Professional Documents
Culture Documents
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
Ciberseguridad
Una gua de supervisin
El INSTITUTO DE AUDITORES INTERNOS DE ESPAA es una asociacin profesional fundada en 1983, cuya misin es contribuir al xito de
las organizaciones impulsando la Auditora Interna como funcin clave del buen gobierno. En Espaa cuenta con ms de 3.200 socios,
auditores internos en las principales empresas e instituciones de todos los sectores econmicos del pas.
LA FBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de Espaa sobre gobierno corporativo, gestin
de riesgos y Auditora Interna, donde participan ms de 150 socios y profesionales tcnicos expertos.
AUDITORA INTERNA BUENAS PRCTICAS EN GESTIN DE RIESGOS OBSERVATORIO SECTORIAL PRCTICAS DE BUEN GOBIERNO
El laboratorio trabaja con un enfoque prctico en la produccin de documentos de buenas prcticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestin de riesgos en organizaciones de habla hispana. Adems de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.
BU E N A S P R C T I C A S E N G E S T I N D E R I E S G O S
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
Ciberseguridad
Una gua de supervisin
Octubre 2016
El avance de las nuevas tecnologas ha propiciado un cambio sin precedentes que ha in-
fluido en la forma de operar de las organizaciones, cuyas actividades se desarrollan cada
vez ms en el ciberespacio.
Este hecho propicia un gran desarrollo econmico y social, pero a la vez la aparicin de
nuevos retos y amenazas que es imprescindible gestionar. No en vano el Foro Econmico
Mundial incluye varios riesgos asociados a la ciberseguridad en su ranking de Riesgos
Globales desde hace aos. A modo de ejemplo, en 2016 el coste medio de un ataque in-
formtico para las compaas ronda los 75.000 euros, lo que hace que solo los ciberdeli-
tos cuesten a las empresas espaolas unos 14.000 millones de euros al ao.
Los ciberataques y su naturaleza se han multiplicado en los ltimos aos, y cada vez son
ms complejos y ms difciles de prevenir y detectar, lo que hace que los rganos de go-
bierno de las organizaciones deban incrementar y mejorar la supervisin sobre la ciberse-
guridad.
Tambin se incluyen los 20 Controles Crticos de Seguridad que todas las organizaciones
deben implementar y cul es el papel de Auditora Interna en la revisin de cada uno de
ellos.
El valor que aporta esta gua de supervisin va ms all de los auditores internos de siste-
mas o de las Direcciones de Auditora Interna. Las Comisiones de Auditora y otros comi-
ts de la empresa encontrarn en estas pginas un importante aliado que les ofrecer in-
formacin completa y precisa para permitirles tomar decisiones sobre la estrategia, orga-
nizacin y operaciones para evitar que este riesgo se materialice en las organizaciones.
Un documento tan exhaustivo y a la vez de fcil comprensin como ste, incluso para los
profanos en auditora de TI, solo poda estar firmado por expertos auditores internos co-
mo los que han formado parte de la Comisin Tcnica. Les felicito por haber puesto su
experiencia y conocimiento al servicio de todos los socios y por mantener el nivel de exce-
lencia y sencillez al que nos tienen acostumbrados las publicaciones de LA FBRICA DE
PENSAMIENTO.
Ernesto Martnez
Presidente del Instituto de Auditores Internos de Espaa
3
BUENAS PRCTICAS EN GESTIN DE RIESGOS
ndice
INTRODUCCIN 06
CERTIFICACIONES PROFESIONALES 42
BIBLIOGRAFA RELEVANTE 46
5
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Introduccin
La economa internacional, la prestacin de Ningn dispositivo hardware o software exis-
servicios por parte de las administraciones, tente en la actualidad desde el sistema ms
empresas y profesionales, el acceso a la infor- complejo instalado en una infraestructura es-
macin, la educacin, el comercio, el ocio o la tratgica, como una central nuclear, hasta la
La proteccin frente a salud de los ciudadanos, al igual que casi to- ms sencilla aplicacin informtica instalada
los ciberriesgos se ha dos los mbitos de nuestra sociedad, se sus- en un telfono mvil est exento de ser ata-
convertido en una tentan hoy ms que nunca (y cada vez ms) cado.
prioridad debido a las en el ciberespacio1.
nuevas amenazas As, la ciberseguridad representa actualmente
procedentes de Las tecnologas de la informacin y las comu- una de las principales preocupaciones de to-
Internet, el crecimiento nicaciones (TIC) propician el desarrollo econ- das las empresas e instituciones, con indepen-
del nmero de ataques mico de la sociedad de manera integrada den- dencia del sector o mbito al que pertenez-
y la mayor complejidad tro de las empresas y organizaciones, que can.
de las amenazas. usan en su actividad el amplio abanico de dis-
La proteccin frente a los ciberriesgos se ha
positivos electrnicos y redes de comunicacio-
convertido por tanto en una prioridad de las
nes disponibles.
mismas, fruto de la proliferacin de nuevas
Sin embargo, de la mano de dicha expansin amenazas procedentes de Internet, el enorme
tecnolgica y el aumento del uso de servicios crecimiento durante los ltimos aos del n-
de Internet surgen nuevos retos y desafos pa- mero de ataques recibidos por las organiza-
ra las organizaciones. As, una de las principa- ciones, y el aumento en la complejidad y sofis-
les amenazas que han trado consigo estos ticacin de estas amenazas.
avances es la proliferacin de acciones delicti-
vas en el ciberespacio.
1. Se entiende por ciberespacio el entorno virtual comn que comprende la interconexin del conjunto global de sistemas,
activos de informacin y redes de comunicaciones (incluyendo Internet), as como los usuarios de estos servicios y tec-
nologas.
6
BUENAS PRCTICAS EN GESTIN DE RIESGOS
3. Si bien no existe un criterio de clasificacin estricto de las diferentes tipologas de malware, se entiende de manera ge-
neral que esta palabra incluye todo tipo de software o cdigo malicioso que tiene el objetivo de infiltrarse y daar un
sistema de informacin, abarcando virus, gusanos, troyanos, rootkits, spyware, keyloggers, botnets, etc.
7
BUENAS PRCTICAS EN GESTIN DE RIESGOS
pilada ocultndola mediante tcnicas de ci- tra tambin el hecho de que el World Econo-
frado. mic Forum lo incluya desde el ao 2014 en la
lista de los 5 principales riegos globales, en
Carbanak. Ataque Persistente Avanzado
trminos de probabilidad, junto al cambio cli-
(APT) diseado y dirigido al sector bancario,
mtico, el desempleo, las catstrofes naturales
capaz de alterar y manipular el funciona-
y la desigualdad econmica.
miento de las redes y software de control
de los cajeros automticos. Los principales vectores y razones que han
propiciado esta situacin actual son:
Ransomware. Tambin conocido como el
virus de la polica, cifra la informacin La creciente expansin del acceso a Internet
contenida en el sistema del usuario infecta- y el proceso de digitalizacin global (actual-
do, solicitando una compensacin econmi- mente existen ms de 2.800 millones de
ca para su desbloqueo. personas con acceso ms del 40% de la
poblacin mundial y 10.000 millones de
Stuxnet. Software malicioso descubierto en
dispositivos conectados), as como la popu-
2010, capaz de controlar y manipular soft-
larizacin de nuevos dispositivos (smartpho-
ware de control y supervisin de procesos
nes, tablets), nuevas tecnologas de proce-
industriales (SCADA).
samiento de datos (cloud computing, vir-
Actualmente la ciberseguridad representa un tualizacin de sistemas) y posibilidades de
problema global y sistmico, como lo demues- conexin remota y/o mvil (Wifi, VPN, 4G,
VOLUMEN DE CIBERINCIDENTES
18.232
+41%
12.916
7.263 Impacto
3.998
1.914
193 485
2009 2010 2011 2012 2013 2014 2015
CIBERAMENAZAS
Troyanos Bots
Virus Gusanos Spyware Malware DoS APTs Ingeniera social
8
BUENAS PRCTICAS EN GESTIN DE RIESGOS
satlite), con sus consiguientes riesgos y de- La posibilidad de utilizar fuentes y sistemas
bilidades de seguridad asociados. annimos, que ampla la cantidad de gente
dispuesta a cometer este tipo de delitos.
