fa bricaciber-int maquetaciÛn 1 - auditoresinternos.es · mundial incluye varios riesgos asociados...

BUENAS PRÁCT ICAS EN GEST IÓN DE R IESGOS

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Una guía de supervisión Ciberseguridad

El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.

LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.

El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.

AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO

MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Israel Martínez Lacabe, CISA. GRUPO SANTANDER

Josep Castells Rafel, CISA. CAIXABANK

José Antonio Castrillo, CISA, CISM, CGEIT. MAZARS

Jordi Civit Vives, CISA, CCSA. MELIÁ HOTELES

Oliver Crespo Romero, CISA, CISM. SANITAS

Sandra Fernández Moreno, CISA. MAPFRE

Gregorio Hernández Manso, CISA, CISM. RED ELÉCTRICA DE ESPAÑA

Juan José Huerta Díaz, CIA, CISA, CISM, CGEIT, CDPP. BBVA

Eduardo Iglesias Cordero. LIBERBANK

Daniel Martínez Villegas. CIMPRESS

Raúl Mateos Martín, CISA, CISSIP, CRISC. BBVA

Marc Muntañá Vergés, CISA, CISM. MUTUA UNIVERSAL

Felipe Pastor Fornieles, CISA, CISM. ERNST & YOUNG, S.L.

Fernando Picatoste Mateu, CIA, CISA, CISM, CGEIT, CRISC, CISSP. DELOITTE

Albert Sans I Feliu, CISA. INDITEX

BUENAS PRÁCT ICAS EN GEST IÓN DE R IESGOS


Octubre 2016

CiberseguridadUna guía de supervisión

3

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

El avance de las nuevas tecnologías ha propiciado un cambio sin precedentes que ha in-fluido en la forma de operar de las organizaciones, cuyas actividades se desarrollan cadavez más en el ciberespacio.

Este hecho propicia un gran desarrollo económico y social, pero a la vez la aparición denuevos retos y amenazas que es imprescindible gestionar. No en vano el Foro EconómicoMundial incluye varios riesgos asociados a la ciberseguridad en su ranking de RiesgosGlobales desde hace años. A modo de ejemplo, en 2016 el coste medio de un ataque in-formático para las compañías ronda los 75.000 euros, lo que hace que solo los ciberdeli-tos cuesten a las empresas españolas unos 14.000 millones de euros al año.

Los ciberataques y su naturaleza se han multiplicado en los últimos años, y cada vez sonmás complejos y más difíciles de prevenir y detectar, lo que hace que los órganos de go-bierno de las organizaciones deban incrementar y mejorar la supervisión sobre la ciberse-guridad.

LA FÁBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-ña, aborda en este documento –parte de un manual editado también por el IAI- las prin-cipales cuestiones relativas a la ciberseguridad y un completo análisis de buenas prácticasde Auditoría Interna para la evaluación y revisión de los controles en esta materia.

También se incluyen los 20 Controles Críticos de Seguridad que todas las organizacionesdeben implementar y cuál es el papel de Auditoría Interna en la revisión de cada uno deellos.

El valor que aporta esta guía de supervisión va más allá de los auditores internos de siste-mas o de las Direcciones de Auditoría Interna. Las Comisiones de Auditoría y otros comi-tés de la empresa encontrarán en estas páginas un importante aliado que les ofrecerá in-formación completa y precisa para permitirles tomar decisiones sobre la estrategia, orga-nización y operaciones para evitar que este riesgo se materialice en las organizaciones.

Un documento tan exhaustivo y a la vez de fácil comprensión como éste, incluso para losprofanos en auditoría de TI, solo podía estar firmado por expertos auditores internos co-mo los que han formado parte de la Comisión Técnica. Les felicito por haber puesto suexperiencia y conocimiento al servicio de todos los socios y por mantener el nivel de exce-lencia y sencillez al que nos tienen acostumbrados las publicaciones de LA FÁBRICA DEPENSAMIENTO.

Ernesto Martínez

Presidente del Instituto de Auditores Internos de España

5


Índice

INTRODUCCIÓN

PRINCIPALES CUESTIONES RELATIVAS A LA CIBERSEGURIDAD

Riesgos, amenazas y vulnerabilidades ....................................................................09

De la seguridad de TI a la ciberseguridad: el cambio de paradigma ..............16

Ciberejercicios y ciberseguros ...................................................................................21

Metodologías y estrategias de control y gestión de ciberriesgos ....................24

Regulación y normativa ..............................................................................................28

BUENAS PRÁCTICAS DE AUDITORÍA INTERNA PARA LA EVALUACIÓN Y REVISIÓN DE CONTROLES DE CIBERSEGURIDAD

El rol de Auditoría Interna ......................................................................................... 32

20 Controles Críticos de Seguridad que todas las organizaciones deberían implementar ................................................................................................ 35

CERTIFICACIONES PROFESIONALES

BIBLIOGRAFÍA RELEVANTE

06

07

32

42

46

6


La protección frente alos ciberriesgos se haconvertido en unaprioridad debido a lasnuevas amenazasprocedentes deInternet, el crecimientodel número de ataquesy la mayor complejidadde las amenazas.

La economía internacional, la prestación deservicios por parte de las administraciones,empresas y profesionales, el acceso a la infor-mación, la educación, el comercio, el ocio o lasalud de los ciudadanos, al igual que casi to-dos los ámbitos de nuestra sociedad, se sus-tentan hoy más que nunca (y cada vez más)en el ciberespacio1.

Las tecnologías de la información y las comu-nicaciones (TIC) propician el desarrollo econó-mico de la sociedad de manera integrada den-tro de las empresas y organizaciones, queusan en su actividad el amplio abanico de dis-positivos electrónicos y redes de comunicacio-nes disponibles.

Sin embargo, de la mano de dicha expansióntecnológica y el aumento del uso de serviciosde Internet surgen nuevos retos y desafíos pa-ra las organizaciones. Así, una de las principa-les amenazas que han traído consigo estosavances es la proliferación de acciones delicti-vas en el ciberespacio.

Ningún dispositivo hardware o software exis-tente en la actualidad –desde el sistema máscomplejo instalado en una infraestructura es-tratégica, como una central nuclear, hasta lamás sencilla aplicación informática instaladaen un teléfono móvil– está exento de ser ata-cado.

Así, la ciberseguridad representa actualmenteuna de las principales preocupaciones de to-das las empresas e instituciones, con indepen-dencia del sector o ámbito al que pertenez-can.

La protección frente a los ciberriesgos se haconvertido por tanto en una prioridad de lasmismas, fruto de la proliferación de nuevasamenazas procedentes de Internet, el enormecrecimiento durante los últimos años del nú-mero de ataques recibidos por las organiza-ciones, y el aumento en la complejidad y sofis-ticación de estas amenazas.

Introducción

1. Se entiende por ciberespacio el entorno virtual común que comprende la interconexión del conjunto global de sistemas,activos de información y redes de comunicaciones (incluyendo Internet), así como los usuarios de estos servicios y tec-nologías.

7


Principales cuestiones relativas a la ciberseguridad

Los ciberataques no sólo se han multiplicadoen los últimos años, extendiendo su incidenciaa todo tipo de organizaciones y a todos lossectores económicos, sino que su naturalezaha cambiado drásticamente en términos defrecuencia, complejidad y finalidad, dentro deun proceso de continua evolución y sofistica-ción que los hace cada vez más complejos ypeligrosos.

En pocos años, las tradicionales amenazas dela seguridad (virus, gusanos, troyanos,…) hanevolucionado hacia ataques de denegación deservicios (DoS2) y sofisticados softwares mali-ciosos (malware) hasta llegar a las amenazaspersistentes avanzadas (APTs) o ataques diri-gidos, que combinan múltiples técnicas deataque y explotación de diferentes tipos devulnerabilidades, incluyendo el uso de técnicasde ingeniería social (por ejemplo spear-phis-hing), así como una fase previa de estudio yrecolección de información del objetivo quelos hace mucho más eficaces y dañinos.

Son numerosos los ataques recibidos porgrandes corporaciones y multinacionales du-rante los últimos años, como JPMorgan, Sony,

Target, Apple, Home Depot, o Google, entreotras. También administraciones públicas y go-biernos de todo el mundo están entre losdamnificados que han sufrido robos de infor-mación de sus bases de datos de clientes, ele-vadas pérdidas económicas, prolongadas in-disponibilidades en sus sistemas, daños repu-tacionales o sabotajes de sus servicios online;como consecuencia del denominado cibercri-men.

Sirvan como ejemplos de lo anterior las si-guientes ciberamenazas que han provocadoalgunas de las mayores infecciones y trastor-nos recientes en materia de seguridad infor-mática:

• Zeus. Malware3 orientado al robo de infor-mación personal de los usuarios: credencia-les de cuentas de correo electrónico, redessociales, datos de servicios financieros, etc.

• Flame y Agent BTZ. Software espía congran capacidad de propagación capaz deobtener capturas de pantalla, pulsacionesde teclado, control del bluetooth, webcam ograbación de llamadas. Asimismo, posee lacapacidad de transmitir la información reco-

Empresas,administracionespúblicas y gobiernoshan sufrido robos deinformación, pérdidaseconómicas o sabotajescomo consecuencia deldenominadocibercrimen.

2. DoS: Del inglés Denial of Service.

3. Si bien no existe un criterio de clasificación estricto de las diferentes tipologías de malware, se entiende de manera ge-neral que esta palabra incluye todo tipo de software o código malicioso que tiene el objetivo de infiltrarse y dañar unsistema de información, abarcando virus, gusanos, troyanos, rootkits, spyware, keyloggers, botnets, etc.

8


pilada ocultándola mediante técnicas de ci-

frado.

• Carbanak. Ataque Persistente Avanzado

(APT) diseñado y dirigido al sector bancario,

capaz de alterar y manipular el funciona-

miento de las redes y software de control

de los cajeros automáticos.

• Ransomware. También conocido como el

“virus de la policía”, cifra la información

contenida en el sistema del usuario infecta-

do, solicitando una compensación económi-

ca para su desbloqueo.

• Stuxnet. Software malicioso descubierto en

2010, capaz de controlar y manipular soft-

ware de control y supervisión de procesos

industriales (SCADA).

Actualmente la ciberseguridad representa un

problema global y sistémico, como lo demues-

tra también el hecho de que el World Econo-mic Forum lo incluya desde el año 2014 en la

lista de los 5 principales riegos globales, en

términos de probabilidad, junto al cambio cli-

mático, el desempleo, las catástrofes naturales

y la desigualdad económica.

Los principales vectores y razones que han

propiciado esta situación actual son:

• La creciente expansión del acceso a Internet

y el proceso de digitalización global (actual-

mente existen más de 2.800 millones de

personas con acceso –más del 40% de la

población mundial– y 10.000 millones de

dispositivos conectados), así como la popu-

larización de nuevos dispositivos (smartpho-nes, tablets), nuevas tecnologías de proce-

samiento de datos (cloud computing, vir-

tualización de sistemas) y posibilidades de

conexión remota y/o móvil (Wifi, VPN, 4G,

Virus · GusanosTroyanos · Bots

Spyware Malware · DoS APTs · Ingeniería social

CIBERAMENAZAS

VOLUMEN DE CIBERINCIDENTES

2009 2010 2011 2012 2013 2014 2015

Impa

cto

2015 2014 2013 2012 2011 2010 2009 193 485

1.914

3.998

7.263

12.916

18.232+41%

Fuente: elaboración propia a partir de datos de CCN-CERT

9

satélite), con sus consiguientes riesgos y de-

bilidades de seguridad asociados.

• La velocidad de los cambios tecnológicos y

la adopción de tecnologías emergentes, en

ocasiones no suficientemente maduras des-

de el punto de vista de seguridad.

• La crisis económica de carácter global (gran

recesión) que se inició durante los años

2007-2008 y que, en mayor o menor medi-

da, sigue vigente en muchos países y geo-

grafías.

• Las importantes carencias existentes en las

legislaciones transfronterizas, laxa normati-

va y escasa regulación en algunos países, y

dificultad legal de perseguir el cibercrimen,

de manera general.

• La creciente actividad que presentan los

movimientos activistas antisistema y anti-

globalización.

• La posibilidad de utilizar fuentes y sistemasanónimos, que amplía la cantidad de gentedispuesta a cometer este tipo de delitos.

Se estima que el cibercrimen tiene un impactoglobal en la economía de entre 300.000 mi-llones y un billón de dólares al año, cifra queequivale a cerca del 1% del PIB mundial, al-canzando un nivel similar al de amenazas cri-minales convencionales como el narcotráficoy/o la piratería4.

Más aún, los riesgos cibernéticos tienen unanaturaleza sustancialmente superior a éstasúltimas, en la medida que pueden tener dife-rentes objetivos simultáneamente: la rentabili-dad que ofrece su explotación, la facilidad y elbajo coste de las herramientas utilizadas parala consecución de ataques, así como la facili-dad de ocultación del atacante; hacen posibleque estas actividades se lleven a cabo de for-ma anónima y desde cualquier lugar del mun-do, con lo que su trazabilidad y seguimientoresulta sumamente complejo.


El concepto de riesgocibernético proviene dela amenaza continua ya escala industrial porparte de terceros sobrelos activos digitales, lasoperaciones y lainformacióncorporativa.

RIESGOS, AMENAZAS Y VULNERABILIDADES

El concepto de riesgo cibernético proviene dela amenaza continua y a escala industrial so-bre los activos digitales, las operaciones y lainformación corporativa, por parte de terceros.Para entender mejor el contexto actual, es ne-cesario conocer los principales riesgos a losque se exponen las organizaciones:

FRAUDE DINERARIOEl robo económico representa una de lasprincipales motivaciones de la gran mayoría

de atacantes. Debido a ello, las institucionesy entidades financieras son uno de los prin-cipales objetivos de los ciberdelincuentes.

ROBO DE INFORMACIÓNLa filtración pública o pérdida de la infor-mación confidencial representa un elevadoriesgo para cualquier organización, cuyosimpactos o pérdidas pueden resultar espe-cialmente significativos. Debido a ello, la in-formación de carácter personal o documen-

4. McAfee (2013): The Economic Impact of Cybercrime and CyberEspionage. Center for Strategic and International Stu-dies.

Riesgos cibernéticos

La pérdida dereputación es una delas principalesconsecuencias de losataques y el objetivo degran parte de losciberataques, conefectos altamentesignificativos.

10

tos clasificados son algunos de los principa-les activos de información que deben serespecialmente protegidos.

INDISPONIBILIDAD DE SERVICIOSInterrupción puntual o prolongada de losservicios online ofrecidos por una organiza-ción (correos, pagos financieros, cobro deimpuestos, registros públicos).

SABOTAJE DE INFRAESTRUCTURASAtaques contra los servicios o infraestructu-ras críticas de un país o estado (abasteci-

mientos, comunicaciones, etc) con el objeti-vo de provocar una interrupción puntual oprolongada de los mismos.

