Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Diseño de un Programa
de Ciberseguridad
Módulo
Diseño de un Programa
de Ciberseguridad
1. DISEÑO DEL PROGRAMA DE CIBERSEGURIDAD................................................ 03
1.1. INTRODUCCIÓN.............................................................................................. 03
1.2. MOTIVACIONES DE LOS ATACANTES............................................................... 05
1.2.1. ESPÍAS Y ESTADOS NACIÓN..................................................................... 05
1.2.2. ORGANIZACIONES CRIMINALES............................................................... 08
1.2.3. TERRORISMO........................................................................................... 09
1.2.4. GRUPOS HACKTIVISTAS........................................................................... 10
1.3. PROTECCIÓN DE ACTIVOS CRÍTICOS............................................................... 11
1.3.1. CICLO DE VIDA DE LOS DATOS................................................................ 12
1.3.2. DESAFÍOS POR SECTORES........................................................................ 15
1.3.3. PROTECCIÓN DE LOS ACTIVOS................................................................ 18
1.3.4. PRESENTE Y FUTURO DE LA ANALÍTICA................................................... 28
1.4. MODELO DEL PROGRAMA DE CIBERSEGURIDAD............................................ 30
2. MODELIZACIÓN DE AMENAZAS......................................................................... 35
2.1. INTRODUCCIÓN.............................................................................................. 35
2.2. MARCO DE TRABAJO...................................................................................... 37
2.3. STRIDE............................................................................................................ 45
3. RESPUESTA A INCIDENTES................................................................................... 56
3.1. INTRODUCCIÓN.............................................................................................. 56
3.2. ELEMENTOS DE UN PLAN DE RESPUESTA A INCIDENTES.................................. 57
3.2.1. PREPARACIÓN......................................................................................... 58
3.2.2. DETECCIÓN Y ANÁLISIS........................................................................... 58
3.2.3. CONTENCIÓN, ERRADICACIÓN Y RECUPERACIÓN................................... 59
3.2.4. ACTIVIDAD POST-INCIDENTE.................................................................... 60
3.3. MODELO DE PLAN DE RESPUESTA A INCIDENTES............................................ 61
3.3.1. ANTECEDENTES....................................................................................... 61
3.3.2. OBJETIVOS............................................................................................... 62
3.3.3. CHECKLIST.............................................................................................. 62
3.3.4. PUNTOS CLAVE........................................................................................ 64
4. CONCIENCIACIÓN................................................................................................. 66
4.1. INTRODUCCIÓN.............................................................................................. 66
4.2. LA AMENAZA DEL INSIDER.............................................................................. 68
4.3. CULTURA DE SEGURIDAD................................................................................ 70
4.4. PROGRAMA DE CONCIENCIACIÓN................................................................. 71
4.4.1. ANTECEDENTES....................................................................................... 72
4.4.2. OBJETIVOS............................................................................................... 72
4.4.3. CHECKLIST.............................................................................................. 72
4.4.4. PUNTOS CLAVE........................................................................................ 73
CONCLUSIONES........................................................................................................ 76
BIBLIOGRAFÍA........................................................................................................... 77
ANEXOS.................................................................................................................... 78
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
1.1. Introducción
Cuando una organización sufre un ciberataque todo son nervios e incertidumbre, desde
la alta dirección pasando por el responsable de seguridad de la información (CISO) o el
director de informática (CIO). ¿Habrá despidos? ¿Las cuentas de la organización se verán
afectadas? ¿Sobrevivirá la organización al incidente? En este contexto siempre hay una
pregunta fundamental, ¿por qué los datos confidenciales no están debidamente ase-
gurados?
En muchas empresas las ciberamenazas son una realidad tangible, y si las deficiencias
encontradas en los planteamientos de seguridad no se deben a la falta de recursos o con-
cienciación, ¿por qué los esfuerzos que se emplean siguen siendo insuficientes? ¿Qué
podemos hacer para asegurar eficazmente la información crítica?
03
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Para dar respuesta a esta pregunta podemos emplear datos como los mostrados por Trend
Micro, donde funcionarios de inteligencia de Estados Unidos afirman que el ciberdelito
es la mayor amenaza para dicho país, por encima del terrorismo convencional. Este
contexto no sólo aplica a Estados Unidos, sino a cualquier país civilizado del mundo,
donde cualquier atacante puede poner en jaque a centenares de organizaciones mientras
bebe un café en su casa. Además, estamos ante una democratización de los servicios de
hacking, ya que a través de la web oscura cualquier persona puede contratar los servicios
de un hacker profesional.
Por otro lado, McAfee estima que Estados Unidos pierde alrededor de 0,64 porcentaje de
PIB anual debido al cibercrimen. Por ejemplo, en 2013 el producto interno bruto de Esta-
dos Unidos fue de $ 16.77 billones, lo cual significa que se perdieron aproximadamente $
107 mil millones de dólares por ciberdelitos en dicho país y sólo contabilizando ese año.
Como porcentaje del producto interior bruto corresponde a aproximadamente 400,000
de los aproximadamente 150 millones de empleos existentes, los cuales se perderían en
un solo año.
Haciendo una comparativa con la amenaza terrorista, podemos decir que esta tiene un
efecto significativo y duradero en la economía, además de aparejar la muerte de vidas
humanas. No obstante, el ciberdelito es mucho más frecuente y es mucho más probable
que afecte a una organización o individuo que el terrorismo convencional. Además, ante
el terrorismo hay pocas cosas que se pueden hacer para protegerse del mismo como in-
dividuos, sin embargo si podemos defendernos ante las ciberamenazas de forma realista.
De igual modo, desde una perspectiva macroeconómica el cibercrimen deriva en una re-
ducción del gasto de los consumidores vía online, dada la pérdida de confianza, y en una
reducción de la cantidad de propiedad intelectual generada. Esto conduce no sólo a una
reducción del crecimiento económico, sino también en una merma de la calidad de
vida de los ciudadanos. Todo esto nos debe llevar a pensar si los niveles de gasto, a nivel
gubernamental y por parte de las organizaciones, es el correcto en dicha materia. En ese
análisis coste-beneficio es obvio considerar que seguramente poco se puede hacer ante
un ataque dirigido, donde los hackers cuentan con múltiples recursos y tiempo, pero si
podemos invertir de tal forma que el atacante tenga que invertir mucho tiempo, dinero y
esfuerzo en sobrepasar nuestras defensas. De este modo, podemos hacer que el análisis
coste-beneficio que realiza el atacante le sugiera dejar nuestra organización, y dirigir-
se a otra que esté menos protegida.
Así, podemos ver la importancia que tiene diseñar y desplegar un programa de cibersegu-
ridad que sea acorde a los objetivos de la organización y a la criticidad de sus activos. No
con el ánimo de que nuestros sistemas e infraestructuras sean infalibles, sino para propor-
cionar tal nivel de seguridad que desanime a la mayoría de los atacantes en su propósito
de acceder a la información de nuestra corporación.
04
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
En este punto también es importante indicar que dichos actores y motivaciones pueden
variar en el tiempo, por lo que es responsabilidad de los expertos en ciberseguridad estar
al tanto de estos cambios. En general, las tipologías de atacantes no variarán, pero sí el
tipo de información y activos que pueden atraer su atención. Como se ha indicado cada
uno de los grupos de actores maliciosos muestra patrones específicos en sus objetivos,
protocolos de actuación, etc, lo cual permite que a nivel forense se pueda determinar el
posible culpable de una violación de datos con mayor plausibilidad. No obstante, la moti-
vación es el factor a considerar más importante de cara a la clasificación de amenazas que
puede sufrir una organización.
Además, también cabe reseñar que las acciones de ciberespionaje realizadas por gobier-
nos y agencias de inteligencia también tienen como objetivos a la empresa privada. Así,
podemos encontrar casos donde se buscaba información confidencial de contratas que
trabajaban en proyectos de índole militar, empresas de seguros a fin de encontrar datos
de salud sobre ciertos individuos, etc.
05
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Esta categoría de actores representa la gran minoría de las amenazas encontradas, sin
embargo, son los más expertos y hábiles. Pueden causar masivos daños en muy pequeños
intervalos de tiempo, siendo los originadores de las llamadas Amenazas Persistentes
Avanzadas (APT). Siempre tienen objetivos muy bien marcados, yendo en los blancos
dentro de la empresa privada no sólo orientados a la propiedad intelectual de productos,
sistemas y patentes, sino que en muchas ocasiones buscan inteligencia comercial. Por
esta podemos entender planes, procesos y procedimientos que permiten que una orga-
nización entregue bienes de mayor calidad y más baratos a sus clientes con un mayor
margen de beneficio que sus competidores. En pocas palabras, la inteligencia empresarial
se define como cualquier cosa que la organización usaría para obtener y mantener una
ventaja competitiva.
De igual modo, dentro de la información valiosa dentro del espionaje encontramos otros
ejemplos como el grupo de hackers Black Vine, patrocinado por China y que tenía por
objetivo atacar a empresas del sector salud. Todo ello con el supuesto objetivo, que en-
cajaría perfectamente con los ataques sobre la organización Anthem, para construir ba-
ses de datos de empleados del gobierno de Estados Unidos, dado que dichas empresas
brindaban servicios de salud específicamente a tales colectivos. Como estos ataques son
complejos, no sólo en su despliegue sino también en su ideación, una posibilidad que
barajaron los expertos fue que dicha información pudiese valer a China para identificar
posibles agentes de inteligencia de Estados Unidos que de forma encubierta fuesen a
China, simplemente constatando si el nombre figuraba o no en dicho base de datos. Algo
que sustenta aún más este dato es que en dicho ataque sólo se robaron las identidades e
información sobre el empleador de dichas personas, y en cambio no se sustrajo ningún
dato sensible de salud.
No obstante, hay muchos otros países, además de los más mediáticos que salen con cierta
regularidad en los medios debido a estos temas, que hacen uso del ciberespionaje. Un
ejemplo sería cuando empresas extranjeras quieren empezar a hacer negocios en un país
que controla de forma directa o indirecta las propiedades en el mismo, momento en el
que tendrían que hacer grandes inversiones para hacerse con esas propiedades. Si dicho
país conociese con antelación los planes de negocio de esas empresas, información de
investigación sobre yacimientos de petróleo, gas, etc, podría subir de forma importante el
precio de tales bienes para lucrarse con estas operaciones.
En este contexto todos los países que cuentan con agencias de inteligencia llevan a cabo
operaciones de ciberespionaje, siendo un claro ejemplo Estados Unidos donde los hac-
kers más habilidosos que son cazados se aprovechan de reducciones de condena a cam-
bio de ofrecer sus servicios al gobierno. Así, podemos decir que uno de los aspectos más
claros de estos ataques son su sofisticación, que están bien financiados, son adaptables
en el tiempo y con un objetivo muy determinado.