La velocidad de los cambios tecnolgicos y El concepto de riesgo
la adopcin de tecnologas emergentes, en Se estima que el cibercrimen tiene un impacto ciberntico proviene de
global en la economa de entre 300.000 mi- la amenaza continua y
ocasiones no suficientemente maduras des-
llones y un billn de dlares al ao, cifra que a escala industrial por
de el punto de vista de seguridad.
equivale a cerca del 1% del PIB mundial, al- parte de terceros sobre
La crisis econmica de carcter global (gran canzando un nivel similar al de amenazas cri- los activos digitales, las
recesin) que se inici durante los aos minales convencionales como el narcotrfico operaciones y la
y/o la piratera4. informacin
2007-2008 y que, en mayor o menor medi-
corporativa.
da, sigue vigente en muchos pases y geo- Ms an, los riesgos cibernticos tienen una
grafas. naturaleza sustancialmente superior a stas
ltimas, en la medida que pueden tener dife-
Las importantes carencias existentes en las rentes objetivos simultneamente: la rentabili-
legislaciones transfronterizas, laxa normati- dad que ofrece su explotacin, la facilidad y el
va y escasa regulacin en algunos pases, y bajo coste de las herramientas utilizadas para
dificultad legal de perseguir el cibercrimen, la consecucin de ataques, as como la facili-
de manera general. dad de ocultacin del atacante; hacen posible
que estas actividades se lleven a cabo de for-
La creciente actividad que presentan los ma annima y desde cualquier lugar del mun-
movimientos activistas antisistema y anti- do, con lo que su trazabilidad y seguimiento
globalizacin. resulta sumamente complejo.
4. McAfee (2013): The Economic Impact of Cybercrime and CyberEspionage. Center for Strategic and International Stu-
dies.
9
BUENAS PRCTICAS EN GESTIN DE RIESGOS
tos clasificados son algunos de los principa- mientos, comunicaciones, etc) con el objeti-
les activos de informacin que deben ser vo de provocar una interrupcin puntual o
especialmente protegidos. prolongada de los mismos.
Spam y Phishing.
PRINCIPALES AMENAZAS Hijacking.
Contra la informacin.
DoS (Denegacin de Servicios).
Contra la infraestructura TIC.
SQL Injection.
Amenazas
Al igual que la naturaleza se adapta, las ame- usuario ms molestas que dainas, se estn
nazas que en un principio eran puntuales y convirtiendo en sofisticadas herramientas po-
muy concretas en cuanto a objetivos, con tc- tencialmente dainas. De este modo, las prin-
nicas muy simples y consecuencias para el cipales amenazas relacionadas con el ciberes-
10
BUENAS PRCTICAS EN GESTIN DE RIESGOS
11
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Las motivaciones son diversas y pueden va- As las cosas, los recientes eventos de fuga de
riar desde la perpetuacin de un fraude finan- informacin y fallos en la seguridad cibernti-
ciero sobre los ingresos de la organizacin o ca de algunas organizaciones evidencian un
de sus clientes; la produccin de un quebran- nuevo escenario de riesgo donde la informa-
to econmico directo a una compaa, el en- cin se convierte en una de las armas estrat-
torpecimiento de sus operaciones o el sabota- gicas ms letales, comprometiendo la estabili-
12
BUENAS PRCTICAS EN GESTIN DE RIESGOS
dad o continuidad de cualquier persona u or- an sin estrenar8. Otros ejemplos relevantes
ganizacin. fueron las filtraciones de Edward Snowden,
Los principales ataques
cuando se comprometi la informacin de
En efecto, algunos ataques cibernticos re- son los producidos en
ms de 40 delegaciones de pases en suelo
cientes han puesto en riesgo naciones e in- forma de DDoS,
estadounidense9, o el robo de datos de 83
dustrias. Un ejemplo fue la operacin Auro- hacking, ataques fuera
millones de clientes a la entidad bancaria JP
ra, en 2009, que vulner los sistemas de se- del permetro, ataques
Morgan Chase.
guridad de hasta 34 compaas de EEUU (Go- a activos intangibles y
ogle, Yahoo, Symantec y Adobe, entre muchas Estos hechos demuestran que los objetivos de los basados en el
otras)7. O el ciberataque sufrido por Sony en los atacantes son cada vez ms ambiciosos, fraude econmico y la
2014, cuando se filtraron en Internet los da- se manifiesten sus acciones en el terreno de fuga de informacin
tos personales, nmeros de identificacin fis- la ciberdelincuencia o en los entornos del ci- confidencial.
cal e informacin mdica de los ms de 3.800 berespionaje (estados, empresas, personas) y
trabajadores de la empresa, as como varios del ciberterrorismo.
contenidos de producciones cinematogrficas
INGENIERA SOCIAL
Tcnicas y habilidades sociales o psicolgicas para obtener informacin confidencial a tra-
vs de la manipulacin de las personas o usuarios.
FINGERPRINTING
Bsqueda y recoleccin de todo tipo de informacin del objetivo, principalmente en Inter-
net, y realizada de manera pasiva, que pueda ser utilizada en la perpetracin de un ataque.
Puede incluir tanto la recoleccin de informacin de fuentes pblicas (OSINT: Open-Source
Intelligence), como de fuentes privadas o de pago.
8. CNet (2014): Sony encabeza la lista de los peores 'hackeos' del ao.
13
BUENAS PRCTICAS EN GESTIN DE RIESGOS
ENUMERACIN Y ESCANEO
Identificacin de sistemas, equipos y dispositivos existentes en la red. Obtencin de nom-
bres de equipos, usuarios, recursos compartidos, etc.
Tambin incluye habitualmente la identificacin de posibles vulnerabilidades.
SPAM Y PHISHING
Ataques a travs del servicio de correo electrnico, ya sea buscando la indisponibilidad del
mismo o la suplantacin de identidad para obtener informacin confidencial de los usua-
rios.
Durante los ltimos aos las tcnicas de phishing han evolucionado enormemente dada su
simplicidad y alta efectividad, y es habitual hablar de ataques concretos de smishing, vis-
hing, spear phishing, etc.
HIJACKING
Tcnicas ilegales utilizadas por los atacantes para aduearse o tomar el control de diferen-
tes recursos: navegador, credenciales de sesin, conexiones TCP/IP, pginas web, etc.
SQL INJECTION
Tcnica de ataque sobre pginas web qu,e a travs de la ejecucin de comandos SQL, per-
mite la obtencin y/o manipulacin de informacin de la base de datos del servidor.