PÉRDIDA DE REPUTACIÓNMás que un riesgo en sí mismo, es una delas principales consecuencias de los ata-ques y el objetivo de gran parte de los cibe-rataques, cuyos efectos en una organiza-ción pueden resultar altamente significati-vos.


Fraude dinerario.

Robo de información.

Indisponibilidad de servicios.

Sabotaje de infraestructuras.

Pérdida de reputación.

PRINCIPALES RIESGOS

Ingeniería social.

Fingerprinting.

Enumeración y escaneo.

Ataques de días cero (0-Day).

Spam y Phishing.

Hijacking.

DoS (Denegación de Servicios).

SQL Injection.

Cross-site scripting (XSS).

Virus, malware, gusanos y troyanos.

Botnet (Redes zombis).

Rootkits.

APT (Amenaza Persistente Avanzada).

PRINCIPALES TÉCNICAS DE ATAQUE

Contra la información.

Contra la infraestructura TIC.

PRINCIPALES AMENAZAS

Hacking.

Cibercrimen.

Hacktivismo.

Ciberespionaje y ciberterrorismo.

Insiders.

PERFIL DE LOS ATACANTES

Al igual que la naturaleza se adapta, las ame-nazas que en un principio eran puntuales ymuy concretas en cuanto a objetivos, con téc-nicas muy simples y consecuencias para el

usuario más molestas que dañinas, se estánconvirtiendo en sofisticadas herramientas po-tencialmente dañinas. De este modo, las prin-cipales amenazas relacionadas con el ciberes-

Amenazas

11

pacio se pueden agrupar en las amenazascontra la información y las amenazas contrala infraestructura TIC5.

AMENAZAS CONTRA LA INFORMACIÓN Aquellas cuya materialización provocan unapérdida, manipulación, publicación o usoinadecuado de la misma. Entre otras desta-can:

· Espionaje, desde el ámbito del espionajede Estado al espionaje industrial.

· Robo y publicación de información clasi-ficada o sensible (datos personales, datosbancarios).

· Robo de identidad digital.

· Fraude.

AMENAZAS CONTRA LAS INFRAESTRUCTU-RAS TIC

Son aquellas cuya materialización puedenprovocar la interrupción temporal, parcial ototal de determinados servicios o sistemas,entre las que se encuentran:

· Ataques contra infraestructuras críticas.

· Ataques contra las redes y sistemas.

· Ataques contra servicios de Internet.

· Ataques contra sistemas de control y re-des industriales.

· Infecciones con malware.

· Ataques contra redes, sistemas o servi-cios a través de terceros.


Si bien el anonimato y la deslocalización sonalgunas de sus máximas señas de identidad,los principales actores que componen el perfilde los atacantes se pueden clasificar en los si-guientes grupos:

HACKINGIndividuos que generalmente trabajan demanera individual con el objetivo de provo-car trastornos o daños puntuales, si bien nosuelen resultar de gran impacto.

CIBERCRIMENOrganizaciones y/o grupos de ciberdelin-cuentes/hackers que cuentan generalmentecon los recursos, conocimientos, motivacióny respaldo o apoyo financiero necesariospara la obtención de sus objetivos (princi-

palmente el fraude económico y el robo deinformación confidencial).

HACKTIVISMOGrupos de hackers que actúan en base auna serie de principios y/o creencias políti-cas, sociales o religiosas, principalmentecon fines reivindicativos. Sus principales ob-jetivos suelen incluir multinacionales, go-biernos y organismos oficiales.

Algunos ejemplos conocidos de gruposhacktivistas son: “Anonymous”,“Legion ofDoom”, “Milw0rm” y “LulzSec”.

CIBERESPIONAJE Y CIBERTERRORISMOUso de tecnologías de la información y co-municación electrónica con el propósito deapoderarse de información confidencial de

Perfil de los atacantes

5. Spanish Cyber Security Institute (2014): La Ciberseguridad Nacional, un compromiso de todos.

12

gobiernos, naciones u otros organismos, eincluso generar el miedo o terror en unapoblación o Estado. Este objetivo puede perpetrarse a través delsaboteo de infraestructuras críticas, infiltra-ción en redes de alta seguridad, recluta-miento de personal a través de Internet y/opublicación de contenidos violentos o ame-nazadores.

INSIDERSPersonal de las propias organizaciones que,aprovechando su conocimiento o acceso ainformación confidencial en los sistemas,realiza igualmente acciones delictivas (prin-cipalmente de fraude) asociadas al cibercri-men.

Las motivaciones son diversas y pueden va-riar desde la perpetuación de un fraude finan-ciero sobre los ingresos de la organización ode sus clientes; la producción de un quebran-to económico directo a una compañía, el en-torpecimiento de sus operaciones o el sabota-

je/destrucción de infraestructuras críticas; has-

ta la sustracción de información corporativa

estratégica como la relativa a la propiedad in-

dustrial o intelectual, datos personales de

clientes y empleados, inteligencia de merca-

do, etc., con objeto de lucro; el daño de la

imagen o reputación de una entidad; la rei-

vindicación político-social; e incluso la simple

notoriedad o amenaza, entre otras6.

Los objetivos son muy heterogéneos y los

ataques van dirigidos a cualquier tipo de or-

ganización –pública o privada, con ánimo de

lucro o sin él– afectando a empresas de todos

los sectores de actividad, gobiernos y organi-

zaciones de cualquier tipo.

Así las cosas, los recientes eventos de fuga de

información y fallos en la seguridad cibernéti-

ca de algunas organizaciones evidencian un

nuevo escenario de riesgo donde la informa-

ción se convierte en una de las armas estraté-

gicas más letales, comprometiendo la estabili-

La información es unade las armasestratégicas más letalesen un nuevo escenariode riesgo para lasorganizaciones.


HACKING.

CIBERCRIMEN.

HACKTIVISMO.

CIBERESPIONAJE.

INSIDERS.

ACTORES

Personal.

Ecónomica/lucro.

Ideológica.

Política.

Varias.

MOTIVACIÓN

Notoriedad, pequeños disturbios, …

Robo dinerario o de información.

Daño reputacional, divulgación de información, …

Trastrornos graves, robo de información crítica, …

Varias

OBJETIVOS

6. Deloitte (2015): 12º Programa para el Desarrollo de Directores Financieros.

Fuente: elaboración propia

13

dad o continuidad de cualquier persona u or-ganización.

En efecto, algunos ataques cibernéticos re-cientes han puesto en riesgo naciones e in-dustrias. Un ejemplo fue la operación “Auro-ra”, en 2009, que vulneró los sistemas de se-guridad de hasta 34 compañías de EEUU (Go-ogle, Yahoo, Symantec y Adobe, entre muchasotras)7. O el ciberataque sufrido por Sony en2014, cuando se filtraron en Internet los da-tos personales, números de identificación fis-cal e información médica de los más de 3.800trabajadores de la empresa, así como varioscontenidos de producciones cinematográficas

aún sin estrenar8. Otros ejemplos relevantesfueron las filtraciones de Edward Snowden,cuando se comprometió la información demás de 40 delegaciones de países en sueloestadounidense9, o el robo de datos de 83millones de clientes a la entidad bancaria JPMorgan Chase.

Estos hechos demuestran que los objetivos delos atacantes son cada vez más ambiciosos,se manifiesten sus acciones en el terreno dela ciberdelincuencia o en los entornos del ci-berespionaje (estados, empresas, personas) ydel ciberterrorismo.

Los principales ataquesson los producidos enforma de DDoS,hacking, ataques fueradel perímetro, ataquesa activos intangibles ylos basados en elfraude económico y lafuga de informaciónconfidencial.


7. El Economista (2010): Operación Aurora, el ciberataque más sofisticado de la historia.

8. CNet (2014): Sony encabeza la lista de los peores 'hackeos' del año.

9. Onemagazine (2014): La ciberseguridad en 2013: un año marcado por Snowden.

Principales técnicas de ataque y vulnerabilidades

Nos encontramos con ataques a plataformaspropias en forma de DDoS, hacking o de ex-plotación de vulnerabilidades en el hardwarey software corporativo; ataques fuera del perí-metro, como los dirigidos a clientes (phishing,malware, credenciales robadas); ataques a ac-

tivos intangibles (reputación de la marca o losdirectivos); a activos físicos o infraestructurascríticas; y ataques basados en el fraude eco-nómico y en la fuga de información confiden-cial (filtraciones, robos o perdidas de disposi-tivos).

INGENIERÍA SOCIAL

Técnicas y habilidades sociales o psicológicas para obtener información confidencial a tra-vés de la manipulación de las personas o usuarios.

FINGERPRINTING

Búsqueda y recolección de todo tipo de información del objetivo, principalmente en Inter-net, y realizada de manera pasiva, que pueda ser utilizada en la perpetración de un ataque.

Puede incluir tanto la recolección de información de fuentes públicas (OSINT: Open-SourceIntelligence), como de fuentes privadas o de pago.

14


ENUMERACIÓN Y ESCANEO

Identificación de sistemas, equipos y dispositivos existentes en la red. Obtención de nom-bres de equipos, usuarios, recursos compartidos, etc.

También incluye habitualmente la identificación de posibles vulnerabilidades.

ATAQUES DE DÍAS CERO (0-DAY)

Ataques contra aplicaciones o sistemas que aprovechan nuevas vulnerabilidades, desconoci-das por los fabricantes del producto y/o software, y para los que no se han desarrollado aún“parches” o soluciones que las corrijan.

Estos ataques pueden tener un grave impacto, y el código para explotar dichas vulnerabili-dades se vende a menudo por elevadas cantidades de dinero en el denominado mercadonegro de los exploits.

SPAM Y PHISHING

Ataques a través del servicio de correo electrónico, ya sea buscando la indisponibilidad delmismo o la suplantación de identidad para obtener información confidencial de los usua-rios.

Durante los últimos años las técnicas de phishing han evolucionado enormemente dada susimplicidad y alta efectividad, y es habitual hablar de ataques concretos de smishing, vis-hing, spear phishing, etc.

HIJACKING

Técnicas ilegales utilizadas por los atacantes para adueñarse o tomar el control de diferen-tes recursos: navegador, credenciales de sesión, conexiones TCP/IP, páginas web, etc.

DoS (DENEGACIÓN DE SERVICIOS)

Ataques de desbordamiento con el objetivo de provocar la parada o interrupción de un ser-vicio crítico, típicamente realizados a través de una inundación de peticiones a páginas web.

SQL INJECTION

Técnica de ataque sobre páginas web qu,e a través de la ejecución de comandos SQL, per-mite la obtención y/o manipulación de información de la base de datos del servidor.

CROSS-SITE SCRIPTING (XSS):

Técnicas de inyección de código (principalmente Javascript y PHP) que, aprovechando erro-res de programación en las páginas web, provocan un comportamiento anormal del sistemapudiendo afectar a la integridad del mismo.

15

Con carácter general, todas estas técnicas oamenazas se basan en la detección y existen-cia de errores en la configuración de seguri-dad de los sistemas, obsolescencia o falta deactualización de las infraestructuras tecnoló-gicas, y fallos de programación o diseño enlas arquitecturas de seguridad y comunicacio-nes, cuya identificación y mitigación debeconsiderarse una prioridad por las entidades yorganizaciones.

Por otro lado, a las facilidades derivadas deuna mayor superficie de explotación por partede los atacantes (móviles, cloud, redes socia-les, etc.) o la existencia de un mercado negrode vulnerabilidades 0-Day, poco ayuda unarealidad en la que la mayor parte de los ata-

ques sufridos por las empresas evidencian fa-

llos ocasionados por la ausencia de medidas

de seguridad, métodos, procedimientos, pro-

ductos y herramientas debidamente imple-

mentados y certificados.

A este hecho se suma la escasa conciencia-

ción y cultura de seguridad dentro de las or-

ganizaciones, y la escasez de personal sólida-

mente formado y especializado dedicado a la

ciberseguridad. El 80% de los ataques ciber-

néticos podrían prevenirse mediante una serie

de sencillas buenas prácticas en redes y equi-

pos, que suelen incluir el uso de contraseñas

seguras, configuraciones de seguridad ade-

cuadas, correcta gestión del control de acce-

El 80% de los ataquespodrían prevenirse conbuenas prácticas comoel uso de contraseñasseguras,configuraciones deseguridad adecuadas,un correcto control deaccesos a aplicacionesy datos, y laactualización desistemas.


VIRUS, MALWARE, GUSANOS Y TROYANOS

Software o código malicioso que tiene como objetivo infiltrarse o dañar un sistema o equi-po, estando además normalmente diseñados para su rápida propagación en una red de or-denadores. Especialmente extendido se encuentra el uso de troyanos, cuya apariencia simu-la la de un programa benigno o inocuo que, tras ser ejecutado por el usuario, ocultan y libe-ran el virus contenido en él.

BOTNET (REDES ZOMBIS)

Conjunto de ordenadores (conectados a Internet) infectados que se ejecutan y controlan demanera autónoma y automática. Estas redes son usadas principalmente para aumentar lacapacidad de procesamiento necesaria para perpetrar un ataque, así como para ocultar elorigen y autoría del mismo.

ROOTKITS

Herramientas y programas usados para esconder la presencia del intruso, obteniendo privi-legios de administración que permitirán la manipulación futura del sistema.

APT (AMENAZA PERSISTENTE AVANZADA)

Ataques especialmente diseñados y dirigidos contra una organización o entidad concreta.Por lo general requieren de un elevado tiempo de preparación y combinan diferentes técni-cas y vulnerabilidades de entre las ya comentadas anteriormente.

16

sos a aplicaciones y datos, y un apropiado ni-vel de actualización de los sistemas10.

De hecho, según estudios recientes publica-dos por el CCN-CERT (Centro CriptológicoNacional-Centro de Respuesta a Incidentes de

Seguridad), el mayor porcentaje de ataquestienen su origen en vulnerabilidades ya cono-cidas y para las que se dispone de solucionesy medidas de detección y mitigación.

El cibercrimen se haconvertido en unnegocio, siendo posiblecontratar a través deInternet la realizaciónde un ataque DoS,spam, phishing, elalquiler de una botneto los servicios de unhacker.


DE LA SEGURIDAD DE TI A LA CIBERSEGURIDAD: EL CAMBIO DE PA-RADIGMA

Es importante señalar el incremento en el nú-mero de ataques directos a personas (em-pleados, clientes, simples usuarios de Inter-net), puesto que representan el eslabón másdébil de la cadena de seguridad. La populari-zación y extendido uso de Internet en casi to-dos los ámbitos de la sociedad actual (públi-co, profesional, compras, comunicación, noti-cias, viajes, cultura,…) ha incrementado nota-blemente la superficie de ataque disponiblepara los cibercriminales; y debido a su altaefectividad y la falta de medidas de protec-ción adecuadas que en muchas ocasionespresentan los dispositivos (smartphones, ta-blets, ordenadores personales,…) son cadavez más habituales este tipo de ataques, ha-biendo crecido su impacto de manera expo-nencial durante los últimos años.