06
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, estos ataques en muchas ocasiones hacen uso de la ingeniería social, consiguien-
do así tasas de éxito muy altas además de ser difíciles de detectar. Con esta vía consiguen
datos de individuos a través de redes sociales, pudiendo emplear otras técnicas como
llamar a un usuario para hacerse con sus credenciales mientras se hacen pasar por una
persona del departamento de informática de la organización objetivo. Estas campañas
dirigidas hacia una persona en concreto son lo que se conoce como spear phising, donde
se busca crear un aura de veracidad para que el usuario sea engañado. Por tanto, podemos
deducir que para poder atajar este tipo de ataques tendremos que contar con equipos de
seguridad que estén siempre vigilantes para reconocer que algo malo está pasando.
También como clave para detectar este tipo de ataques tenemos el hecho de que dado que
buscan evitar a toda costa ser detectados, incluso una vez la operación ha acabado
con éxito, pueden llegar a corregir las debilidades de seguridad que emplearon, a fin de
que para otros sea muy difícil para otros detectar su presencia.
Por otro lado, en cuanto al modus operandi empleado por estos actores varía entre cada
grupo, pero es cierto que hay algunos patrones comunes. Casi siempre suelen empezar
con una campaña de ingeniería social, que puede ir desde un ataque de phising para que
el usuario se conecte a un supuesto portal legítimo para que deje sus credenciales, o una
llamada telefónica donde se le requiera de igual modo dicha información haciéndose pa-
sar por alguien del centro de atención a usuarios o similar. También es frecuente encon-
trar ataques donde se ha comprometido un sitio legítimo al cual acceden con frecuencia
los usuarios que son blanco del ataque. Así, al tener un control temporal de ese sitio los
atacantes se hacen con las credenciales que rellenaron las personas afectadas. Con toda
esa información el atacante con frecuencia irá reuniendo datos sobre los usuarios de la or-
ganización objetivo, siendo esto parte de lo que se conoce como fase de reconocimiento.
07
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Esta proximidad telemática expone a cualquier organización a los grupos globales del ci-
bercrimen, donde la capacidad de transferir información de un sitio a otro les permite ubi-
carse en territorios donde sea difícil extraditarles judicialmente. Desde el punto de vista
defensivo hemos de pensar que estos ataques siguen los mismos objetivos que cualquier
otro negocio con fines lucrativos, por lo que los mismos siguen un claro patrón de coste-
beneficio. Así, si conseguimos aumentar la capacidad de trabajo que se necesita emplear
para entrar en nuestra organización probablemente los atacantes elijan otro objetivo.
08
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
1.2.3. Terrorismo
Es importante distinguir entre los ataques llevados a cabo por estados y los ataques terro-
ristas patrocinados por estados. La clave de nuevo para diferenciar entre unos y otros es
la motivación e intencionalidad. Los terroristas patrocinados por estados no se preocupan
por el robo de información, sino que buscan de forma general la destrucción de la mis-
ma o situaciones en las cuales los errores tecnológicos puedan derivar en la pérdida
de vidas humanas. Además, los terroristas generalmente se atribuyen el mérito de lo
que hacen después de cometer sus actos, mientras que los estados cuando llevan a cabo
sus acciones de espionaje o robo de información confidencial buscan hacerlo de forma
encubierta, tanto antes, como durante y después del incidente. Por tanto, los ataques que
se publican intencionalmente o buscan causar un daño claro al objetivo, en vez de robar
sigilosamente un activo, se pueden clasificar fácilmente como ataques terroristas, estén
financiados o no por un estado.
Por otro lado, anteriormente comentábamos que la amenaza del cibercrimen es mucho
mayor actualmente que la del terrorismo, pero también debemos entender que ambas
pueden conjugarse fácilmente. Así, encontramos grupos terroristas que hacen uso de los
medios tecnológicos para difundir sus actividades, lanzar campañas de propaganda y lo-
grar crear células aisladas, a fin de que identificar o rastrear a los terroristas sea mucho
más complicado. También en este punto podemos aludir al empleo de ataques sofistica-
dos, mucho más si los mismos pueden afectar a activos críticos, sea una central nuclear o
un avión. Esto es obvio ya que mediante el ataque a dichos elementos se conseguiría una
imagen publicitaria muy importante, causando daños graves a la economía del país afec-
tado. Además, que el número de víctimas en tales contextos sería muy elevado, mucho
más que el conseguido a través de un ataque convencional.
En esa línea pensemos lo difícil que puede ser subir una bomba a bordo de un avión,
debido a la cantidad de controles de seguridad que existen sobre el equipaje. En cambio
podría resultar trivial subir a bordo con un teléfono o tableta, mediante la cual se pudiese
infectar el avión con algún tipo de malware. Ocurriría algo parecido con el sector de los
vehículos autónomos, donde como suele ocurrir la tecnología se ha centrado en la parte
puramente funcional, pero no en la relativa a la seguridad. Así, podemos inferir que este
tipo de sistemas son de gran relevancia para los grupos terroristas, los cuales desde luego
están al tanto de las mismas y de las vulnerabilidades que tienen.
También en esta línea se pueden citar ataques contra el sector petrolero y gasista, donde
la generación de incidentes como derrames, desbordamientos o explosiones ocasionarían
importantes daños e inseguridad, precisamente lo que buscan los terroristas. Asimismo,
la manipulación malintencionada de productos químicos para envenenar suministros de
agua es otra de las claves de la seguridad nacional, que están bajo la mira de los atacantes.
Otro caso a citar sería el de ataques contra la red eléctrica, ya que cortar o afectar a la red
eléctrica de un país tendría graves consecuencias en su economía.
09
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
En este caso los terroristas no usan el típico análisis coste-beneficio, como sí hacen las
organizaciones criminales, ya que se decantan más por la identificación de oportunida-
des para causar un gran daño al adversario. Además, los ciberataques permiten causar
tales daños sin que los terroristas tengan que exponer su integridad física, por lo que es
de esperar que esta tipología de ataques sea cada vez más empleada por los terroristas.
En cuanto a las tácticas empleadas por los terroristas, debemos decir que en su mayoría
son secretas, ya que no existen muchas investigaciones al respecto y los gobiernos no
revelan dicha información. No obstante, se podría el ataque ejercido contra Sony en 2014
como ejemplo de un ataque terrorista, en cuanto al daño provocado sobre dicho ente por
no ceder a las presiones de ciertos actores políticos en materia de libertad de expresión.
En este caso las organizaciones que creen plausible estar dentro del objetivo de los terro-
ristas deben contar en su programa de ciberseguridad con acciones de contacto con las
fuerzas y cuerpos de seguridad del Estado, incluyendo las capas de inteligencia a fin de
saber cómo protegerse ante las amenazas terroristas.
De igual modo, la expansión del Internet de las Cosas abre nuevas vías a las amenazas te-
rroristas, siendo un ejemplo los intentos de extorsión relacionados con la solicitud de un
rescate a cambio de no detener el marcapasos de una persona. Así vemos que la tipología
de impactos que pueden desprenderse de los ciberataques llevados a cabo por terroristas
puede ser muy amplia y compleja, requiriendo de medidas muy específicas para su reme-
diación y contención.
10
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Entre los ataques más empleados por estos grupos encontramos los ataques de denega-
ción de servicio distribuida (DDoS), donde no se busca robar información sino causar
daño a la organización objetivo. Además suelen hacer un uso extensivo de las redes so-
ciales para difundid sus mensajes y captar adeptos, lo cual es totalmente necesario en
este escenario ya que no cuentan con recursos financieros, por lo que es vital reclutar
colaboradores. En este sentido, las organizaciones debieran monitorizar dichos canales
para verificar si en algún momento pueden ser objeto de atención de estos grupos.
En una segunda fase esto grupos buscar recopilar información sobre sus objetivos, todo
ello sin ser detectados y mediante el empleo de todo tipo de herramientas de escaneo.
Una vez hayan encontrado una vulnerabilidad tenderán a introducir mensajes propagan-
dísticos en las páginas web atacadas, sirviendo esto también como altavoz de recluta-
miento para ganar más simpatizantes y mostrar su poder. Asimismo, si se emplea un
ataque DDoS se buscará hacer un daño más importante al objetivo, ya que si se tratase
de un comercio online el mismo no podría operar. Y en el caso de que se tratase de un
proveedor de servicios el mismo podría incurrir en penalizaciones ante sus clientes, por
lo que las pérdidas económicas podrían ser importantes. Todo ello gracias al empleo de
un gran número de máquinas reclutadas de forma legal o ilegal para esta acción, usando
las mismas para el envío masivo de paquetes al servidor a atacar para que colapse.
Hacer frente a ataques DDoS es complejo y costoso, dado que no es fácil distinguir cuán-
do un volumen alto de tráfico tiene un origen malicioso, y cuando somos conscientes de
ello suele ser demasiado tarde.
Para empezar tenemos que saber qué entendemos por un activo de información crítico,
a lo que nos referimos cuando estamos ante una información que en caso de sufrir una
pérdida, robo o uso indebido causaría un impacto muy grave a la organización. Se
nos pueden venir a la mente ejemplos como datos de salud, datos en general de carácter
personal, datos sobre tarjetas de pago, etc. Asimismo, también tendríamos que considerar
en esta categoría a la propiedad intelectual, planes de negocio, datos sobre fusiones o
adquisiciones empresariales o información comercial.
11
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
En cuanto a los impactos que podría sufrir la organización afectada, se mueven en un es-
pectro muy amplio. En muchas ocasiones tales entidades sufren impactos reputacionales
contra su marca, multas administrativas por parte de los reguladores, un daño operacio-
nal que redunde en una pérdida de ingresos y de ventaja competitiva, etc. Así podemos
ver que estos activos críticos con total probabilidad tienen un efecto directo sobre los
balances de cuentas, previsiones de ingresos y, en definitiva, sobre el modelo de ries-
go de la organización.
Además, debemos tener en cuenta que en general las organizaciones cuentan con recur-
sos limitados, con lo que deben priorizar sobre los activos a proteger y el modo de hacerlo.
No obstante, hacer esa identificación y priorización nunca es fácil, y requiere de un labor
de análisis importante. En ocasiones basta con preguntar a la alta dirección qué es lo que
más les preocupa sobre su negocio, mientras que en otras ocasiones hace falta recurrir al
mapa de procesos de negocio de la organización, a fin de identificar los flujos entre unos
y otros y ver dónde se produce el valor para la organización. Y ante todo es necesario ha-
blar con los propietarios de las líneas y procesos de negocio y servicio, para identificar
de primera mano en qué debe centrarse la organización. En esta labor hará falta hacer un
enlace claro entre activos y las finanzas, metas y visión de la organización, intentando
también que en las conversaciones participen cuantas más partes interesadas mejor.
• Creación
• Almacenamiento
• Uso
• Transmisión
Dato importante
12
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Creación
Almacenamiento
Cuando un activo pasa a existir en un entorno corporativo determinado debe ser almace-
nado en algún tipo de soporte y/o sistema. Lo habitual es realizar dicho almacenamiento
asignando los oportunos niveles de acceso a los usuarios privilegiados. Este punto es
crucial, ya que muchas brechas de seguridad tienen lugar por culpa de una inexistente o
mala aplicación de dicho principio.