14
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Con carcter general, todas estas tcnicas o ques sufridos por las empresas evidencian fa-
amenazas se basan en la deteccin y existen- llos ocasionados por la ausencia de medidas
cia de errores en la configuracin de seguri- de seguridad, mtodos, procedimientos, pro-
dad de los sistemas, obsolescencia o falta de ductos y herramientas debidamente imple-
actualizacin de las infraestructuras tecnol- mentados y certificados.
gicas, y fallos de programacin o diseo en
las arquitecturas de seguridad y comunicacio- A este hecho se suma la escasa conciencia-
nes, cuya identificacin y mitigacin debe cin y cultura de seguridad dentro de las or-
considerarse una prioridad por las entidades y ganizaciones, y la escasez de personal slida-
organizaciones. mente formado y especializado dedicado a la
ciberseguridad. El 80% de los ataques ciber-
Por otro lado, a las facilidades derivadas de
una mayor superficie de explotacin por parte nticos podran prevenirse mediante una serie
de los atacantes (mviles, cloud, redes socia- de sencillas buenas prcticas en redes y equi-
les, etc.) o la existencia de un mercado negro pos, que suelen incluir el uso de contraseas
de vulnerabilidades 0-Day, poco ayuda una seguras, configuraciones de seguridad ade-
realidad en la que la mayor parte de los ata- cuadas, correcta gestin del control de acce-
15
BUENAS PRCTICAS EN GESTIN DE RIESGOS
10. National Audit Office (2013): The UK cyber security strategy: Landscape review
11. Parte oculta de Internet, utilizada por los cibercriminales/delincuentes, no accesible desde los motores de bsqueda
tradicionales, y dotada de complejos sistemas de comunicacin y reenvo del trfico y contenidos para ocultar su ori-
gen, acceso y mantener el anonimato.
16
BUENAS PRCTICAS EN GESTIN DE RIESGOS
CIBERSEGURIDAD
Controles centrados en el cumplimienro normativo.
ENFOQUE PREVENTIVO
Desarrollo de una estrategia global de seguridad. Compliance tcnico con auditoras y estndares.
ENFOQUE REACTIVO
Monitorizacin y vigilancia de la seguridad.
Escaso anlisis de amenazas externas, con foco casi
Gestin de amenazas de manera proactiva. exclusivo en el personal interno.
Coordinacin e intercambio de informacin.
Anlisis de logs y eventos de seguridad, nicamente
Personal dedicado y experto. realizado tras sufrir incidentes o ataques relevantes.
Formacin y concienciacin de personal.
SEGURIDAD DE TI
17
BUENAS PRCTICAS EN GESTIN DE RIESGOS
De la rapidez y extensin del impacto que tie- deteccin de los riesgos de ciberseguri-
nen las nuevas amenazas en toda la organi- dad.
zacin se concluye que la ciberseguridad no
Medidas organizativas, como la difusin
es una cuestin cuya responsabilidad deba
La ciberseguridad no de polticas de seguridad en las organiza-
debe circunscribirse a circunscribirse a los departamentos de TI, sino
ciones o la concienciacin a los usuarios de
los departamentos de que la Alta Direccin de la empresa ha de es-
los riesgos en el uso de las tecnologas de
TI, sino que la Alta tar implicada en su gestin eficiente con un
la informacin.
Direccin ha de compromiso activo continuo.
implicarse en su Medidas tcnicas que pueden incluir desde
Por tanto la seguridad corporativa ya no se
gestin eficiente con un la existencia de herramientas para la ges-
identifica nicamente con la seguridad pre-
compromiso activo tin centralizada de alertas y eventos de
ventiva, ni es responsabilidad exclusiva de un
continuo. seguridad en los sistemas a tcnicas que
departamento, ni se separa en un escenario
interior o exterior o con un enfoque reactivo o permitan detectar y prevenir fugas de infor-
preventivo. macin confidencial; contratacin de servi-
cios de hacking tico y auditoras forenses
De este modo surgen en el seno de las em- de seguridad; bsqueda de informacin en
presas nuevas actividades y tareas relaciona- Internet, prensa o redes sociales; suscrip-
das entre las que cabe destacar: cin a servicios de alertas, incidentes y vul-
nerabilidades de seguridad; e incluso la
Anlisis de la exposicin a los ciberries-
contratacin de plizas de los denominados
gos por parte de las entidades, identifica-
ciberseguros que cubran la prdidas ocasio-
cin y clasificacin de informacin crtica
nadas por un ciberataque, y la participacin
existente en una organizacin y estableci-
miento de una estrategia de seguridad. en ciberejercicios que permitan evaluar las
capacidades de organizacin y resiliencia
Concienciacin: Cualquier persona o rea ante el cibercrimen.
de una entidad puede ser vctima de un ci-
berataque, por lo que resulta necesario es- Servicios y sistemas de seguridad
tablecer una cultura de seguridad en las or-
ganizaciones con el objetivo de cambiar la En los ltimos aos han surgido diferentes
manera en que la seguridad es percibida servicios avanzados de seguridad para el con-
por las personas, adoptando entre otras al- trol y gestin de estos riesgos que cada vez
gunas de estas medidas: ms organizaciones estn adaptando e im-
- Divulgacin de polticas y manuales de plantando en su operativa diaria, y entre los
seguridad. que cabe destacar:
18
BUENAS PRCTICAS EN GESTIN DE RIESGOS
19
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Actualmente, resulta cada vez ms comn es- Para ello, las entidades estn adoptando mo-
cuchar en las entidades y medios de comuni- delos para la gestin de los ciberriesgos, ba-
cacin trminos como ciberinteligencia, resi- sados en algunos de los estndares y buenas
liencia o seguridad operacional, que represen- prcticas del mercado, propuestos por las
Las organizaciones
tan perfectamente este cambio de paradigma, principales organizaciones de referencia (ISO,
deben implantar una
y ahondan en la idea del establecimiento de CobiT, ISACA, ITIL).
estrategia de seguridad
acorde a su exposicin una estrategia global del ciclo de vida de la La siguiente figura muestra las principales
a los riesgos y a las seguridad y la gestin de incidentes, as como funciones asociadas a la gestin de la ciber-
necesidades, en las capacidades de las organizaciones de seguridad segn el modelo de control pro-
posibilidades y defenderse, resistir e incluso responder a un puesto por el Instituto Nacional de Estndares
recursos. ciberataque. y Tecnologa Norteamericano (NIST13).
Fuente: NIST (National Institute of Standards and Technology) (Feb. 2014): Framework for Improving Critical Infrastructure
Cybersecurity
Si bien la seguridad no existe al cien por cien sobre todo, es necesario un cambio de menta-
(siempre estaremos expuestos en mayor o lidad.
menor medida), s es posible hacer nuestras
En este sentido, las organizaciones deben rea-
organizaciones ms seguras. Para ello, la anti- lizar un anlisis detallado de la exposicin a
cipacin es clave. Hay que ir por delante de estos riesgos, e implantar una estrategia de
los ataques siendo capaces de detectarlos y seguridad acorde a la misma, as como a las
prevenirlos. necesidades, posibilidades y recursos de cada
organizacin, construyendo un modelo de
Adems, se puede limitar de forma significati-
gestin de la seguridad donde, adems de las
va el dao si se reacciona de forma rpida y reas clsicas de la seguridad IT, tengan refle-
decidida ante cualquier intento de compro- jo capacidades ms avanzadas asociadas con
meter nuestro entorno. Todo esto requiere los conceptos de ciberseguridad y ciberresi-
continuidad y constancia en la vigilancia pero, liencia14.
