You are on page 1of 52

BU E N A S P R C T I C A S E N G E S T I N D E R I E S G O S

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Ciberseguridad
Una gua de supervisin
El INSTITUTO DE AUDITORES INTERNOS DE ESPAA es una asociacin profesional fundada en 1983, cuya misin es contribuir al xito de
las organizaciones impulsando la Auditora Interna como funcin clave del buen gobierno. En Espaa cuenta con ms de 3.200 socios,
auditores internos en las principales empresas e instituciones de todos los sectores econmicos del pas.

LA FBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de Espaa sobre gobierno corporativo, gestin
de riesgos y Auditora Interna, donde participan ms de 150 socios y profesionales tcnicos expertos.

AUDITORA INTERNA BUENAS PRCTICAS EN GESTIN DE RIESGOS OBSERVATORIO SECTORIAL PRCTICAS DE BUEN GOBIERNO

El laboratorio trabaja con un enfoque prctico en la produccin de documentos de buenas prcticas que contribuyan a la mejora del buen
gobierno y de los sistemas de gestin de riesgos en organizaciones de habla hispana. Adems de desarrollar contenido, fomenta el
intercambio de conocimientos entre los socios.
BU E N A S P R C T I C A S E N G E S T I N D E R I E S G O S

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Ciberseguridad
Una gua de supervisin
Octubre 2016

MIEMBROS DE LA COMISIN TCNICA


COORDINACIN: Israel Martnez Lacabe, CISA. GRUPO SANTANDER
Josep Castells Rafel, CISA. CAIXABANK
Jos Antonio Castrillo, CISA, CISM, CGEIT. MAZARS
Jordi Civit Vives, CISA, CCSA. MELI HOTELES
Oliver Crespo Romero, CISA, CISM. SANITAS
Sandra Fernndez Moreno, CISA. MAPFRE
Gregorio Hernndez Manso, CISA, CISM. RED ELCTRICA DE ESPAA
Juan Jos Huerta Daz, CIA, CISA, CISM, CGEIT, CDPP. BBVA
Eduardo Iglesias Cordero. LIBERBANK
Daniel Martnez Villegas. CIMPRESS
Ral Mateos Martn, CISA, CISSIP, CRISC. BBVA
Marc Munta Vergs, CISA, CISM. MUTUA UNIVERSAL
Felipe Pastor Fornieles, CISA, CISM. ERNST & YOUNG, S.L.
Fernando Picatoste Mateu, CIA, CISA, CISM, CGEIT, CRISC, CISSP. DELOITTE
Albert Sans I Feliu, CISA. INDITEX
BUENAS PRCTICAS EN GESTIN DE RIESGOS

El avance de las nuevas tecnologas ha propiciado un cambio sin precedentes que ha in-
fluido en la forma de operar de las organizaciones, cuyas actividades se desarrollan cada
vez ms en el ciberespacio.

Este hecho propicia un gran desarrollo econmico y social, pero a la vez la aparicin de
nuevos retos y amenazas que es imprescindible gestionar. No en vano el Foro Econmico
Mundial incluye varios riesgos asociados a la ciberseguridad en su ranking de Riesgos
Globales desde hace aos. A modo de ejemplo, en 2016 el coste medio de un ataque in-
formtico para las compaas ronda los 75.000 euros, lo que hace que solo los ciberdeli-
tos cuesten a las empresas espaolas unos 14.000 millones de euros al ao.

Los ciberataques y su naturaleza se han multiplicado en los ltimos aos, y cada vez son
ms complejos y ms difciles de prevenir y detectar, lo que hace que los rganos de go-
bierno de las organizaciones deban incrementar y mejorar la supervisin sobre la ciberse-
guridad.

LA FBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-


a, aborda en este documento parte de un manual editado tambin por el IAI- las prin-
cipales cuestiones relativas a la ciberseguridad y un completo anlisis de buenas prcticas
de Auditora Interna para la evaluacin y revisin de los controles en esta materia.

Tambin se incluyen los 20 Controles Crticos de Seguridad que todas las organizaciones
deben implementar y cul es el papel de Auditora Interna en la revisin de cada uno de
ellos.