Así, llegamos al concepto de privilegio mínimo, que precisamente busca que sólo los
usuarios con verdaderas necesidades funcionales tengan acceso a los datos, y dicho ac-
ceso sólo con el requerido nivel. También muy ligado a este hecho encontramos la ne-
cesidad de revisar los derechos de administración, de cara a poder realizar cambios en
el sistema y a poder ver la totalidad de los datos. Gracias a estos mecanismos podremos
reducir el impacto derivado de ataques de phising o spear phising, ya que la cuenta del
usuario comprometido no tendrá privilegios sin límite en el sistema, haciendo así que la
brecha esté contenida.
Uso
Las personas tienen una propensión a almacenar todo tipo de información, aunque la
misma no tenga una relación directa con el negocio y la organización. Además, también
es normal que la información, aun estando relacionada con el negocio, se almacene para
la posteridad, lo cual quizá sólo tenga sentido, o sea obligatorio por ley, para algunos sub-
conjuntos de datos pero no para todos. Esta tendencia hace que estemos más expuestos al
riesgo de brechas de datos, por lo que es importante definir quiénes serán los usuarios
que harán empleo de tal información, y cuáles son los usos aceptables de la misma.
13
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Como vemos definir el comportamiento autorizado sobre los activos críticos de infor-
mación es crucial, lo cual nos permitiría identificar más rápidamente cuándo se produce
un uso no autorizado, pudiendo además aplicar medidas sancionadoras a las personas
involucradas. En este punto también es importante contar con planes de comunicación y
concienciación bien establecidos, a fin de indicar qué se puede y qué no se puede hacer
con la información, al igual que habilitando el que existan canales de denuncia o comuni-
cación de incidencias a nivel interno que sean efectivos.
Transmisión
Hay activos de información que por su criticidad nunca debieran salir fuera de las instala-
ciones, oficinas e infraestructuras de una organización. Aun así la mayoría de tales datos
pueden ser transmitidos sin problemas siendo, en algunos casos, necesario tal hecho. Por
ejemplo, cuando hay que comunicar datos vía correo electrónico a un paciente, aunque
lo normal es que los mismos fuesen cifrados. No obstante, sí estaríamos ante una brecha
de datos si tales datos se compartiesen con un paciente equivocado, o si los mismos se
mandasen de forma no cifrada.
Son este tipo de detalles, en cuanto a malas prácticas institucionalizadas que no han sido
erradicadas, y en muchos casos detectadas, las que aprovecharán los atacantes para con-
seguir sus fines. Además, si se estudian los incidentes de seguridad que suelen ocurrir
anualmente, un porcentaje muy importante se deben precisamente a este tipo de malas
prácticas. Por tanto, es fundamental definir los métodos de transmisión autorizados, in-
dependientemente del contexto empresarial en que nos encontremos. Qué duda cabe que
si estamos en una pequeña empresa que maneja información poco sensible parametrizar
este tema será fácil, en cambio no lo será en absoluto si estamos en una empresa que tiene
operaciones con sedes en China, y debe enviar a las mismas información de propiedad
intelectual de alto valor.
14
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
De igual modo, puede ser una buena práctica el que no haya una única persona que tenga
toda la información requerida para construir y/o operar un servicio o producto. En defi-
nitiva, se debe garantizar que la información crítica está protegida en tránsito en todo
momento, y que sólo es compartida con los usuarios autorizados para ello.
Además, los tipos de ataques que se pueden recibir en uno u otro sector también es algo
que depende de tal circunstancia, mayor motivo aún para que todo profesional de la ci-
berseguridad. Por otro lado, los activos críticos también varían de uno a otro sector, por lo
que tomar en cuenta este punto de vista es muy valioso.
En este sector los activos críticos más importantes suelen estar relacionados con la infor-
mación de los clientes. De igual modo, suelen ser los propios clientes de estas empresas
los que exigen el cumplimiento de ciertos requisitos de seguridad. En este caso la infor-
mación que manejan las grandes consultoras, bufetes de abogados, etc, puede ser muy
valiosa para los ciberespías, ya que en ocasiones existe información relacionada con
investigaciones y patentes, justo antes de que la misma salga a la luz. Además, también
puede existir información relacionada con litigios importantes, casos que involucren a
indemnizaciones por parte de compañías de seguros o a problemas con reguladores.
Por otro lado, para los terroristas y hacktivistas dicha información podría derivar en im-
pactos económicos y reputaciones para tales clientes que han visto expuestos sus datos.
Además, es obvio que el propio prestador de servicios sufriría un gran impacto reputacio-
nal, de ver expuesta la información de sus clientes. En estos casos es importante conocer
el proceso mediante el cual el cliente da la información al proveedor, por lo que tendría
sentido contar con medidas que permitan identificar y trazar qué información, cómo y
cuándo ha sido enviada. También es vital que haya una debida restricción de accesos,
ya que no todos los empleados del proveedor deben tener acceso a la información de
todos los clientes.
15
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Este sector enfrenta amenazas muy sofisticadas, por lo que suele contar con programas
de ciberseguridad maduros. Además, todos los grupos de atacantes identificados están
interesados en estos objetivos, por lo que las amenazas y vías de ataque que pueden sufrir
son múltiples. De este modo, los ciberespías con sus ataques buscan algún tipo de venta-
ja competitiva en el contexto del espionaje industrial, así como provocar un aumento
o disminución en las importaciones de la víctima, todo ello con importantes daños eco-
nómicos.
También es importante tener en cuenta los ataques asociados a robo información sobre
investigaciones, estrategia comercial, etc, para manipular los precios en el mercado, trun-
car posibles planes de expansión, extracción o perforación por parte de los objetivos. Asi-
mismo, se han identificado ataques que buscaban robar información sobre metodologías
y procesos, para conseguir copiar el sistema operativo que emplea la víctima.
Por otro lado, el crimen organizado busca obtener beneficios directos, teniendo en cuenta
que en este tipo de empresas trabajan un número de empleados muy elevado, por lo que
cuantos más trabajadores haya más lucrativo será conseguir las bases de datos de em-
pleados de estos entes. De igual modo, la información sobre proyecciones de precios,
rendimientos financieros, etc., puede ser empleado por los atacantes para obtener ga-
nancias en el mercado de la inversión, máxime si los objetivos cotizan en bolsa.
En cuanto a los terroristas, si conseguir atacar a este tipo de empresas podrían generar
desastres y daños muy cuantiosos. Imaginemos un ciberterrorista que consigue causar
un derrame de petróleo, o interferir en los procesos operativos causando que un país se
quede durante horas o días sin algún tipo de suministro energético. No sólo conseguiría
un impacto tangible importante, sino también a nivel de publicidad y propaganda.
Finalmente, los hacktivistas podrían estar motivados por múltiples razonadas. Estas pue-
den ir desde ataques contra el supuesto daño que estas empresas hacen al medioambien-
te, la existencia de corrupción en las mismas, el encarecimiento voluntario de los precios,
etc. En este caso los ataques que se podrían llevar a cabo buscarían tanto un mensaje de
propaganda, como intentar alterar la operativa de dichas compañías.
Salud
Cuando hablamos del sector médico o sanitario está claro que la información más valiosa
es la relativa a la salud de los pacientes. Además, este sector suele estar muy regulado,
teniendo además un halo mediático muy importante todos los ataques que se pudieran
producir en este contexto. También hay que destacar la información relativa a investi-
gaciones médicas, sobre nuevos fármacos, tratamientos, etc. De igual modo, aunque
quizá en un escalón inferior de probabilidad, podríamos encontrar información sobre fu-
siones y adquisiciones, las cuales podrían darse dentro del sector privado.
16
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Por otro lado, en este sector se suele seguir de forma más o menos estricta la normativa
o regulación existente en la materia, lo cual puede hacer pensar que realmente se presta
más atención al cumplimiento que a la seguridad real, por lo que la postura de seguri-
dad existente se podría catalogar como mejorable.
Fabricación
En este contexto la información más importante suele ser la relacionada con procesos
operativos, productos, planos y diseños de los mismos. Esta propiedad intelectual de
peligrar haría que se viniera abajo la propia supervivencia de la organización, ya que
perdería totalmente su ventaja competitiva. Por el contrario, es muy habitual encontrar
que estas organizaciones no se le presta demasiada importancia a la seguridad, cuando
tendrían que considerar que cualquier elemento de su cadena productiva, lo que hace que
puedan crear un producto más barato o con mayor calidad que su competencia, tiene un
precio ahí afuera y puede haber atacantes interesados en conseguirlo.
En este caso será fundamental trazar qué usuarios tienen acceso a qué información, defi-
niendo asimismo los usos autorizados de la misma. Además, es común en este sector que
se subcontraten o externalicen alguna parte de los productos, por lo que tenemos pe-
ligros adicionales en materia de seguridad, ya que quizá fuga de información o acceso no
autorizado venga a través de ese tercero. Por otro lado, la globalidad comercial en la que
nos encontramos, donde se prima cada vez más la reducción de los costes operativos o la
búsqueda de regulaciones más laxas, hacen que estas empresas operen en países donde
la ciberseguridad es un problema aún mayor. De este modo, será fundamental que la
alta dirección entienda cuándo los problemas de seguridad pueden ser superiores a los
potenciales beneficios operacionales en las decisiones que tomen.
Finanzas
Las empresas del sector financiero son uno de los objetivos más frecuentes de los atacan-
tes, en concreto por parte del crimen organizado. Este sector está fuertemente regulado,
por lo que también están muy bien definidos cuáles son los activos más críticos. En
concreto, hablamos de los números de cuenta, las credenciales de las mismas y los datos
personales de los clientes. Además también hay que incluir los datos relativos a la pla-
nificación financiera y estudios económicos que realiza el banco, es decir su propiedad
intelectual.
De este modo resulta obvio la necesidad de proteger los datos de los clientes, ya que en
este campo la reputación es fundamental. Por ello, de ocurrir alguna brecha de seguridad
la confianza de los clientes se podría venir abajo con severas consecuencias. En ese sen-
tido, también es importante que los programas de ciberseguridad cuenten con mecanis-
mos para prevenir y detectar los intentos de fraude. No sólo como un valor marketiniano
de cara a los propios clientes, sino porque en muchos casos el banco sería el responsable
de ese uso fraudulento de sus servicios.
17
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Por otro lado, el segundo gran bloque de información crítica es la relativa a la inteligen-
cia de negocio o corporativa, siendo esta parte vital para todo lo referente a inversiones
y estrategia. Así, en los planes a largo plazo de las entidades financieras se incluyen datos
sobre los planes de inversión, por lo que si uno de sus competidores se hiciese con dicha
información el objetivo perdería una parte sustancial de su ventaja competitiva. Incluso
dicha información podría ser usada por otros inversores, provocando que se alzasen el
precio de las mismas, y teniendo por tanto la organización afectada que cambiar sus pla-
nes estratégicos.
Minoristas
En este sector se suelen contar con numerosos datos personales sobre los clientes, te-
niendo generalmente por desgracia una postura de seguridad más débil que la existente
en otros sectores. Ello debido a los pequeños márgenes de ganancia con los que suelen
operar, lo cual hace que se preste menos atención a aspectos no funcionales del negocio,
como pueda ser la ciberseguridad.
