Ciberseguridad Una guía de supervisión - LA FÁBRICA DE PENSAMIENTO - Auditores Internos de España
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Ciberseguridad
Una guía de supervisiónEl INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de
las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios,
auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión
de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.BU E N A S P R Á C T I C A S E N G E S T I Ó N D E R I E S G O S
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Ciberseguridad
Una guía de supervisión
Octubre 2016
MIEMBROS DE LA COMISIÓN TÉCNICA
COORDINACIÓN: Israel Martínez Lacabe, CISA. GRUPO SANTANDER
Josep Castells Rafel, CISA. CAIXABANK
José Antonio Castrillo, CISA, CISM, CGEIT. MAZARS
Jordi Civit Vives, CISA, CCSA. MELIÁ HOTELES
Oliver Crespo Romero, CISA, CISM. SANITAS
Sandra Fernández Moreno, CISA. MAPFRE
Gregorio Hernández Manso, CISA, CISM. RED ELÉCTRICA DE ESPAÑA
Juan José Huerta Díaz, CIA, CISA, CISM, CGEIT, CDPP. BBVA
Eduardo Iglesias Cordero. LIBERBANK
Daniel Martínez Villegas. CIMPRESS
Raúl Mateos Martín, CISA, CISSIP, CRISC. BBVA
Marc Muntañá Vergés, CISA, CISM. MUTUA UNIVERSAL
Felipe Pastor Fornieles, CISA, CISM. ERNST & YOUNG, S.L.
Fernando Picatoste Mateu, CIA, CISA, CISM, CGEIT, CRISC, CISSP. DELOITTE
Albert Sans I Feliu, CISA. INDITEXBUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
El avance de las nuevas tecnologías ha propiciado un cambio sin precedentes que ha in-
fluido en la forma de operar de las organizaciones, cuyas actividades se desarrollan cada
vez más en el ciberespacio.
Este hecho propicia un gran desarrollo económico y social, pero a la vez la aparición de
nuevos retos y amenazas que es imprescindible gestionar. No en vano el Foro Económico
Mundial incluye varios riesgos asociados a la ciberseguridad en su ranking de Riesgos
Globales desde hace años. A modo de ejemplo, en 2016 el coste medio de un ataque in-
formático para las compañías ronda los 75.000 euros, lo que hace que solo los ciberdeli-
tos cuesten a las empresas españolas unos 14.000 millones de euros al año.
Los ciberataques y su naturaleza se han multiplicado en los últimos años, y cada vez son
más complejos y más difíciles de prevenir y detectar, lo que hace que los órganos de go-
bierno de las organizaciones deban incrementar y mejorar la supervisión sobre la ciberse-
guridad.
LA FÁBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-
ña, aborda en este documento –parte de un manual editado también por el IAI- las prin-
cipales cuestiones relativas a la ciberseguridad y un completo análisis de buenas prácticas
de Auditoría Interna para la evaluación y revisión de los controles en esta materia.
También se incluyen los 20 Controles Críticos de Seguridad que todas las organizaciones
deben implementar y cuál es el papel de Auditoría Interna en la revisión de cada uno de
ellos.
El valor que aporta esta guía de supervisión va más allá de los auditores internos de siste-
mas o de las Direcciones de Auditoría Interna. Las Comisiones de Auditoría y otros comi-
tés de la empresa encontrarán en estas páginas un importante aliado que les ofrecerá in-
formación completa y precisa para permitirles tomar decisiones sobre la estrategia, orga-
nización y operaciones para evitar que este riesgo se materialice en las organizaciones.
Un documento tan exhaustivo y a la vez de fácil comprensión como éste, incluso para los
profanos en auditoría de TI, solo podía estar firmado por expertos auditores internos co-
mo los que han formado parte de la Comisión Técnica. Les felicito por haber puesto su
experiencia y conocimiento al servicio de todos los socios y por mantener el nivel de exce-
lencia y sencillez al que nos tienen acostumbrados las publicaciones de LA FÁBRICA DE
PENSAMIENTO.
Ernesto Martínez
Presidente del Instituto de Auditores Internos de España
3BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Índice
INTRODUCCIÓN 06
PRINCIPALES CUESTIONES RELATIVAS A LA CIBERSEGURIDAD 07
Riesgos, amenazas y vulnerabilidades ....................................................................09
De la seguridad de TI a la ciberseguridad: el cambio de paradigma ..............16
Ciberejercicios y ciberseguros ...................................................................................21
Metodologías y estrategias de control y gestión de ciberriesgos ....................24
Regulación y normativa ..............................................................................................28
BUENAS PRÁCTICAS DE AUDITORÍA INTERNA PARA LA 32
EVALUACIÓN Y REVISIÓN DE CONTROLES DE CIBERSEGURIDAD
El rol de Auditoría Interna ......................................................................................... 32
20 Controles Críticos de Seguridad que todas las organizaciones
deberían implementar ................................................................................................ 35
CERTIFICACIONES PROFESIONALES 42
BIBLIOGRAFÍA RELEVANTE 46
5BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Introducción
La economía internacional, la prestación de Ningún dispositivo hardware o software exis-
servicios por parte de las administraciones, tente en la actualidad –desde el sistema más
empresas y profesionales, el acceso a la infor- complejo instalado en una infraestructura es-
mación, la educación, el comercio, el ocio o la tratégica, como una central nuclear, hasta la
La protección frente a salud de los ciudadanos, al igual que casi to- más sencilla aplicación informática instalada
los ciberriesgos se ha dos los ámbitos de nuestra sociedad, se sus- en un teléfono móvil– está exento de ser ata-
convertido en una tentan hoy más que nunca (y cada vez más) cado.
prioridad debido a las en el ciberespacio1.
nuevas amenazas Así, la ciberseguridad representa actualmente
procedentes de Las tecnologías de la información y las comu- una de las principales preocupaciones de to-
Internet, el crecimiento nicaciones (TIC) propician el desarrollo econó- das las empresas e instituciones, con indepen-
del número de ataques mico de la sociedad de manera integrada den- dencia del sector o ámbito al que pertenez-
y la mayor complejidad tro de las empresas y organizaciones, que can.
de las amenazas. usan en su actividad el amplio abanico de dis-
La protección frente a los ciberriesgos se ha
positivos electrónicos y redes de comunicacio-
convertido por tanto en una prioridad de las
nes disponibles.
mismas, fruto de la proliferación de nuevas
Sin embargo, de la mano de dicha expansión amenazas procedentes de Internet, el enorme
tecnológica y el aumento del uso de servicios crecimiento durante los últimos años del nú-
de Internet surgen nuevos retos y desafíos pa- mero de ataques recibidos por las organiza-
ra las organizaciones. Así, una de las principa- ciones, y el aumento en la complejidad y sofis-
les amenazas que han traído consigo estos ticación de estas amenazas.
avances es la proliferación de acciones delicti-
vas en el ciberespacio.