El valor que aporta esta gua de supervisin va ms all de los auditores internos de siste-
mas o de las Direcciones de Auditora Interna. Las Comisiones de Auditora y otros comi-
ts de la empresa encontrarn en estas pginas un importante aliado que les ofrecer in-
formacin completa y precisa para permitirles tomar decisiones sobre la estrategia, orga-
nizacin y operaciones para evitar que este riesgo se materialice en las organizaciones.

Un documento tan exhaustivo y a la vez de fcil comprensin como ste, incluso para los
profanos en auditora de TI, solo poda estar firmado por expertos auditores internos co-
mo los que han formado parte de la Comisin Tcnica. Les felicito por haber puesto su
experiencia y conocimiento al servicio de todos los socios y por mantener el nivel de exce-
lencia y sencillez al que nos tienen acostumbrados las publicaciones de LA FBRICA DE
PENSAMIENTO.

Ernesto Martnez
Presidente del Instituto de Auditores Internos de Espaa

3
BUENAS PRCTICAS EN GESTIN DE RIESGOS

ndice

INTRODUCCIN 06

PRINCIPALES CUESTIONES RELATIVAS A LA CIBERSEGURIDAD 07


Riesgos, amenazas y vulnerabilidades ....................................................................09

De la seguridad de TI a la ciberseguridad: el cambio de paradigma ..............16

Ciberejercicios y ciberseguros ...................................................................................21

Metodologas y estrategias de control y gestin de ciberriesgos ....................24

Regulacin y normativa ..............................................................................................28

BUENAS PRCTICAS DE AUDITORA INTERNA PARA LA 32


EVALUACIN Y REVISIN DE CONTROLES DE CIBERSEGURIDAD
El rol de Auditora Interna ......................................................................................... 32

20 Controles Crticos de Seguridad que todas las organizaciones


deberan implementar ................................................................................................ 35

CERTIFICACIONES PROFESIONALES 42

BIBLIOGRAFA RELEVANTE 46

5
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Introduccin
La economa internacional, la prestacin de Ningn dispositivo hardware o software exis-
servicios por parte de las administraciones, tente en la actualidad desde el sistema ms
empresas y profesionales, el acceso a la infor- complejo instalado en una infraestructura es-
macin, la educacin, el comercio, el ocio o la tratgica, como una central nuclear, hasta la
La proteccin frente a salud de los ciudadanos, al igual que casi to- ms sencilla aplicacin informtica instalada
los ciberriesgos se ha dos los mbitos de nuestra sociedad, se sus- en un telfono mvil est exento de ser ata-
convertido en una tentan hoy ms que nunca (y cada vez ms) cado.
prioridad debido a las en el ciberespacio1.
nuevas amenazas As, la ciberseguridad representa actualmente
procedentes de Las tecnologas de la informacin y las comu- una de las principales preocupaciones de to-
Internet, el crecimiento nicaciones (TIC) propician el desarrollo econ- das las empresas e instituciones, con indepen-
del nmero de ataques mico de la sociedad de manera integrada den- dencia del sector o mbito al que pertenez-
y la mayor complejidad tro de las empresas y organizaciones, que can.
de las amenazas. usan en su actividad el amplio abanico de dis-
La proteccin frente a los ciberriesgos se ha
positivos electrnicos y redes de comunicacio-
convertido por tanto en una prioridad de las
nes disponibles.
mismas, fruto de la proliferacin de nuevas
Sin embargo, de la mano de dicha expansin amenazas procedentes de Internet, el enorme
tecnolgica y el aumento del uso de servicios crecimiento durante los ltimos aos del n-
de Internet surgen nuevos retos y desafos pa- mero de ataques recibidos por las organiza-
ra las organizaciones. As, una de las principa- ciones, y el aumento en la complejidad y sofis-
les amenazas que han trado consigo estos ticacin de estas amenazas.
avances es la proliferacin de acciones delicti-
vas en el ciberespacio.