Además, debemos tener en cuenta que las empresas emisoras de tarjetas de crédito y los
bancos sí cuentan con mecanismos para proteger a sus clientes de posibles fraudes, lo
cual ha quitado cierta presión a las empresas minoristas para que eleven el nivel de su
seguridad. De igual modo, otro factor importante es que los clientes de estos comercios
seguramente no estarían dispuestos a pagar más dinero a cambio de que dichas empresas
invirtiesen en seguridad, ya que perciben que el daño que podrían sufrir tras un incidente
en este contexto sería menor.
Asimismo, la industria de tarjetas de pago mediante PCI regula la forma en que estas
empresas deben almacenar, procesar y transmitir los datos de las tarjetas de pago, no
existiendo hasta ahora ninguna medida que premie o estimule a aquellas empresas mino-
ristas para que mejoren su sistema de seguridad.
18
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Datos en movimiento
Nos referimos a la capacidad de detectar los activos críticos de información que están
en movimiento, sea que entran o salen del ambiente corporativo, o que dentro del mis-
mo están cambiando de ubicación o siendo transmitidos. En este caso entrarán en juego
protocolos comunes como SMTP, HTTP, FTP, etc. Además, debemos tener presentes las
tecnologías de descentralización, como las infraestructuras en nube, lo cual supone todo
un desafío, al requerir de mecanismos que posibiliten que se sigan cumpliendo las reglas
de seguridad allá donde los datos estén.
En este punto es importante recordar que el uso aceptable de la información debe ser
definido por la alta dirección, buscando su apoyo y visión sobre este punto. Esto se trae
a colación ante la necesidad de que existan políticas corporativas sobre el empleo de la in-
formación crítica, ya que en caso contrario los usuarios seguirán haciendo lo que estimen
oportuno al no existir pautas regladas. En este punto también cabe indicar el uso cada vez
más extendido de las soluciones de cifrado, como en el caso de protocolos como HTTPS
o TLS, lo cual puede dificultar esa monitorización de los datos en movimiento. Por tanto,
es importante considerar este punto para que, si es posible, los mecanismos de cifrado se
lleven a cabo en conjunto con el resto del programa de ciberseguridad, facilitando así la
implantación de requisitos que permitan descifrar la información cuando sea necesario.
Datos en uso
En este caso buscamos monitorizar cómo la información está siendo empleada por los
usuarios, en muchas ocasiones en el dispositivo final. Aquí entrarían en juego cuestio-
nes cómo la compartición de la información a través de Internet y el correo electrónico,
tanto cuando se está conectado como desconectado de la red corporativa. Asimismo, es
importante considerar cuándo la información se puede imprimir, o si se trata de almace-
nar en dispositivos extraíbles.
En muchas ocasiones las empresas han tenido que decidir si permitían o no el uso de la
información en dispositivos extraíbles, cuando realmente se puede permitir este tipo de
operaciones con tecnologías que hagan que sobre los datos se sigan aplicando las medi-
das de seguridad corporativas. De este modo se puede ser más laxo en cuanto al uso de
múltiples posibilidades tecnológicas, agilizando a su vez la operativa de negocio, sin que
ello tenga que derivar en problemas de seguridad.
Por otro lado, debemos tener en cuenta que la monitorización sobre el uso de los datos
puede resultar intrusiva para el usuario final, por lo que es importante que se conozcan y
respeten las normativas legales que sean de aplicación. Será en ese equilibrio donde los
usuarios no protestarán ante la monitorización implantada, siendo también aconsejable
que dichas medidas estén en sintonía no sólo con las leyes sino también con la cultura
corporativa.
19
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, si gracias a estos mecanismos podemos interactuar con el usuario final, solici-
tando en tiempo real la aceptación de mensajes emergentes para llevar a cabo una acción,
podremos reforzar la concienciación en materia de ciberseguridad. Todo ello de nuevo
con un sano equilibrio, y sabiendo que se debe ser muy prudente de cara a no generar
suspicacias entre los usuarios finales.
Datos en reposo
Con datos en reposo nos referimos a la capacidad de saber dónde está siendo almacenada
la información crítica, lo cual es de ayuda asimismo para las áreas legales y de cumpli-
miento normativo. Sabiendo dónde están los datos podremos evaluar si dicha situación
genera o no problemas de seguridad, evitando a su vez problemas relacionados con el
principio de menor privilegio y segregación de tareas.
Por tanto, relacionado con la monitorización de los datos en reposo está la necesaria re-
visión de los derechos de acceso, además de evitar el almacenamiento de información
que ya no tiene valor para negocio, y en cambio podría generar problemas de seguridad.
Por otro lado, también tendrían lugar aquí las acciones de clasificación y etiquetado de la
información, pudiendo emplear tecnologías para ello que lo hagan lo más transparente
posible esta acción para el usuario final.
En general, una buena ayuda para la selección de controles de seguridad es recurrir a los
marcos de buenas prácticas internacionales existentes. Uno de los más importantes es la
ISO 27002, indicando a continuación los controles de los que consta en su última versión
de 2013 (la estructura muestra respectivamente cada uno de los dominios, objetivos de
control y, finalmente, los controles en sí).
5. POLÍTICAS DE SEGURIDAD
20
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
6.2.2. Teletrabajo
8. GESTIÓN DE ACTIVOS
21
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
9. CONTROL DE ACCESOS
22
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
10. CIFRADO
23
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
24
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
25
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
14.2.3. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
26
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
17.2. Redundancias
18. CUMPLIMIENTO
27
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Dato importante
Nos referimos a un activo de información crítico cuando estamos ante una infor-
mación que en caso de sufrir una pérdida, robo o uso indebido causaría un impacto
muy grave a la organización.
Por otro lado, hay que tener en cuenta que el número de eventos y transferencias de datos
es ingente, yendo cada vez a más, lo cual incentiva aún más el hecho de que podamos apo-
yarnos en el comportamiento del usuario para realizar un análisis más inteligente y diri-
gido. Mediante técnicas de aprendizaje automático se puede reducir el número de falsos
positivos, así como evitar en menor medida la intervención de equipos humanos. En este
caso la inteligencia artificial será indispensable para llevar a cabo esos análisis en tiempo
real, pudiendo de una forma eficiente registrar y analizar comportamientos por parte del
usuario final, comparándolos con el perfil de riesgo de la organización y decidiendo de
forma consecuente si lanzar una alerta.
Asimismo, de esta forma se pueden reducir los tiempos de respuesta ante incidentes,
incluso lanzando una alarma antes de que el incidente ocurra, o limitando la cantidad de
datos afectados. Dentro de este contexto una tecnología conocida es SIEM o gestión de
incidentes y eventos de seguridad, con la que se consigue registrar toda la información
relacionada para analizarla de igual modo. Esto también permite la correlación de even-
tos, identificando patrones que nos alerten de que algún suceso dañino está ocurriendo
en nuestros sistemas. Además, permiten obtener información de diversas fuentes, con lo
que se pueden analizar grandes cantidades de datos.
En línea con esa capacidad analítica la tecnología SIEM no sólo usa bases de datos rela-
cionales, sino también no relacionales, lo que aumenta la capacidad de búsqueda en tiem-
po real. Asimismo, esta capacidad de analítica del contexto está sustituyendo a la antigua
tecnología de detección de amenazas basadas en firmas, donde también se monitoriza el
comportamiento de las aplicaciones autorizadas, para evitar asimismo usos no correctos
de las mismas. Todo ello con el ánimo de buscar una postura de seguridad proactiva, en
vez de reactiva donde ya se ha producido una brecha.
28
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Por otro lado, debemos considerar que nos encontraremos ante eventos generados por el
usuario y por el sistema informático. En cuanto a la monitorización de eventos generados
por el usuario, se tienen en cuenta los parámetros de contenido, comunidad y canal para
definir qué está y qué no está autorizado. Por un lado, con el contenido define las caracte-
rísticas de activo crítico de información que permiten identificarlo. Es decir, lo que le dis-
tingue del resto de activos, siendo para ello importante recolectar cuantos más ejemplos
sea posible. Así, por ejemplo, podríamos evitar que un empleado accediese a datos que
están más allá de sus funciones.
Finalmente, el parámetro canal se refiere a la forma en que los usuarios autorizados pue-
den usar y transmitir el contenido de carácter confidencial. En muchas entidades se asu-
me que los usuarios autorizados pueden hacer lo que quieran con el contenido de la in-
formación, como por ejemplo almacenarlo en una memoria usb o enviarlo a su cuenta de
correo personal. Así, se abre la puerta a que usuarios descontentos puedan provocar algu-
na brecha de seguridad. Por ejemplo, cuando tratamos con datos de salud de pacientes los
mismos debieran ser cifrados en tránsito, y en caso de que esto no ocurriese tendríamos
un problema de seguridad. Es decir, el contenido estaba autorizado, siendo correcta la
comunidad a la que se estaba enviando la información, pero no así el canal que se estaba
empleando.
29
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Por tanto, un factor fundamental es que seamos capaces de definir el programa de ciber-
seguridad con un enfoque y perspectiva estratégica. Para ello es el negocio quien debe
dar el feedback necesario para que el programa pueda ser diseñado y lanzado, teniendo
así que estar presentes desde el inicio los líderes de la alta dirección. Así veremos qué ne-
gocio ayuda a crear la capa de inteligencia, trasladando qué es lo que importa realmente
y cuál es la estrategia de negocio de la organización.
Luego llegaríamos a la parte táctica, donde buscaríamos planteamientos para apoyar los
objetivos estratégicos que persigue la organización. A continuación tendríamos que bus-
car soluciones tecnológicas apropiadas para sustentar todo lo anterior, dando así lugar a
la capa de tecnología. Finalmente, tendríamos la capa o nivel de eventos, centrada en los
incidentes a más bajo nivel que deben ser tratados y controlados.
30
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
No obstante, también es muy frecuente que las empresas que cotizan en bolsa tengan que
emitir informes de buen gobierno y resultado de cuentas de forma anual, incluyendo una
sección sobre riesgos corporativos, donde es común que se hable de la ciberseguridad.
Además, debemos tener presente que otro colectivo importante, que tendrá información
de mucho valor para definir la inteligencia y estrategia, es la de los directores o respon-
sables de las áreas y línea de negocio. De hecho, en muchas ocasiones estas personas
tendrán una información mucho más concreta y detallada de la realidad. Además, tam-
bién podemos ver el peso o importancia interna que tiene cada área interna de negocio o
soporte si vemos el presupuesto con que cuenta, lo cual también nos dará pistas de cara a
la identificación de los activos críticos de la organización.
También es importante destacar que aunque los miembros del equipo de ciberseguridad
suelen tener un buen conocimiento de lo que es importante en la organización, siempre
hay detalles e información que se les escapa, por lo que sólo se puede acceder a la misma
hablando con los responsables de las áreas involucradas. Además, en general desde el
área de tecnologías de la información, sea que en ella está subsumida o no la parte de
ciberseguridad, suele tener una visión global o de conjunto, que ayuda a ver la necesidad
de desplegar acciones básicas. Por ejemplo, contar con antivirus, firewalls, etc. Pero en
cambio esa visión se quedará corta para llegar a las medidas finas que requiere cada con-
texto organizativo.