Se puede afirmar incluso que el cibercrimense ha profesionalizado, contando actualmentelos atacantes con elevados conocimientos yrecursos, tanto humanos como técnicos y fi-nancieros. Se trata, por tanto, de grupos bienorganizados y preparados.

Hasta tal punto es así, que también el ciber-crimen se ha convertido en un negocio (Cy-bercrime as a Service), siendo posible actual-mente contratar a través de Internet (princi-palmente en la Deep-web / Dark-Web11) larealización de un ataque de DoS, spam, phis-hing, el alquiler de una botnet o los serviciosde un hacker.

Este nuevo entorno de evolución, sofisticacióne incremento de los ataques y amenazas estáproduciendo un cambio relevante en la mane-ra de gestionar la seguridad en las organiza-ciones.

Tradicionalmente la seguridad de la informa-ción ha sido siempre una de las materias ma-yormente olvidadas, cuya percepción generalse aproximaba más a un impedimento o trabaen el desarrollo de los negocios y las tecnolo-gías, que a una auténtica necesidad.

Desde un enfoque histórico, la gestión de laseguridad de la información consistía en unenfoque principalmente reactivo: las revisio-nes de configuración de seguridad de los sis-

10. National Audit Office (2013): The UK cyber security strategy: Landscape review

11. Parte oculta de Internet, utilizada por los cibercriminales/delincuentes, no accesible desde los motores de búsquedatradicionales, y dotada de complejos sistemas de comunicación y reenvío del tráfico y contenidos para ocultar su ori-gen, acceso y mantener el anonimato.

17

temas y revisión de logs o registros de even-tos eran ejecutadas casi única y exclusiva-mente por exigencias de cumplimiento o au-ditorías, entre otros motivos por la carenciade cultura de seguridad en las organizacio-nes, así como por la escasez de recursos ypersonal dedicado a estas tareas.

El contexto actual ha hecho necesario evolu-cionar hacia una gestión proactiva de la segu-ridad, la identificación anticipada de los ries-gos y la gestión continua de las amenazasque pueblan el ciberespacio. En otras pala-bras, es necesario evolucionar de la actualcultura reactiva a una de prevención y resi-liencia.

Por otra parte, las funciones de seguridad dela información, prevención de fraude y conti-nuidad de negocio, están pasando a un pri-mer plano corporativo porque se imbrican enel conjunto de responsabilidades de la alta di-rección de las organizaciones. Especialmenteen empresas cotizadas, que han de ser ejem-plares de cara a sus accionistas en el buengobierno de sus sociedades y en el cumpli-miento legal, por lo que deberían invertir ade-cuadamente en la gestión de riesgos de ciber-seguridad como uno de los elementos clave

de sus planes de transformación a la econo-mía digital.

Un ciberataque dirigido a una organizaciónafecta a todas sus áreas, pero se traduce so-bre todo en pérdidas que afectan al nego-cio12:

· Pérdida de ingresos (19%).

· Pérdida de productividad (21%).

· Deterioro marca/ reputación y pérdida de laconfianza de clientes/accionistas (30%).

· Cumplimiento y sanciones legales (8%).

De hecho, apenas una cuarta parte del impac-to de ciberataque son costes TI:

· Costes técnicos de remediación (10%).

· Costes de investigación (12%).


CIBERSEGURIDAD

ENFO

QUE

PRE

VEN

TIVO · Desarrollo de una estrategia global de seguridad.

· Monitorización y vigilancia de la seguridad.

· Gestión de amenazas de manera proactiva.

· Coordinación e intercambio de información.

· Personal dedicado y experto.

· Formación y concienciación de personal. SEGURIDAD DE TI

ENFO

QUE

REA

CTIV

O

· Controles centrados en el cumplimienro normativo.

· Compliance técnico con auditorías y estándares.

· Escaso análisis de amenazas externas, con foco casi exclusivo en el personal interno.

· Análisis de logs y eventos de seguridad, únicamente realizado tras sufrir incidentes o ataques relevantes.

12. IBM (2014): Global Study on the Economic Impact of IT Risk

Fuente: elaboración propia

30%

21%8%

19%

10%

12%

Pérdidas que afectan al negocio: 78%

Costes de TI: 22%

18

De la rapidez y extensión del impacto que tie-

nen las nuevas amenazas en toda la organi-

zación se concluye que la ciberseguridad no

es una cuestión cuya responsabilidad deba

circunscribirse a los departamentos de TI, sino

que la Alta Dirección de la empresa ha de es-

tar implicada en su gestión eficiente con un

compromiso activo continuo.

Por tanto la seguridad corporativa ya no se

identifica únicamente con la seguridad pre-

ventiva, ni es responsabilidad exclusiva de un

departamento, ni se separa en un escenario

interior o exterior o con un enfoque reactivo o

preventivo.

De este modo surgen en el seno de las em-

presas nuevas actividades y tareas relaciona-

das entre las que cabe destacar:

· Análisis de la exposición a los ciberries-gos por parte de las entidades, identifica-

ción y clasificación de información crítica

existente en una organización y estableci-

miento de una estrategia de seguridad.

· Concienciación: Cualquier persona o área

de una entidad puede ser víctima de un ci-

berataque, por lo que resulta necesario es-

tablecer una cultura de seguridad en las or-

ganizaciones con el objetivo de cambiar la

manera en que la seguridad es percibida

por las personas, adoptando entre otras al-

gunas de estas medidas:

- Divulgación de políticas y manuales de

seguridad.

- Difusión de incidentes y ataques de se-

guridad, explicando sus causas y oríge-

nes.

- Establecimiento de cursos y actividades

formativas en materia de prevención y

detección de los riesgos de ciberseguri-

dad.

· Medidas organizativas, como la difusión

de políticas de seguridad en las organiza-

ciones o la concienciación a los usuarios de

los riesgos en el uso de las tecnologías de

la información.

· Medidas técnicas que pueden incluir desde

la existencia de herramientas para la ges-

tión centralizada de alertas y eventos de

seguridad en los sistemas a técnicas que

permitan detectar y prevenir fugas de infor-

mación confidencial; contratación de servi-

cios de hacking ético y auditorías forenses

de seguridad; búsqueda de información en

Internet, prensa o redes sociales; suscrip-

ción a servicios de alertas, incidentes y vul-

nerabilidades de seguridad; e incluso la

contratación de pólizas de los denominados

ciberseguros que cubran la pérdidas ocasio-

nadas por un ciberataque, y la participación

en ciberejercicios que permitan evaluar las

capacidades de organización y resiliencia

ante el cibercrimen.

Servicios y sistemas de seguridad

En los últimos años han surgido diferentes

servicios avanzados de seguridad para el con-

trol y gestión de estos riesgos que cada vez

más organizaciones están adaptando e im-

plantando en su operativa diaria, y entre los

que cabe destacar:

· SOC (Security Operations Center). La exis-

tencia de un Centro de Operaciones de Se-

guridad (24x7) con personal especialista

dedicado en exclusiva a la prevención y de-

tección de ciberataques.

La ciberseguridad nodebe circunscribirse alos departamentos deTI, sino que la AltaDirección ha deimplicarse en sugestión eficiente con uncompromiso activocontinuo.


19

· SIEM (System Information Event Manage-ment). La existencia de herramientas quepermitan la correlación e identificación deeventos de seguridad en los diferentes sis-temas y dispositivos, así como una gestióncentralizada de dichas alertas.

· DLP (Data Loss Prevention). La existenciade procedimientos, medidas y herramientaspara la prevención y detección de pérdidas,robos y fugas de información confidencial.

· Antimalware. Herramientas de detección yprevención de malware y otras amenazasavanzadas. Estos sistemas, utilizan técnicasheurísticas y de detección por comporta-miento algo más avanzadas que los clási-cos anti-virus, normalmente basados en fir-mas.

· Hacking ético y pen-testing. La necesidadde contar con servicios y pruebas periódicasde hacking e intrusión en los sistemas, rea-lizados bien sea a través de recursos inter-nos o subcontratados con terceros.

· Auditorías forenses de seguridad. Servi-cios basados en diferentes procesos de in-vestigación, rastreo y recopilación de infor-mación con el objetivo de establecer el ori-gen, motivo e incluso autoría de un cibera-taque, así como la recolección de eviden-cias digitales que puedan servir incluso co-mo prueba en posibles litigios o procesosjudiciales.

· Ciberinteligencia. Observatorio de Internety servicios de vigilancia digital que incluyanentre otros el seguimiento y análisis de in-formación publicada en redes sociales, fo-ros, portales técnicos, medios de comunica-ción, etc., como medida de prevención deposibles ataques, identificación de fugas de

información, etc. Incluye la coordinación e

intercambio de información con organismos

públicos (por ejemplo, Fuerzas de Seguri-

dad del Estado) y otras organizaciones de

referencia.

Para llevar a cabo estas actividades, resulta

fundamental contar con los recursos y el per-

sonal capacitado para realizarlas, adaptándo-

nos por supuesto a las necesidades, nivel de

exposición y tamaño de cada entidad. Por es-

te motivo, el personal con conocimientos y

habilidades en materia de ciberseguridad es a

día de hoy un perfil muy demandado y valora-

do en el mercado de trabajo actual.

Por otro lado, en el actual contexto globaliza-

do donde empresas y organizaciones de cual-

quier país y sector son posibles objetivos de

los ciberdelincuentes, para combatir estas

amenazas resulta casi imprescindible la cola-

boración, coordinación e intercambio de infor-

mación entre entidades, gobiernos, institucio-

nes públicas y gubernamentales, y fabricantes

y proveedores de software y hardware.

El alcance actual de la ciberseguridad y los

riesgos que conlleva excede con creces el ám-

bito de las infraestructuras y tecnologías de la

comunicación, e incluye también la protección

de personas.

Debido a ello, su tratamiento requiere de un

enfoque transversal e integral en las organi-

zaciones. Cualquier persona o área de una or-

ganización puede ser víctima de un ciberata-

que, por lo que es necesario contar con todas

ellas, puesto que la ciberseguridad excede el

ámbito, funciones y responsabilidades del per-

sonal y áreas de seguridad y tecnología, y nos

afecta a todos y cada uno de nosotros.

El tratamiento de laciberseguridad requierede un enfoquetransversal e integral,ya que ésta excede elámbito, funciones yresponsabilidad delpersonal y áreas deseguridad y tecnología.


20

Actualmente, resulta cada vez más común es-

cuchar en las entidades y medios de comuni-

cación términos como ciberinteligencia, resi-

liencia o seguridad operacional, que represen-

tan perfectamente este cambio de paradigma,

y ahondan en la idea del establecimiento de

una estrategia global del ciclo de vida de la

seguridad y la gestión de incidentes, así como

en las capacidades de las organizaciones de

defenderse, resistir e incluso responder a un

ciberataque.

Para ello, las entidades están adoptando mo-delos para la gestión de los ciberriesgos, ba-sados en algunos de los estándares y buenasprácticas del mercado, propuestos por lasprincipales organizaciones de referencia (ISO,CobiT, ISACA, ITIL).

La siguiente figura muestra las principalesfunciones asociadas a la gestión de la ciber-seguridad según el modelo de control pro-puesto por el Instituto Nacional de Estándaresy Tecnología Norteamericano (NIST13).

Las organizacionesdeben implantar unaestrategia de seguridadacorde a su exposicióna los riesgos y a lasnecesidades,posibilidades yrecursos.


13. NIST: del inglés “National Institute of Standards and Technology”.

14. Deloitte (2015): Modelo Colaborativo de CiberSeguridad (MCCS).

CICLO DE VIDA DE GESTIÓN DE LOS CIBERRIESGOS

Identificar Proteger Detectar Responder Recuperar

Fuente: NIST (National Institute of Standards and Technology) (Feb. 2014): Framework for Improving Critical InfrastructureCybersecurity

Si bien la seguridad no existe al cien por cien

(siempre estaremos expuestos en mayor o

menor medida), sí es posible hacer nuestras

organizaciones más seguras. Para ello, la anti-

cipación es clave. Hay que ir por delante de

los ataques siendo capaces de detectarlos y

prevenirlos.

Además, se puede limitar de forma significati-

va el daño si se reacciona de forma rápida y

decidida ante cualquier intento de compro-

meter nuestro entorno. Todo esto requiere

continuidad y constancia en la vigilancia pero,

sobre todo, es necesario un cambio de menta-lidad.

En este sentido, las organizaciones deben rea-lizar un análisis detallado de la exposición aestos riesgos, e implantar una estrategia deseguridad acorde a la misma, así como a lasnecesidades, posibilidades y recursos de cadaorganización, construyendo un modelo degestión de la seguridad donde, además de lasáreas clásicas de la seguridad IT, tengan refle-jo capacidades más avanzadas asociadas conlos conceptos de ciberseguridad y ciberresi-liencia14.

21

A nivel agregado, el conjunto de medidas yprincipales actividades para el control y ges-tión de los ciberriesgos, podría resumirse en:

· Gobierno y organización en la entidad paragestionar los riesgos, con una clara asigna-ción de roles y responsabilidades en toda laorganización, implantando estructuras degobierno –procedimientos, políticas de se-guridad, estándares, cumplimiento legal,formación y concienciación de directivos yempleados, gestión de proveedores– quepermitan mantener y evolucionar sus capa-cidades de ciberseguridad.

· Detección de las amenazas mediante eluso de las múltiples fuentes de ciberinteli-gencia con el fin de poder gestionarlas pro-activamente, análisis de redes y sistemas,análisis del comportamiento de los usua-rios, monitorización de eventos de seguri-dad, etc.

· Prevención frente a ciberataques mante-

niendo y mejorando las herramientas y me-

didas de seguridad física, de sistemas, re-

des, y aplicaciones para la protección de

sus infraestructuras y sus activos de infor-

mación.

· Respuesta ante incidentes de seguridad y

recuperación adecuadas, con el fin de po-

der limitar su impacto sobre la organización

y mantener la continuidad del negocio.

Este marco estratégico para la gestión de la

seguridad, permitirá a las organizaciones

comprender el panorama de las ciberamena-

zas y los riesgos subyacentes; proteger los da-

tos y activos contra las amenazas cibernéti-

cas; detectar estas a tiempo; y finalmente,

responder a los ciberataques y estar mejor

preparadas para reaccionar frente a lo inespe-

rado.

La sucesiva realizaciónde ciberejerciciospermite a lasorganizaciones mejorarsu desempeño en elámbito de laciberseguridad.


CIBEREJERCICIOS Y CIBERSEGUROS

De la misma forma que en el mundo de la

continuidad de negocio y la gestión de crisis

el modelo de gestión evoluciona principal-

mente por la realización de sucesivos escena-

rios de prueba, dentro de la ciberseguridad la

sucesiva realización de ciberejercicios permi-

ten a las organizaciones mejorar su desempe-

ño dentro de este ámbito.

