1

Ciberseguridad
1.1 Definición
La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad,
salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger
los activos de la organización y los usuarios en el ciberentorno. Los activos de la
organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los
servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones
multimedios, y la totalidad de la información transmitida y/o almacenada en el
ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades
de seguridad de los activos de la organización y los usuarios contra los riesgos de
seguridad correspondientes en el ciberentorno. (Unión Internacional de
Telecomunicación, 2010).

1.2 Generalidades
En los últimos años el concepto de ciberseguridad se ha convertido en un estándar y en
una necesidad en todas las organizaciones puesto que cada vez más y con mayor
frecuencia se recurre al uso de las tecnologías de la información y las comunicaciones
para apalancar los procesos operativos y core del negocio, el desarrollo y evolución de la
tecnología nos lleva a hacer uso de servicios como internet, la interconexión entre sedes y
con mayor frecuencia la utilización de tecnologías de computación en la nube lo que
necesariamente obliga a las empresas a proteger sus recursos y su información del
acceso no autorizado y de todas las posibles amenazas de las cuales pueden ser
víctimas.

Prevención
Esta es la primera fase que ayudará de manera significativa en la disminución de los
riesgos, actuar de manera temprana implica conocer nuestros activos o recursos
tecnológicos usados en la organización y realizar un análisis de las posibles amenazas y
la forma en que podríamos prevenirlas o contrarrestarlas, en esta fase es de gran
importancia la concienciación que se debe de hacer en todos los miembros de la
organización, prepararlos, capacitarlos y crearles conciencia permitirá que se cometen un
número menor de errores que muchas veces por desconocimiento generan
vulnerabilidades y riesgos que pueden ser prevenidos y detectados con anterioridad.
Localización
Luego de prevenir, debemos concentrarnos en la adquisición e implementación de una
serie de herramientas tecnológicas que nos permitan en caso de presentarse algún tipo de
incidente poder localizar su fuente y afectación a fin de tomar las acciones correctivas a
que dieran lugar.

Esto se logra cuando las medidas y herramientas empleadas están haciendo un constante
monitoreo y gestión sobre los recursos tecnológicos, normalmente cuando se detectan
los incidentes estos ya han ocurrido muchos días antes ya que cada vez los atacantes
utilizan más herramientas y estrategias avanzadas que dificultan su detección, de ahí la
importancia de un constante monitoreo sobre sus recursos y servicios tecnológicos.

Reacción
Una vez se detecte una posible amenaza se debe realizar una reacción inmediata que
permita su mitigación, para esto se recomienda seguir los siguientes pasos:
 Desconectar los activos de la red que están siendo afectados
 Actualizar los sistemas de protección implementados como antivirus,
antimalware, anti spyware, entre otras estrategias implementadas en la
organización.
 Realizar un análisis exhaustivo sobre los sistemas o servicios afectados a
fin de detectar el origen y afectación
 Cambiar todas las contraseñas
 Realizar una limpieza profunda de los recursos tecnológicos con las
herramientas con que cuente la organización.

Protegerse de los peligros de la actual coyuntura tecnológica nos lleva a diseñar y

1.3 Marcos de referencia

Los ataques cibernéticos son cada vez más comunes y frecuentes, como se mencionó
anteriormente debido a la inmersión de la tecnología en los procesos empresariales, es
claro que debemos proteger nuestros recursos y activos, la pregunta es ¿Cómo empezar?,
es ahí donde cobra importancia los marcos de referencia que se han venido desarrollando
y adoptando, estos marcos suministran información valiosa y útil en el diseño de procesos
de control y mitigación de riesgos de ciberseguridad.

Si bien se debe elegir un marco y trabajar con él, son solo una referencia y no una solución
definitiva porque también es importante el enfoque del análisis de riesgos del cual
hablaremos más adelante, cada marco propone una serie de controles, se debe elegir
cuales son aplicables a mi entorno y si se llegase a requerir hacer adopción o ajustes de
otros marcos de referencia.