1. Se entiende por ciberespacio el entorno virtual común que comprende la interconexión del conjunto global de sistemas,
activos de información y redes de comunicaciones (incluyendo Internet), así como los usuarios de estos servicios y tec-
nologías.
6BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Principales cuestiones relativas
a la ciberseguridad
Los ciberataques no sólo se han multiplicado Target, Apple, Home Depot, o Google, entre
en los últimos años, extendiendo su incidencia otras. También administraciones públicas y go-
a todo tipo de organizaciones y a todos los biernos de todo el mundo están entre los
sectores económicos, sino que su naturaleza damnificados que han sufrido robos de infor-
ha cambiado drásticamente en términos de mación de sus bases de datos de clientes, ele-
frecuencia, complejidad y finalidad, dentro de vadas pérdidas económicas, prolongadas in-
un proceso de continua evolución y sofistica- disponibilidades en sus sistemas, daños repu-
ción que los hace cada vez más complejos y tacionales o sabotajes de sus servicios online;
peligrosos. como consecuencia del denominado cibercri-
Empresas,
men.
En pocos años, las tradicionales amenazas de administraciones
Sirvan como ejemplos de lo anterior las si- públicas y gobiernos
la seguridad (virus, gusanos, troyanos,…) han
guientes ciberamenazas que han provocado han sufrido robos de
evolucionado hacia ataques de denegación de
algunas de las mayores infecciones y trastor- información, pérdidas
servicios (DoS2) y sofisticados softwares mali-
nos recientes en materia de seguridad infor- económicas o sabotajes
ciosos (malware) hasta llegar a las amenazas
mática: como consecuencia del
persistentes avanzadas (APTs) o ataques diri-
denominado
gidos, que combinan múltiples técnicas de • Zeus. Malware3 orientado al robo de infor- cibercrimen.
ataque y explotación de diferentes tipos de mación personal de los usuarios: credencia-
vulnerabilidades, incluyendo el uso de técnicas les de cuentas de correo electrónico, redes
de ingeniería social (por ejemplo spear-phis- sociales, datos de servicios financieros, etc.
hing), así como una fase previa de estudio y
recolección de información del objetivo que • Flame y Agent BTZ. Software espía con
los hace mucho más eficaces y dañinos. gran capacidad de propagación capaz de
obtener capturas de pantalla, pulsaciones
Son numerosos los ataques recibidos por de teclado, control del bluetooth, webcam o
grandes corporaciones y multinacionales du- grabación de llamadas. Asimismo, posee la
rante los últimos años, como JPMorgan, Sony, capacidad de transmitir la información reco-
2. DoS: Del inglés Denial of Service.
3. Si bien no existe un criterio de clasificación estricto de las diferentes tipologías de malware, se entiende de manera ge-
neral que esta palabra incluye todo tipo de software o código malicioso que tiene el objetivo de infiltrarse y dañar un
sistema de información, abarcando virus, gusanos, troyanos, rootkits, spyware, keyloggers, botnets, etc.
7BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
pilada ocultándola mediante técnicas de ci- tra también el hecho de que el World Econo-
frado. mic Forum lo incluya desde el año 2014 en la
lista de los 5 principales riegos globales, en
• Carbanak. Ataque Persistente Avanzado
términos de probabilidad, junto al cambio cli-
(APT) diseñado y dirigido al sector bancario,
mático, el desempleo, las catástrofes naturales
capaz de alterar y manipular el funciona-
y la desigualdad económica.
miento de las redes y software de control
de los cajeros automáticos. Los principales vectores y razones que han
propiciado esta situación actual son:
• Ransomware. También conocido como el
“virus de la policía”, cifra la información • La creciente expansión del acceso a Internet
contenida en el sistema del usuario infecta- y el proceso de digitalización global (actual-
do, solicitando una compensación económi- mente existen más de 2.800 millones de
ca para su desbloqueo. personas con acceso –más del 40% de la
población mundial– y 10.000 millones de
• Stuxnet. Software malicioso descubierto en
dispositivos conectados), así como la popu-
2010, capaz de controlar y manipular soft-
larización de nuevos dispositivos (smartpho-
ware de control y supervisión de procesos
nes, tablets), nuevas tecnologías de proce-
industriales (SCADA).
samiento de datos (cloud computing, vir-
Actualmente la ciberseguridad representa un tualización de sistemas) y posibilidades de
problema global y sistémico, como lo demues- conexión remota y/o móvil (Wifi, VPN, 4G,
VOLUMEN DE CIBERINCIDENTES
18.232
+41%
12.916
7.263 Impacto
3.998
1.914
193 485
2009 2010 2011 2012 2013 2014 2015
CIBERAMENAZAS
Troyanos · Bots
Virus · Gusanos Spyware Malware · DoS APTs · Ingeniería social
Fuente: elaboración propia a partir de datos de CCN-CERT
8BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
satélite), con sus consiguientes riesgos y de- • La posibilidad de utilizar fuentes y sistemas
bilidades de seguridad asociados. anónimos, que amplía la cantidad de gente
dispuesta a cometer este tipo de delitos.