De igual modo, contar con ese soporte y supervisión por parte del negocio es necesario
también para evitar suspicacias por parte de los empleados. Sobre todo ante la posible
sensación o temor de estar siendo “vigilados”, o que se vulnere su intimidad y datos per-
sonales. Esto va asimismo en la línea de buscar que los usuarios sean aliados y no ene-
migos del programa de ciberseguridad.
Por tanto, con esa visión holística comentada a continuación se irán viendo cada una de
las capas o niveles que tendrían lugar en un programa de ciberseguridad.
Nivel de Inteligencia
31
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, es necesario entender que hay que realizar un análisis coste-beneficio entre la
aceptación de un riesgo y la puesta en marcha de medidas con unos costes tangibles e
intangibles determinados. Recordemos de nuevo, en relación a los costes intangibles, que
habrá acciones que puedan causar malestar entre los empleados, pudiendo derivar en
dificultades a la hora de poner en marcha otros proyectos futuros.
Como hecho fundamental en esta capa de inteligencia buscamos determinar qué usos
aceptables se pueden asignar a los activos críticos, desde una perspectiva de conteni-
do, canal y comunidad. Para ello qué duda cabe habrá que hablar con las personas que ma-
nejan diariamente tales activos, ya que ellos tienen la información concreta sobre cómo se
almacenan y transmiten, así como los procedimientos que se siguen cuando los procesos
operativos fallan. Además, estas entrevistas deben hacerse de forma cauta, para evitar la
generación de suspicacias en las personas, que hagan que no digan toda la información.
Si conseguimos esa cercanía veremos cómo los empleados se abren, haciéndonos partíci-
pes de las barbaridades, que en demasiadas ocasiones ocurren, que se llevan a cabo con
los activos corporativos en contra de los principios de seguridad.
De esta forma al lograr identificar y documentar cuáles son las prácticas autorizadas,
podremos retroalimentar a la capa de estrategia donde se indicará cómo detectar los com-
portamientos que se salgan de esa línea y la respuesta a dar en tales escenarios.
Nivel de Estrategia
En este nivel o capa de estrategia tendremos que dar forma a las acciones necesarias
para que se haga cumplir el uso autorizado de los activos de información críticos.
De igual modo, habrá que definir las respuestas a dar ante tales escenarios, las cuales
tendrán que ser medidas y sopesadas con cautela. En este punto es importante comentar
que en ocasiones, y con más frecuencia en empresas de gran tamaño, se articulan dos
grupos de trabajo distintos. Uno con un nivel de gobierno o gobernanza, para la parte
de inteligencia, con las personas que toman las decisiones y que pueden patrocinar los
proyectos de seguridad, tanto a nivel funcional como presupuestario. Y otro como grupo
de trabajo, compuesto por delegados del grupo de gobierno o gobernanza, que se reunirá
con una frecuencia mucho mayor y tendrán asignadas tareas mucho más específicas en
materia de seguridad.
Así, unas de las primeras tareas a acometer en el nivel de estrategia es decidir qué ca-
pacidades se necesitan para detectar los comportamientos no autorizados sobre los
activos críticos. Por ejemplo, pensemos en una organización donde las áreas de negocio
no requieren para su funcionalidad del uso de memorias USB. En ese caso, tendría que
deshabilitarse la posibilidad de usar las mismas, no obstante si se detectase que puede ser
necesario para transferir activos no críticos la situación cambiaría. En ese caso tendría-
mos que ser capaces de detectar cuándo la información es o no crítica.
32
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Por otro lado, hay que definir las respuestas a tomar para proteger los activos críticos.
Estas acciones pueden ir desde bloquear los usos no autorizados de la información, el
lanzamiento de ventanas emergentes con avisos, etc. Teniendo presente que las mismas
deben tratar, en la medida de lo posible, de no ser excesivamente coercitivas, a fin de evi-
tar una fuerte aversión por parte de los usuarios y negocio.
Nivel de Táctica
Esto se debe a otros factores en la necesidad de crear procesos, junto con políticas, pro-
cedimientos e instrucciones de trabajo. En definitiva, un enfoque similar al empleado
en normas ISO. En concreto, vemos cómo la información recogida en la capa de inteli-
gencia se plasmaría en la política de seguridad de la información, mientras que la capa de
estrategia lo haría en los procedimientos y la capa táctica en las instrucciones de trabajo.
También de esta forma quedaría definido corporativamente quién es responsable de cada
cosa.
33
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Analítica e informes: definición de los indicadores que ayudarán a que los deciso-
res de negocio vean cuál es la eficacia del programa de ciberseguridad, respecto
a los objetivos estratégicos que se hayan decidido. De igual modo, se tendrán que
considerar los problemas y vulnerabilidades que se vayan descubriendo, así como
el funcionamiento de la respuesta a incidentes.
Además, en todos estos elementos no sólo se debe definir lo que se ha de hacer y quién
es responsable de ello, sino que también habrá que definir los tiempos y la frecuencia con
que se deben llevar a cabo.
Nivel de Tecnología
Como hemos visto en este apartado se tendrán que desplegar tecnologías de todo tipo,
desde antivirus básicos hasta tecnología de seguridad basada en el comportamiento. De
igual modo, habrá que tener en cuenta las soluciones de monitorización, prevención de
pérdida de datos, cifrado, cortafuegos, etc.
Nivel de Eventos
34
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
2. Modelización de amenazas
“La modelización de amenazas conlleva una serie de pasos básicos,
simples pero efectivos. La idea es aprender lo máximo posible sobre
el sistema que tenemos delante, a fin de encontrar sus posibles vul-
nerabilidades.”
2.1. Introducción
La complejidad creciente de las ciberamenazas, unido a los crecientes requisitos relacio-
nados con el cumplimiento normativo en este campo, hacen necesario que las organiza-
ciones planteen una postura mucho más sofisticada que la mostrada hasta ahora. Esto,
entre otras cuestiones, lleva aparejada la necesidad de descubrir y gestionar las poten-
ciales amenazas de seguridad no cuando el producto o servicio ya está operando, sino
mucho antes, desde la concepción de los mismos.
Esta labor es fundamental para las personas que crean software e infraestructuras TIC,
siendo de hecho esta modelización de amenazas algo que todas las personas hacen de
forma instintiva en su día a día. Pensemos cuando hemos de cruzar un paso de peatones,
cuando nos dirigimos a una entrevista importante o, quizá más gráfico aún, cuando com-
pramos una nueva casa. Instintivamente identificamos los activos de valor a proteger, las
posibles amenazas que podrían ocurrir y las formas en que evitar las mismas.
Esta modelización informal que seguramente es más que válida para los ejemplos caseros
y cercanos que nos podamos imaginar, seguro que deja de ser válida cuando el contexto
se amplia. Por ejemplo, si un amigo nos pide que realicemos un modelo de amenazas de
su chalet, o si nuestro jefe nos dijese que hiciésemos lo mismo sobre las oficinas de la em-
presa. Nuestra confianza se vendría abajo, siendo conscientes de que la complejidad del
problema requiere una aproximación más formal y sofisticada.
Vemos que esta sería la misma situación que ocurriría ante la necesidad de modelar las
amenazas relacionadas con programas e infraestructuras informáticas, lo cual redunda-
rá sin ninguna duda de forma beneficiosa en la organización. Todo ello debido a que si
encontramos esas vulnerabilidades en la fase de diseño de los productos podremos crear
mejores servicios y productos, haciendo además que la resolución de esos problemas ten-
ga un coste e impacto mucho menor que si se hiciese una vez esos productos o servicios
están siendo usados por clientes.
35
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Esta modelización de amenazas nos permite identificar qué es lo que puede ir mal,
llevando a cabo un análisis sosegado y concienzudo, lo cual no suele estar en sintonía por
ejemplo con la rapidez requerida para crear software hoy en día. Sin duda este plantea-
miento está motivado por la carencia de información sobre las consecuencias que podría
ocasionar ese software o sistema inseguro que se va a desplegar. Es decir, en muchas oca-
siones se alude a restricciones presupuestarias para razonar la falta de revisiones sobre la
seguridad del software, argumento que precisamente se podría tumbar si se tuvieran en
cuenta factores como posibles sanciones por incumplimientos normativos, lucro cesante
por pérdida de clientes ante un impacto reputacional, etc.
De igual modo, esta herramienta permite comprender mucho mejor los requisitos de se-
guridad de nuestros desarrollos, ya que tendremos que plantearnos diversas preguntas
sobre posibles riesgos y vulnerabilidades. Dicho de otra forma, al irnos encontrando todo
lo que puede ocurrir para mal, tendremos que discernir qué respuesta vamos a dar a cada
uno de esos riesgos. De esta forma tendremos mucho más claro cuáles son las caracterís-
ticas y propiedades en materia de seguridad que deben estar presentes.
36
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
3. ¿Qué se debería hacer con aquellas cosas que pueden salir mal?
Para ello, veremos que los diagramas de flujo de datos son una herramienta importante,
cando comprender todos los elementos y componentes que formarán parte de nuestro
sistema, identificando asimismo las vulnerabilidades que pueden estar presentes. Dicho
de otra forma, los pasos antes comentados se transformarían en los siguientes:
Si nos damos cuenta la modelización de amenazas debería ser una herramienta tan fun-
damental, y normalizada, como lo pueda ser por ejemplo el control de versiones. Ningún
diseñador de software podría llevar a cabo un proyecto sin un sistema de control de ver-
siones, no sería ni práctico ni profesionales. Pues bien, con la modelización de amenazas
ocurriría lo mismo. No podemos mirar a otro lado o esperar a que las vulnerabilidades
se identifiquen una vez el producto o servicio ya está en mercado. Tampoco sería serio o
profesional.
37
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, con esta herramienta o enfoque debemos ponernos en la piel del atacante. De-
bemos pensar como él, entendiendo así por qué vías podrían darse ciertos ataques, cuáles
serían las amenazas que podrían ser explotadas con mayor frecuencia, etc. Así mismo, hay
que entender que habrá amenazas que no podrán ser mitigadas de forma perfecta, por lo
que habrá que afinar los requisitos de seguridad a exigir al sistema.
A continuación veremos con algo más de detalle cada una de las fases indicadas como
necesarias en el proceso de modelización de amenazas.
Una buena forma para clarificar lo que nos disponemos a construir es emplear diagra-
mas, los cuales nos permiten de forma fácil y rápida entender más profundamos lo que
tenemos delante de los ojos. A continuación se expone como ejemplo de alto nivel lo que
podría ser el diagrama de un aplicación simple.
Además, nos permiten pensar de forma más clara sobre lo que puede ocurrir para mal.