Ciberejercicios

Tal y como se recoge en el documento Taxo-nomía de Ciberejercicios desarrollado por el

INCIBE (Instituto Nacional de Ciberseguri-

dad), se puede definir el concepto de cibere-

jercicio como: “…una herramienta que per-

mite evaluar el estado de preparación de losparticipantes frente a crisis de origen ciberné-tico, facilitando además lecciones aprendidasy recomendaciones para el futuro…”

Con carácter general, y aunque la naturalezade estos ejercicios es variada, pueden cumplircon los siguientes objetivos:

- Evaluar las medidas de seguridad perime-tral, monitorización de seguridad y protec-ción de sistemas y activos de información,mediantes ejercicios de hacking ético opentesting que simulan y utilizan las técni-cas y modos de actuación de los atacantes.

- Evaluar las capacidades de tratamiento yrecuperación de las entidades ante un ci-

22

berataque, tanto de las medidas organizati-vas y de gestión (ejercicios role-play: tomade decisiones), como desde un punto devista técnico (capacidades de detección,análisis de la infección e informática foren-se, contingencia de los sistemas,…).

- Evaluar el nivel de concienciación, forma-ción y cultura de seguridad de los emplea-dos de la organización, típicamente realiza-do a través de la realización de simulacros(falsas campañas de phishing, colocaciónde dispositivos con información confiden-cial,…).

Los resultados de estos ejercicios son de granvalor para las entidades, puesto que permitenidentificar debilidades y ausencias de controlen los sistemas y mecanismos de control y se-guridad de la información, permitiendo esta-blecer planes y acciones para su resolución ymejora.

Estas actividades de prueba dentro de la ci-berseguridad han sido promovidas y desarro-lladas, tradicionalmente, por los ámbitos mili-tares y gubernamentales.

Generalmente las pruebas cuentan con la par-ticipación de las fuerzas de seguridad locales,aunque recientemente, y cada vez más, lacomplejidad de las infraestructuras tecnológi-cas y la protección de las infraestructuras crí-ticas implican la participación de diferentesorganizaciones empresariales de diversos sec-tores.

Inicialmente, los principales ciberejerciciosprovenían de organismos gubernamentalesde defensa como la OTAN. Dentro de este ti-po de iniciativas podríamos encuadrar el Loc-ked Shields y la Cyber Coalition, que se de-sarrollan principalmente a nivel europeo aun-

que con la participación de organismos dedefensa estadounidenses. La realización deeste tipo de ejercicios suele implicar la partici-pación de numerosos organismos guberna-mentales incluyendo tanto al ejército como alas fuerzas del orden y seguridad del Estado.

La implicación de múltiples organismos en lapreparación de estos ciberejercicios represen-ta un gran dilema a la hora de desarrollar unaestrategia continua de pruebas. El alto costede preparación y coordinación de actividadesque exigen estos ejercicios representa un es-collo importante a la hora de formalizar unproceso continuo de prueba. Además, sueleser complicado obtener un reaprovechamien-to de las actividades desarrolladas anterior-mente debido al alto grado de volatilidad ycaducidad de las ciberamenazas. Es decir, elescenario preparado un año para la realiza-ción del ciberejercicio puede encontrarse ob-soleto para el ejercicio del año siguiente, loque requiere volver a desarrollar y planificarun nuevo escenario de prueba cada ejercicio.

La elevada complejidad de las pruebas, unidaal reducido beneficio que estas actividadespueden llegar a proporcionar (teniendo enconsideración la constante aparición de nue-vas ciberamenazas) han hecho surgir el térmi-no CyberRange, conocido como “Campo deManiobras”. Este tipo de iniciativas represen-tan una infraestructura tecnológica de virtua-lización con la suficiente versatilidad comopara poder componer multitud de escenariosy situaciones de manera rápida y automatiza-da. De esta forma, con un esfuerzo menor yde forma ágil se pueden recrear campos deentrenamiento continuo para el personal im-plicado en la ciberseguridad. Este concepto,con un elevado coste y una alta complejidadde diseño, representa actualmente una ten-

Los resultados de losciberejercicios permitenidentificar debilidades yausencias de control enlos sistemas ymecanismos de controly seguridad de lainformación,permitiendo establecerplanes y acciones parasu resolución y mejora.


23

dencia muy interesante para los organismosde defensa de cara a reducir la carga de tra-bajo que puede representar la preparación yrealización de ciberejercicios.

Sin embargo, actualmente la realización y par-ticipación de las entidades en ciberejerciciosse encuentra ampliamente extendida y haevolucionado hacia un enfoque menos com-plejo y más práctico (pequeños simulacros yejercicios concretos) para las entidades, hastaser considerada una buena práctica casi im-prescindible en ciberseguridad para las orga-nizaciones.

En el ámbito nacional los ejercicios organiza-dos por el INCIBE y el CNPIC (Cyber-Ex), con-taron en 2014 con la participación de quincegrandes empresas españolas de sectores deltransporte, finanzas, energía, servicios, inver-siones y seguros; como por ejemplo BancoSantander, Repsol, Mapfre, Metro Madrid, Ac-ciona S.A., y El Corte Inglés, entre otras.

En el año 2015 aumentó el número de enti-dades participantes, habiéndose realizadoejercicios específicos adaptados a la naturale-za de la actividad de las entidades (diferentesejercicios por sector), así como la realizacióndel primer Cyber-Ex Internacional, incluido enel marco de los Estados Miembros de la Orga-nización de los Estados Americanos (OEA),con el objetivo de fortalecer las capacidadesde respuesta ante incidentes cibernéticos, asícomo una mejora de la colaboración y coope-ración ante este tipo de incidentes.

Otros ejemplos de ciberejercicios relevantesson los promovidos por FS-ISAC15 y PaymentsCouncil (iniciados en 2010 para entidades deEstados Unidos y Canadá, y que por primera

vez en 2015 contó con la participación de ins-tituciones europeas) o los más recientes Pro-teus (Brasil), CBEST Cyber Exercise (Inglaterra)y Ciber Perseu (Portugal).

CibersegurosOtra de las tendencias recientes en el ámbitode la ciberseguridad es la proliferación de losdenominados ciberseguros o pólizas para lacobertura de los riesgos relacionados con laciberseguridad, siendo considerada una de lasprincipales estrategias para la mitigación deriesgos (transferencia del mismo a un terce-ro).

Las compañías aseguradoras han diseñadoproductos específicos dentro de este ámbitocon coberturas que oscilan desde la protec-ción de las propias infraestructuras a la cober-tura de los riesgos, en caso de la declaraciónde una ciberguerra.

En este tipo de pólizas el tomador de las mis-mas debe cumplimentar un cuestionario, e in-cluso el tomador puede verse sometido a unproceso de evaluación en ciberseguridad porparte de un externo contratado por la compa-ñía aseguradora, de cara a establecer el im-porte de la prima, que dependerá en parte delas medidas de seguridad que el tomador haimplantado en su compañía, así como de lascoberturas y franquicias establecidas.

Es importante mencionar que, con caráctergeneral, este tipo de pólizas no suele cubrirlas pérdidas económicas directas (robo dine-rario) ocasionadas por un cibertaque (lascompañías suelen disponer de otro tipo depólizas y provisiones para cubrir los eventosde fraude tanto interno como externo), sino

La contratación deciberseguros estendencia, concoberturas que vandesde la protección delas propiasinfraestructuras a lacobertura de los riesgosen caso de ladeclaración de unaciberguerra.


15. Financial Services–Information Sharing and Analysis Center. https://www.fsisac.com/

24

que están enfocadas a cubrir las pérdidas y

gastos relacionados con fallos en los siste-

mas, notificación y atención a clientes, investi-

gación forense, extorsión, gastos de consulto-

rías y asesoramiento legal, impactos reputa-

cionales o responsabilidades derivadas de ro-

bos de información y publicación de conteni-

dos en medios digitales.

Valga como ejemplo el caso de la cadena de

supermercados norteamericana Target, que

disponía de un ciberseguro. A finales de 2013

sufrió un cibertaque por el que le fueron sus-

traídos los números de tarjetas de crédito y

débito de 40 millones de clientes, así como

los datos personales de 70 millones de perso-

nas. El coste del ataque para la compañía fue

de 61 millones de dólares, de los cuales suseguro cubrió 44 millones.

Un reciente estudio de Wells Fargo sobre 100empresas medianas y grandes de EstadosUnidos desveló que el 85% de ellas tenían unciberseguro. De éstas, el 44% habían sufridoincidentes que fueron cubiertos por su asegu-radora.

Según la correduría de seguros Marsh, el mer-cado de los ciberseguros generó en EstadosUnidos 1.000 millones de dólares en 2013,cantidad que se dobló en 2014 y cuya de-manda sigue aumentando significativamenteen la actualidad. El mercado europeo de ci-berseguros es aún pequeño comparado conEstados Unidos, pero crece a buen ritmo.

Los ciberseguros nosuelen cubrir laspérdidas económicasdirectas de unciberataque, sino quecubren aquellasrelacionadas con fallosen los sistemas,notificación a clientes,investigación forense oimpactosreputacionales, entreotras.


METODOLOGÍAS Y ESTRATEGIAS DE CONTROL Y GESTIÓN DE CIBER-RIESGOS

En la actualidad existe un buen número demarcos de control y buenas prácticas sobreciberseguridad que pueden ser de gran utili-dad para que las organizaciones afronten estereto. Hacer uso de ellos facilitará la compren-sión de los riesgos y amenazas existentes yfacilitará la implantación de las medidas ade-cuadas a la realidad de la compañía.

A continuación se muestran algunos de losejemplos más significativos, incluyendo algu-nas de las entidades/organismos de referen-cia en el ámbito de la ciberseguridad, tanto anivel nacional como internacional.

No hay que olvidar que el sector se encuentraen constante evolución, pudiendo surgir nue-vas referencias. Es importante mantenerse ac-tivo en la búsqueda de soluciones y nuevas

prácticas si queremos luchar con éxito contralos riesgos asociados a la ciberseguridad.

NIST 02-2014

El National Institute of Standards and Techno-logy (NIST) proporciona interesantes referen-cias y buenas prácticas a través de metodolo-gías y normas, cuyo objetivo no es otro que elde promover la innovación y competitividadindustrial.

Dentro de su gran producción de marcos dereferencia, cabe destacar por su utilidad en eltema que estamos tratando el correspondien-te a ciberseguridad: “Framework for Impro-ving Cybersecurity”. Este documento, de ca-rácter público y disponible a través de su pá-gina web, muestra un enfoque basado en

25

riesgos para la gestión de la ciberseguridad yse compone de tres apartados:

· Marco base: Conjunto de actividades parala correcta gestión de la ciberseguridad. Sedivide en 5 funciones: identificar, proteger,detectar, responder y recuperar que, a suvez, se dividen en 20 categorías.

· Niveles de implantación del marco y proce-sos para gestión del riesgo.

· Perfiles del marco: Resultados en base a lasnecesidades del negocio.

Normas como la ISO27032, la ISO 27014 oel conjunto ISO 27000son importantes paraasegurarse buenasprácticas en materia deciberseguridad.


“FRAMEWORK FOR IMPROVING CIBERSECURITY” · MARCO BASE

Identificar Proteger Detectar Responder Recuperar

Gestión de activos

Entorno de negocio

Gobierno

Análisis de riesgos

Estrategia de gestión

Control de acceso

Formación y concienciación

Seguridad de los datos

Protección de la información

Mantenimiento

Tecnologías de protección

Anomalías y eventos

Monitorización continua

Procesos de detección

Plan de respuesta

Comunicaciones

Mitigación

Plan de recuperación

Análisis

Mejoras

ISO / IEC 27032

La organización internacional de normaliza-

ción no podía ser menos a la hora de ofrecer

un estándar internacional con directrices de

ciberseguridad.

El alcance de las directrices incluidas en la

norma “Cybersecurity Guideline” engloba

los ámbitos de seguridad de la información,

seguridad de la red, seguridad en Internet y

en las infraestructuras críticas, así como bue-

nas prácticas en el intercambio de informa-

ción, manejo de incidentes y colaboración en-

tre las partes interesadas. La norma establece

una visión general de ciberseguridad, explica-

ción de la relación entre la misma y otros ti-

pos de seguridad, definición de grupos de in-terés y sus roles, y guía para hacer frente a losproblemas de ciberseguridad.

Es importante tener presente que las buenasprácticas en seguridad de la información, se-guridad física, etc., son también aplicables ala ciberseguridad, por lo que se deben tenertambién presentes otras normas como la ISO27014 “Gobierno de la seguridad de la infor-mación”, o el conjunto ISO 27000, entre lasque destacan entre otras:

· ISO 27001 “Estándar para la seguridad dela información”.

· ISO 27002 “Código de buenas prácticaspara la gestión de seguridad de la informa-ción”.

Fuente: National Institute of Standards and Technology (NIST)

26

· ISO 27003 “Directrices para la implanta-ción de un SGSI16”.

· ISO 27004 “Métricas para la gestión de laseguridad de la información”.

· ISO 27005 “Gestión de riesgos en seguri-dad de la información”.

SANS y CIS

SysAdmin Audit, Networking and Security Ins-titute (SANS) es una conocida organizaciónnorteamericana de investigación y educacióncooperativa que ofrece recursos y noticias so-bre seguridad. Entre sus artículos se puedeencontrar mucha información relevante enmateria de ciberseguridad. Dentro de sus re-cursos, se encuentra “Securing The Human”,que ofrece herramientas de concienciacióngratuitas.

En el año 2008, con el objetivo de minimizarlos robos de información sufridos principal-mente por organizaciones del ámbito de de-fensa estadounidense, se inició el proyectopara la elaboración de una guía de buenasprácticas en seguridad de la información:“Critical Security Controls for Effective Cy-ber Defense”, que fue transferido en 2015 alCenter for Internet Security (CIS) de EstadosUnidos.

Se trata de 20 controles críticos o accionesclave que las organizaciones deberían imple-mentar para prevenir, detectar y mitigar los ci-berataques. A la fecha de publicación de estedocumento, la última versión (6.1) data deagosto de 2016 y será objeto de un mayoranálisis en posteriores capítulos del presentedocumento.

CESG UK GOV

Communications - Electronics Security Group(CESG)) representa la autoridad nacional enel Reino Unido en materia de seguridad de lainformación.

Entre sus muchas publicaciones destaca “TenSteps To Cyber Security”, una guía sobre có-mo las organizaciones pueden protegerse enel ciberespacio en 10 pasos. Inicialmente pu-blicada en septiembre de 2012, a la fecha depublicación de este documento la última ver-sión data de enero de 2015, e incluye comosus 10 principales prioridades la gestión delos siguientes aspectos:

· Modelo de información de los riesgos de ci-berseguridad.