A continuación, se definen los marcos de referencia más utilizados y de mayor desarrollo

incluyendo algunos propósitos particulares para su adopción: optar una serie de
procesos que nos posibiliten la protección de sus activos, recursos e información y
para ello 1.3.1 NIST CSF (National Institute of Standards and Technology - Cybersecurity
Framework) - Marco de Ciberseguridad del Instituto Nacional de Estándares y
Tecnología.fases:

Este marco ayuda a las empresas de todos los tamaños a comprender, gestionar y
reducir los riesgos cibernéticos y proteger sus redes y datos. Les proporciona un
lenguaje común y un resumen de las mejores prácticas en ciberseguridad.

Este marco no provee nuevas funciones o categorías de ciberseguridad, sino recopila las
mejores prácticas (ISO, ITU, CIS, NIST, entre otros) y las agrupa según afinidad. Se centra
en el uso de impulsores de negocio para guiar las actividades de ciberseguridad y
considerar los riesgos cibernéticos como parte de los procesos de gestión de riesgos de

la organización.

Para más información sobre el Marco de Ciberseguridad del NIST y los recursos para
negocio puede revisar
1.3.2 ISO / IEC 27001: 2013
Este marco, creado y publicado por la Organización Internacional de Normalización (ISO),
es un marco general que funciona bien para empresas de diversos tamaños en una
variedad de industrias. Es similar al NIST CSF. El marco es respetado y ampliamente
conocido internacionalmente. El enfoque de ISO 27001 es la protección de la
confidencialidad, integridad y disponibilidad de la información en una empresa.

Su filosofía se basa en la gestión de riesgos: investigar dónde están y luego tratarlos de

manera sistemática
1.3.3 COBIT (Objetivos de control para información y tecnologías relacionadas.
En inglés Control Objectives for Information and related Technology)

COBIT fue desarrollado por ISACA, una organización global independiente sin fines de
lucro que se enfoca en el gobierno de TI. Este marco es similar al marco de NIST e ISO, ya
que es un marco más general que la mayoría de las organizaciones pueden usar.
Es una guía de mejores prácticas, dirigida al control y supervisión de TI. Cuenta con una
serie de recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo objetivos de control, mapas de auditoría, herramientas para su implementación
y una guía de técnicas de gestión.

1.3.4 HITRUST CSF (Health Information Trust Alliance - Cybersecurity

Framework)

HITRUST CSF fue desarrollado por Health Information Trust Alliance (HITRUST) y es el
marco de seguridad más adoptado en la industria de la salud de los Estados Unidos.
HITRUST originalmente desarrolló su CSF (Cybersecurity Framework en español Marco de
ciberseguridad) para enfocarse en elementos clave y riesgos inherentes a la industria de
la salud, como las consideraciones de HIPAA (Ley de Responsabilidad y Portabilidad de
Seguros de Salud), pero desde entonces han actualizado el marco con controles más
amplios que se aplicarían a cualquier organización.
1.3.5 CSA Cloud Controls Matrix

La Cloud Controls Matrix fue desarrollada por Cloud Security Alliance (CSA)
específicamente para los proveedores de la nube. La estructura del
almacenamiento de datos en la nube conlleva riesgos únicos que requieren
controles de seguridad específicos, que se establecen en este marco. La matriz de
controles de la nube se actualiza con frecuencia y es útil para los proveedores de
la nube de cualquier tamaño.

CSA CCM fortalece los entornos de control de seguridad de la información

existentes al enfatizar los requisitos de control de seguridad de la información
empresarial, reduce e identifica las amenazas y vulnerabilidades de seguridad
consistentes en la nube, proporciona seguridad estandarizada y gestión de riesgos
operativos, y busca normalizar las expectativas de seguridad, taxonomía y
terminología de la nube.