• La velocidad de los cambios tecnológicos y El concepto de riesgo
la adopción de tecnologías emergentes, en Se estima que el cibercrimen tiene un impacto cibernético proviene de
global en la economía de entre 300.000 mi- la amenaza continua y
ocasiones no suficientemente maduras des-
llones y un billón de dólares al año, cifra que a escala industrial por
de el punto de vista de seguridad.
equivale a cerca del 1% del PIB mundial, al- parte de terceros sobre
• La crisis económica de carácter global (gran canzando un nivel similar al de amenazas cri- los activos digitales, las
recesión) que se inició durante los años minales convencionales como el narcotráfico operaciones y la
y/o la piratería4. información
2007-2008 y que, en mayor o menor medi-
corporativa.
da, sigue vigente en muchos países y geo- Más aún, los riesgos cibernéticos tienen una
grafías. naturaleza sustancialmente superior a éstas
últimas, en la medida que pueden tener dife-
• Las importantes carencias existentes en las rentes objetivos simultáneamente: la rentabili-
legislaciones transfronterizas, laxa normati- dad que ofrece su explotación, la facilidad y el
va y escasa regulación en algunos países, y bajo coste de las herramientas utilizadas para
dificultad legal de perseguir el cibercrimen, la consecución de ataques, así como la facili-
de manera general. dad de ocultación del atacante; hacen posible
que estas actividades se lleven a cabo de for-
• La creciente actividad que presentan los ma anónima y desde cualquier lugar del mun-
movimientos activistas antisistema y anti- do, con lo que su trazabilidad y seguimiento
globalización. resulta sumamente complejo.
RIESGOS, AMENAZAS Y VULNERABILIDADES
Riesgos cibernéticos
El concepto de riesgo cibernético proviene de de atacantes. Debido a ello, las instituciones
la amenaza continua y a escala industrial so- y entidades financieras son uno de los prin-
bre los activos digitales, las operaciones y la cipales objetivos de los ciberdelincuentes.
información corporativa, por parte de terceros.
ROBO DE INFORMACIÓN
Para entender mejor el contexto actual, es ne-
La filtración pública o pérdida de la infor-
cesario conocer los principales riesgos a los
mación confidencial representa un elevado
que se exponen las organizaciones:
riesgo para cualquier organización, cuyos
FRAUDE DINERARIO impactos o pérdidas pueden resultar espe-
El robo económico representa una de las cialmente significativos. Debido a ello, la in-
principales motivaciones de la gran mayoría formación de carácter personal o documen-
4. McAfee (2013): The Economic Impact of Cybercrime and CyberEspionage. Center for Strategic and International Stu-
dies.
9BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
tos clasificados son algunos de los principa- mientos, comunicaciones, etc) con el objeti-
les activos de información que deben ser vo de provocar una interrupción puntual o
especialmente protegidos. prolongada de los mismos.
INDISPONIBILIDAD DE SERVICIOS PÉRDIDA DE REPUTACIÓN
Interrupción puntual o prolongada de los Más que un riesgo en sí mismo, es una de
servicios online ofrecidos por una organiza- las principales consecuencias de los ata-
ción (correos, pagos financieros, cobro de ques y el objetivo de gran parte de los cibe-
La pérdida de
impuestos, registros públicos). rataques, cuyos efectos en una organiza-
reputación es una de
ción pueden resultar altamente significati-
las principales SABOTAJE DE INFRAESTRUCTURAS
vos.
consecuencias de los Ataques contra los servicios o infraestructu-
ataques y el objetivo de ras críticas de un país o estado (abasteci-
gran parte de los
ciberataques, con
efectos altamente PRINCIPALES RIESGOS PRINCIPALES TÉCNICAS DE ATAQUE
significativos. Fraude dinerario. Ingeniería social.
Robo de información. Fingerprinting.
Indisponibilidad de servicios.
Enumeración y escaneo.
Sabotaje de infraestructuras.
Pérdida de reputación. Ataques de días cero (0-Day).
Spam y Phishing.
PRINCIPALES AMENAZAS Hijacking.
Contra la información.
DoS (Denegación de Servicios).
Contra la infraestructura TIC.
SQL Injection.
PERFIL DE LOS ATACANTES Cross-site scripting (XSS).
Hacking. Virus, malware, gusanos y troyanos.
Cibercrimen.
Botnet (Redes zombis).
Hacktivismo.
Rootkits.
Ciberespionaje y ciberterrorismo.
Insiders. APT (Amenaza Persistente Avanzada).
Amenazas
Al igual que la naturaleza se adapta, las ame- usuario más molestas que dañinas, se están
nazas que en un principio eran puntuales y convirtiendo en sofisticadas herramientas po-
muy concretas en cuanto a objetivos, con téc- tencialmente dañinas. De este modo, las prin-
nicas muy simples y consecuencias para el cipales amenazas relacionadas con el ciberes-
10BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
pacio se pueden agrupar en las amenazas AMENAZAS CONTRA LAS INFRAESTRUCTU-
contra la información y las amenazas contra RAS TIC
la infraestructura TIC5. Son aquellas cuya materialización pueden
provocar la interrupción temporal, parcial o
AMENAZAS CONTRA LA INFORMACIÓN
total de determinados servicios o sistemas,
Aquellas cuya materialización provocan una
entre las que se encuentran:
pérdida, manipulación, publicación o uso
· Ataques contra infraestructuras críticas.
inadecuado de la misma. Entre otras desta-
can: · Ataques contra las redes y sistemas.
· Espionaje, desde el ámbito del espionaje · Ataques contra servicios de Internet.
de Estado al espionaje industrial. · Ataques contra sistemas de control y re-
· Robo y publicación de información clasi- des industriales.
ficada o sensible (datos personales, datos · Infecciones con malware.
bancarios). · Ataques contra redes, sistemas o servi-
· Robo de identidad digital. cios a través de terceros.
· Fraude.
Perfil de los atacantes
Si bien el anonimato y la deslocalización son palmente el fraude económico y el robo de
algunas de sus máximas señas de identidad, información confidencial).
los principales actores que componen el perfil
HACKTIVISMO
de los atacantes se pueden clasificar en los si-
Grupos de hackers que actúan en base a
guientes grupos:
una serie de principios y/o creencias políti-
HACKING cas, sociales o religiosas, principalmente
Individuos que generalmente trabajan de con fines reivindicativos. Sus principales ob-
manera individual con el objetivo de provo- jetivos suelen incluir multinacionales, go-
car trastornos o daños puntuales, si bien no biernos y organismos oficiales.
suelen resultar de gran impacto. Algunos ejemplos conocidos de grupos
hacktivistas son: “Anonymous”,“Legion of
CIBERCRIMEN
Doom”, “Milw0rm” y “LulzSec”.