· Configuración segura.

· Seguridad de la red.

· Gestión de usuarios privilegiados.

· Formación y concienciación de usuarios.

· Gestión de incidentes.

· Protección ante el malware.

· Monitorización de seguridad.

· Control de dispositivos removibles.

· Política de trabajo a distancia (móvil y en elhogar).

ISACA

Information Systems Audit and Control Asso-ciation (ISACA) se involucra en el desarrollode buenas prácticas en auditoría y control ensistemas de la información. Dentro de la infi-nidad de documentación que proporciona alos profesionales cabe destacar la guía para laaplicación del marco NIST (mencionado ante-

Según el InstitutoSANS, hay 20 controlescríticos o acciones claveque las organizacionesdeberían implementarpara prevenir, detectary mitigar losciberataques.


16. Sistema de Gestión de Seguridad de la Información.

27

riormente) para la ciberseguridad: “Imple-menting the NIST Cybersecurity Frame-work”, desarrollada dentro de su programaCSX (Cybersecurity Nexus), creado en 2015tras la aprobación de la ley de ciberseguridadestadounidense (Cibersecurity InformationSharing Act of 2015), con el objetivo de pro-porcionar a los profesionales de seguridad losconocimientos y herramientas necesarios parala realización de su trabajo.

Adicionalmente, y dentro la última revisión deCobiT (Control objectives for Information andrelated Technology), cuyas guías representanuno de los principales estándares de buenasprácticas para el control y supervisión de tec-nología de la información a nivel mundial,ISACA lanzó en junio del 2012 “COBIT 5 pa-ra la seguridad de la información”, actuali-zando la última versión de su marco para pro-porcionar una guía práctica de seguridad dela empresa en todos sus niveles prácticos, yayudar a las empresas a reducir sus perfilesde riesgo a través de una adecuada adminis-tración de la seguridad.

INCIBE

El Instituto Nacional de Ciberseguridad (INCI-BE), fundando en España en 2006 bajo elnombre de INTECO (Instituto Nacional de Tec-nologías de la Comunicación) y dependientedel Ministerio de Industria, pone a disposiciónde su público –que abarca desde ciudadanosindividuales a grandes empresas– una eleva-da cantidad de recursos e información rela-cionada con la ciberseguridad.

Entre muchas otras utilidades, en su páginaweb se puede encontrar un apartado específi-co denominado “Protege tu empresa”, y queincluye por ejemplo las siguientes guías:

· “Cómo gestionar una fuga de información”.

· “Gestión de riesgos”.

· “Ciberseguridad en comercio electrónico”.

Adicionalmente, el Instituto pone a disposi-ción de los usuarios de todo un catálogo deempresas proveedoras de soluciones de ciber-seguridad, así como un servicio gratuito paraconocer si un equipo está infectado.

En materia de formación y concienciación ca-be destacar la actividad de la Oficina de Se-guridad del Internauta (www.osi.es), cuyo ob-jetivo es ayudar a los usuarios de Internet a laadopción de buenos hábitos en seguridad,sensibilizando a la comunidad de los riesgosexistentes, y contribuyendo a reducir el volu-men y gravedad de incidentes de seguridadsufridos por los usuarios.

Otras de las iniciativas lideradas por el INCIBEson CyberCamp y CyberEx, también mencio-nadas en este documento.

ENISA

La European Union Agency for Network andInformation Security (ENISA) ofrece en su pá-gina web intercambio de información, buenasprácticas y conocimiento en el campo de la ci-berseguridad.

Un reglamento publicado en junio de 2013encomendaba a ENISA el ámbito de actua-ción y la autoridad necesarios que les permitela lucha contra el cibercrimen:

· Desarrollo de políticas y legislación de laUnión Europea en materia de ciberseguri-dad.

· Investigación, desarrollo y estandarizaciónde normativa.

· Prevención, detección y respuesta a cibera-menazas fronterizas.

El español INCIBE ponea disposición deciudadanos y empresasuna elevada cantidadde recursos einformaciónrelacionada con laciberseguridad.


28

Aunque sus recomendaciones están enfoca-das a estrategias nacionales de ciberseguri-dad, su lectura puede ayudar a extraer bue-

nas prácticas aplicables a la realidad de lasorganizaciones.

La Estrategia deCiberseguridadNacional recoge lospuntos fundamentalespara la definición de laestrategia española enmateria deciberseguridad.


REGULACIÓN Y NORMATIVA

Sector Público

El documento más importante en materia deciberseguridad en el ámbito regulatorio na-cional fue el publicado en el año 2013 desdela Presidencia del Gobierno con el título Es-trategia de Ciberseguridad Nacional. Estedocumento, conforma el eje central estratégi-co y recoge los principios fundamentales parala definición de la estrategia española en ma-teria de ciberseguridad.

El documento se encuentra estructurado enlos siguientes capítulos:

· El ciberespacio y su seguridad. Este capí-tulo recoge las características del ciberes-pacio, así como sus principales oportunida-des y amenazas.

· Propósito y principios rectores de la ciber-seguridad en España. Establece una defini-ción de las directrices generales del uso se-guro del ciberespacio.

· Objetivos de la ciberseguridad. En esteapartado se establece el objetivo global delograr que España haga un uso seguro delos Sistemas de Información y Telecomuni-caciones.

· Líneas de acción de la ciberseguridad na-cional. Define una serie de líneas maestraspara alcanzar los objetivos expuestos en elcapítulo anterior.

· La ciberseguridad en el Sistema de Segu-ridad Nacional. Define la estructura orgá-nica al servicio de la ciberseguridad.

En el ámbito del sector público, se puede pro-ducir una nueva diferenciación respecto alámbito de aplicación de esta estrategia nacio-nal. Por un lado, se puede diferenciar el ámbi-to específico de defensa (militar) y por otro, sepuede identificar el ámbito de las administra-ciones públicas. Aunque la estrategia en ma-teria de ciberseguridad es la misma para es-tos ámbitos, la aproximación empleada parasu desarrollo es diferente.

EN EL ÁMBITO DE LAS ADMINISTRACIONESPÚBLICAS, la principal normativa empleadapara la gestión de la ciberseguridad lo confor-man las normas internacionales ISO (princi-palmente ISO27002 e ISO18044).

Estas normas internacionales recogen, por unlado, un conjunto de controles para la gestiónde la seguridad de la información (ISO27002)

Propósito y principios rectores

Ciberespacio y su

seguridad

ObjetivosLíneas

de acción

Sistema de Seguridad Nacional Estrategia de

Ciberseguridad Nacional

29

y, por otro lado, la norma ISO18044 define lasmedidas de seguridad aplicables para el trata-miento y respuesta a incidentes tecnológicos.

EN EL ÁMBITO DE DEFENSA, como ya se hamencionado anteriormente, se toma comoprincipal guía el documento Estrategia de Ci-berseguridad Nacional. Sin embargo, se ma-nejan y toman como documentación adicionallos documentos de benchmarking elaboradospor el CIS (Center for Internet Security) y lasguías DISA STIGs (Defense Information Sys-tems Agency - Security Technical Implementa-tion Guides) elaboradas por organismos esta-dounidenses, que definen medidas de seguri-dad específicas para diferentes entornos yplataformas. Estas guías definen gran canti-dad de medidas de seguridad, algunas deellas bastante costosas de implementar, peroson una pieza fundamental y muy completa ala hora de bastionar distintas plataformas.

A nivel nacional también se cuenta con unconjunto de guías de la serie STIC (Seguridadde las Tecnologías de la Información y las Co-municaciones). En concreto, cabe destacar laserie 800 relacionada con el ENS (EsquemaNacional de Seguridad). Esta Serie CCN-STIC-800 establece las políticas y procedimientosadecuados para la implementación de las me-didas contempladas en el Esquema Nacionalde Seguridad (RD 3/2010).

Adicionalmente, tal y como se ha indicado,dentro del ámbito de las administraciones pú-blicas se pueden destacar las normativas ela-boradas por el CCN-CNI (Centro CriptológicoNacional) a través de las series de guías STIC.Estas guías cuentan, en algunas ocasiones,con herramientas propias de desarrollo comoson CARMEN (Centro de Análisis de Registrosy Minería de Datos), LUCIA (Listado Unificadode Coordinación de Incidentes y Amenazas) oCLARA (que permite verificar el cumplimiento

desde un punto de vista técnico de los requi-sitos del ENS en entornos Windows 7 y Win-dows server 2008 R2.). Estos documentos yherramientas son también empleados dentrodel ámbito de defensa para la implantaciónde medidas de ciberseguridad.

Finalmente, y aunque su ámbito de actuaciónexcede el de la seguridad de las comunicacio-nes telemáticas y el ciberespacio, abarcandoel terreno de la seguridad física y la luchacontra el terrorismo, es relevante mencionarla creación del Centro Nacional de Protecciónde las Infraestructuras Críticas (CNPIC) –de-pendiente del Ministerio del Interior– encar-gado de impulsar, coordinar y supervisar to-das las actividades y mecanismos necesariospara garantizar la seguridad de la infraestruc-turas que proporcionan servicios esenciales anuestra sociedad, fomentando la participaciónde todos y cada uno de los agentes del siste-ma en sus correspondientes ámbitos, con elobjetivo de crear un modelo de seguridad ba-sado en la confianza mutua, y creando unaasociación público-privada que permita mini-mizar las vulnerabilidades de las infraestruc-turas críticas ubicadas en el territorio nacio-nal.

El primer Plan Nacional de Protección de lasInfraestructuras Críticas, aprobado en mayode 2007, reconoce que el riesgo de ataquesterroristas catastróficos contra infraestructu-ras críticas está viviendo un aumento, y porello se ha creado un catálogo de instalacionessensibles a estos atentados.

Este plan establece que las infraestructurascríticas son aquellas instalaciones, redes, ser-vicios y equipos físicos y de tecnología de lainformación cuya interrupción o destrucciónpueden tener una repercusión importante enla salud, la seguridad o el bienestar económi-co de los ciudadanos o en el eficaz funciona-

La serie de guías de laserie STIC establece laspolíticas yprocedimientosacecuados para laimplantación de lasmedidas contempladasen el Esquema Nacionalde Seguridad.


30

miento de los gobiernos de los Estados miem-bros.

Entre estas instalaciones sensibles destacanlas centrales y redes de energía, las comunica-ciones, las finanzas, el sector sanitario, la ali-mentación, el agua –embalses, almacena-miento, tratamiento y redes–, los transpor-tes –aeropuertos, puertos, etc.–, monumentosnacionales, así como la producción, almacena-miento y transporte de mercancías peligrosas,como material químico, biológico o nuclear.

El criterio para incluir a dichas instalacionesen el catálogo es una mezcla de diversos fac-tores: rango, escala y efectos en el tiempo; yde parámetros: daños causados, impacto eco-nómico e impacto en servicios esenciales; ycomprende actualmente más de 3.500 insta-laciones e infraestructuras sensibles dentro delas siguientes áreas estratégicas: Energía, In-dustria Nuclear, Tecnologías de la Informa-ción, Transportes, Suministro de Agua, Sumi-nistro de Alimentos, Salud, Sistema Financie-ro, Industria Química, Espacio y Administra-ción.

EN EL ÁMBITO INTERNACIONAL caben desta-car otras iniciativas como La Estrategia de Ci-berseguridad de la Unión Europea (publica-da en 2013), o la Directiva de Seguridad dela Redes y la Información (NIS), que estable-ce medidas de control y mecanismos de coo-peración concretos entre los estados miem-bros, como la red de equipos de respuesta aincidentes de seguridad (CSIRT) y el grupo decooperación, compuesto por miembros de au-toridades nacionales competentes, la Comi-sión de la Unión Europea y la ENISA. La Di-rectiva también obliga a diseñar una estrate-gia de ciberseguridad nacional, y la obliga-ción para empresas que trabajan en sectorescríticos tales como energía, transporte y fi-

nanzas, entre otros, a informar a las autorida-des nacionales acerca de incidentes de impac-to significativo.

Se ha establecido que las 5 estrategias priori-tarias a desarrollar son:

· La resiliencia contra ciberataques.

· La reducción drástica de la delincuencia enla red.

· El desarrollo de una política de ciberdefen-sa y de las capacidades correspondientesen el ámbito de la Política Común de Segu-ridad y Defensa (PCSD).

· El desarrollo de los recursos industriales ytecnológicos necesarios en materia de ci-berseguridad.

· El establecimiento de una política interna-cional coherente del ciberespacio en laUnión Europea y la promoción de los valo-res europeos esenciales.

Así pues, son numerosas las iniciativas a nivelinternacional que diferentes organismos, re-guladores y gobiernos están promoviendo enel ámbito de la ciberseguridad y protección delas infraestructuras críticas, entre las que cabedestacar la aprobación y promulgación de di-versas leyes en diferentes países:

· Cybersecurity Enhancement Act of 2014 (Es-tados Unidos). Proporciona una asociaciónpermanente público-privada para mejorar yfortalecer la investigación y el desarrollodel personal, educación, preparación y con-ciencia en materia de ciberseguridad.

- Cybersecurity Act of 2015 (Estados Unidos).Creada con el objetivo de promover y alen-tar al sector privado y gobierno de EstadosUnidos para intercambiar con rapidez y demanera responsables información sobre lasamenazas cibernéticas.


INFRAESTRUCTURAS CRÍTICAS

Áreas estratégicas

Rango

Escala

Efectos en el tiempo

Factores

Parámetros

Daños causados

Impacto económico

Impacto en servicios esenciales

Energía

Industria Nuclear

TI

Transportes

Suministro de Agua

Suministro de Alimentos

Salud

Sistema Financiero

Industria Química

Espacio

Administración

PLAN NACIONAL DE PROTECCIÓN

31

- IT Security Act (Alemania). En respuesta, ytras la alarma del ciberataque al parlamen-to alemán (Bundestag) conocido en juniode 2015, Alemania aprobó una ley de se-guridad informática destinada a reforzar losdispositivos de protección a las empresas,debiendo además informar de inmediatoacerca de cualquier incidente, anomalía osospecha de virus.

Sector Privado

Dentro de las compañías de sector privado sedebe desarrollar un cuerpo normativo de se-guridad que cubra todos los riesgos a los quela compañía se encuentra expuesta, sin olvi-dar la ciberseguridad. Este cuerpo normativodebe ser debidamente publicado y comunica-do a todos los empleados de modo que co-nozcan los riesgos a los que nos exponemoscuando nos enfrentamos a la ciberseguridad.

Una buena práctica es realizar cuestionarios yactividades de concienciación que permitan alos empleados conocer sus responsabilidadesen materia de ciberseguridad y realizar prue-bas internas de ingeniería social que nos ayu-den a medir el nivel de concienciación im-plantado en la compañía. Realizar revisionesperiódicas de cumplimiento del cuerpo nor-mativo permitirá identificar debilidades y es-tablecer acciones correctoras.