CCM DOMAINS
AIS
Application & Interface Security
ACC
Audit Assurance & Compliance
BCR
Business Continuity Mgmt & Op Resilience
CCC
Change Control & Configuration Management
DSI
Data Security & Information Lifecycle Mgmt
DSC
Datacenter Security
EKM
Encryption & Key Management
GRM
Gervernance & Risk Management
HRS
Human Resources Security
IAM
Identity & Access Management
IVS
Infraestructure & Virtualization
IPY
Interoperability & Portability
MOS
Mobile Security
SEF
Sec. Incident Mgmt, E-Disc & Cloud Forensics
STA
Supply Chain Mgmt, Transparency & Accountability
TVM
Threat & Vulnerability Management

Seguridad de la información
2.1 Generalidades
El concepto de seguridad de la información significa proteger la información y los
sistemas de información de un acceso, uso, divulgación, alteración, modificación, lectura,
inspección, registro o destrucción no autorizados. Soriano, M. (2014).
Si bien son complementarias se debe diferenciar los conceptos de seguridad de la
información, seguridad informática y seguridad en la red.

Seguridad de la información
2.2 Principios

Como se mencionó anteriormente la seguridad de la información se centra en garantizar

lo que en el mundo de seguridad se conoce como la triada conocida por sus siglas CIA,
que nada tienen que ver con una famosa agencia de estados unidos, se le da este nombre
ya que corresponde a las iniciales de los principios que sustentan la seguridad de la
información: confidencialidad, integridad y disponibilidad.
uando los usuarios autorizados los necesitan.

2.3 Políticas de seguridad

Para entender los términos sobre políticas de seguridad, es necesario definir el concepto

más general de política, siendo esta una declaración de alto nivel que describe la posición
de la entidad sobre un tema específico.

Ahora, si le adicionamos el concepto de seguridad por supuesto se refiere a la declaración

de alto nivel donde la organización fija una posición frente a la necesidad de contar con un
sistema de gestión de seguridad de la información que identifique el qué, de quién y cómo
se deben proteger los recursos o activos tecnológicos necesarios para el cumplimiento
del core de la empresa.

En términos más generales “las políticas de seguridad son un conjunto de reglas, normas
y protocolos de actuación que se encargan de velar por la seguridad informática de la
empresa. Se trata de una especie de plan realizado para combatir todos los riesgos a los
que está expuesta la empresa en el mundo digital. De esta forma mantendremos nuestra
organización alejada de cualquier ataque externo peligroso”. (Caurin, 2018).

2.4 Estándares y normas de referencia

Existen varios estándares de seguridad informática, iniciando por el grupo de estándares

ISO/IEC 27000 que integran un sistema de administración de seguridad de la información
(information security management system ISMS) el cual está enfocado en la seguridad de
la información bajo un explícito control administrativo de la misma.

El ISO 15408 es un estándar desarrollado en lo que se conoce como “Criterio Común” y

permite que diferentes aplicaciones de software puedan ser integradas y probadas en una
forma o manera segura.

El RFC 2196 es memorándum publicado por el Internet Engineering Task Force para el
desarrollo de políticas y procedimientos de seguridad para sistemas de información
conectados a Internet; proporciona una amplia y general visión de la seguridad de la
información incluyendo la seguridad de la red, respuesta a incidentes o las políticas de
seguridad. El documento es muy práctico y centrado en el día a día de las operaciones.

Para el campo industrial, se inició en el año 2007, con el grupo de trabajo de la

International Society for Automation (ISA), el estándar ISA-99 denominado Security for
Industrial Automation and Control Systems con la publicación del estándar ANSI/ISA-
99.00.01-2007 Security for Industrial Automation and Control Systems: Concepts,
Terminology and Models, en conjunto con el reporte técnico ANSI/ISA-TR99.00.01-2007,
Security Technologies for Manufacturing and Control Systems. A principios de 2009, fue
aprobado por ANSI el estándar ANSI/ISA-99.02.01-2009, Security for Industrial Automation
and Control Systems: Establishing an Industrial Automation and Control Systems Security
Program. Finalmente, en el año 2010, se cambió por el estándar ISA/IEC 62443 para
alinear la numeración de la documentación del estándar con los estándares
correspondientes de la International Electrotechnical Commission (IEC).

2.5 Riesgos y mecanismos de valuación

El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque
sobre un recurso o servicio tecnológico. Esto no es otra cosa que la probabilidad de que
ocurra el ataque por parte de la amenaza.