Es decir, las amenazas que podrían materializarse sobre el sistema. Tomando el ejemplo
anterior, ¿cómo sabremos si el navegador web está siendo usado por las personas espera-
das?, ¿sería posible que alguien modificase de forma no autorizada la base de datos?, ¿es
correcto que la información pase de componente a componente sin ir cifrada?
Por otro lado, también podrían surgir preguntas como la siguiente: ¿la base de datos po-
drá estar en proveedor externo, o debe estar en las dependencias locales? Lo cual nos lleva
al concepto de límite de confianza, donde se indica quién controla qué dentro de nuestro
sistema. Es decir, si personas distintas controlan diferentes elementos o entornos debe
designarse en el modelo como límites de confianza. Ejemplos pueden ser cuentas, inter-
faces de red, ordenadores físicos, límites en la organización, etc. En definitiva, cualquier
sitio o elemento donde haya diferentes privilegios de acceso y operación.
Límites de confianza
38
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Estos diagramas pueden ser construidos con herramientas que pueden ir desde progra-
mas de dibujo, Visio o herramientas específicas de modelización de amenazas como ve-
remos en esta unidad.
Una vez que hemos construido un diagrama que muestra la composición del sistema bajo
estudio debemos preguntarnos qué puede ir mal dentro del mismo. Es importante tomar
esta acción con un toque lúdico, lo cual hará que los participantes se involucren más y que
la creatividad sea mayor.
Para ello, podemos mostrar el diagrama construido a cada uno de los participantes, de-
biendo indicar cada uno qué posibles amenazas observa. Dicha información se tendría
que ir registrando, para su posterior evaluación y gestión. De igual modo, existen meto-
dologías que pueden facilitar esta labor, siendo un ejemplo STRIDE. Esta palabra es un
mnemotécnico para identificar todo lo que puede ir en nuestro sistema. En concreto, co-
rresponde a las siglas de Spoofing (Suplantación), Tampering (Manipulación), Repudia-
tion (Repudio), Information Disclosure (Divulgación de información), Denial of Service
(denegación de servicio) y Elevation of Privilege (Elevación de privilegio).
Una explicación más detallada de cada una de estas dimensiones de amenazas es la si-
guiente:
39
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• ¿El navegador puede ser usado por una persona no esperada? → Sería un ejemplo
de Spoofing.
• ¿Es correcto que la información pase de un componente a otro sin cifrar? → Sería
un ejemplo de Information Disclosure.
De esta forma podemos ver que el empleo de STRIDE facilita mucho la identificación de
amenazas. Para ello bastaría ir recorriendo el diagrama construido y buscar amenazas por
cada una de las dimensiones de STRIDE.
A continuación se muestran algunos ejemplos adicionales para cada una de las dimen-
siones:
• Spoofing: alguien podría hacerse pasar por un usuario, sitio web, etc. Por tanto,
sería necesario contar con un sistema de autenticación, contar con un certificado
SSL, etc.
• Tampering: alguien podría alterar los datos de un repositorio institucional, los da-
tos que van en un flujo de un componente a otro, un insider malicioso podría aña-
dir algún tipo de parámetro que se aplicase sobre todas las ventas que se hagan
desde un comercio online, etc.
40
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Asimismo, de cara a identificar amenazas de forma más eficiente hay algunas indicacio-
nes que pueden ser de utilidad. Por ejemplo, podemos entender qué muchas de las ame-
nazas existentes se darán en las entidades externas, es decir en aquellos elementos donde
se inicia una actividad. De igual modo, es conveniente centrarse en las amenazas que sean
más probables y que puedan ser gestionadas por nuestra parte de alguna forma. Si iden-
tificamos, por ejemplo, la amenazad e que los chips de nuestros servidores tengan una
puerta trasera, seguramente poco podamos hacer al respecto. Hablamos de amenazas que
aun siendo reales están más allá de nuestras posibilidades como gestores de seguridad
de la información.
¿Qué se debería hacer con aquellas cosas que pueden salir mal?
Una vez tenemos un catálogo de amenazas identificadas tenemos que ver cómo tratar
cada una de ellas. En concreto, las posibles opciones de gestión del riesgo son la mitiga-
ción, eliminación, transferencia o aceptación. A continuación se explican cada una de
ellas con algo más de detalle:
• Transferencia: buscamos que sea un tercero el que gestione el riesgo, lo cual usual-
mente recaerá en un proveedor externo. Por ejemplo, una empresa que lleva la
gestión del CPD de una empresa.
41
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Spoofing
• Tampering
Sistema de ficheros
Directorios protegidos ante Listas de control de acce-
(creación de un
explotación de código so, etc.
fichero)
HTTPS/SSL, segmentación
Paquete de red Cifrado
de redes, etc.
• Repudiation
En la fase de diseño de
Logs como una vía para Especificación exacta de los los sistemas especificar y
los ataques logs documentar el diseño de
los logs
42
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Information Disclosure
• Denial of Service
Requisitos de seguridad
especificados en la fase de
Recursos de programa Seguridad por diseño
diseño, recursos elásticos,
etc.
• Elevation of Privilege
43
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
La validación del modelo de amenazas sería el último paso a dar dentro del proceso co-
mentado. De forma muy resumida, tendremos que verificar el modelo en su totalidad,
en cuanto a la construcción del mismo con sus componentes y conexiones; el conjunto de
amenazas detectadas y la forma en que gestionar las mismas.
En este sentido, las siguientes cuestiones nos pueden ayudar en nuestra labor:
• ¿Está completo?
• ¿Es exacto?
• ¿Puedo comenzar la próxima versión con el mismo diagrama sin ningún cambio?
Y en caso de que la respuesta fuese negativa para alguna de las cuestiones tendríamos
que verificar nuevamente el modelo. Además, veremos que cada cierto tiempo quizá nos
veamos en la necesidad de actualizar nuestros diagramas, para lo cual las siguientes indi-
caciones nos serán de utilidad:
• Cada vez que nos encontremos empleado palabras como “a veces” o “también”
debemos agregar más detalles al modelo, ya que estamos poniendo de manifies-
to que hay diversos caminos y, por tanto, elementos o componentes involucrados
para hacer las cosas.
• Cuando sea necesario dar explicaciones adicionales de cara a explicar aspectos im-
portantes de seguridad, será necesario dibujar más detalladamente los elementos y
componentes que entran en juego.
44
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Dato importante
2.3. STRIDE
Como hemos visto no es simple modelar un sistema correctamente, y mucho menos iden-
tificar las amenazas que pueden materializarse sobre el mismo. Es un trabajo arduo y
donde corremos el riesgo de dejarnos amenazas sin identificar, lo cual podría limi-
tar sobremanera precisamente la labor que pretendemos acometer. Si ponemos como
ejemplo el diagrama de la Figura 3 vemos que hay un número de elementos, contando los
componentes y las conexiones entre los mismos, que en principio no es muy elevado. No
obstante, identificar de forma exhaustiva todas las amenazas posibles ya empezaría a ser
complejo.
Diagrama de un sistema
45
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Viendo este ejemplo podemos ser aún más conscientes de la utilidad que traslada un
marco como STRIDE, al permitirnos seguir una sistemática de trabajo en nuestro análisis.
Además, las dimensiones STRIDE tienen una relación directa con las dimensiones de
seguridad de la información más importantes, viendo así que la utilidad de esta herra-
mienta está fuera de toda duda.
Dimensión de seguridad
Dimensión STRIDE
tradicional
Suplantación (Spoofing) Autenticación
De igual modo, para ayudarnos en nuestra labor podemos recurrir a tablas como las si-
guientes, donde vemos ejemplos de amenazas por cada una de las dimensiones.
• Suplantación
IP Spoofing
DNS Spoofing
Redirección IP
46
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Manipulación
• Repudio
47
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Divulgación de información
Divulgación de información de
Leer datos que circulan en la red
flujos de datos
48
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Denegación de servicio
Consumo de CPU
• Elevación de privilegio
Asimismo, es importante que tengamos en mente cuáles son los principales activos que
tendríamos que tener en consideración, a fin de dar forma a nuestro diagrama del sistema:
Ordenadores personales
• Ordenador de sobremesa
• Portátil
• Teléfono móvil
• iPad
• Etc.
49
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Servidores
• Servidor web
• Etc.
Sistemas de seguridad
• Firewall
• VPN
• Servidor de logs
• Etc.
Grupos funcionales
• Sistemas financieros
• Sistemas de fabricación
• Etc.
Personas
• Ejecutivos
• Administradores de sistemas
• Personal de ventas
• Empleados de proveedores
• Ciudadanos
• Etc.
50
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Procesos
• Transferencia de dinero
• Compra de productos
• Etc.
Reputación
Propiedad intelectual
Moral de la plantilla
Datos de autenticación
• Nombres de usuario
• Contraseñas
• Etc.
No obstante, aun contando con estos consejos la labor de realizar un modelo de amena-
zas puede ser demasiado compleja, sin tener nunca claro si el modelo tendrá un nivel de
calidad elevado. Para ello, contamos con herramientas software que nos pueden ayudar
sobremanera en este sentido. Una herramienta destacada y gratuita es Microsoft Threat
Modeling Tool 2016, viendo a continuación el proceso de su instalación y empleo.
51
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Arranque de la instalación
52
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
53
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
54
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Información detallada para cada amenaza detectada, y que puede ser parametrizada
55
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
3. Respuesta a incidentes
“Un incidente es un evento que puede tener un impacto significati-
vo en la organización en la que nos encontremos, pudiendo dañar la
misma a nivel operativo, financiero, regulatorio, etc.”
3.1. Introducción
En primer lugar, debemos entender que un incidente es un evento que puede tener un
impacto significativo en la organización en la que nos encontremos, pudiendo dañar la
misma a nivel operativo, financiero, regulatorio, etc. En ese sentido, es obvio que las or-
ganizaciones maduras deben contar con un plan de respuesta a incidentes, a fin de estar
preparados para cuando se produzcan tales incidentes.
De igual modo, las organizaciones que han sido atacadas y no han reflexionado sobre
dicha situación, de cara a que no se vuelva a producir, es más que probable que no con-
tarán con un mínimo plan de respuesta a incidentes. Por tanto, dichas organizaciones se
estrellarán una y otra vez contra los mismos problemas. Asimismo, también es impor-
tante entender que tales eventos suponen una oportunidad de mejora, ya que a partir de
ese momento se podrán poner en marcha acciones que, quizá, hasta ese día no se veían
posibles de plantear o implantar.
También puede resultar obvio que el peor momento para aprender a nadar es cuando di-
cha persona se está ahogando. Igual que el peor momento para que una empresa intente
saber qué medidas antiincendios existen es cuando, precisamente, está en medio de un
fuego en sus oficinas. Dichas actitudes son un imán para la catástrofe, siendo imprescin-
dible por tanto realizar pruebas y simulacros, a fin de verificar si la corporación, en todos
sus niveles y ámbitos, está preparada para gestionar dicho evento.