Cabe mencionar la importancia de colabora-ción con entidades públicas, tal y como esta-blece la Estrategia de Ciberseguridad Nacio-nal comentada con anterioridad.

Por supuesto no hay que olvidar que el sectorprivado deberá realizar un levantamiento delas leyes y regulaciones de los países en losque tiene presencia con objeto de conocer susobligaciones legales.

Así pues, la regulación en materia de ciberse-guridad en el sector privado ha cobrado espe-cial importancia durante los últimos años, co-mo demuestran algunos de estos hechos:

- La creación por parte del NERC (Corpora-ción para la confiabilidad del sector eléctri-co norteamericano) de un estándar de bue-nas prácticas en ciberseguridad y soporte ala industria e infraestructura eléctrica.

- La creciente exigencia a los bancos y enti-dades financieras en materia de sistemas ypara la prevención y detección de amena-zas de ciberseguridad por parte de los dife-rentes reguladores del sistema financiero.

Así lo demuestran las constantes revisiones,auditorías y procesos periódicos de análisis yevaluación de la capacidad de ciberresilienciade las mismas, realizadas por la FED17, OCC18

y FDIC19 en Estado Unidos, PRA20 y FCA21 enInglaterra, y más recientemente por el Meca-nismo Único de Supervisión (MUS) del BancoCentral Europeo. A este respecto, es impor-tante mencionar que el BCE inició sus diligen-cias el pasado año sobre las principales enti-dades bancarias a nivel europeo, con la reali-zación de un primer proceso de evaluación deciberseguridad a través del envío de un cues-tionario, y seguido por inspecciones in situ ac-tualmente en curso.

La realización decuestionarios, pruebasinternas de ingenieríasocial y actividades deconcienciación paraque los empleadosconozcan susresponsabilidades enmateria deciberseguridad sonbuenas prácticas aaplicar en el sectorprivado.


17. Federal Reserve System - https://www.federalreserve.gov/

18. Office of the Comptroller of the Currency - http://www.occ.gov/

19. Federal Deposit Insurance Corporation - https://www.fdic.gov/

20. Prudential Regulation Authority - http://www.bankofengland.co.uk/

21. Financial Conduct Authority - http://www.fca.org.uk/

32

A partir de este punto, se profundiza en los aspectos más relevantes que un auditor interno desistemas o TI deberá tener en cuenta a la hora de abordar una revisión de ciberseguridad.

Una buenaaproximación paramitigar los riesgospuede consistir enintegrar laciberseguridad en elModelo de las TresLíneas de Defensa,comúnmenteimplantado en lamayoría de lasorganizaciones.


Buenas prácticas de Auditoría Internapara la evaluación y revisión de controles de ciberseguridad

EL ROL DE AUDITORÍA INTERNA

La ciberseguridad suscita mucho interés enlos órganos de gobierno (comités o consejosdirectivos, comisiones de auditoría, comitésde riesgos, etc…) de las distintas organiza-ciones, independientemente de su sector y ac-tividad, y cada vez está más presente en lasreuniones y en el día a día de dichos órganos.

Los riesgos derivados de ciberseguridad comofugas de información, fraudes, sabotajes, etc.,pueden golpear duramente la reputación delas compañías, castigar económicamente enforma de sanciones y pérdidas, o pueden lle-gar a parar la operativa o prestación del servi-cio de las compañías, incluso en países conuna regulación avanzada pueden conllevarcondenas penales.

Tanto el volumen como el impacto de lasamenazas están aumentando exponencial-mente en los últimos tiempos. Por todo estohay que extremar las medidas en materia deciberseguridad y establecer todos los contro-les necesarios para poder mitigar los riesgosen las organizaciones.

Una buena aproximación puede consistir enintegrar la ciberseguridad en el sistema co-múnmente implantado en la mayoría de lasorganizaciones (modelo de las tres líneas dedefensa).

La primera línea de defensa

La primera línea de defensa es la propietariade los riesgos y de su tratamiento en primerainstancia. Debe realizar los procedimientos decontrol interno y de gestión de riesgos en suactividad diaria y tomar las decisiones encuanto al riesgo con base a su cuantificacióncualitativa y cuantitativa, con el objetivo dealcanzar los niveles óptimos en cuanto al cos-te/beneficio de asumir o no un riesgo.

Debe poner en funcionamiento todas las me-didas técnicas y organizativas necesarias. Losempleados y usuarios (o los propietarios delas aplicaciones sean o no desarrolladas inter-namente por la organización) deben ser cons-cientes de que son parte primordial de estaprimera línea de defensa. Son el primer obje-

33

tivo y la puerta de entrada más débil para los“malos”.

Deben tener mucho cuidado con correos elec-trónicos sospechosos, dispositivos móviles, re-des Wifi, redes sociales, etc. Un uso adecuadode los mismos y conforme a las políticas deseguridad de la compañía provee una garan-tía que minimiza el riesgo existente. Pero estono es suficiente, también se tienen que im-plantar todas las medidas técnicas (firewall,IDS, gestión de accesos, cifrado de la informa-ción, etc.) al alcance de la organización y enconsonancia con la información que se mane-ja.

La segunda línea de defensa

La segunda línea de defensa puede estarcompuesta por diferentes funciones en la or-ganización tales como Gestión de Riesgos deTI, Seguridad de Sistemas, Cumplimiento Nor-mativo de TI, Asesoría Jurídica, etc. Es eviden-te que dependiendo de la organización unas

tendrán más presencia que otras, pero todasellas deberían tener en cuenta la ciberseguri-dad y sus riesgos.

La relación entre todas ellas debe formar unmodelo de aseguramiento en ciberseguridadque facilite que los riesgos y controles en esteámbito se manejan de manera consistente,mediante revisiones proactivas de la seguri-dad y procesos de detección, corrección y me-jora continua, proveyendo de tranquilidad yconfianza a la alta dirección de la organiza-ción.

Como principales tareas debe:

· Desarrollar e implementar las políticas ge-nerales (ciberseguridad) y facilitar el desa-rrollo e implantación del marco general deriesgos y controles.

· Establecer las metodologías y métricas paraevaluar y monitorizar el proceso.

· Reforzar los marcos de control definidospor la primera línea de defensa.


Audi

toría

de

Cuen

tas

Regu

lado

r / S

uper

viso

r

ControlInterno de TI

Controlde las áreas

Cumplimiento Normativo de TI

Seguridad de TI

Gestión de Riesgos de TI

…

Auditoría Interna de TI

* European Confederation of Institutes of Internal Auditors/Federation of Risk Management Association-2013. Endorsedby Global Institute of Internal Auditors-2014

Modelo de las Tres Líneas de Defensa* adaptado al riesgo de Ciberseguridad

34

· Proveer de un mapa de riesgos completo yactualizado de la organización.

· Realizar el seguimiento de la exposición alriesgo y verificación de que está dentro delos márgenes y apetito al riesgo definido enla sociedad.

· Establecer los sistemas de reporting verticaly horizontal en materia de ciberseguridad.

La tercera línea de defensa

La tercera línea de defensa, que suele recaersobre Auditoría Interna, en nuestro ámbito deciberseguridad recaería más específicamentesobre Auditoría Interna de Sistemas. Debe sercompletamente independiente del resto de lí-neas de defensa y debe proveer garantías so-bre el sistema de control interno a los órga-nos de gobierno (consejo, comisiones de audi-toría…), y la alta dirección.

Auditoría interna debe proporcionar una revi-sión y evaluación independiente sobre la efi-cacia de las líneas de defensa inferiores.

La colaboración con la segunda línea de de-fensa es muy importante facilitando el alinea-miento con el modelo de aseguramiento a ni-vel corporativo y poner en contexto y elevartanto las bondades del modelo como los gapso deficiencias encontradas en materia de ci-berseguridad.

En este punto, Auditoría Interna debería parti-cipar de manera pasiva o estar informadapuntualmente de las actividades de las áreas

de seguridad de sistemas (encargadas de laciberseguridad), asistiendo a sus comités osimplemente estableciendo entre ambas unalínea de reporting lo suficientemente comple-ta.

Para definir su Plan de Auditoría, Auditoría In-terna de TI debería incorporar la informaciónsuministrada por la segunda línea de defensaademás de sus propios análisis prestando es-pecial atención a la ciberseguridad.

Adicionalmente, Auditoría Interna puede par-ticipar en ejercicios de revisión técnica de laseguridad, con el fin de identificar riesgos noidentificados en las capas anteriores.

A modo de guía general, el siguiente listadopretende reflejar los principales aspectos enmateria de ciberseguridad, que deberían serpreocupación y objeto de revisión por partede Auditoría Interna:

1. Colaborar con la dirección de la compañíaen la creación y desarrollo de una estrate-gia y política de ciberseguridad.

2. Asegurar que la organización cuenta conun correcto nivel de madurez y capacidadpara la identificación y mitigación de losriesgos de ciberseguridad.

3. Verificar los mecanismos para reconocerincidentes de ciberseguridad procedentesde un empleado o proveedor externo.

4. Aprovechar las relaciones con la direcciónde la compañía para aumentar el nivel deconcienciación con los riesgos de ciberse-

Para definir su Plan deAuditoría, AuditoríaInterna de TI debeincorporar lainformaciónsuministrada por lasegunda línea dedefensa y sus propiosanálisis, prestandoespecial atención a laciberseguridad.


PLAN DE AUDITORÍA INTERNA Información sobre ciberseguridad

35

guridad de la Junta y el Consejo, así comosu implicación y compromiso con cuestio-nes clave en esta materia, como la actua-lización de la estrategia de ciberseguridadde la compañía.

5. La ciberseguridad se encuentra formal-mente cubierta e integrada en el Plan deAuditoría Interna.

6. Entender y desarrollar un perfil de riesgoen ciberseguridad de la compañía, tenien-do en cuenta las nuevas tecnologías ytendencias emergentes.

7. Evaluar el programa de ciberseguridad dela compañía con el marco de ciberseguri-dad de la NIST, y otros estándares talescomo ISO 27001 y 27002.

8. Identificar y evaluar las capacidades pre-ventivas de control de la ciberseguridaden materia de educación, formación yconcienciación de usuarios, así como pro-cesos y herramientas de control y vigilan-cia digital.

9. Asegurar que la monitorización y gestiónde ciberincidentes es considerada unaprioridad en la compañía, existiendo unproceso de escalado claro al respecto.

10. Identificar cualquier carencia o falta depersonal de IT y Auditoría Interna quepueda representar un impedimento para

alcanzar los objetivos y retos de ciberse-guridad de la compañía.

Ciberseguridad en comités y comisio-nes

Además de las funciones vistas en las tres lí-neas de defensa, existen multitud de comitésy comisiones delegadas dependiendo de laspropias características de las organizaciones,para tomar decisiones en cuanto a la estrate-gia, organización y operación. La ciberseguri-dad debería estar presente en todos ellos ytomada en consideración como un aspectorelevante en los siguientes:

· Comités de Sistemas, de Seguridad, de Con-tinuidad de Negocio.

· Comités de Cumplimiento, de Riesgos.

· Comités de Dirección.

· Comisiones de Auditoría y Cumplimiento,de Riesgos.

Con esta presencia aseguramos que los máxi-mos responsables de las organizaciones: pre-sidencia, consejeros delegados, consejos deadministración, etc., estén informados en to-do momento de los riesgos que tienen las or-ganizaciones en materia de ciberseguridad,las medidas adoptadas y las responsabilida-des que asumen.

Auditoría Interna debeentender y desarrollarel perfil de riesgo enciberseguridad de laorganización, teniendoen cuenta las nuevastecnologías ytendencias emergentes.


20 CONTROLES CRÍTICOS DE SEGURIDAD QUE TODAS LAS ORGANI-ZACIONES DEBERÍAN IMPLEMENTAR

AntecedentesLos controles de seguridad críticos son unconjunto recomendado de acciones de ciber-defensa, orientados a mitigar los ataques más

comunes y dañinos con la intención de auto-

matizarlos lo máximo posible. Están alineados

con el marco de ciberseguridad del NIST y son

un subconjunto de los controles definidos de

36

la publicación NIST 800-53, compendio de

controles recomendados para las agencias es-

tadounidenses, y sobre el cual se realizan las

auditorías de seguridad de las agencias esta-

tales en EEUU.

Los mecanismos de defensa recogidos en es-

tos controles se basan en las experiencias de

contención efectiva de ataques reales. Las ac-

ciones están priorizadas por orden de mitiga-

ción, según la puntuación de la NSA.

En 2009 un consorcio de agencias federales

de los Estados Unidos y compañías del sector

privado generaron las Directrices Consensua-

das de Auditoría (CAG por sus siglas en in-

glés), un conjunto de 20 controles de seguri-

dad de la información alineados con la publi-

cación NIST 800-53.

SANS Institute ha coordinado la actualización

hasta la versión 5.0. En agosto de 2016 se

publicó la versión 6.1, ya coordinada desde el

Center for Internet Security (CIS). Aunque esta

última versión no incorpora cambios relevan-

tes en la redacción y contenido de los contro-

les, incluye una categorización de los mismos

en 2 niveles: fundamental y avanzado. Para

2017 se espera la publicación de una herra-

mienta que permitirá evaluar el nivel de im-

plantación de estos controles.

Listado de controles y objetivos decontrol

La siguiente tabla muestra los 20 Controles

Críticos de Seguridad (CSC), así como los ob-

jetivos de control necesarios para su correcta

implementación:

Los controles deseguridad críticos sonacciones recomendadasorientadas a mitigar losataques más comunes ydañinos paraautomatizarlos almáximo.


INVENTARIO DE DISPOSITIVOS Gestionar activamente todos los dispositivos hardware en la red, de AUTORIZADOS Y NO AUTORIZADOS forma que sólo los dispositivos autorizados tengan acceso a la red.

INVENTARIO DE SOFTWARE AUTORIZADO Gestionar activamente todo el software en los sistemas, de formaY NO AUTORIZADO que sólo se pueda instalar y ejecutar software autorizado.

CONFIGURACIONES SEGURAS Establecer una configuración base segura para dispositivos móviles, DE SOFTWARE Y HARDWARE PARA portátiles, equipos de sobremesa y servidores, y gestionarlasDISPOSITIVOS MÓVILES, PORTÁTILES, activamente utilizando un proceso de gestión de cambios yEQUIPOS DE SOBREMESA Y SERVIDORES configuraciones riguroso, para prevenir a los atacantes explotar

servicios y configuraciones vulnerables.

PROCESO CONTINUO DE IDENTIFICACIÓN Disponer un proceso continuo para obtener información sobreY REMEDIACIÓN DE VULNERABILIDADES nuevas vulnerabilidades, identificarlas, remediarlas y reducir la

ventana de oportunidad a los atacantes.