Zambrano, S. M. Q., & Valencia, D. G. M. (2017)

En la definición anterior se menciona el concepto de amenaza siendo ésta cualquier

evento que puede afectar los activos de información y se relaciona, principalmente, con
recursos humanos, eventos naturales o fallas técnicas.

El riesgo se utiliza sobre todo el análisis de riesgos de un sistema informático. Este riesgo
permite tomar decisiones para proteger mejor al sistema. Se puede comparar con el
riesgo límite que acepte para su activo o recurso tecnológico, de tal forma que, si el riesgo
calculado es inferior al de referencia, éste se convierte en un riesgo residual que podemos
considerar cómo riesgo aceptable. Zambrano, S. M. Q., & Valencia, D. G. M. (2017).

Para poder realizar un proceso correcto o adecuado de valuación de riesgos de manera

general se deben de realizar las siguientes actividades:

 Identificar todos aquellos activos de información que tienen algún valor para la
organización.
 Asociar las amenazas relevantes con los activos identificados.
 Determinar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas.
 Identificar el impacto que podría suponer una pérdida de confidencialidad,
integridad y disponibilidad para cada activo.

Para el desarrollo de este proceso se han desarrollado diferentes metodologías dentro de

las cuales se destacan las siguientes:
i. ISO 31000:2009. Establece un conjunto de principios que se deben satisfacer para que
la gestión del riesgo sea eficaz.

ii. Octave. (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Es una de las
metodologías de análisis de riesgos más utilizada por las empresas.

iii. Magerit. Metodología de Análisis de Riesgos Informáticos desarrollada por el Consejo

Superior de Administración Electrónica. J. Eterovic y G. Pagliari (2011).

iii. Mehari. Método Armonizado de Análisis de Riesgos. Esta metodología fue propuesta y

desarrollada por el Club Francés de la Seguridad de la Información CLUSIF en el año 1996.
v. NIST SP 800 – 30. (National Institute of Standards and Technology): guía de gestión de
riesgo para sistemas de tecnología de la información – Recomendaciones del Instituto
Nacional de Estándares y Tecnología.

vi. Coras Construct a Platform for Risk Analysis of Security Critical Systems. Consultative
Objetive Risk Analysis System es un proyecto desarrollado desde el año 2001 por Sintef.

3 Activos de información

El término de activo de información se relaciona con todos esos elementos tecnológicos o

relacionados con la tecnología que la organización utiliza para el cumplimiento de sus
metas o core del negocio. Según la norma ISO/IEC 27001 se entiende como activo todo
aquello que es importante y que la organización valora por lo tanto debe de protegerse.

Activos de información
3.1 Inventario de activos

De acuerdo a la norma ISO/IEC 27001 es necesario realizar un inventario y clasificación de

los activos de información como cumplimiento al Modelo de Seguridad y Privacidad de la
Información el cual se estipula de la siguiente forma: os
Se deben identificar todos los activos de la compañía y a su vez crear un inventario

de estos.
La clasificación de un activo de información se basa en las propiedades de
confidencialidad, integridad y disponibilidad como principios para el tratamiento de los
datos, en este proceso también evalúa el impacto que tendría en caso de que afectara
alguno de estos principios.

Es importante saber que a cada propiedad se le deben establecer criterios específicos

acerca de cómo va a ser el tratamiento del activo. Cada entidad puede definir los niveles
que permitirán determinar el valor del activo. Normalmente se usan tres niveles: alta,
media y baja para saber cuáles activos se deben tratar con prioridad.

3.2 Metodologías de valuación de activos

Para la valuación de activos, las metodologías utilizadas son las mismas que se
mencionan en la valuación de riesgos informáticos, toda vez que este proceso inicia
justamente con la identificación, clasificación y valuación de los activos, por ello es
recomendable hacer la selección de una metodología que más se ajuste a la necesidad de
cada empresa.

4.La identificación de los activos

Para la realización de este proceso se utilizará como referencia la norma ISO 27001:2017.