56
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
57
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
3.2.1. Preparación
Es muchas ocasiones una excesiva actividad de análisis hace que no nos pongamos ma-
nos a la obra con la cuestión que tengamos entre manos. Esto también ocurre en el tema
que nos ocupa, ya que pretendemos buscar un plan perfecto nunca daremos inicio al mis-
mo. En definitiva, tendremos que establecer métodos de mejora continua, pero sabiendo
que debemos salir a escena con algo básico y funcional.
Así, en esta fase de preparación se debería documentar el marco que se empleará, cómo
se registrarán los resultados de las pruebas que se realicen, las personas que deben estar
involucradas, quién es responsable de cada una de las acciones, etc. Esta acción se podrá
realizar en una reunión que tenga algunas horas de duración como máximo, servirá de
forma importantísima para evitar errores, caos y confusión a la hora de gestionar un in-
cidente.
Además, es fundamental que los empleados y responsables sepan cómo actuar, ya que
podría darse la circunstancia de que nadie lo hiciese pensando que alguien ya lo habría
hecho o se encargaría de ello. Así, en esta fase de planificación como mínimo deben es-
tablecerse los roles y responsabilidades en esta materia, indicando de igual modo qué
acciones se deben llevar a cabo para responder a cada posible incidente. No obstante, es
importante no tratar de anticipar todos los escenarios posibles, ya que lo único que con-
seguiremos es complejizar en exceso nuestro plan, sin ganar en efectividad.
58
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, en el equipo de respuesta a incidentes debemos contar con expertos que pueden
identificar los grandes tipos de amenazas a las que podemos estar expuestos. De igual
modo, dichas capacidades deberán documentarse y distribuirse, para que el equipo y to-
dos los responsables involucrados puedan actuar en todo momento de la mejor forma
posible.
De igual modo, es importante contar en este contexto con capacidades de análisis fo-
rense, sea a nivel interno o externo, ya que habrá acciones que se tengan que poner en
marcha sobre la preservación de las copias forenses de los dispositivos afectados y el
mantenimiento de la debida integridad de la cadena de custodia. No obstante, dichas ca-
pacidades forenses deberían quedar en un segundo plano en un plan básico de respuesta
a incidentes, centrándonos en las fases propiamente dichas de contención, erradicación
y recuperación.
59
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Asimismo, sería importante considerar cuestiones más allá del ámbito técnico, como pue-
dan ser las relacionadas con el impacto reputacional que cause una amenaza. Para ello,
en este contexto de relaciones públicas y comunicación, será importante definir los roles
y responsabilidades involucrados. Asimismo, muchas amenazas tienen derivadas legales,
por lo que el departamento legal también tendrá que hacer una valoración de la amenaza
y qué acciones se deben llevar a cabo. También en esa línea podemos encontrar incum-
plimientos de contratos con clientes o proveedores, de los cuales se podrían derivar otra
serie de sanciones.
Además, aunque se piense que la actuación ante una amenaza fue buena siempre hay
opciones de mejora, debiendo la directiva exigir una lista de las mejoras que han de ser
implantadas para evitar problemas futuros a la organización. Esto se debe a que la com-
placencia es uno de los mayores peligros de la seguridad, además de que un equipo arro-
gante de seguridad de la información con toda probabilidad no hará bien su trabajo.
En esta misma línea es interesante contar con actividades de prueba y simulacro del plan
de respuesta a incidentes, con los que podamos ver cómo de robusto y efectiva es en ver-
dad dicho programa.
60
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
3.3.1. Antecedentes
Es un hecho que a pesar de las medidas que implantemos, siempre existe el riesgo de que
ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción
que nos indique cómo actuar de la manera más eficaz posible en estos casos.
Existen muchos tipos de incidentes de ciberseguridad, algunos son más habituales que
otros que podrían encajar en una de las siguientes tipologías:
• Daños físicos
• Denegación de servicio
Para ejecutar correctamente el plan y evitar que el daño se extienda se deben detallar las
acciones a realizar en cada momento, la lista de las personas involucradas y sus responsa-
bilidades, los canales de comunicación oportunos, etc.
Tras un incidente, si hemos aplicado el plan, tendremos una valiosa información para
conocer y valorar los riesgos existentes, y así evitar incidentes similares en el futuro.
En caso de que ocurran incidentes graves o desastres que paralicen nuestra actividad
principal, aplicaremos el plan de contingencia y continuidad del negocio.
61
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
3.3.2. Objetivos
Asegurarnos de que todos los miembros de la organización conocen y aplican un proce-
dimiento rápido y eficaz para actuar ante cualquier incidente en materia de seguridad
de la información. Este procedimiento incluirá medidas para comunicar de forma correc-
ta los incidentes a quien corresponda tanto dentro como fuera de la empresa. También
incluirá los mecanismos para registrar los incidentes con sus pruebas y evidencias con
objeto de estudiar su origen y evitar que ocurran en un futuro.
3.3.3. Checklist
A continuación se incluyen una serie de controles para revisar el cumplimiento de la polí-
tica de seguridad en lo relativo a la respuesta a incidentes de ciberseguridad.
• Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles.
Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en
las aplicaciones más comunes. Se previenen ataques mediante la instalación de
herramientas de seguridad elementales
• Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son conside-
rables. Se necesitan programas que requieren configuraciones complejas. Se pue-
den precisar mecanismos de recuperación ante fallos
62
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Mejora continua
B PRO Usas la información recogida en la gestión de los incidentes
para adoptar mejoras en tus sistemas
Resolución de incidentes
A TEC Desarrollas procedimientos detallados de actuación para dar
respuesta a cada tipología de incidente de ciberseguridad
63
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Recogida de evidencias tan pronto como sea posible tras la aparición del in-
cidente, con cuidado de mantener la cadena de custodia, la integridad de las
evidencias (cifrándolas si es necesario), soportes, etc.
64
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
• Recursos afectados
• Posibles orígenes
65
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
4. Concienciación
“El responsable de ciberseguridad de una organización debe aten-
der múltiples parámetros a fin de crear un programa de conciencia-
ción eficaz.”
4.1. Introducción
Hemos de recordar que los atacantes amateur siempre tendrán predilección por atacar
los sistemas de información corporativos, mientras que los atacantes profesionales
siempre tratarán primero de romper la “tecnología humana”. Todo ello a fin de lograr
sus objetivos con una mínima inversión de tiempo y recursos, ya que como sabemos las
personas son siempre el eslabón más débil dentro de la cadena de personas, procesos y
tecnología.
Este hecho se ve potenciado por la falta de concienciación entre los usuarios, los cuales
de forma reiterada tienden a usar contraseñas débiles, a no dar importancia a los aspectos
relativos a su identidad digital, a abrir adjuntos remitidos desde cuentas de correo desco-
nocidas, etc. Y a esto se debe sumar la tendencia creciente de “insiders”, siendo aquellos
trabajadores descontentos que, aprovechándose de alguna debilidad organizativa, se ha-
cen con datos de su empleador para usarlos en su contra.
De igual modo, se ha de entender que las personas también pueden suponer la máxima
fortaleza del programa de ciberseguridad de una organización. Cuando cuenta con
información, herramientas y motivación pueden ayudar de forma significativa a que la
información esté más segura. Recordemos que muchos ataques buscan comprometer di-
chos activos mediante el engaño al usuario final, lo que en muchas ocasiones toma forma
mediante el lanzamiento de campañas de phising.
Por tanto, hemos de entender que los atacantes necesitan para el éxito de sus campañas
de la participación activa de los usuarios, y de no darse la misma lo tendrán muy com-
plicado para poder atacar los objetivos seleccionados. Para ello, es fundamental que los
usuarios conozcan el valor de los activos de información, y las amenazas que podrían
generar si no hiciesen un buen uso de tales recursos. Además, hoy en día un porcentaje
muy amplio de las organizaciones tienen acceso a información confidencial, por lo que
la superficie de riesgo a cubrir es muy extensa. De igual modo, hemos de entender que
hablamos de la generalidad de los usuarios y empleados, y que llegados al caso de la alta
dirección se tendrán que tomar medidas adicionales, como por ejemplo la investigación
de antecedentes.
66
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, de cara a evitar el fraude interno es importante analizar los procesos corporati-
vos, a fin de detectar posibles procesos en los que un único usuario tiene potestad para
realizar todas las acciones involucradas. De igual modo, esta práctica será de utilidad para
evitar que el compromiso de una cuenta afecte a un número muy elevado de sistemas y/o
procesos corporativos.
De forma general podemos decir, por tanto, que las siguientes características deben for-
mar parte de cualquier programa de ciberseguridad:
• Autenticación multifactor
A colación del último punto, hemos de entender que los factores de autenticación se
basan algo que se sabe, se tiene o se es. Por tanto, podemos ver que los sistemas tradi-
cionales basados en contraseña se basan en algo que se sabe, mientras que la obtención
de un código o PIN sería algo que se tiene, y el escaneo de las huellas dactilares o el iris
del ojo sería algo que se es. En ese sentido, históricamente la biometría era algo complejo
de implantar, teniendo además unos costes asociados elevados. No obstante, la realidad
actual es muy distinta, existiendo muchos modelos de ordenador y teléfono que incluyen
tecnología de huella digital.
Si nos damos cuenta para un atacante que emplea la ingeniería social le será mucho más
difícil obtener de un usuario su teléfono o huella dactilar que una mera contraseña, a lo
que hay que sumar el hecho de que la huella dactilar no se puede enviar por la red, lo cual
hace más improbable aún este tipo de ataques.
67
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Dentro de todo este coctel es importe que los profesionales de ciberseguridad entiendan
que los principios básicos de ciberseguridad son desconocidos por los usuarios comunes,
y al igual que un tecnólogo no suele saber sobre gestión de nóminas las personas que
están en las áreas funcionales no tienen por qué saber de ciberseguridad. Sólo desde esa
amplitud de miras y falta de arrogancia se podrá llegar eficazmente a trasladar un men-
saje eficaz de ciberseguridad. En esa misma línea, y ya se ha comentado, debemos dejar
de echar la culpa al usuario para tratar en cambio de empoderarle. El usuario final es la
víctima de los ciberataques, por tanto no podemos victimizarle por partida doble. Necesi-
ta nuestra ayuda, pivotando todo sobre la concienciación efectiva y la gestión del manejo
de los activos críticos de información. Además, los propios usuarios reconocerán cuándo
estamos haciendo un esfuerzo por hacernos a ellos, agradeciendo ese trato con una mayor
involucración.
A continuación se exponen de forma sucinta los principales atacantes internos que pue-
den poner en peligro nuestros activos de información:
• El Insider malicioso
68
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Pero lo cierto es que en todas las organizaciones hay personas sin moral o que,
siendo cierto o no, se encuentran sometidos a algún tipo de conducta corpora-
tiva poco correcta. Es en estos casos donde tales usuarios pueden tratar de hacer
daño a la organización, consiguiendo un beneficio directo o simplemente buscan-
do provocar un daño ante alguna supuesta falta de respeto, promoción, etc.