CONTROL SOBRE PRIVILEGIOS Desarrollar procesos y utilizar herramientas para identificar, prevenirADMINISTRATIVOS y corregir el uso y configuración de privilegios administrativos

en ordenadores, redes y aplicaciones.

MANTENIMIENTO, MONITORIZACIÓN Recoger, gestionar y analizar logs de eventos que pueden ayudar aY ANÁLISIS DE LOGS DE AUDITORÍA detectar, entender o recuperarse de un ataque.

CSC 1

CSC 2

CSC 3

CSC 4

CSC 5

CSC 6

37


CSC 7

CSC 8

CSC 9

CSC 10

CSC 11

CSC 12

CSC 13

CSC 14

CSC 15

CSC 16

PROTECCIÓN DEL CORREO ELECTRÓNICO Minimizar la posibilidad de que los atacantes manipulen a losY DEL NAVEGADOR empleados a través de su interacción con el correo electrónico

y el navegador.

DEFENSAS CONTRA EL MALWARE Evitar la instalación, difusión y ejecución de código malicioso en distintos puntos, al tiempo que se fomenta la automatización para permitir una actualización rápida en la defensa, recopilación de datos y la corrección.

LIMITAR Y CONTROLAR LOS PUERTOS Gestionar el uso de puertos, protocolos y servicios en losDE RED, PROTOCOLOS Y SERVICIOS dispositivos que tengan red para reducir las vulnerabilidades

disponibles a los atacantes.

CAPACIDAD DE RECUPERACIÓN Disponer procesos, metodologías y herramientas adecuadas para DE DATOS respaldar la información crítica y realizar pruebas de recuperación.

CONFIGURACIONES SEGURAS Establecer una configuración base para los dispositivos deDE DISPOSITIVOS DE RED infraestructura de red, y gestionarlas activamente utilizando un(FIREWALLS, ROUTERS Y SWITCHES) proceso de gestión de cambios y configuraciones riguroso, para

prevenir a los atacantes explotar servicios y configuraciones vulnerables.

DEFENSA PERIMETRAL Desarrollar una estrategia para detectar, prevenir y corregir los flujosde transmisión de información entre redes de distintos niveles de seguridad (confianza).

PROTECCIÓN DE LOS DATOS Disponer de procesos y herramientas adecuadas para prevenir la fuga de información, mitigar los efectos cuando se ha producido un incidente de fuga de información, y asegurar la confidencialidad e integridad de la información sensible.

ACCESO BASADO EN LA NECESIDAD DE El acceso a los activos críticos debe realizarse de acuerdo a unaCONOCER (NEED TO KNOW) definición formal de que personas, sistemas y aplicaciones tienen la

necesidad y el derecho de acceso. Los procesos y herramientas utilizadas en el seguimiento, protección y corrección de estos accesos deben estar alineados con las definiciones.

CONTROL DE ACCESO WIRELESS Disponer de procesos y herramientas para garantizar una seguridad adecuada en las redes WiFi y en los sistemas clientes, incluyendo seguimiento y corrección de las medidas de seguridad.

CONTROL Y MONITORIZACIÓN Gestionar activamente el ciclo de vida de las cuentas de sistema yDE CUENTAS DE SISTEMA de aplicación (creación, uso, inactividad y borrado) para reducir su

utilización por parte de un atacante.

38


CSC 17

CSC 18

CSC 19

CSC 20

VERIFICACIÓN DE LAS HABILIDADES Identificar los conocimientos específicos, habilidades y capacidadesDE SEGURIDAD Y FORMACIÓN ADECUADA necesarias en la organización para la defensa de los activos críticos

de la compañía, y desarrollar y evaluar un plan para identificar gaps y remediar con políticas, formación y programas de sensibilización.

SEGURIDAD EN EL CICLO DE VIDA Gestionar el ciclo de vida de todas las aplicaciones, tanto lasDE LAS APLICACIONES desarrolladas internamente como las de proveedores para prevenir,

detectar y corregir vulnerabilidades técnicas.

GESTIÓN Y RESPUESTA A INCIDENTES Proteger la información y la reputación de la organización desarrollando e implementando una infraestructura de respuesta a incidentes para detectar un ataque, contener el daño de forma efectiva, expulsar al atacante, y restaurar la integridad de los sistemas y la red.

REALIZAR TEST DE PENETRACIÓN Probar las defensas de la organización (tecnología, procesosY EJERCICIOS DE ATAQUE y personas) mediante la simulación de un ataque, utilizando sus

mismas acciones y objetivos.

El papel de Auditoría Interna en la revi-sión de los controles

Para cada uno de los 20 enunciados, existen ac-

tividades más concretas que pueden formar par-

te del programa de trabajo de una auditoría de

ciberseguridad.

El propio CIS cuenta con una guía para la medi-

ción de la efectividad de estos controles. Esta

varía con las amenazas cambiantes. Es necesa-

rio contar con procesos de diagnóstico de la

efectividad de los controles, utilizando métricas.

La automatización de estos es fundamental para

alcanzar este objetivo.

Los controles están pensados para organizacio-

nes de cualquier tipo, no obstante, el conoci-

miento de la organización y la exposición a las

amenazas va a condicionar la propia prioriza-

ción y alcance de la implantación de los contro-

les.

CONTROLES 1 Y 2

La revisión puede realizarse de dos formas:

· Verificar que existe una gestión de inventarios

hardware y software, identificando listas blan-

cas y negras y su actualización (al ser una

aproximación de “ver que existe un control”,

podríamos llamarla, “de capa 2”).

· El auditor interno escanea las redes internas

utilizando herramientas automáticas (actúa

como Red Team, según el control 20, es decir,

comportándose como lo haría un atacante),

hace una “verificación técnica”, que podría-

mos llamar “de capa 1”.

En el resto de controles también usaremos estas

dos aproximaciones de revisión.

CONTROLES 3 Y 4

Su revisión se puede enfocar, de forma comple-

mentaria a los controles 1 y 2, verificando si

existe una política de bastionado de todos los

dispositivos, aplicaciones y servicios, si esta polí-

39

tica está alineada con buenas prácticas y si sedispone de un proceso de revisión de las vul-nerabilidades que retroalimente la política debastionado.

Otra aproximación es que el auditor escaneelos dispositivos/aplicaciones utilizando herra-mientas automatizadas, actuando como RedTeam.

CONTROL 5

Este control nos lleva a que las cuentas deusuarios administradores de aplicaciones, dis-positivos y sistemas operativos deben estaridentificadas, su uso auditado, eliminando lasque no se utilizan y cambiando las que estándefinidas por defecto. Adicionalmente, debencumplir con la política de fortaleza de contra-señas.

La revisión de este control puede orientarse averificar la existencia de una política de alta,baja y mantenimiento de usuarios administra-dores, y la fortaleza de la contraseña (deberíaformar parte de la política de bastionado), ylas tareas que se desarrollan para comprobarsu cumplimiento.

Por otro lado, también podemos solicitar ellistado de usuarios definidos en los sistemas ylos ficheros de contraseñas cifradas asocia-dos, y comprobar que no disponen de las cla-ves por defecto utilizando herramientas auto-máticas.

CONTROL 6

Implica que todos los sistemas y aplicacionesdeberían tener habilitadas las trazas de audi-toría, incluyendo respuestas a desde dónde,quién, qué y cuándo, así como tener definidasacciones de alerta.

Debería existir una política asociada, un for-mato de log corporativo y una tarea de análi-sis de estos logs. En organizaciones con pre-

supuesto y personal suficiente se suele dispo-ner de un SIEM (Security Information andEvent Management), sistema que permite dis-poner en tiempo real de alertas de seguridad.

La verificación pasa por analizar el contenidode los logs, y, si actuamos como Red Team,las actividades que realicemos, como esca-near una red o conectarnos como usuario ad-ministrador desde un puesto no habitual, de-berían reflejarse en los logs y generarse lasalertas correspondientes.

CONTROL 7

Nuevo en la versión 6.0, pasa por utilizarclientes de correo y navegadores actualizadosy evitar que el usuario pueda añadir extensio-nes, así como cambiar su configuración. Laconfiguración debe ser la más restrictiva posi-ble para que el usuario pueda trabajar, desha-bilitando los plugins innecesarios.

De forma complementaria, el control 8 habili-ta el análisis de malware en los equipos, y de-ben definirse medidas para evitar que el mal-ware entre a través de la navegación delusuario o de la lectura de correo (IPS, antivi-rus de navegación y correo, bloqueo de URLsmaliciosas, etc.).

CONTROL 8

El control 8 también recomienda agregarotras medidas contra el malware que debenestar recogidas en la política, como el blo-queo de USB y la monitorización continúa delos equipos.

Debe existir una política del uso seguro y deconfiguraciones autorizadas, y tareas de revi-sión automatizada de los equipos y servido-res.

Otra posible verificación pasa por enviar uncorreo con contenido no autorizado a una

Los controles estánpensados paraorganizaciones decualquier tipo. Elconocimiento de laorganización y laexposición a lasamenazas condicionarála propia priorización yalcance de laimplantación.


40

cuenta interna, o navegar por una página

dentro de una lista negra.

CONTROL 9

Nos habla de limitar los servicios expuestos a

las redes, y separar físicamente las máquinas

que tienen esos servicios. Debe existir una po-

lítica que defina que sólo los servicios y puer-

tos necesarios para la organización estén ha-

bilitados, o restringidos a las redes/usuarios

que realizan tareas asociadas. El resto debería

estar deshabilitado/filtrado.

La aproximación para verificar este control

pasa por realizar escaneos automáticos de las

diferentes redes, para identificar puertos/ser-

vicios que deberían estar restringidos o des-

habilitados. Un auditor interno puede realizar

esta tarea de forma puntual o verificar si exis-

te un proceso continuo que lo realice.

CONTROL 10

Nos pide que se hagan copias de seguridad

de todos los datos críticos, así como que se

verifique de forma periódica que estos se

pueden recuperar en un tiempo asumible. Asi-

mismo, los sistemas donde se guardan estas

copias deben tener acceso restringido, tanto

física como lógicamente.

Para probar este control, se pueden solicitar

las políticas de back up y el resultado de las

pruebas de recuperación.

CONTROL 11

Se basa en definir una configuración segura

para los dispositivos de comunicaciones (fire-walls, routers, switches), junto con los proce-

sos de gestión de cambio asociados. Este con-

trol es la implantación para estos dispositivos

de los controles 3, 4 y 5: configuración base

segura, revisión de vulnerabilidades y control

del uso del administrador y, adicionalmente,control de cuentas por defecto (control 16).

El test de este control sería de la misma for-ma que los controles mencionados.

CONTROL 12

En este control vemos que tenemos que teneruna seguridad perimetral basada en aplicarfiltros sobre las comunicaciones de nuestraorganización hacia y desde fuera, así comodesplegar sensores que detecten actividadessospechosas y alimenten a nuestro SIEM, te-nemos que protegernos, pero también es im-portante detectar si están intentando entraro, si ya lo han hecho, identificarlos.

Por otro lado, tenemos que tener una DMZ,una zona donde los servicios expuestos a In-ternet estén separados de la red interna.

Si necesitamos acceder a la red interna desdefuera (teletrabajo), debemos implantar un se-gundo factor de autenticación.

El análisis de las reglas de FW nos permiteevaluar este control. De igual forma que encontroles anteriores, podemos hacer un esca-neo de nuestro perímetro desde Internet paraidentificar puntos de entrada, servicios accesi-bles sin autenticación robusta y, testear quéalertas han generado nuestra actividad.

CONTROL 13

Este control confía en el cifrado de la infor-mación en reposo y en tránsito para garanti-zar la privacidad y prevenir una fuga.

CONTROL 14

El acceso a la información debe seguir el prin-cipio de “necesidad de conocer”. Un perfiladoadecuado mitiga el riesgo, pero aun así debe-mos implantar otros controles, ya que un ata-que puede obtener credenciales que tienenacceso a la información. Debemos emprender

El acceso a lainformación debeseguir el principio de“necesidad deconocer”. Un perfiladoadecuado mitiga elriesgo, pero debenimplantarse otroscontroles, ya que unataque puede obtenercredenciales quetengan acceso a lainformación.


41

acciones complementarias, y algunos de loscontroles que hemos visto nos ayudan: limitarel uso de USB, monitorizar las conexiones o laseparación entre redes.

La prueba del control tiene que ser empírica,intentar acceder a información a la que no te-nemos acceso por perfil.

CONTROL 15

Nos dice que protejamos las redes wireless.Un inventario de todas las existentes, juntocon revisiones periódicas por parte del áreade seguridad de que no existen redes no au-torizadas; la comprobación automática de susvulnerabilidades y de la fortaleza de las con-traseñas; y una limitación de las redes inter-nas a las que se puede acceder; completan larevisión del control.

Adicionalmente, se deberían desplegar detec-tores de intrusos en estas redes para identifi-car dispositivos no autorizados.

CONTROL 16

Si el control 4 era qué hace el administrador,el 16 es si hay cuentas definidas en los siste-mas que sean usuarios por defecto, usuariosque ya han abandonado la organización o siexisten otras cuentas definidas en los siste-mas.

Por otro lado, se deben establecer bloqueosde cuentas por accesos fallidos (este puntodebería estar en la política de seguridad), li-mitando desde dónde se puede acceder y so-licitando un doble factor para acceder a siste-mas/datos especialmente sensibles.

Los accesos de terceros deben revisarse espe-cialmente.

Para probar este control, una opción es verifi-car que exista un proceso de revisión deusuarios. Otra opción es que Auditoría Interna

lance herramientas automáticas para identifi-car cuentas obsoletas habilitadas.

CONTROL 17

Se basa en que cada puesto funcional tieneque tener una formación específica en seguri-dad. Deben identificarse posibles carencias yformar a los empleados. Igualmente, la orga-nización debería tener un programa de con-cienciación dirigido a todos los empleados,adecuado a las funciones que realizan.

Solicitar la formación recibida del personal deseguridad nos permite identificar las caren-cias.

Una forma de probar la efectividad es, unavez realizada la acción formativa/conciencia-dora, enviar un correo tipo phishing para verla reacción del empleado y los pasos que rea-liza para denunciar el evento.

CONTROL 18

El ciclo de vida del software también necesitatener una capa de seguridad, como muestrael control 18. Tanto el desarrollo interno comola compra de software de terceros requierende una capa de seguridad.

Las redes de desarrollo y producción deberíanestar separadas.

Unas directrices de programación segura oplan de formación específica de desarrollo se-guro, ayuda a evitar vulnerabilidades en lasaplicaciones desarrolladas internamente. Si loacompañamos de una revisión automática decódigo por parte de herramientas especializa-das, limitamos las vulnerabilidades.

Una revisión final una vez integrado todo eldesarrollo nos permite completar el ciclo. Estaúltima acción puede realizarla Auditoría Inter-na.

Deben establecersebloqueos de cuentaspor accesos fallidos,limitando desde dóndese puede acceder ysolicitando un doblefactor para acceder asistemas/datosespecialmentesensibles.