4.1 Tipos de activos

Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los
activos tangibles son aquellos activos materiales que contienen información, y sobre los
que tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos:
golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan la información
dentro de un activo material, y pueden inutilizar la información, pese a que el activo físico
no haya sufrido daño alguno.

4.1.1 Activos tangibles o materiales

A continuación, se mencionan algunos ejemplos de los tipos de activos considerados
como tangibles:

Equipos informáticos

Cada vez son más los equipos informáticos presentes en las empresas, y pese a no
contener información crítica en su interior, sí que tienen acceso a servidores y redes que sí
la poseen.

Servidores físicos

Los servidores propios donde guardamos todos los documentos de la organización o

donde se encuentran las aplicaciones informáticas compartidas (ERP, CRM...), y los
externos donde alojamos nuestros servicios web y de correo electrónico, suelen ser los
activos más críticos dentro de un sistema de gestión de seguridad de la información.

Equipos red local

Nuestros equipos informáticos están conectados entre sí por medio de redes

inalámbricas o cableadas. Las cuales pueden ser cortadas, obstruidas o interceptadas por
atacantes cibernéticos.

Periféricos y pendrives

Hay que tener un especial cuidado con escáneres e impresoras donde se deja información
impresa olvidada con frecuencia. Los pendrives, CDs, DVDs... suelen perderse con
facilidad o quedar olvidados por los cajones con información muy sensible.
Portátiles, tabletas y móviles

En esta categoría se incluyen todos aquellos dispositivos electrónicos que salen de

nuestras instalaciones habitualmente. Sea por visitas comerciales, porque el trabajador se
lo lleva a casa después del trabajo, o se ceden temporalmente a terceros.

Oficinas e instalaciones

Las oficinas, los edificios, casas, bodegas industriales, entre otros que contienen los
ordenadores, los servidores físicos, los archivadores, la documentación en papel. Por lo
que deben ser consideradas como un activo material más, que deberemos proteger.

Personal propio

Cada una de las personas que trabajan en la organización, tienen información del negocio
en su cabeza, conocimientos del proceso productivo, salarios, contactos de proveedores y
clientes, entre otro tipo de información, dependiendo del puesto que ocupe el trabajador,
ésta será más o menos sensible.

Otros contenedores

Armarios RF, cajas fuertes, archivadores, estanterías, salas refrigeradas para servidores,
cuartos de archivo, entre otros, son activos físicos que podemos tener en nuestra
organización, y deberemos identificar.

4.1.2 Activos intangibles

Entre otros, los siguientes son ejemplos de activos intangibles que puede poseer cualquier
organización

Aplicaciones informáticas

Cualquier software que contenga o gestione información del negocio, será un activo: el
ERP, aplicaciones de contabilidad, el CRM, aplicaciones ofimáticas (Word, Excel,
PowerPoint), software de control de calidad, aplicaciones de gestión de proyectos o
producción, software de nómina, entre otros.
Gestores de copias de seguridad

Las aplicaciones de creación y restauración de copias de seguridad se tratan como

herramientas diferentes a las anteriores, dado que se debe garantizar su disponibilidad en
el caso de caída grave del resto de sistemas.

Sistemas operativos

Dado que soportan el resto de aplicaciones informáticas y que son uno de los principales
objetivos de los virus informáticos, los gestionaremos de manera especial al resto del
software.

Comunicaciones

Las comunicaciones con el exterior también son críticas ante una situación de
emergencia, por lo que se tratarán de forma diferente: los servicios telefónicos, el acceso
a internet y los servidores de correo electrónico.

Gestores de bases de datos

El mal funcionamiento de una aplicación puede suponer una pérdida de accesibilidad de la

información durante un tiempo determinado. Pero la caída del gestor de bases de datos
que hay detrás, puede generar la pérdida de una parte del contenido o su totalidad. Por lo
que requiere de un cuidado más exigente y delicado.

Suministros

La pérdida de suministro eléctrico durante un espacio de tiempo prolongado, puede

suponer la caída de los sistemas de información de la organización. Por lo que deberemos
tener alternativas a nuestro proveedor habitual de estos servicios.