1. Se entiende por ciberespacio el entorno virtual comn que comprende la interconexin del conjunto global de sistemas,
activos de informacin y redes de comunicaciones (incluyendo Internet), as como los usuarios de estos servicios y tec-
nologas.

6
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Principales cuestiones relativas


a la ciberseguridad
Los ciberataques no slo se han multiplicado Target, Apple, Home Depot, o Google, entre
en los ltimos aos, extendiendo su incidencia otras. Tambin administraciones pblicas y go-
a todo tipo de organizaciones y a todos los biernos de todo el mundo estn entre los
sectores econmicos, sino que su naturaleza damnificados que han sufrido robos de infor-
ha cambiado drsticamente en trminos de macin de sus bases de datos de clientes, ele-
frecuencia, complejidad y finalidad, dentro de vadas prdidas econmicas, prolongadas in-
un proceso de continua evolucin y sofistica- disponibilidades en sus sistemas, daos repu-
cin que los hace cada vez ms complejos y tacionales o sabotajes de sus servicios online;
peligrosos. como consecuencia del denominado cibercri-
Empresas,
men.
En pocos aos, las tradicionales amenazas de administraciones
Sirvan como ejemplos de lo anterior las si- pblicas y gobiernos
la seguridad (virus, gusanos, troyanos,) han
guientes ciberamenazas que han provocado han sufrido robos de
evolucionado hacia ataques de denegacin de
algunas de las mayores infecciones y trastor- informacin, prdidas
servicios (DoS2) y sofisticados softwares mali-
nos recientes en materia de seguridad infor- econmicas o sabotajes
ciosos (malware) hasta llegar a las amenazas
mtica: como consecuencia del
persistentes avanzadas (APTs) o ataques diri-
denominado
gidos, que combinan mltiples tcnicas de Zeus. Malware3 orientado al robo de infor- cibercrimen.
ataque y explotacin de diferentes tipos de macin personal de los usuarios: credencia-
vulnerabilidades, incluyendo el uso de tcnicas les de cuentas de correo electrnico, redes
de ingeniera social (por ejemplo spear-phis- sociales, datos de servicios financieros, etc.
hing), as como una fase previa de estudio y
recoleccin de informacin del objetivo que Flame y Agent BTZ. Software espa con
los hace mucho ms eficaces y dainos. gran capacidad de propagacin capaz de
obtener capturas de pantalla, pulsaciones
Son numerosos los ataques recibidos por de teclado, control del bluetooth, webcam o
grandes corporaciones y multinacionales du- grabacin de llamadas. Asimismo, posee la
rante los ltimos aos, como JPMorgan, Sony, capacidad de transmitir la informacin reco-

2. DoS: Del ingls Denial of Service.

3. Si bien no existe un criterio de clasificacin estricto de las diferentes tipologas de malware, se entiende de manera ge-
neral que esta palabra incluye todo tipo de software o cdigo malicioso que tiene el objetivo de infiltrarse y daar un
sistema de informacin, abarcando virus, gusanos, troyanos, rootkits, spyware, keyloggers, botnets, etc.

7
BUENAS PRCTICAS EN GESTIN DE RIESGOS

pilada ocultndola mediante tcnicas de ci- tra tambin el hecho de que el World Econo-
frado. mic Forum lo incluya desde el ao 2014 en la
lista de los 5 principales riegos globales, en
Carbanak. Ataque Persistente Avanzado
trminos de probabilidad, junto al cambio cli-
(APT) diseado y dirigido al sector bancario,
mtico, el desempleo, las catstrofes naturales
capaz de alterar y manipular el funciona-
y la desigualdad econmica.
miento de las redes y software de control
de los cajeros automticos. Los principales vectores y razones que han
propiciado esta situacin actual son:
Ransomware. Tambin conocido como el
virus de la polica, cifra la informacin La creciente expansin del acceso a Internet
contenida en el sistema del usuario infecta- y el proceso de digitalizacin global (actual-
do, solicitando una compensacin econmi- mente existen ms de 2.800 millones de
ca para su desbloqueo. personas con acceso ms del 40% de la
poblacin mundial y 10.000 millones de
Stuxnet. Software malicioso descubierto en
dispositivos conectados), as como la popu-
2010, capaz de controlar y manipular soft-
larizacin de nuevos dispositivos (smartpho-
ware de control y supervisin de procesos
nes, tablets), nuevas tecnologas de proce-
industriales (SCADA).
samiento de datos (cloud computing, vir-
Actualmente la ciberseguridad representa un tualizacin de sistemas) y posibilidades de
problema global y sistmico, como lo demues- conexin remota y/o mvil (Wifi, VPN, 4G,