20
BUENAS PRCTICAS EN GESTIN DE RIESGOS
CIBEREJERCICIOS Y CIBERSEGUROS
De la misma forma que en el mundo de la mite evaluar el estado de preparacin de los
continuidad de negocio y la gestin de crisis participantes frente a crisis de origen cibern-
el modelo de gestin evoluciona principal- tico, facilitando adems lecciones aprendidas
mente por la realizacin de sucesivos escena- y recomendaciones para el futuro
rios de prueba, dentro de la ciberseguridad la
Con carcter general, y aunque la naturaleza
sucesiva realizacin de ciberejercicios permi-
de estos ejercicios es variada, pueden cumplir
ten a las organizaciones mejorar su desempe- con los siguientes objetivos:
o dentro de este mbito.
- Evaluar las medidas de seguridad perime-
tral, monitorizacin de seguridad y protec-
Ciberejercicios cin de sistemas y activos de informacin,
Tal y como se recoge en el documento Taxo- mediantes ejercicios de hacking tico o
noma de Ciberejercicios desarrollado por el pentesting que simulan y utilizan las tcni-
INCIBE (Instituto Nacional de Ciberseguri- cas y modos de actuacin de los atacantes.
dad), se puede definir el concepto de cibere- - Evaluar las capacidades de tratamiento y
jercicio como: una herramienta que per- recuperacin de las entidades ante un ci-
21
BUENAS PRCTICAS EN GESTIN DE RIESGOS
22
BUENAS PRCTICAS EN GESTIN DE RIESGOS
dencia muy interesante para los organismos vez en 2015 cont con la participacin de ins-
de defensa de cara a reducir la carga de tra- tituciones europeas) o los ms recientes Pro-
bajo que puede representar la preparacin y teus (Brasil), CBEST Cyber Exercise (Inglaterra)
realizacin de ciberejercicios. y Ciber Perseu (Portugal).
23
BUENAS PRCTICAS EN GESTIN DE RIESGOS
que estn enfocadas a cubrir las prdidas y de 61 millones de dlares, de los cuales su
gastos relacionados con fallos en los siste- seguro cubri 44 millones.
mas, notificacin y atencin a clientes, investi-
Un reciente estudio de Wells Fargo sobre 100
gacin forense, extorsin, gastos de consulto-
Los ciberseguros no empresas medianas y grandes de Estados
suelen cubrir las ras y asesoramiento legal, impactos reputa-
Unidos desvel que el 85% de ellas tenan un
prdidas econmicas cionales o responsabilidades derivadas de ro-
ciberseguro. De stas, el 44% haban sufrido
directas de un bos de informacin y publicacin de conteni-
incidentes que fueron cubiertos por su asegu-
ciberataque, sino que dos en medios digitales. radora.
cubren aquellas
Valga como ejemplo el caso de la cadena de Segn la corredura de seguros Marsh, el mer-
relacionadas con fallos
supermercados norteamericana Target, que cado de los ciberseguros gener en Estados
en los sistemas,
dispona de un ciberseguro. A finales de 2013 Unidos 1.000 millones de dlares en 2013,
notificacin a clientes,
sufri un cibertaque por el que le fueron sus- cantidad que se dobl en 2014 y cuya de-
investigacin forense o
impactos trados los nmeros de tarjetas de crdito y manda sigue aumentando significativamente
reputacionales, entre dbito de 40 millones de clientes, as como en la actualidad. El mercado europeo de ci-
otras. los datos personales de 70 millones de perso- berseguros es an pequeo comparado con
nas. El coste del ataque para la compaa fue Estados Unidos, pero crece a buen ritmo.
24
BUENAS PRCTICAS EN GESTIN DE RIESGOS
25
BUENAS PRCTICAS EN GESTIN DE RIESGOS
26
BUENAS PRCTICAS EN GESTIN DE RIESGOS
27
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Aunque sus recomendaciones estn enfoca- nas prcticas aplicables a la realidad de las
das a estrategias nacionales de ciberseguri- organizaciones.
dad, su lectura puede ayudar a extraer bue-
REGULACIN Y NORMATIVA
Sector Pblico Objetivos de la ciberseguridad. En este
apartado se establece el objetivo global de
El documento ms importante en materia de lograr que Espaa haga un uso seguro de
ciberseguridad en el mbito regulatorio na- los Sistemas de Informacin y Telecomuni-
cional fue el publicado en el ao 2013 desde caciones.
la Presidencia del Gobierno con el ttulo Es-
trategia de Ciberseguridad Nacional. Este Lneas de accin de la ciberseguridad na-
documento, conforma el eje central estratgi- cional. Define una serie de lneas maestras
La Estrategia de co y recoge los principios fundamentales para para alcanzar los objetivos expuestos en el
Ciberseguridad la definicin de la estrategia espaola en ma- captulo anterior.
Nacional recoge los teria de ciberseguridad.
puntos fundamentales La ciberseguridad en el Sistema de Segu-
para la definicin de la El documento se encuentra estructurado en ridad Nacional. Define la estructura org-
estrategia espaola en los siguientes captulos: nica al servicio de la ciberseguridad.
materia de El ciberespacio y su seguridad. Este cap- En el mbito del sector pblico, se puede pro-
ciberseguridad. tulo recoge las caractersticas del ciberes- ducir una nueva diferenciacin respecto al
pacio, as como sus principales oportunida- mbito de aplicacin de esta estrategia nacio-
des y amenazas. nal. Por un lado, se puede diferenciar el mbi-
Propsito y principios rectores de la ciber- to especfico de defensa (militar) y por otro, se
seguridad en Espaa. Establece una defini- puede identificar el mbito de las administra-
cin de las directrices generales del uso se- ciones pblicas. Aunque la estrategia en ma-
guro del ciberespacio. teria de ciberseguridad es la misma para es-
tos mbitos, la aproximacin empleada para
su desarrollo es diferente.
Ciberespacio
y su EN EL MBITO DE LAS ADMINISTRACIONES
seguridad
PBLICAS, la principal normativa empleada
Sistema de Propsito y
Seguridad principios para la gestin de la ciberseguridad lo confor-
Nacional Estrategia de rectores man las normas internacionales ISO (princi-
Ciberseguridad
Nacional palmente ISO27002 e ISO18044).
28
BUENAS PRCTICAS EN GESTIN DE RIESGOS
y, por otro lado, la norma ISO18044 define las desde un punto de vista tcnico de los requi-
medidas de seguridad aplicables para el trata- sitos del ENS en entornos Windows 7 y Win-
miento y respuesta a incidentes tecnolgicos. dows server 2008 R2.). Estos documentos y
herramientas son tambin empleados dentro
EN EL MBITO DE DEFENSA, como ya se ha del mbito de defensa para la implantacin
mencionado anteriormente, se toma como de medidas de ciberseguridad.
principal gua el documento Estrategia de Ci-
berseguridad Nacional. Sin embargo, se ma- Finalmente, y aunque su mbito de actuacin
nejan y toman como documentacin adicional excede el de la seguridad de las comunicacio-
los documentos de benchmarking elaborados nes telemticas y el ciberespacio, abarcando
La serie de guas de la
por el CIS (Center for Internet Security) y las el terreno de la seguridad fsica y la lucha
serie STIC establece las
guas DISA STIGs (Defense Information Sys- contra el terrorismo, es relevante mencionar
polticas y
tems Agency - Security Technical Implementa- la creacin del Centro Nacional de Proteccin
procedimientos
tion Guides) elaboradas por organismos esta- de las Infraestructuras Crticas (CNPIC) de-
acecuados para la
dounidenses, que definen medidas de seguri- pendiente del Ministerio del Interior encar-
gado de impulsar, coordinar y supervisar to- implantacin de las
dad especficas para diferentes entornos y
das las actividades y mecanismos necesarios medidas contempladas
plataformas. Estas guas definen gran canti-
dad de medidas de seguridad, algunas de para garantizar la seguridad de la infraestruc- en el Esquema Nacional
ellas bastante costosas de implementar, pero turas que proporcionan servicios esenciales a de Seguridad.