42

Existen productos que filtran/limitan las vul-nerabilidades más comunes, que tambiénpueden desplegarse en producción.

Los productos de terceros deberían probarseantes de su implantación.

CONTROL 19

Se enfoca en la gestión de crisis. Es funda-mental disponer de un plan de gestión y res-puesta a incidentes que contemple procedi-mientos escritos, asignación de tareas y res-ponsabilidades.

Estos planes deberían ser probados para veri-ficar cómo está preparada la organizaciónfrente a un incidente de envergadura, y ga-rantizar una gestión adecuada a la crisis.

CONTROL 20

Nos habla de realizar ciberejercicios. Los tiposde ataques no paran de crecer. Aparecen nue-vas técnicas de las que nos tenemos que de-fender. Una forma de probar si tenemos lasdefensas adecuadas es comportarnos comoun posible atacante utilizando técnicas simila-res.

La capa 2 puede realizar esta tarea. AuditoríaInterna revisaría las situaciones identificadasy las acciones correctoras.

Auditoría Interna también puede realizar latarea (prueba todos los controles), o contratarlos servicios de un externo.

Es fundamentaldisponer de un plan degestión y respuesta aincidentes quecontempleprocedimientosescritos, asignación detareas yresponsabilidades.


22. Certificación otorgada por ISACA (Information Systems Audit and Control Association).

Certificaciones profesionalesCon el aumento del nivel de amenazas y ries-gos relacionados con la ciberseguridad expe-rimentado durante los últimos años, existe ac-tualmente una alta demanda de profesionalesespecializados en estas materias. La UniónEuropea prevé la creación de 90.000 nuevospuestos de trabajo en este sector para el año2020.

Sin embargo, no resulta fácil para las empre-sas encontrar los perfiles adecuados y espe-cializados en los nuevos riesgos de la seguri-dad de la información, puesto que no existetodavía demasiada formación reglada.

En este sentido, se lanzaron iniciativas comoel Foro de Empleo y Talento en Ciberseguri-

dad de CyberCamp (celebrado los días 27, 28

y 29 de noviembre de 2015 en el Barclaycard

Center de Madrid) con el objetivo de dar a

conocer la oferta y demanda laboral de dife-

rentes empresas, orientar a los jóvenes acerca

de las posibles trayectorias profesionales, así

como informar acerca de los diferentes pro-

gramas y opciones de formación.

En este marco, a las ya tradicionales certifica-

ciones para profesionales de seguridad y au-

ditoría de sistemas: ITIL (Information Techno-

logy Infrastructure Library), CobiT (Control

Objectives for Information and Related Tech-

nology), ISO 27000 (Estándar para la Seguri-

dad de la Información), CISA22 (Certified Inter-

43

nal Systems Auditor), CISM (Certified Informa-

tion Security Manager), CISSP23 (Certified In-

formation Systems Security Professional), Se-

curity+ (certificada por CompTIA24), etc.; se

han incorporado otras muchas que han co-

brado importancia (especialmente aquellas

relacionadas con aspectos de pentesting y

hacking ético, gestión de ciberincidentes o

análisis forense), tales como las ofrecidas por

las siguientes organizaciones.

ISACA

Ha lanzado el programa Cybersecurity Ne-

xus25 (CSX), que ofrece una serie de certifica-

ciones en diferentes niveles para la formación

de profesionales, y alineadas con los principa-

les estándares de ciberseguridad del merca-

do:

· Cybersecurity Fundamentals Certificate.

Orientada a la introducción de los concep-

tos, marcos, guías de buenas prácticas y es-

tándares de ciberserguridad de la industria;

ciberseguridad en redes, sistemas, aplica-

ciones y datos, implicaciones de seguridad

de las nuevas tecnologías y respuesta bási-

ca ante incidentes.

· CSX Practitioner. Certificación orientada a

la primera capa de respuesta de seguridad,

con el objetivo de conocer e implementar

los principales controles de seguridad, reali-

zar análisis y escaneos de vulnerabilidades,

definición de procesos y procedimientos de

seguridad en los sistemas.

· CSX Specialist. Certificaciones avanzadas yespecializadas en el conocimiento y habili-dades de las siguientes áreas o dominios:Identificación de riesgos, protección de sis-temas, detección de amenazas, respuesta yanálisis de incidentes, y recuperación de lossistemas.

· CSX Expert. Certificación de nivel avanza-do para la identificación, análisis, respuestay mitigación de incidentes de ciberseguri-dad avanzados, y asociados a empresas conentornos complejos y una alta exposición aataques.

SANS

El Instituto SANS (SysAdmin Audit, Networ-king and Security Institute) en colaboracióncon la entidad certificadora GIAC (Global In-formation Assurance Certification) ofrece unconjunto de más de 20 certificaciones agru-padas en diferentes niveles en materia de ad-ministración y gestión de seguridad, auditoríalegal y de seguridad, seguridad del software yanálisis forense:

NIVEL INTRODUCTORIO.· Administración de Seguridad.

- GISF: Information Security Fundamentals.

NIVEL INTERMEDIO.· Administración de Seguridad.

- GSEC: Security Essentials Certification.· Gestión.

- GISP: Information Security Professional.· Forense.

- GCFE: Certified Forensics Examiner.


23. Certificación otorgada por ISC2 (International Information Security Certification Consortium).

24. Computing Technology Industry Association. http://certification.comptia.org/

25. https://cybersecurity.isaca.org/csx-certifications

44

NIVEL AVANZADO. · Administración de Seguridad.

- GPPA: Certified Perimeter Protection A-nalyst.

- GCIA: Certified Intrusion Analyst.- GCIH: Certified Incident Handler.- GCUX: Certified UNIX Security Adminis-

trator.- GCWN: Certified Windows Security Ad-

ministrator.- GCED: Certified Enterprise Defender.- GPEN: Certified Penetration Tester.- GWAPT: Web Application Penetration

Tester.

· Gestión.- GSLC: Security Leadership Certification.- GCPM: Certified Project Manager Certifi-

cation.

· Seguridad del software.- GSSP-NET: Secure Software Programmer-

NET.- GSSP-JAVA: Secure Software Program-

mer - Java.

· Auditoría. - GSNA: Systems and Network Auditor.

· Forense.- GCFA: Certified Forensic Analyst.

· Legal.- GLEG: Law of Data Security & Investiga-

tions.

NIVEL EXPERTO· Administración de Seguridad.

- GAWN: Assessing Wireless Networks.- GXPN: Exploit Researcher and Advanced

Penetration Tester.

· Forense.- GREM: Reverse Engineering Malware.

· GSE.- GSE: GIAC Security Expert.

EC-Council2

El Consejo Internacional de Consultores deComercio Electrónico, ofrece entre otras mu-chas, las siguientes certificaciones relaciona-das con la gestión de la ciberseguridad:

· CEH (Certified Ethical Hacker). Introduc-ción a las habilidades y vulnerabilidades ensistemas utilizando los mismos conocimien-tos y herramientas que los hackers malicio-sos y metodología de pentesting, con el ob-jetivo de ayudar a la organización a tomarmedidas contra estos ataques.

· ECSA (Certified Security Analyst). Cursoavanzado en métodos y técnicas de pene-tración, analizando diferentes herramientas,tecnologías y fases del proceso de hackingético, para identificar y mitigar los riesgosde seguridad de la infraestructura comoanalista de seguridad y pentester.

· ENSA (Network Security Administrator).Certificación dirigida a administradores deseguridad, proporcionando las habilidadespara analizar las amenazas (internas y ex-ternas), así como las técnicas defensivaspara protegerse ante ellas.

· CHFI (Computer Hacking Forensic Investi-gator). Preparación para la detección anteataques perpetrados por hackers, respondera incidentes de seguridad, e identificaciónde técnicas de investigación y análisis pararastrear el origen del evento con el fin dedeterminar diferentes evidencias digitales.

· ECIH (Certified Incident Handler). Diseña-da para proveer los conocimientos necesa-rios en materia detección, gestión y res-puesta ante amenazas e incidentes de ci-berseguridad.


45

· ECES (Certified Encription Specialist).Aprendizaje de las diferentes técnicas (si-métrico, clave criptográfica), fundamentos ydetalle de los algoritmos de cifrado (DES,AES, RSA, MD5, etc.), así como su uso e im-plementación técnica.

Formación

Ante la demanda y búsqueda de nuevos pro-fesionales en ciberseguridad, y con el objetivode facilitar una mejor comprensión y gestiónde estos riesgos, existe actualmente en elmercado una amplia oferta de opciones deformación (seminarios, cursos presenciales y/oonline, cursos de postgrado), entre los quepodemos destacar:

- El Instituto Tecnológico de Massachusetts(MIT26) reconocido mundialmente comouna de las mejores instituciones del sector,dispone de una amplia gama de cursos,certificaciones y seminarios, y cuenta conuna completa plataforma online que permi-te a la inscripción de estudiantes de todo elmundo, y el seguimiento de clases online.

- La Agencia Europea para la Seguridad delas Comunicaciones y la Información (ENI-SA27, por sus siglas en inglés), ofrece tam-bién una serie de cursos de formación en

materia de ciberseguridad relacionadosfundamentalmente con las siguientes mate-rias: gestión de ciberincidentes, análisisavanzados de amenazas, análisis forensedigital y gestión de amenazas en dispositi-vos móviles.

- El Instituto Nacional de Ciberseguridad(INCIBE28) ofrece una serie de cursos onlinecomo, por ejemplo: Seguridad en sistemasde control y automatización industrial, Ci-berseguridad para micro-pymes y autóno-mos, Seguridad avanzada en dispositivosmóviles o Ciberseguridad para fuerzas ycuerpos de seguridad.

- Diferentes Masters en ciberseguridad ofre-cidos entre otras por S21sec, Zin Security,CICE (Escuela de Formación de Nuevas Tec-nologías), Aucal Business School, y diferen-tes centros universitarios como la Universi-dad de León, la Universidad Europea deMadrid, la Universidad Politécnica de Cata-luña o la Universidad Camilo José Cela.


26. http://web.mit.edu/

27. https://www.enisa.europa.eu/

28. https://www.incibe.es/

46

Estándares, normativa y legislación

- NIST (02/14): Framework for improving Cyber-security.

- ISO27032: Guidance from improving the state of cyber-security.

- Estrategia de Ciberseguridad Nacional (Gobierno de España).

- Ten steps to cyber security (UK GOV: CESG and CPNI).

- Cybersecurity Capability Maturity Model (C2M2) Program (USA Department of Energy).

- CIS Critical Security Controls (SANS Institute & Center for Strategic & International Studies).

Artículos, informes y presentaciones técnicas

- State of Cybersecurity: Implications for 2015 (Nexus, ISACA y RSA).

- Temas candentes de la Ciberseguridad - Un nuevo espacio lleno de incógnitas (IE y PWC).

- Presente y Futuro de la Ciberseguridad (CCN-CERT).

- Ciberamenazas 2014. Tendencias 2015 (CCN-CERT).

- Guía de gestión de ciberincidentes (CCN-CERT).

- Ciberinteligencia: de la reacción a la prevención en Ciberseguridad (KPMG).

- Ciberinteligencia aplicada al desarrollo de servicios (INCIBE).

- Análisis y caracterización del mercado de la ciberseguridad (INCIBE).

- Risk Intelligence Report (CEB).

- Informe sobre el estado de la ciberseguridad 2015 (U-TAD).

- State of the Internet Security Report 2015 (Akamai).

- System Design Guide for Thwarting Targeted Email Attacks (IPA, Japan).

- Controls for Effective Cyber Defense v6.0 (CIS: Center for Internet Security).

- Cybersecurity, What the Board Directors Needs To Ask (IIARF & ISACA).

- Assessing the Top Priorities for Internal Audit Functions (Protiviti)

- COSO in the Cyber Age (Deloitte).

- 2016 Data Protection & Breach Readiness Guide.

- Auditing Cybersecurity (ISACA Journal enero/febrero 2016).


Bibliografía relevante

Instituto de Auditores Internos de España

Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es

Depósito Legal: M-36848-2016

ISBN: 978-84-945594-2-6

Diseño y maquetación: desdecero, estudio gráfico

Impresión: IAG, SL

COBERTURA DEL RIESGO TECNOLÓGICO: HACIA UNA AUDITORÍA INTERNA DE TI INTEGRADA

El documento destaca la importancia de Auditoría Interna de TI en su

apoyo a la organización en la gestión, gobierno y control de los

riesgos de TI. Se han estudiado temas relacionados con la gestión de

las relaciones entre Auditoría Interna de TI y el área de TI,

destinatarios de los informes de Auditoría Interna de TI o las

herramientas que habitualmente se utilizan en este tipo de trabajos.

MARCO DE RELACIONES DE AUDITORÍA INTERNA CON OTRAS FUNCIONES DE ASEGURAMIENTO

Ayuda a fijar posiciones sobre la necesidad de mejorar la eficiencia de

los recursos de las Direcciones de Auditoría Interna para mantener el

nivel adecuado de aseguramiento en coordinación con las distintas

funciones encargadas de proporcionarlo. Aborda la necesidad de

realizar un mapa de aseguramiento que proporcione una visión

global de las actividades de control llevadas a cabo, proponiendo a

Auditoría Interna como coordinador principal de todas las funciones

de aseguramiento.

GESTIÓN DEL RIESGO DE FRAUDE

Aborda los diferentes procesos para una óptima gestión del riesgo de

fraude, que pasa por el establecimiento de un programa eficaz de

prevención, detección e investigación de fraudes. La guía, resumen

ejecutivo de un estudio más amplio publicado por el Instituto de

Auditores Internos, define un enfoque efectivo para la gestión del

riesgo de fraude y un análisis profundo sobre las responsabilidades

en su prevención, detección e investigación.

OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO


Prácticamente todos los ámbitos de nuestra sociedad se sustentan hoy

más que nunca, y cada vez más, en el ciberespacio propiciado por las

tecnologías de la información y las comunicaciones. Una de las

principales amenazas que han traído consigo estos avances es la

proliferación de acciones delictivas en el ciberespacio, añadiendo

nuevos retos y desafíos para las organizaciones.

La ciberseguridad es una de las principales preocupaciones de empresas

e instituciones y exige extremar las medidas para establecer todos los

controles necesarios para mitigar los riesgos en las organizaciones.

Esta guía establece diversas buenas prácticas, incluyendo los 20 Con-

troles Críticos de Seguridad que todas las organizaciones deben

implementar, y cuál es el papel de Auditoría Interna en su revisión.

También aportará gran valor a Comisiones de Auditoría y otros comités,

que encontrarán aquí un importante aliado con información completa y

precisa para permitirles tomar decisiones sobre la estrategia, estructura

y operación de las organizaciones.

fa bricaciber-int maquetaciÛn 1 - auditoresinternos.es · mundial incluye varios riesgos asociados...

Documents