Estos usuarios buscarán alguna debilidad en los sistemas, siendo muy certeros a
la hora de elegir la información a buscar. Sea porque la misma es muy valiosa, o
porque puede provocar un gran daño a la organización. Aunque hablamos de un
colectivo menor en número es el más peligroso, dado que buscan intencionalmen-
te provocar un gran daño. Además, pueden ser muy difíciles de detectar, dado que
en su comportamiento no se suele apreciar ninguna conducta extraña. En este sen-
tido, se puede contar dentro del programa de ciberseguridad con herramientas de
análisis de comportamiento, al mismo tiempo que la generalidad de los empleados,
y por tanto los superiores y compañeros de dicha persona, conocen este tipo de
conductas y son alertados de la necesidad de detectarlas de forma temprana.
• El Insider equivocado
Hay personas que piensan que hay información que podría ayudarles a la hora de
irse o promocionar en otra compañía, no teniendo dicha acción ningún impacto
negativo en la organización de la que salen. Como vemos este insider racionaliza
su acción, al igual que hacen los ladrones que roban a grandes organizaciones,
entendiendo que no les causarán ningún perjuicio real dado el gran volumen de
transacciones que mueven esas organizaciones. Obviamente esta postura es cap-
ciosa, ya que cualquier información que sea confidencial no debe ser revelado a
terceros, y de producirse tal relevación siempre habría un impacto mayor o menor
para la entidad afectada.
En este grupo también debemos considerar a las personas que, aun habiendo fir-
mado un contrato de confidencialidad, deciden preservar información de su em-
pleador una vez han dejado la compañía.
69
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Además, en este ámbito puede darse la circunstancia de que los valores de una
persona no estén alineados con los valores corporativos, entendiendo por tanto
que no está haciendo nada malo que su mente no lo contempla. En este caso, el
programa de concienciación debe contemplar, máxime aún en una economía glo-
bal donde puede haber trabajadores y operaciones en cualquier parte del mundo,
dicha diversidad de mentalidades donde los factores culturales y la ubicación geo-
gráfica deben ser considerados.
• El Insider bienintencionado
En ese sentido, es importante considerar que los usuarios consideran que la información
a la que acceden diariamente tiene un valor muy básico, no entendiendo por tanto la criti-
cidad de la misma. Esto se refuerza por el hecho de que acceden a dichos activos de forma
diaria, por lo que la sensibilidad sobre el valor de la misma va decayendo. Por tanto, en
nuestras acciones de concienciación es importante “refrescar” la importancia que tienen
tales activos, haciendo que el usuario sea consciente de las implicaciones de su pérdida o
filtración, así como los impactos que supondrían a los trabajadores afectados.
De igual modo, para crear una cultura de seguridad es importante trasladar la necesi-
dad de que los usuarios reporten todos aquellos problemas y malas prácticas de las
que tengan constancia. Así, se debe hacerles entender que ese comportamiento es el
correcto, potenciándolo con elogios y recompensas, y nunca con castigos o malas caras.
Además, los empleados suelen pasar más tiempo con sus compañeros que con su propia
familia, por lo que si perciben ese cambio de visión en sus compañeros ellos también lo
aceptarán.
70
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
También como otro factor sobre el que es importante volver a incidir, es necesario enten-
der que las personas necesitan capacitarse en el entendimiento y manejo de los pro-
cesos y tecnologías. En muchas ocasiones sólo se mira a la tecnología desde el prisma de
la mejora de la productividad, pero se deja de lado el hecho de que mal empleada puede
causar la ruina a una organización. Asimismo, también es importante tener en cuenta el
área de selección de productos tecnológicos, los cuales suelen ser evaluados únicamente
por el área funcional, que busca cierto servicio en los mismos, y por el área jurídica a fin
de revisar los términos del contrato. De nuevo, si hemos conseguido concienciar a las
áreas de negocio entenderán la necesidad de revisar también los aspectos en materia de
seguridad de la información de dichos productos, pudiendo así alcanzar un nivel de ma-
durez muy superior al de la media. Por tanto, este control de proveedores, desde la propia
fase de presentación de ofertas, debe estar presente en el enfoque de cualquier programa
de ciberseguridad.
Como ejemplo de política concienciación, que expondría los pilares sobre este tema a
partir de los cuales iría trabajando la organización, mostramos este ejemplo creado por
INCIBE con unos mínimos que sería interesante contemplar.
71
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
4.4.1. Antecedentes
El creciente uso de las nuevas tecnologías en las empresas hace indispensable la con-
cienciación sobre los riesgos asociados a las mismas. Es necesario que los empleados
conozcan y apliquen buenas prácticas en el uso de todo tipo de dispositivos (de escritorio,
portátiles, móviles, pendrives,…) y soluciones tecnológicas (página web, servicios en la
nube, redes sociales, correo electrónico,…) para lo cual debemos proporcionarles forma-
ción en ciberseguridad adecuada a su puesto ya que de este modo se pueden prevenir
la mayoría de los incidentes.
Para alcanzar los objetivos fijados con esta política, será necesario el compromiso total
por parte de la dirección, que ha de ser consciente que la formación debe ser una acti-
vidad continua que ha de repetirse y revisarse periódicamente, para que surta su efecto
preventivo de incidentes y esté adaptada a las nuevas tecnologías que inevitablemente
iremos utilizando.
4.4.2. Objetivos
Asegurar que, en todo momento, los empleados conocen, entienden y cumplen las nor-
mas y las medidas de protección en materia de ciberseguridad adoptadas, advirtiéndoles
de los riesgos que puede suponer un mal uso de los dispositivos y soluciones tecnológi-
cas a su alcance.
4.4.3. Checklist
A continuación se incluyen una serie de controles para revisar el cumplimiento de la polí-
tica de seguridad en lo relativo a concienciación y formación en ciberseguridad.
• Básico (B): el esfuerzo y los recursos necesarios para implantarlo son asumibles.
Se puede aplicar a través del uso de funcionalidades sencillas ya incorporadas en
las aplicaciones más comunes. Se previenen ataques mediante la instalación de
herramientas de seguridad elementales.
• Avanzado (A): el esfuerzo y los recursos necesarios para implantarlo son conside-
rables. Se necesitan programas que requieren configuraciones complejas. Se pue-
den precisar mecanismos de recuperación ante fallos.
72
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Periodicidad de la formación
B PRO Tus empleados realizan cursos o van a charlas de
concienciación, cada __________
73
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
74
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Charla de
X
concienciación
Envío de examen
X
tipo test
Campaña interna
X
de phising
Dato importante
75
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Conclusiones
Dada la creciente complejidad del mundo de la ciberseguridad es necesario afrontar
este reto a nivel corporativa con un enfoque sistemático. Esto nos lleva a la necesidad
de diseñar e implantar un programa de ciberseguridad, donde se recojan todos los aspec-
tos que pueden afectar a una entidad en esta materia, desde la parte más operativa a la
puramente estratégica. De esta forma estaremos dando una visión holística a nuestra pos-
tura de ciberseguridad, ganando en madurez y capacidad de respuesta ante el ciberriesgo.
En ese sentido, hemos de entender que la ciberseguridad no está sólo relacionada con la
parte puramente operacional, sino que debe existir una labor previa de proactividad. Ahí
entra en juego la modelización de amenazas, que nos permite integrar las necesidades
de ciberseguridad desde el inicio de cualquier servicio, producto o infraestructura.
Además, de esta forma estaremos alineados con la normativa más actual, como pueda ser
el reglamento europeo de protección de datos, que precisamente exige esa perspectiva de
privacidad y seguridad por diseño y defecto.
Por otro lado, tampoco debemos olvidar esa parte operativa que hará que a la hora de la
verdad se vea cómo de preparados estamos ante un ciberincidente. Es por ello vital contar
con un planteamiento de respuesta a incidentes robusto, donde en ocasiones más vale
tener asentadas muy pocas cosas que pretender abordar muchas y que todo esté cogido
por hilos. Nos estamos jugando que la operativa de negocio siga levantada, y que los
ataques sean detectados y erradicados lo antes posible, por lo que es fundamental ir
construyendo un núcleo maduro en este tema sobre el cual ir mejorando poco a poco.
76
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Bibliografía
• https://blog.trendmicro.com/cyber-attacks-considered-top-national-security-
threat/
• https://www.mcafee.com/enterprise/en-us/solutions/lp/economics-cybercrime.
html
• http://www.symantec.com/content/en/us/enterprise/media/security_response/
whitepapers/the-black-vine-cyberespionage-group.pdf
• https://www.pcworld.com/article/2954872/opm-anthem-hackers-reportedly-also-
breached-united-airlines.html
• https://www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-
epic-hack-of-credit-card-data
• https://money.cnn.com/2015/08/05/technology/aramco-hack/index.html
• www.darkreading.com/vulnerabilities---threats/how-hackers-can-hack-the-oil-
and-gas-industry-via-erp-systems/d/d-id/1322877
• http://www.dailymail.co.uk/news/article-2274305/Federal-Reserve-WAS-hacked-
Anonymous-revenge-suicide-Reddit-founder-Aaron-Swartz.html
• https://docs.microsoft.com/en-us/previous-versions/commerce-server/
ee823878(v=cs.20)
• https://www.microsoft.com/en-us/download/details.aspx?id=49168
• https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/res-
puesta-incidentes.pdf
• https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/con-
cienciacion-y-formacion.pdf
• http://m.isaca.org/chapters7/Madrid/Events/Eventos/Documents/CiberTo-
dos/20161006%20Iberdrola%20Menchen.pdf
77
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
Anexos
UNIDAD 1
1. Caso práctico: Investigar el caso Anthem donde se robaron datos de unos 80 millo-
nes de personas, justificando por qué dicho caso cuadraría con un ataque dirigido por
un estado.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whi-
tepapers/the-black-vine-cyberespionage-group.pdf
https://www.pcworld.com/article/2954872/opm-anthem-hackers-reportedly-also-
breached-united-airlines.html
2. Caso práctico: Investigar el caso Target, y la cadena de ataques que siguió a entida-
des como Home Depot, donde se robó una cantidad ingente de información de tarje-
tas de crédito. Justificar razonadamente por qué dicho caso cuadraría con un ataque
dirigido por el crimen organizado.
https://www.bloomberg.com/news/articles/2014-03-13/target-missed-warnings-in-
epic-hack-of-credit-card-data
https://money.cnn.com/2015/08/05/technology/aramco-hack/index.html
www.darkreading.com/vulnerabilities---threats/how-hackers-can-hack-the-oil-and-
gas-industry-via-erp-systems/d/d-id/1322877
78
Centro Europeo de Postgrado Módulo. Diseño de un Programa de Ciberseguridad
4. Caso práctico: Investigar el ataque llevado a cabo contra la Reserva Federal de Esta-
dos Unidos en protesta contra la muerte de Aaron Schwartz, fundador de Reddit, y las
crisis financiera de 2008. Justificar razonadamente por qué dicho caso cuadraría con
un ataque dirigido por un grupo hacktivista.
http://www.dailymail.co.uk/news/article-2274305/Federal-Reserve-WAS-hacked-
Anonymous-revenge-suicide-Reddit-founder-Aaron-Swartz.html
79
CEUPE
Centro Europeo de Postgrado
Web
www.ceupe.com
E-mail
info@ceupe.com