informativa con todas las partes interesadas: empresa, reguladores,
proveedores de TI y PT. (Fase de Cierre)

Anexo B: Matriz CBEST RACI

Esta tabla establece las responsabilidades de las partes interesadas clave dentro del marco CBEST, utilizando
la convención Responsable (R), Responsable (A), Consultado (C) e Informado (I).
Partes interesadas
Etapas Subfases Descripción Empresa/FMI C.G. registro TISP PTSP NCSC

patrocinador
CBEST Lanzar Decisión sobre - - -

REAL ACADEMIA DE BELLAS ARTES - -
Iniciación si una
Fase firma
emprende un
CBEST
enviando el yo yo -
invitación
carta a
empresa/FMI
Compromiso CBEST Co- A R C

coordinador y
Grupo de control
identificado y
establecido
Compromiso A C R - - yo
taller
(patada inicial
reunión)
Alcance Produccion de A R C - - -
Alcance
Especificación
documento
Facilitación de A C R - - -
Alcance
taller
Aceptación de ARKANSAS C R - - -
Alcance
Especificación
Documento
NCSC temprano A R yo - - yo
Advertencia
Registro
Proyecto A R yo - - -
Iniciación
Documento
Obtención CG comparte la A R C yo yo -
regulador
Cláusulas Legales
con TISP y
PTSP
Firma A R C C C -
obtención
de amenaza
Partes interesadas

patrocinador
inteligencia
y
Penetración
Servicio de pruebas
proveedores
(TISP y
PTSP)
CG a bordo A R yo C C -
TISP y PTSP
y confirma
disposición a
iniciar el TI
fase
Amenaza CBEST Dirección Acciones de GC A R yo yo yo -
Inteligencia Alcance
Fase Documento
con TISP y
PTSP
CG proporciona A R yo C - -
información relevante
a TISP (p. ej.

negocio y
técnico
visión general de
sistemas,
Actual
empresa/FMI
amenaza
evaluación,
ejemplos de
ataques recientes,
etc)
revisión TISP A C yo R
Crítico
Funciones,
secundario
sistemas y
amenaza
evaluación
TISP produce A C yo R - -
la amenaza
Inteligencia
Plan
Inteligencia Ejecución de A C yo R yo -
Amenaza
Inteligencia
evaluación
Partes interesadas

patrocinador
Creación de A C yo R yo -
primer borrador
Orientación y
Amenaza
Inteligencia
Informes
Inteligencia A C yo R C -
taller (o
punto medio
taller)
Validación Creación de A C C R yo C
segundo borrador
Orientación y
Amenaza
Inteligencia
Informes
Creación de A C C C R -
reclutar
Penetración
Plan de prueba
Validación A C R C C C
taller
Aceptación de A R yo yo yo yo
Orientación y
Amenaza
Inteligencia
Informes
Regulador A yo R yo yo yo
supervisión de
Orientación y
Amenaza
Inteligencia
Informes
Evaluación Ejecución de A C yo R - -
Amenaza
Inteligencia
Capacidad
Evaluación
CBEST Planificación Creación de A C yo yo R -
Penetración Penetración
Fase de prueba Plan de prueba
Creación de PT A C yo yo R
Riesgo
administración
plan
Aceptación de A R yo yo yo -
Plan PT y PT
riesgo
Partes interesadas

patrocinador
administración
plan
Ejecución Penetración A C C yo R -
pruebas
ejecución
Creación de A C yo - R -
reclutar
Penetración
Informe de prueba
Evaluación Ejecución de A C yo - R -
Detección y
Respuesta
evaluación
Revisar Revisar A C R C C -
Taller
Aceptación de A R yo yo yo -
Penetración
Informe de prueba
Regulador A yo R yo yo -
supervisión de
Penetración
Informe de prueba
Cierre CBEST Remediación Creación de A R yo - - -
Fase reclutar
Remediación
Plan
Remediación A C R - - -
taller
Aceptación de A C R - - -
Remediación
Plan
Fin de la evaluación CBEST
Interrogar Interrogar - - C
REAL ACADEMIA DE BELLAS ARTES C -
reunión
Supervisión Seguimiento de C C -
cumplimiento
con lo acordado
Remediación
Plan
Análisis Temático yo yo yo
REAL ACADEMIA DE BELLAS ARTES yo C
análisis

Cbest-Implementation-Guide en Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cbest-Implementation-Guide en Es

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

Evaluaciones dirigidas por inteligencia de

colaboración con otros reguladores y marcos internacionales.

evaluar la resiliencia cibernética de las empresas.