Organizaciones y/o grupos de ciberdelin-
cuentes/hackers que cuentan generalmente CIBERESPIONAJE Y CIBERTERRORISMO
con los recursos, conocimientos, motivación Uso de tecnologías de la información y co-
y respaldo o apoyo financiero necesarios municación electrónica con el propósito de
para la obtención de sus objetivos (princi- apoderarse de información confidencial de
5. Spanish Cyber Security Institute (2014): La Ciberseguridad Nacional, un compromiso de todos.
11BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
gobiernos, naciones u otros organismos, e je/destrucción de infraestructuras críticas; has-
incluso generar el miedo o terror en una ta la sustracción de información corporativa
población o Estado. estratégica como la relativa a la propiedad in-
Este objetivo puede perpetrarse a través del dustrial o intelectual, datos personales de
La información es una
saboteo de infraestructuras críticas, infiltra- clientes y empleados, inteligencia de merca-
de las armas
ción en redes de alta seguridad, recluta- do, etc., con objeto de lucro; el daño de la
estratégicas más letales
miento de personal a través de Internet y/o imagen o reputación de una entidad; la rei-
en un nuevo escenario
publicación de contenidos violentos o ame- vindicación político-social; e incluso la simple
de riesgo para las
nazadores.
organizaciones. notoriedad o amenaza, entre otras6.
INSIDERS
Los objetivos son muy heterogéneos y los
Personal de las propias organizaciones que,
ataques van dirigidos a cualquier tipo de or-
aprovechando su conocimiento o acceso a
ganización –pública o privada, con ánimo de
información confidencial en los sistemas,
lucro o sin él– afectando a empresas de todos
realiza igualmente acciones delictivas (prin-
cipalmente de fraude) asociadas al cibercri- los sectores de actividad, gobiernos y organi-
men. zaciones de cualquier tipo.
Las motivaciones son diversas y pueden va- Así las cosas, los recientes eventos de fuga de
riar desde la perpetuación de un fraude finan- información y fallos en la seguridad cibernéti-
ciero sobre los ingresos de la organización o ca de algunas organizaciones evidencian un
de sus clientes; la producción de un quebran- nuevo escenario de riesgo donde la informa-
to económico directo a una compañía, el en- ción se convierte en una de las armas estraté-
torpecimiento de sus operaciones o el sabota- gicas más letales, comprometiendo la estabili-
ACTORES MOTIVACIÓN OBJETIVOS
HACKING. Personal. Notoriedad, pequeños disturbios, …
CIBERCRIMEN. Ecónomica/lucro. Robo dinerario o de información.
HACKTIVISMO. Ideológica. Daño reputacional, divulgación de
información, …
CIBERESPIONAJE. Política. Trastrornos graves, robo de información
crítica, …
INSIDERS. Varias. Varias
Fuente: elaboración propia
6. Deloitte (2015): 12º Programa para el Desarrollo de Directores Financieros.
12BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
dad o continuidad de cualquier persona u or- aún sin estrenar8. Otros ejemplos relevantes
ganización. fueron las filtraciones de Edward Snowden,
Los principales ataques
cuando se comprometió la información de
En efecto, algunos ataques cibernéticos re- son los producidos en
más de 40 delegaciones de países en suelo
cientes han puesto en riesgo naciones e in- forma de DDoS,
estadounidense9, o el robo de datos de 83
dustrias. Un ejemplo fue la operación “Auro- hacking, ataques fuera
millones de clientes a la entidad bancaria JP
ra”, en 2009, que vulneró los sistemas de se- del perímetro, ataques
Morgan Chase.
guridad de hasta 34 compañías de EEUU (Go- a activos intangibles y
ogle, Yahoo, Symantec y Adobe, entre muchas Estos hechos demuestran que los objetivos de los basados en el
otras)7. O el ciberataque sufrido por Sony en los atacantes son cada vez más ambiciosos, fraude económico y la
2014, cuando se filtraron en Internet los da- se manifiesten sus acciones en el terreno de fuga de información
tos personales, números de identificación fis- la ciberdelincuencia o en los entornos del ci- confidencial.
cal e información médica de los más de 3.800 berespionaje (estados, empresas, personas) y
trabajadores de la empresa, así como varios del ciberterrorismo.
contenidos de producciones cinematográficas
Principales técnicas de ataque y vulnerabilidades
Nos encontramos con ataques a plataformas tivos intangibles (reputación de la marca o los
propias en forma de DDoS, hacking o de ex- directivos); a activos físicos o infraestructuras
plotación de vulnerabilidades en el hardware críticas; y ataques basados en el fraude eco-
y software corporativo; ataques fuera del perí- nómico y en la fuga de información confiden-
metro, como los dirigidos a clientes (phishing, cial (filtraciones, robos o perdidas de disposi-
malware, credenciales robadas); ataques a ac- tivos).
INGENIERÍA SOCIAL
Técnicas y habilidades sociales o psicológicas para obtener información confidencial a tra-
vés de la manipulación de las personas o usuarios.
FINGERPRINTING
Búsqueda y recolección de todo tipo de información del objetivo, principalmente en Inter-
net, y realizada de manera pasiva, que pueda ser utilizada en la perpetración de un ataque.
Puede incluir tanto la recolección de información de fuentes públicas (OSINT: Open-Source
Intelligence), como de fuentes privadas o de pago.
7. El Economista (2010): Operación Aurora, el ciberataque más sofisticado de la historia.
8. CNet (2014): Sony encabeza la lista de los peores 'hackeos' del año.
9. Onemagazine (2014): La ciberseguridad en 2013: un año marcado por Snowden.
13BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
ENUMERACIÓN Y ESCANEO
Identificación de sistemas, equipos y dispositivos existentes en la red. Obtención de nom-
bres de equipos, usuarios, recursos compartidos, etc.
También incluye habitualmente la identificación de posibles vulnerabilidades.
ATAQUES DE DÍAS CERO (0-DAY)
Ataques contra aplicaciones o sistemas que aprovechan nuevas vulnerabilidades, desconoci-
das por los fabricantes del producto y/o software, y para los que no se han desarrollado aún
“parches” o soluciones que las corrijan.
Estos ataques pueden tener un grave impacto, y el código para explotar dichas vulnerabili-
dades se vende a menudo por elevadas cantidades de dinero en el denominado mercado
negro de los exploits.