son una pieza fundamental y muy completa a nuestra sociedad, fomentando la participacin
la hora de bastionar distintas plataformas. de todos y cada uno de los agentes del siste-
ma en sus correspondientes mbitos, con el
A nivel nacional tambin se cuenta con un objetivo de crear un modelo de seguridad ba-
conjunto de guas de la serie STIC (Seguridad sado en la confianza mutua, y creando una
de las Tecnologas de la Informacin y las Co- asociacin pblico-privada que permita mini-
municaciones). En concreto, cabe destacar la mizar las vulnerabilidades de las infraestruc-
serie 800 relacionada con el ENS (Esquema turas crticas ubicadas en el territorio nacio-
Nacional de Seguridad). Esta Serie CCN-STIC- nal.
800 establece las polticas y procedimientos
adecuados para la implementacin de las me- El primer Plan Nacional de Proteccin de las
didas contempladas en el Esquema Nacional Infraestructuras Crticas, aprobado en mayo
de Seguridad (RD 3/2010). de 2007, reconoce que el riesgo de ataques
terroristas catastrficos contra infraestructu-
Adicionalmente, tal y como se ha indicado, ras crticas est viviendo un aumento, y por
dentro del mbito de las administraciones p- ello se ha creado un catlogo de instalaciones
blicas se pueden destacar las normativas ela- sensibles a estos atentados.
boradas por el CCN-CNI (Centro Criptolgico
Nacional) a travs de las series de guas STIC. Este plan establece que las infraestructuras
Estas guas cuentan, en algunas ocasiones, crticas son aquellas instalaciones, redes, ser-
con herramientas propias de desarrollo como vicios y equipos fsicos y de tecnologa de la
son CARMEN (Centro de Anlisis de Registros informacin cuya interrupcin o destruccin
y Minera de Datos), LUCIA (Listado Unificado pueden tener una repercusin importante en
de Coordinacin de Incidentes y Amenazas) o la salud, la seguridad o el bienestar econmi-
CLARA (que permite verificar el cumplimiento co de los ciudadanos o en el eficaz funciona-
29
BUENAS PRCTICAS EN GESTIN DE RIESGOS
miento de los gobiernos de los Estados miem- nanzas, entre otros, a informar a las autorida-
bros. des nacionales acerca de incidentes de impac-
to significativo.
Entre estas instalaciones sensibles destacan
INFRAESTRUCTURAS
CRTICAS las centrales y redes de energa, las comunica- Se ha establecido que las 5 estrategias priori-
PLAN NACIONAL DE PROTECCIN ciones, las finanzas, el sector sanitario, la ali- tarias a desarrollar son:
Factores
mentacin, el agua embalses, almacena- La resiliencia contra ciberataques.
miento, tratamiento y redes, los transpor- La reduccin drstica de la delincuencia en
Rango
tes aeropuertos, puertos, etc., monumentos la red.
Escala
nacionales, as como la produccin, almacena-
Efectos en el tiempo El desarrollo de una poltica de ciberdefen-
miento y transporte de mercancas peligrosas,
sa y de las capacidades correspondientes
como material qumico, biolgico o nuclear.
Parmetros en el mbito de la Poltica Comn de Segu-
El criterio para incluir a dichas instalaciones ridad y Defensa (PCSD).
Daos causados
Impacto econmico
en el catlogo es una mezcla de diversos fac- El desarrollo de los recursos industriales y
tores: rango, escala y efectos en el tiempo; y tecnolgicos necesarios en materia de ci-
Impacto en servicios
esenciales de parmetros: daos causados, impacto eco- berseguridad.
nmico e impacto en servicios esenciales; y El establecimiento de una poltica interna-
reas estratgicas comprende actualmente ms de 3.500 insta-
cional coherente del ciberespacio en la
Energa laciones e infraestructuras sensibles dentro de
Unin Europea y la promocin de los valo-
Industria Nuclear las siguientes reas estratgicas: Energa, In-
res europeos esenciales.
TI dustria Nuclear, Tecnologas de la Informa-
Transportes cin, Transportes, Suministro de Agua, Sumi- As pues, son numerosas las iniciativas a nivel
Suministro de Agua nistro de Alimentos, Salud, Sistema Financie- internacional que diferentes organismos, re-
Suministro de Alimentos ro, Industria Qumica, Espacio y Administra- guladores y gobiernos estn promoviendo en
Salud cin. el mbito de la ciberseguridad y proteccin de
Sistema Financiero las infraestructuras crticas, entre las que cabe
EN EL MBITO INTERNACIONAL caben desta-
Industria Qumica destacar la aprobacin y promulgacin de di-
car otras iniciativas como La Estrategia de Ci-
Espacio versas leyes en diferentes pases:
berseguridad de la Unin Europea (publica-
Administracin
da en 2013), o la Directiva de Seguridad de Cybersecurity Enhancement Act of 2014 (Es-
la Redes y la Informacin (NIS), que estable- tados Unidos). Proporciona una asociacin
ce medidas de control y mecanismos de coo- permanente pblico-privada para mejorar y
peracin concretos entre los estados miem- fortalecer la investigacin y el desarrollo
bros, como la red de equipos de respuesta a del personal, educacin, preparacin y con-
incidentes de seguridad (CSIRT) y el grupo de ciencia en materia de ciberseguridad.
cooperacin, compuesto por miembros de au-
toridades nacionales competentes, la Comi- - Cybersecurity Act of 2015 (Estados Unidos).
sin de la Unin Europea y la ENISA. La Di- Creada con el objetivo de promover y alen-
rectiva tambin obliga a disear una estrate- tar al sector privado y gobierno de Estados
gia de ciberseguridad nacional, y la obliga- Unidos para intercambiar con rapidez y de
cin para empresas que trabajan en sectores manera responsables informacin sobre las
crticos tales como energa, transporte y fi- amenazas cibernticas.
30
BUENAS PRCTICAS EN GESTIN DE RIESGOS
- IT Security Act (Alemania). En respuesta, y Por supuesto no hay que olvidar que el sector
tras la alarma del ciberataque al parlamen- privado deber realizar un levantamiento de
to alemn (Bundestag) conocido en junio las leyes y regulaciones de los pases en los
de 2015, Alemania aprob una ley de se- que tiene presencia con objeto de conocer sus
guridad informtica destinada a reforzar los obligaciones legales.
dispositivos de proteccin a las empresas,
debiendo adems informar de inmediato As pues, la regulacin en materia de ciberse-
acerca de cualquier incidente, anomala o guridad en el sector privado ha cobrado espe-
sospecha de virus. cial importancia durante los ltimos aos, co-
La realizacin de
mo demuestran algunos de estos hechos:
cuestionarios, pruebas
Sector Privado - La creacin por parte del NERC (Corpora- internas de ingeniera
cin para la confiabilidad del sector elctri- social y actividades de
Dentro de las compaas de sector privado se co norteamericano) de un estndar de bue- concienciacin para
debe desarrollar un cuerpo normativo de se- nas prcticas en ciberseguridad y soporte a que los empleados
guridad que cubra todos los riesgos a los que la industria e infraestructura elctrica.
conozcan sus
la compaa se encuentra expuesta, sin olvi- - La creciente exigencia a los bancos y enti- responsabilidades en
dar la ciberseguridad. Este cuerpo normativo dades financieras en materia de sistemas y materia de
debe ser debidamente publicado y comunica- para la prevencin y deteccin de amena- ciberseguridad son
do a todos los empleados de modo que co-
zas de ciberseguridad por parte de los dife- buenas prcticas a
nozcan los riesgos a los que nos exponemos
rentes reguladores del sistema financiero. aplicar en el sector
cuando nos enfrentamos a la ciberseguridad.