Jefe de la División de Resiliencia y Riesgo Operacional de PRA, Banco de Inglaterra

© 2020 Banco de Inglaterra

Las figuras 3 y 6 no se pueden reproducir en ningún formato sin el permiso de Shutterstock.

ahora han integrado en sus estrategias de supervisión.

Figura 1: 'hilo dorado' liderado por inteligencia

2.1: Estructura de este documento

El resto de este documento está estructurado de la siguiente manera:

interesadas relevantes, sus funciones y responsabilidades.

• La Sección 4 proporciona información sobre el proceso de acreditación de CBEST.

2.2: Aviso legal

3: descripción general de CBEST

3.1: ¿Cuándo se debe realizar el CBEST?

• La firma/FMI ha solicitado realizar un CBEST como parte de su propio programa de

3.2: Interesados y flujo de información

Las siguientes partes interesadas están involucradas en una evaluación CBEST:

• Grupo de Control de la firma participante/FMI;

• proveedor de servicios de pruebas de penetración (PTSP); y

• Centro Nacional de Seguridad Cibernética (NCSC).

Figura 2: Partes interesadas y flujo de información

3.2.1: Grupo de control (GC)

El GC es responsable de la gestión de la evaluación CBEST y sus principales responsabilidades incluyen

• el secreto de la evaluación CBEST se conserva durante toda la implementación. Si este se ve

• el alcance de la evaluación CBEST es representativo de las IBS de la empresa/FMI. Los sistemas

para brindar experiencia en la materia; y

Las responsabilidades del regulador también incluirán:

(por ejemplo, planificación, ejecución y revisión);

3.2.3: Proveedor de servicios de inteligencia de amenazas (TISP)

sistemas clave identificados como dentro del Alcance CBEST;

• crear escenarios de amenazas basados en los resultados de la evaluación de Targeting y Threat

• retroalimentación sobre la ejecución de CBEST durante la sesión informativa con el regulador.

• continuar brindando más inteligencia que pueda mejorar la implementación de los

3.2.4: Proveedor de servicios de prueba de penetración (PTSP)

identificados durante la fase de TI.

de amenazas identificados en la fase TI;

• completar la evaluación de la capacidad de Detección y Respuesta (D&R) de la empresa/FMI según las

3.2.5: Centro Nacional de Seguridad Cibernética (NCSC)

elementos descritos en el Informe de inteligencia de amenazas y el Informe de objetivos.

4: Proveedores de servicios CBEST acreditados

Quejas y Resoluciones Individuales .

Es responsabilidad de los proveedores de servicios informar al regulador si sospechan que la firma/FMI ha

4.1: Personas certificadas

4.2: Organismo de acreditación CREST

definición clara del alcance y los procedimientos de escalamiento predefinidos.

• requisitos mínimos de seguridad y confidencialidad;

Figura 3: Proyecto PID y CBEST y gestión de riesgos

En la Figura 4 se proporciona un resumen de la estructura de los equipos de proyecto principales en la

Figura 4: Estructura e interacción del equipo del proyecto

(a) Gerente de inteligencia de amenazas certificado por CREST.

(b) Administrador de ataques simulados certificado por CREST.

(c) Especialista certificado en ataques simulados por CREST.

requerida esté disponible para garantizar una transferencia efectiva;

de la evaluación se entrega al PTSP;

Figura 5: Modelo de proceso de evaluación CBEST

6.1: Consideraciones sobre gestión y planificación de proyectos

Figura 6: Cronología de CBEST

• la eficiencia de las cadenas de contratación de la empresa/FMI;

• la disponibilidad de los proveedores de servicios de TI/PT;

• la disponibilidad de NCSC (cuando corresponda); y

penetración (~14 semanas) y Cierre (~4 semanas).