SPAM Y PHISHING
Ataques a través del servicio de correo electrónico, ya sea buscando la indisponibilidad del
mismo o la suplantación de identidad para obtener información confidencial de los usua-
rios.
Durante los últimos años las técnicas de phishing han evolucionado enormemente dada su
simplicidad y alta efectividad, y es habitual hablar de ataques concretos de smishing, vis-
hing, spear phishing, etc.
HIJACKING
Técnicas ilegales utilizadas por los atacantes para adueñarse o tomar el control de diferen-
tes recursos: navegador, credenciales de sesión, conexiones TCP/IP, páginas web, etc.
DoS (DENEGACIÓN DE SERVICIOS)
Ataques de desbordamiento con el objetivo de provocar la parada o interrupción de un ser-
vicio crítico, típicamente realizados a través de una inundación de peticiones a páginas web.
SQL INJECTION
Técnica de ataque sobre páginas web qu,e a través de la ejecución de comandos SQL, per-
mite la obtención y/o manipulación de información de la base de datos del servidor.
CROSS-SITE SCRIPTING (XSS):
Técnicas de inyección de código (principalmente Javascript y PHP) que, aprovechando erro-
res de programación en las páginas web, provocan un comportamiento anormal del sistema
pudiendo afectar a la integridad del mismo.
14BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
VIRUS, MALWARE, GUSANOS Y TROYANOS
Software o código malicioso que tiene como objetivo infiltrarse o dañar un sistema o equi-
po, estando además normalmente diseñados para su rápida propagación en una red de or-
denadores. Especialmente extendido se encuentra el uso de troyanos, cuya apariencia simu-
la la de un programa benigno o inocuo que, tras ser ejecutado por el usuario, ocultan y libe-
ran el virus contenido en él.
El 80% de los ataques
BOTNET (REDES ZOMBIS) podrían prevenirse con
buenas prácticas como
Conjunto de ordenadores (conectados a Internet) infectados que se ejecutan y controlan de
el uso de contraseñas
manera autónoma y automática. Estas redes son usadas principalmente para aumentar la
seguras,
capacidad de procesamiento necesaria para perpetrar un ataque, así como para ocultar el
configuraciones de
origen y autoría del mismo.
seguridad adecuadas,
un correcto control de
ROOTKITS
accesos a aplicaciones
Herramientas y programas usados para esconder la presencia del intruso, obteniendo privi-
y datos, y la
legios de administración que permitirán la manipulación futura del sistema.
actualización de
sistemas.
APT (AMENAZA PERSISTENTE AVANZADA)
Ataques especialmente diseñados y dirigidos contra una organización o entidad concreta.
Por lo general requieren de un elevado tiempo de preparación y combinan diferentes técni-
cas y vulnerabilidades de entre las ya comentadas anteriormente.
Con carácter general, todas estas técnicas o ques sufridos por las empresas evidencian fa-
amenazas se basan en la detección y existen- llos ocasionados por la ausencia de medidas
cia de errores en la configuración de seguri- de seguridad, métodos, procedimientos, pro-
dad de los sistemas, obsolescencia o falta de ductos y herramientas debidamente imple-
actualización de las infraestructuras tecnoló- mentados y certificados.
gicas, y fallos de programación o diseño en
las arquitecturas de seguridad y comunicacio- A este hecho se suma la escasa conciencia-
nes, cuya identificación y mitigación debe ción y cultura de seguridad dentro de las or-
considerarse una prioridad por las entidades y ganizaciones, y la escasez de personal sólida-
organizaciones. mente formado y especializado dedicado a la
ciberseguridad. El 80% de los ataques ciber-
Por otro lado, a las facilidades derivadas de
una mayor superficie de explotación por parte néticos podrían prevenirse mediante una serie
de los atacantes (móviles, cloud, redes socia- de sencillas buenas prácticas en redes y equi-
les, etc.) o la existencia de un mercado negro pos, que suelen incluir el uso de contraseñas
de vulnerabilidades 0-Day, poco ayuda una seguras, configuraciones de seguridad ade-
realidad en la que la mayor parte de los ata- cuadas, correcta gestión del control de acce-
15BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
sos a aplicaciones y datos, y un apropiado ni- Seguridad), el mayor porcentaje de ataques
vel de actualización de los sistemas10. tienen su origen en vulnerabilidades ya cono-
cidas y para las que se dispone de soluciones
De hecho, según estudios recientes publica-
y medidas de detección y mitigación.
dos por el CCN-CERT (Centro Criptológico
Nacional-Centro de Respuesta a Incidentes de
DE LA SEGURIDAD DE TI A LA CIBERSEGURIDAD: EL CAMBIO DE PA-
RADIGMA
Es importante señalar el incremento en el nú- Hasta tal punto es así, que también el ciber-
mero de ataques directos a personas (em- crimen se ha convertido en un negocio (Cy-
pleados, clientes, simples usuarios de Inter- bercrime as a Service), siendo posible actual-
El cibercrimen se ha net), puesto que representan el eslabón más mente contratar a través de Internet (princi-
convertido en un débil de la cadena de seguridad. La populari- palmente en la Deep-web / Dark-Web11) la
negocio, siendo posible zación y extendido uso de Internet en casi to- realización de un ataque de DoS, spam, phis-
contratar a través de dos los ámbitos de la sociedad actual (públi- hing, el alquiler de una botnet o los servicios
Internet la realización co, profesional, compras, comunicación, noti- de un hacker.
de un ataque DoS, cias, viajes, cultura,…) ha incrementado nota-
spam, phishing, el Este nuevo entorno de evolución, sofisticación
blemente la superficie de ataque disponible
alquiler de una botnet e incremento de los ataques y amenazas está
para los cibercriminales; y debido a su alta
o los servicios de un produciendo un cambio relevante en la mane-
efectividad y la falta de medidas de protec-
hacker. ra de gestionar la seguridad en las organiza-
ción adecuadas que en muchas ocasiones
ciones.
presentan los dispositivos (smartphones, ta-
blets, ordenadores personales,…) son cada Tradicionalmente la seguridad de la informa-
vez más habituales este tipo de ataques, ha- ción ha sido siempre una de las materias ma-
biendo crecido su impacto de manera expo- yormente olvidadas, cuya percepción general
nencial durante los últimos años. se aproximaba más a un impedimento o traba
en el desarrollo de los negocios y las tecnolo-
Se puede afirmar incluso que el cibercrimen
gías, que a una auténtica necesidad.