As lo demuestran las constantes revisiones, privado.
Una buena prctica es realizar cuestionarios y
auditoras y procesos peridicos de anlisis y
actividades de concienciacin que permitan a
evaluacin de la capacidad de ciberresiliencia
los empleados conocer sus responsabilidades
de las mismas, realizadas por la FED17, OCC18
en materia de ciberseguridad y realizar prue-
y FDIC19 en Estado Unidos, PRA20 y FCA21 en
bas internas de ingeniera social que nos ayu-
Inglaterra, y ms recientemente por el Meca-
den a medir el nivel de concienciacin im-
nismo nico de Supervisin (MUS) del Banco
plantado en la compaa. Realizar revisiones
Central Europeo. A este respecto, es impor-
peridicas de cumplimiento del cuerpo nor-
tante mencionar que el BCE inici sus diligen-
mativo permitir identificar debilidades y es-
cias el pasado ao sobre las principales enti-
tablecer acciones correctoras.
dades bancarias a nivel europeo, con la reali-
Cabe mencionar la importancia de colabora- zacin de un primer proceso de evaluacin de
cin con entidades pblicas, tal y como esta- ciberseguridad a travs del envo de un cues-
blece la Estrategia de Ciberseguridad Nacio- tionario, y seguido por inspecciones in situ ac-
nal comentada con anterioridad. tualmente en curso.
31
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Tanto el volumen como el impacto de las Debe poner en funcionamiento todas las me-
amenazas estn aumentando exponencial- didas tcnicas y organizativas necesarias. Los
mente en los ltimos tiempos. Por todo esto empleados y usuarios (o los propietarios de
hay que extremar las medidas en materia de las aplicaciones sean o no desarrolladas inter-
ciberseguridad y establecer todos los contro- namente por la organizacin) deben ser cons-
les necesarios para poder mitigar los riesgos cientes de que son parte primordial de esta
en las organizaciones. primera lnea de defensa. Son el primer obje-
32
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Regulador / Supervisor
Auditora de Cuentas
Cumplimiento Normativo
Control de TI
de las reas
Seguridad de TI Auditora Interna
de TI
Gestin de Riesgos de TI
Control
Interno de TI
tivo y la puerta de entrada ms dbil para los tendrn ms presencia que otras, pero todas
malos. ellas deberan tener en cuenta la ciberseguri-
dad y sus riesgos.
Deben tener mucho cuidado con correos elec-
trnicos sospechosos, dispositivos mviles, re- La relacin entre todas ellas debe formar un
des Wifi, redes sociales, etc. Un uso adecuado modelo de aseguramiento en ciberseguridad
de los mismos y conforme a las polticas de que facilite que los riesgos y controles en este
seguridad de la compaa provee una garan- mbito se manejan de manera consistente,
ta que minimiza el riesgo existente. Pero esto mediante revisiones proactivas de la seguri-
no es suficiente, tambin se tienen que im- dad y procesos de deteccin, correccin y me-
plantar todas las medidas tcnicas (firewall, jora continua, proveyendo de tranquilidad y
IDS, gestin de accesos, cifrado de la informa- confianza a la alta direccin de la organiza-
cin, etc.) al alcance de la organizacin y en cin.
consonancia con la informacin que se mane-
ja. Como principales tareas debe:
Desarrollar e implementar las polticas ge-
La segunda lnea de defensa nerales (ciberseguridad) y facilitar el desa-
rrollo e implantacin del marco general de
La segunda lnea de defensa puede estar
riesgos y controles.
compuesta por diferentes funciones en la or-
ganizacin tales como Gestin de Riesgos de Establecer las metodologas y mtricas para
TI, Seguridad de Sistemas, Cumplimiento Nor- evaluar y monitorizar el proceso.
mativo de TI, Asesora Jurdica, etc. Es eviden- Reforzar los marcos de control definidos
te que dependiendo de la organizacin unas por la primera lnea de defensa.
33
BUENAS PRCTICAS EN GESTIN DE RIESGOS
La colaboracin con la segunda lnea de de- 2. Asegurar que la organizacin cuenta con
fensa es muy importante facilitando el alinea- un correcto nivel de madurez y capacidad
miento con el modelo de aseguramiento a ni- para la identificacin y mitigacin de los
vel corporativo y poner en contexto y elevar riesgos de ciberseguridad.
tanto las bondades del modelo como los gaps 3. Verificar los mecanismos para reconocer
o deficiencias encontradas en materia de ci- incidentes de ciberseguridad procedentes
berseguridad. de un empleado o proveedor externo.
En este punto, Auditora Interna debera parti- 4. Aprovechar las relaciones con la direccin
cipar de manera pasiva o estar informada de la compaa para aumentar el nivel de
puntualmente de las actividades de las reas concienciacin con los riesgos de ciberse-
PLAN
DE AUDITORA INTERNA Informacin sobre ciberseguridad
34
BUENAS PRCTICAS EN GESTIN DE RIESGOS
35
BUENAS PRCTICAS EN GESTIN DE RIESGOS
CSC 1 INVENTARIO DE DISPOSITIVOS Gestionar activamente todos los dispositivos hardware en la red, de
AUTORIZADOS Y NO AUTORIZADOS forma que slo los dispositivos autorizados tengan acceso a la red.
CSC 2 INVENTARIO DE SOFTWARE AUTORIZADO Gestionar activamente todo el software en los sistemas, de forma
Y NO AUTORIZADO que slo se pueda instalar y ejecutar software autorizado.
CSC 3 CONFIGURACIONES SEGURAS Establecer una configuracin base segura para dispositivos mviles,
DE SOFTWARE Y HARDWARE PARA porttiles, equipos de sobremesa y servidores, y gestionarlas
DISPOSITIVOS MVILES, PORTTILES, activamente utilizando un proceso de gestin de cambios y
EQUIPOS DE SOBREMESA Y SERVIDORES configuraciones riguroso, para prevenir a los atacantes explotar
servicios y configuraciones vulnerables.
CSC 4 PROCESO CONTINUO DE IDENTIFICACIN Disponer un proceso continuo para obtener informacin sobre
Y REMEDIACIN DE VULNERABILIDADES nuevas vulnerabilidades, identificarlas, remediarlas y reducir la
ventana de oportunidad a los atacantes.
CSC 5 CONTROL SOBRE PRIVILEGIOS Desarrollar procesos y utilizar herramientas para identificar, prevenir
ADMINISTRATIVOS y corregir el uso y configuracin de privilegios administrativos
en ordenadores, redes y aplicaciones.
CSC 6 MANTENIMIENTO, MONITORIZACIN Recoger, gestionar y analizar logs de eventos que pueden ayudar a
Y ANLISIS DE LOGS DE AUDITORA detectar, entender o recuperarse de un ataque.