se ha profesionalizado, contando actualmente
los atacantes con elevados conocimientos y Desde un enfoque histórico, la gestión de la
recursos, tanto humanos como técnicos y fi- seguridad de la información consistía en un
nancieros. Se trata, por tanto, de grupos bien enfoque principalmente reactivo: las revisio-
organizados y preparados. nes de configuración de seguridad de los sis-
10. National Audit Office (2013): The UK cyber security strategy: Landscape review
11. Parte oculta de Internet, utilizada por los cibercriminales/delincuentes, no accesible desde los motores de búsqueda
tradicionales, y dotada de complejos sistemas de comunicación y reenvío del tráfico y contenidos para ocultar su ori-
gen, acceso y mantener el anonimato.
16BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CIBERSEGURIDAD
· Controles centrados en el cumplimienro normativo.
ENFOQUE PREVENTIVO
· Desarrollo de una estrategia global de seguridad. · Compliance técnico con auditorías y estándares.
ENFOQUE REACTIVO
· Monitorización y vigilancia de la seguridad.
· Escaso análisis de amenazas externas, con foco casi
· Gestión de amenazas de manera proactiva. exclusivo en el personal interno.
· Coordinación e intercambio de información.
· Análisis de logs y eventos de seguridad, únicamente
· Personal dedicado y experto. realizado tras sufrir incidentes o ataques relevantes.
· Formación y concienciación de personal.
SEGURIDAD DE TI
Fuente: elaboración propia
temas y revisión de logs o registros de even- de sus planes de transformación a la econo-
tos eran ejecutadas casi única y exclusiva- mía digital.
mente por exigencias de cumplimiento o au-
Un ciberataque dirigido a una organización
ditorías, entre otros motivos por la carencia
afecta a todas sus áreas, pero se traduce so-
de cultura de seguridad en las organizacio-
bre todo en pérdidas que afectan al nego-
nes, así como por la escasez de recursos y
cio12:
personal dedicado a estas tareas.
· Pérdida de ingresos (19%).
El contexto actual ha hecho necesario evolu- · Pérdida de productividad (21%).
cionar hacia una gestión proactiva de la segu-
· Deterioro marca/ reputación y pérdida de la
ridad, la identificación anticipada de los ries-
confianza de clientes/accionistas (30%).
gos y la gestión continua de las amenazas
que pueblan el ciberespacio. En otras pala- · Cumplimiento y sanciones legales (8%).
bras, es necesario evolucionar de la actual
cultura reactiva a una de prevención y resi- Costes de TI: 22% Pérdidas que afectan
al negocio: 78%
liencia.
12% 19%
Por otra parte, las funciones de seguridad de 10%
la información, prevención de fraude y conti-
nuidad de negocio, están pasando a un pri- 8%
21%
mer plano corporativo porque se imbrican en
el conjunto de responsabilidades de la alta di-
rección de las organizaciones. Especialmente 30%
en empresas cotizadas, que han de ser ejem-
plares de cara a sus accionistas en el buen
De hecho, apenas una cuarta parte del impac-
gobierno de sus sociedades y en el cumpli-
to de ciberataque son costes TI:
miento legal, por lo que deberían invertir ade-
cuadamente en la gestión de riesgos de ciber- · Costes técnicos de remediación (10%).
seguridad como uno de los elementos clave · Costes de investigación (12%).
12. IBM (2014): Global Study on the Economic Impact of IT Risk
17BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
De la rapidez y extensión del impacto que tie- detección de los riesgos de ciberseguri-
nen las nuevas amenazas en toda la organi- dad.
zación se concluye que la ciberseguridad no
· Medidas organizativas, como la difusión
es una cuestión cuya responsabilidad deba
La ciberseguridad no de políticas de seguridad en las organiza-
debe circunscribirse a circunscribirse a los departamentos de TI, sino
ciones o la concienciación a los usuarios de
los departamentos de que la Alta Dirección de la empresa ha de es-
los riesgos en el uso de las tecnologías de
TI, sino que la Alta tar implicada en su gestión eficiente con un
la información.
Dirección ha de compromiso activo continuo.
implicarse en su · Medidas técnicas que pueden incluir desde
Por tanto la seguridad corporativa ya no se
gestión eficiente con un la existencia de herramientas para la ges-
identifica únicamente con la seguridad pre-
compromiso activo tión centralizada de alertas y eventos de
ventiva, ni es responsabilidad exclusiva de un
continuo. seguridad en los sistemas a técnicas que
departamento, ni se separa en un escenario
interior o exterior o con un enfoque reactivo o permitan detectar y prevenir fugas de infor-
preventivo. mación confidencial; contratación de servi-
cios de hacking ético y auditorías forenses
De este modo surgen en el seno de las em- de seguridad; búsqueda de información en
presas nuevas actividades y tareas relaciona- Internet, prensa o redes sociales; suscrip-
das entre las que cabe destacar: ción a servicios de alertas, incidentes y vul-
nerabilidades de seguridad; e incluso la
· Análisis de la exposición a los ciberries-
contratación de pólizas de los denominados
gos por parte de las entidades, identifica-
ciberseguros que cubran la pérdidas ocasio-
ción y clasificación de información crítica
nadas por un ciberataque, y la participación
existente en una organización y estableci-
miento de una estrategia de seguridad. en ciberejercicios que permitan evaluar las
capacidades de organización y resiliencia
· Concienciación: Cualquier persona o área ante el cibercrimen.
de una entidad puede ser víctima de un ci-
berataque, por lo que resulta necesario es- Servicios y sistemas de seguridad
tablecer una cultura de seguridad en las or-
ganizaciones con el objetivo de cambiar la En los últimos años han surgido diferentes
manera en que la seguridad es percibida servicios avanzados de seguridad para el con-
por las personas, adoptando entre otras al- trol y gestión de estos riesgos que cada vez
gunas de estas medidas: más organizaciones están adaptando e im-
- Divulgación de políticas y manuales de plantando en su operativa diaria, y entre los
seguridad. que cabe destacar:
- Difusión de incidentes y ataques de se- · SOC (Security Operations Center). La exis-
guridad, explicando sus causas y oríge- tencia de un Centro de Operaciones de Se-
nes. guridad (24x7) con personal especialista
- Establecimiento de cursos y actividades dedicado en exclusiva a la prevención y de-
formativas en materia de prevención y tección de ciberataques.
18BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
· SIEM (System Information Event Manage- información, etc. Incluye la coordinación e
ment). La existencia de herramientas que intercambio de información con organismos
permitan la correlación e identificación de públicos (por ejemplo, Fuerzas de Seguri-
eventos de seguridad en los diferentes sis- dad del Estado) y otras organizaciones de
temas y dispositivos, así como una gestión referencia.
centralizada de dichas alertas.
Para llevar a cabo estas actividades, resulta
· DLP (Data Loss Prevention). La existencia fundamental contar con los recursos y el per-
de procedimientos, medidas y herramientas sonal capacitado para realizarlas, adaptándo-
para la prevención y detección de pérdidas,
nos por supuesto a las necesidades, nivel de
robos y fugas de información confidencial.
exposición y tamaño de cada entidad. Por es-
te motivo, el personal con conocimientos y El tratamiento de la
· Antimalware. Herramientas de detección y
habilidades en materia de ciberseguridad es a ciberseguridad requiere
prevención de malware y otras amenazas
de un enfoque
avanzadas. Estos sistemas, utilizan técnicas día de hoy un perfil muy demandado y valora-
transversal e integral,
heurísticas y de detección por comporta- do en el mercado de trabajo actual.
ya que ésta excede el
miento algo más avanzadas que los clási-
Por otro lado, en el actual contexto globaliza- ámbito, funciones y
cos anti-virus, normalmente basados en fir-
do donde empresas y organizaciones de cual- responsabilidad del
mas.
quier país y sector son posibles objetivos de personal y áreas de
· Hacking ético y pen-testing. La necesidad los ciberdelincuentes, para combatir estas seguridad y tecnología.
de contar con servicios y pruebas periódicas amenazas resulta casi imprescindible la cola-
de hacking e intrusión en los sistemas, rea- boración, coordinación e intercambio de infor-
lizados bien sea a través de recursos inter- mación entre entidades, gobiernos, institucio-
nos o subcontratados con terceros. nes públicas y gubernamentales, y fabricantes
· Auditorías forenses de seguridad. Servi- y proveedores de software y hardware.
cios basados en diferentes procesos de in-
El alcance actual de la ciberseguridad y los
vestigación, rastreo y recopilación de infor-
riesgos que conlleva excede con creces el ám-
mación con el objetivo de establecer el ori-
bito de las infraestructuras y tecnologías de la
gen, motivo e incluso autoría de un cibera-
comunicación, e incluye también la protección
taque, así como la recolección de eviden-
de personas.
cias digitales que puedan servir incluso co-
mo prueba en posibles litigios o procesos Debido a ello, su tratamiento requiere de un
judiciales. enfoque transversal e integral en las organi-
· Ciberinteligencia. Observatorio de Internet zaciones. Cualquier persona o área de una or-
y servicios de vigilancia digital que incluyan ganización puede ser víctima de un ciberata-
entre otros el seguimiento y análisis de in- que, por lo que es necesario contar con todas
formación publicada en redes sociales, fo- ellas, puesto que la ciberseguridad excede el
ros, portales técnicos, medios de comunica- ámbito, funciones y responsabilidades del per-
ción, etc., como medida de prevención de sonal y áreas de seguridad y tecnología, y nos
posibles ataques, identificación de fugas de afecta a todos y cada uno de nosotros.
19BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Actualmente, resulta cada vez más común es- Para ello, las entidades están adoptando mo-
cuchar en las entidades y medios de comuni- delos para la gestión de los ciberriesgos, ba-
cación términos como ciberinteligencia, resi- sados en algunos de los estándares y buenas
liencia o seguridad operacional, que represen- prácticas del mercado, propuestos por las
Las organizaciones
tan perfectamente este cambio de paradigma, principales organizaciones de referencia (ISO,
deben implantar una
y ahondan en la idea del establecimiento de CobiT, ISACA, ITIL).
estrategia de seguridad
acorde a su exposición una estrategia global del ciclo de vida de la La siguiente figura muestra las principales
a los riesgos y a las seguridad y la gestión de incidentes, así como funciones asociadas a la gestión de la ciber-
necesidades, en las capacidades de las organizaciones de seguridad según el modelo de control pro-
posibilidades y defenderse, resistir e incluso responder a un puesto por el Instituto Nacional de Estándares
recursos. ciberataque. y Tecnología Norteamericano (NIST13).
CICLO DE VIDA DE GESTIÓN DE LOS CIBERRIESGOS
Identificar Proteger Detectar Responder Recuperar
Fuente: NIST (National Institute of Standards and Technology) (Feb. 2014): Framework for Improving Critical Infrastructure
Cybersecurity
Si bien la seguridad no existe al cien por cien sobre todo, es necesario un cambio de menta-
(siempre estaremos expuestos en mayor o lidad.
menor medida), sí es posible hacer nuestras
En este sentido, las organizaciones deben rea-
organizaciones más seguras. Para ello, la anti- lizar un análisis detallado de la exposición a
cipación es clave. Hay que ir por delante de estos riesgos, e implantar una estrategia de
los ataques siendo capaces de detectarlos y seguridad acorde a la misma, así como a las
prevenirlos. necesidades, posibilidades y recursos de cada
organización, construyendo un modelo de
Además, se puede limitar de forma significati-
gestión de la seguridad donde, además de las
va el daño si se reacciona de forma rápida y áreas clásicas de la seguridad IT, tengan refle-
decidida ante cualquier intento de compro- jo capacidades más avanzadas asociadas con
meter nuestro entorno. Todo esto requiere los conceptos de ciberseguridad y ciberresi-
continuidad y constancia en la vigilancia pero, liencia14.