36
BUENAS PRCTICAS EN GESTIN DE RIESGOS
CSC 7 PROTECCIN DEL CORREO ELECTRNICO Minimizar la posibilidad de que los atacantes manipulen a los
Y DEL NAVEGADOR empleados a travs de su interaccin con el correo electrnico
y el navegador.
CSC 8 DEFENSAS CONTRA EL MALWARE Evitar la instalacin, difusin y ejecucin de cdigo malicioso en
distintos puntos, al tiempo que se fomenta la automatizacin para
permitir una actualizacin rpida en la defensa, recopilacin de
datos y la correccin.
CSC 9 LIMITAR Y CONTROLAR LOS PUERTOS Gestionar el uso de puertos, protocolos y servicios en los
DE RED, PROTOCOLOS Y SERVICIOS dispositivos que tengan red para reducir las vulnerabilidades
disponibles a los atacantes.
CSC 11 CONFIGURACIONES SEGURAS Establecer una configuracin base para los dispositivos de
DE DISPOSITIVOS DE RED infraestructura de red, y gestionarlas activamente utilizando un
(FIREWALLS, ROUTERS Y SWITCHES) proceso de gestin de cambios y configuraciones riguroso, para
prevenir a los atacantes explotar servicios y configuraciones
vulnerables.
CSC 12 DEFENSA PERIMETRAL Desarrollar una estrategia para detectar, prevenir y corregir los flujos
de transmisin de informacin entre redes de distintos niveles de
seguridad (confianza).
CSC 13 PROTECCIN DE LOS DATOS Disponer de procesos y herramientas adecuadas para prevenir la
fuga de informacin, mitigar los efectos cuando se ha producido un
incidente de fuga de informacin, y asegurar la confidencialidad e
integridad de la informacin sensible.
CSC 14 ACCESO BASADO EN LA NECESIDAD DE El acceso a los activos crticos debe realizarse de acuerdo a una
CONOCER (NEED TO KNOW) definicin formal de que personas, sistemas y aplicaciones tienen la
necesidad y el derecho de acceso. Los procesos y herramientas
utilizadas en el seguimiento, proteccin y correccin de estos
accesos deben estar alineados con las definiciones.
CSC 15 CONTROL DE ACCESO WIRELESS Disponer de procesos y herramientas para garantizar una seguridad
adecuada en las redes WiFi y en los sistemas clientes, incluyendo
seguimiento y correccin de las medidas de seguridad.
CSC 16 CONTROL Y MONITORIZACIN Gestionar activamente el ciclo de vida de las cuentas de sistema y
DE CUENTAS DE SISTEMA de aplicacin (creacin, uso, inactividad y borrado) para reducir su
utilizacin por parte de un atacante.
37
BUENAS PRCTICAS EN GESTIN DE RIESGOS
CSC 17 VERIFICACIN DE LAS HABILIDADES Identificar los conocimientos especficos, habilidades y capacidades
DE SEGURIDAD Y FORMACIN ADECUADA necesarias en la organizacin para la defensa de los activos crticos
de la compaa, y desarrollar y evaluar un plan para identificar gaps
y remediar con polticas, formacin y programas de sensibilizacin.
CSC 18 SEGURIDAD EN EL CICLO DE VIDA Gestionar el ciclo de vida de todas las aplicaciones, tanto las
DE LAS APLICACIONES desarrolladas internamente como las de proveedores para prevenir,
detectar y corregir vulnerabilidades tcnicas.
CSC 20 REALIZAR TEST DE PENETRACIN Probar las defensas de la organizacin (tecnologa, procesos
Y EJERCICIOS DE ATAQUE y personas) mediante la simulacin de un ataque, utilizando sus
mismas acciones y objetivos.
38
BUENAS PRCTICAS EN GESTIN DE RIESGOS
tica est alineada con buenas prcticas y si se supuesto y personal suficiente se suele dispo-
dispone de un proceso de revisin de las vul- ner de un SIEM (Security Information and
nerabilidades que retroalimente la poltica de Event Management), sistema que permite dis-
bastionado. poner en tiempo real de alertas de seguridad.
Otra aproximacin es que el auditor escanee La verificacin pasa por analizar el contenido
los dispositivos/aplicaciones utilizando herra- de los logs, y, si actuamos como Red Team,
mientas automatizadas, actuando como Red las actividades que realicemos, como esca-
Team. near una red o conectarnos como usuario ad-
ministrador desde un puesto no habitual, de-
CONTROL 5
beran reflejarse en los logs y generarse las
Este control nos lleva a que las cuentas de
alertas correspondientes.
usuarios administradores de aplicaciones, dis- Los controles estn
positivos y sistemas operativos deben estar CONTROL 7 pensados para
identificadas, su uso auditado, eliminando las organizaciones de
Nuevo en la versin 6.0, pasa por utilizar
que no se utilizan y cambiando las que estn cualquier tipo. El
clientes de correo y navegadores actualizados
definidas por defecto. Adicionalmente, deben conocimiento de la
y evitar que el usuario pueda aadir extensio-
cumplir con la poltica de fortaleza de contra- organizacin y la
nes, as como cambiar su configuracin. La
seas. exposicin a las
configuracin debe ser la ms restrictiva posi-
amenazas condicionar
La revisin de este control puede orientarse a ble para que el usuario pueda trabajar, desha-
la propia priorizacin y
verificar la existencia de una poltica de alta, bilitando los plugins innecesarios. alcance de la
baja y mantenimiento de usuarios administra-
De forma complementaria, el control 8 habili- implantacin.
dores, y la fortaleza de la contrasea (debera
ta el anlisis de malware en los equipos, y de-
formar parte de la poltica de bastionado), y
ben definirse medidas para evitar que el mal-
las tareas que se desarrollan para comprobar
ware entre a travs de la navegacin del
su cumplimiento.
usuario o de la lectura de correo (IPS, antivi-
Por otro lado, tambin podemos solicitar el
rus de navegacin y correo, bloqueo de URLs
listado de usuarios definidos en los sistemas y
maliciosas, etc.).
los ficheros de contraseas cifradas asocia-
dos, y comprobar que no disponen de las cla- CONTROL 8
ves por defecto utilizando herramientas auto- El control 8 tambin recomienda agregar
mticas.
otras medidas contra el malware que deben
CONTROL 6 estar recogidas en la poltica, como el blo-
queo de USB y la monitorizacin contina de
Implica que todos los sistemas y aplicaciones
los equipos.
deberan tener habilitadas las trazas de audi-
tora, incluyendo respuestas a desde dnde, Debe existir una poltica del uso seguro y de
quin, qu y cundo, as como tener definidas configuraciones autorizadas, y tareas de revi-
acciones de alerta. sin automatizada de los equipos y servido-
Debera existir una poltica asociada, un for- res.
mato de log corporativo y una tarea de anli- Otra posible verificacin pasa por enviar un
sis de estos logs. En organizaciones con pre- correo con contenido no autorizado a una
39
BUENAS PRCTICAS EN GESTIN DE RIESGOS
cuenta interna, o navegar por una pgina del uso del administrador y, adicionalmente,
dentro de una lista negra. control de cuentas por defecto (control 16).
El test de este control sera de la misma for-
CONTROL 9
El acceso a la ma que los controles mencionados.
Nos habla de limitar los servicios expuestos a
informacin debe CONTROL 12
las redes, y separar fsicamente las mquinas
seguir el principio de
que tienen esos servicios. Debe existir una po- En este control vemos que tenemos que tener
necesidad de
ltica que defina que slo los servicios y puer- una seguridad perimetral basada en aplicar
conocer. Un perfilado
tos necesarios para la organizacin estn ha- filtros sobre las comunicaciones de nuestra
adecuado mitiga el
bilitados, o restringidos a las redes/usuarios organizacin hacia y desde fuera, as como
riesgo, pero deben
que realizan tareas asociadas. El resto debera desplegar sensores que detecten actividades
implantarse otros
estar deshabilitado/filtrado. sospechosas y alimenten a nuestro SIEM, te-
controles, ya que un
nemos que protegernos, pero tambin es im-
ataque puede obtener La aproximacin para verificar este control
portante detectar si estn intentando entrar
credenciales que pasa por realizar escaneos automticos de las
o, si ya lo han hecho, identificarlos.
tengan acceso a la diferentes redes, para identificar puertos/ser-
informacin. vicios que deberan estar restringidos o des- Por otro lado, tenemos que tener una DMZ,
una zona donde los servicios expuestos a In-
habilitados. Un auditor interno puede realizar
ternet estn separados de la red interna.
esta tarea de forma puntual o verificar si exis-
te un proceso continuo que lo realice. Si necesitamos acceder a la red interna desde
fuera (teletrabajo), debemos implantar un se-
CONTROL 10 gundo factor de autenticacin.
Nos pide que se hagan copias de seguridad El anlisis de las reglas de FW nos permite
de todos los datos crticos, as como que se evaluar este control. De igual forma que en
verifique de forma peridica que estos se controles anteriores, podemos hacer un esca-
pueden recuperar en un tiempo asumible. Asi- neo de nuestro permetro desde Internet para
mismo, los sistemas donde se guardan estas identificar puntos de entrada, servicios accesi-
copias deben tener acceso restringido, tanto bles sin autenticacin robusta y, testear qu
fsica como lgicamente. alertas han generado nuestra actividad.
Para probar este control, se pueden solicitar CONTROL 13
las polticas de back up y el resultado de las Este control confa en el cifrado de la infor-
pruebas de recuperacin. macin en reposo y en trnsito para garanti-
CONTROL 11 zar la privacidad y prevenir una fuga.
40
BUENAS PRCTICAS EN GESTIN DE RIESGOS
41
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Certificaciones profesionales
Con el aumento del nivel de amenazas y ries- dad de CyberCamp (celebrado los das 27, 28
gos relacionados con la ciberseguridad expe- y 29 de noviembre de 2015 en el Barclaycard
rimentado durante los ltimos aos, existe ac- Center de Madrid) con el objetivo de dar a
tualmente una alta demanda de profesionales conocer la oferta y demanda laboral de dife-
especializados en estas materias. La Unin rentes empresas, orientar a los jvenes acerca
Europea prev la creacin de 90.000 nuevos de las posibles trayectorias profesionales, as
puestos de trabajo en este sector para el ao como informar acerca de los diferentes pro-
2020. gramas y opciones de formacin.
Sin embargo, no resulta fcil para las empre- En este marco, a las ya tradicionales certifica-
sas encontrar los perfiles adecuados y espe-
ciones para profesionales de seguridad y au-
cializados en los nuevos riesgos de la seguri-
ditora de sistemas: ITIL (Information Techno-
dad de la informacin, puesto que no existe
logy Infrastructure Library), CobiT (Control
todava demasiada formacin reglada.
Objectives for Information and Related Tech-
En este sentido, se lanzaron iniciativas como nology), ISO 27000 (Estndar para la Seguri-
el Foro de Empleo y Talento en Ciberseguri- dad de la Informacin), CISA22 (Certified Inter-
22. Certificacin otorgada por ISACA (Information Systems Audit and Control Association).
42
BUENAS PRCTICAS EN GESTIN DE RIESGOS
nal Systems Auditor), CISM (Certified Informa- CSX Specialist. Certificaciones avanzadas y
tion Security Manager), CISSP23 (Certified In- especializadas en el conocimiento y habili-
formation Systems Security Professional), Se- dades de las siguientes reas o dominios:
curity+ (certificada por CompTIA24), etc.; se Identificacin de riesgos, proteccin de sis-
han incorporado otras muchas que han co- temas, deteccin de amenazas, respuesta y
brado importancia (especialmente aquellas anlisis de incidentes, y recuperacin de los
relacionadas con aspectos de pentesting y sistemas.
hacking tico, gestin de ciberincidentes o CSX Expert. Certificacin de nivel avanza-
anlisis forense), tales como las ofrecidas por do para la identificacin, anlisis, respuesta
las siguientes organizaciones. y mitigacin de incidentes de ciberseguri-
dad avanzados, y asociados a empresas con
ISACA entornos complejos y una alta exposicin a
ataques.
Ha lanzado el programa Cybersecurity Ne-
xus25 (CSX), que ofrece una serie de certifica-
SANS
ciones en diferentes niveles para la formacin
de profesionales, y alineadas con los principa- El Instituto SANS (SysAdmin Audit, Networ-
les estndares de ciberseguridad del merca- king and Security Institute) en colaboracin
do: con la entidad certificadora GIAC (Global In-
formation Assurance Certification) ofrece un
Cybersecurity Fundamentals Certificate. conjunto de ms de 20 certificaciones agru-
Orientada a la introduccin de los concep- padas en diferentes niveles en materia de ad-
tos, marcos, guas de buenas prcticas y es- ministracin y gestin de seguridad, auditora
tndares de ciberserguridad de la industria; legal y de seguridad, seguridad del software y
ciberseguridad en redes, sistemas, aplica- anlisis forense:
ciones y datos, implicaciones de seguridad
NIVEL INTRODUCTORIO.
de las nuevas tecnologas y respuesta bsi-
Administracin de Seguridad.
ca ante incidentes.
- GISF: Information Security Fundamentals.
CSX Practitioner. Certificacin orientada a NIVEL INTERMEDIO.
la primera capa de respuesta de seguridad, Administracin de Seguridad.
con el objetivo de conocer e implementar - GSEC: Security Essentials Certification.
los principales controles de seguridad, reali- Gestin.
zar anlisis y escaneos de vulnerabilidades, - GISP: Information Security Professional.
definicin de procesos y procedimientos de Forense.
seguridad en los sistemas. - GCFE: Certified Forensics Examiner.
23. Certificacin otorgada por ISC2 (International Information Security Certification Consortium).
25. https://cybersecurity.isaca.org/csx-certifications
43
BUENAS PRCTICAS EN GESTIN DE RIESGOS
44
BUENAS PRCTICAS EN GESTIN DE RIESGOS
26. http://web.mit.edu/
27. https://www.enisa.europa.eu/
28. https://www.incibe.es/
45
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Bibliografa relevante
Estndares, normativa y legislacin
- NIST (02/14): Framework for improving Cyber-security.
- ISO27032: Guidance from improving the state of cyber-security.
- Estrategia de Ciberseguridad Nacional (Gobierno de Espaa).
- Ten steps to cyber security (UK GOV: CESG and CPNI).
- Cybersecurity Capability Maturity Model (C2M2) Program (USA Department of Energy).
- CIS Critical Security Controls (SANS Institute & Center for Strategic & International Studies).
46
Instituto de Auditores Internos de Espaa
Santa Cruz de Marcenado, 33 28015 Madrid Tel.: 91 593 23 45 Fax: 91 593 29 32 www.auditoresinternos.es
ISBN: 978-84-945594-2-6
Impresin: IAG, SL
OTRAS PRODUCCIONES DE LA FBRICA DE PENSAMIENTO