13. NIST: del inglés “National Institute of Standards and Technology”.
14. Deloitte (2015): Modelo Colaborativo de CiberSeguridad (MCCS).
20BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
A nivel agregado, el conjunto de medidas y · Prevención frente a ciberataques mante-
principales actividades para el control y ges- niendo y mejorando las herramientas y me-
tión de los ciberriesgos, podría resumirse en: didas de seguridad física, de sistemas, re-
· Gobierno y organización en la entidad para des, y aplicaciones para la protección de
gestionar los riesgos, con una clara asigna- sus infraestructuras y sus activos de infor-
ción de roles y responsabilidades en toda la mación.
La sucesiva realización
organización, implantando estructuras de · Respuesta ante incidentes de seguridad y de ciberejercicios
gobierno –procedimientos, políticas de se- recuperación adecuadas, con el fin de po- permite a las
guridad, estándares, cumplimiento legal,
der limitar su impacto sobre la organización organizaciones mejorar
formación y concienciación de directivos y
y mantener la continuidad del negocio. su desempeño en el
empleados, gestión de proveedores– que
ámbito de la
permitan mantener y evolucionar sus capa- Este marco estratégico para la gestión de la
ciberseguridad.
cidades de ciberseguridad. seguridad, permitirá a las organizaciones
· Detección de las amenazas mediante el comprender el panorama de las ciberamena-
uso de las múltiples fuentes de ciberinteli- zas y los riesgos subyacentes; proteger los da-
gencia con el fin de poder gestionarlas pro- tos y activos contra las amenazas cibernéti-
activamente, análisis de redes y sistemas, cas; detectar estas a tiempo; y finalmente,
análisis del comportamiento de los usua- responder a los ciberataques y estar mejor
rios, monitorización de eventos de seguri- preparadas para reaccionar frente a lo inespe-
dad, etc. rado.
CIBEREJERCICIOS Y CIBERSEGUROS
De la misma forma que en el mundo de la mite evaluar el estado de preparación de los
continuidad de negocio y la gestión de crisis participantes frente a crisis de origen ciberné-
el modelo de gestión evoluciona principal- tico, facilitando además lecciones aprendidas
mente por la realización de sucesivos escena- y recomendaciones para el futuro…”
rios de prueba, dentro de la ciberseguridad la
Con carácter general, y aunque la naturaleza
sucesiva realización de ciberejercicios permi-
de estos ejercicios es variada, pueden cumplir
ten a las organizaciones mejorar su desempe- con los siguientes objetivos:
ño dentro de este ámbito.
- Evaluar las medidas de seguridad perime-
tral, monitorización de seguridad y protec-
Ciberejercicios ción de sistemas y activos de información,
Tal y como se recoge en el documento Taxo- mediantes ejercicios de hacking ético o
nomía de Ciberejercicios desarrollado por el pentesting que simulan y utilizan las técni-
INCIBE (Instituto Nacional de Ciberseguri- cas y modos de actuación de los atacantes.
dad), se puede definir el concepto de cibere- - Evaluar las capacidades de tratamiento y
jercicio como: “…una herramienta que per- recuperación de las entidades ante un ci-
21BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
berataque, tanto de las medidas organizati- que con la participación de organismos de
vas y de gestión (ejercicios role-play: toma defensa estadounidenses. La realización de
de decisiones), como desde un punto de este tipo de ejercicios suele implicar la partici-
vista técnico (capacidades de detección, pación de numerosos organismos guberna-
Los resultados de los
análisis de la infección e informática foren- mentales incluyendo tanto al ejército como a
ciberejercicios permiten
se, contingencia de los sistemas,…). las fuerzas del orden y seguridad del Estado.
identificar debilidades y
ausencias de control en - Evaluar el nivel de concienciación, forma- La implicación de múltiples organismos en la
los sistemas y ción y cultura de seguridad de los emplea- preparación de estos ciberejercicios represen-
mecanismos de control dos de la organización, típicamente realiza- ta un gran dilema a la hora de desarrollar una
y seguridad de la do a través de la realización de simulacros estrategia continua de pruebas. El alto coste
información, (falsas campañas de phishing, colocación de preparación y coordinación de actividades
permitiendo establecer de dispositivos con información confiden- que exigen estos ejercicios representa un es-
planes y acciones para cial,…). collo importante a la hora de formalizar un
su resolución y mejora. proceso continuo de prueba. Además, suele
Los resultados de estos ejercicios son de gran
ser complicado obtener un reaprovechamien-
valor para las entidades, puesto que permiten
to de las actividades desarrolladas anterior-
identificar debilidades y ausencias de control
mente debido al alto grado de volatilidad y
en los sistemas y mecanismos de control y se-
caducidad de las ciberamenazas. Es decir, el
guridad de la información, permitiendo esta-
escenario preparado un año para la realiza-
blecer planes y acciones para su resolución y
ción del ciberejercicio puede encontrarse ob-
mejora.
soleto para el ejercicio del año siguiente, lo
Estas actividades de prueba dentro de la ci- que requiere volver a desarrollar y planificar
berseguridad han sido promovidas y desarro- un nuevo escenario de prueba cada ejercicio.
lladas, tradicionalmente, por los ámbitos mili-
La elevada complejidad de las pruebas, unida
tares y gubernamentales.
al reducido beneficio que estas actividades
Generalmente las pruebas cuentan con la par- pueden llegar a proporcionar (teniendo en
ticipación de las fuerzas de seguridad locales, consideración la constante aparición de nue-
aunque recientemente, y cada vez más, la vas ciberamenazas) han hecho surgir el térmi-
complejidad de las infraestructuras tecnológi- no CyberRange, conocido como “Campo de
cas y la protección de las infraestructuras crí- Maniobras”. Este tipo de iniciativas represen-
ticas implican la participación de diferentes tan una infraestructura tecnológica de virtua-
organizaciones empresariales de diversos sec- lización con la suficiente versatilidad como
tores. para poder componer multitud de escenarios
y situaciones de manera rápida y automatiza-
Inicialmente, los principales ciberejercicios da. De esta forma, con un esfuerzo menor y
provenían de organismos gubernamentales de forma ágil se pueden recrear campos de
de defensa como la OTAN. Dentro de este ti- entrenamiento continuo para el personal im-
po de iniciativas podríamos encuadrar el Loc- plicado en la ciberseguridad. Este concepto,
ked Shields y la Cyber Coalition, que se de- con un elevado coste y una alta complejidad
sarrollan principalmente a nivel europeo aun- de diseño, representa actualmente una ten-
22También puede leer