VOLUMEN DE CIBERINCIDENTES
18.232
+41%
12.916

7.263 Impacto

3.998
1.914
193 485
2009 2010 2011 2012 2013 2014 2015

CIBERAMENAZAS

Troyanos Bots
Virus Gusanos Spyware Malware DoS APTs Ingeniera social

Fuente: elaboracin propia a partir de datos de CCN-CERT

8
BUENAS PRCTICAS EN GESTIN DE RIESGOS

satlite), con sus consiguientes riesgos y de- La posibilidad de utilizar fuentes y sistemas
bilidades de seguridad asociados. annimos, que ampla la cantidad de gente
dispuesta a cometer este tipo de delitos.
La velocidad de los cambios tecnolgicos y El concepto de riesgo
la adopcin de tecnologas emergentes, en Se estima que el cibercrimen tiene un impacto ciberntico proviene de
global en la economa de entre 300.000 mi- la amenaza continua y
ocasiones no suficientemente maduras des-
llones y un billn de dlares al ao, cifra que a escala industrial por
de el punto de vista de seguridad.
equivale a cerca del 1% del PIB mundial, al- parte de terceros sobre
La crisis econmica de carcter global (gran canzando un nivel similar al de amenazas cri- los activos digitales, las
recesin) que se inici durante los aos minales convencionales como el narcotrfico operaciones y la
y/o la piratera4. informacin
2007-2008 y que, en mayor o menor medi-
corporativa.
da, sigue vigente en muchos pases y geo- Ms an, los riesgos cibernticos tienen una
grafas. naturaleza sustancialmente superior a stas
ltimas, en la medida que pueden tener dife-
Las importantes carencias existentes en las rentes objetivos simultneamente: la rentabili-
legislaciones transfronterizas, laxa normati- dad que ofrece su explotacin, la facilidad y el
va y escasa regulacin en algunos pases, y bajo coste de las herramientas utilizadas para
dificultad legal de perseguir el cibercrimen, la consecucin de ataques, as como la facili-
de manera general. dad de ocultacin del atacante; hacen posible
que estas actividades se lleven a cabo de for-
La creciente actividad que presentan los ma annima y desde cualquier lugar del mun-
movimientos activistas antisistema y anti- do, con lo que su trazabilidad y seguimiento
globalizacin. resulta sumamente complejo.

RIESGOS, AMENAZAS Y VULNERABILIDADES


Riesgos cibernticos
El concepto de riesgo ciberntico proviene de de atacantes. Debido a ello, las instituciones
la amenaza continua y a escala industrial so- y entidades financieras son uno de los prin-
bre los activos digitales, las operaciones y la cipales objetivos de los ciberdelincuentes.
informacin corporativa, por parte de terceros.
ROBO DE INFORMACIN
Para entender mejor el contexto actual, es ne-
La filtracin pblica o prdida de la infor-
cesario conocer los principales riesgos a los
macin confidencial representa un elevado
que se exponen las organizaciones:
riesgo para cualquier organizacin, cuyos
FRAUDE DINERARIO impactos o prdidas pueden resultar espe-
El robo econmico representa una de las cialmente significativos. Debido a ello, la in-
principales motivaciones de la gran mayora formacin de carcter personal o documen-

4. McAfee (2013): The Economic Impact of Cybercrime and CyberEspionage. Center for Strategic and International Stu-
dies.

9
BUENAS PRCTICAS EN GESTIN DE RIESGOS

tos clasificados son algunos de los principa- mientos, comunicaciones, etc) con el objeti-
les activos de informacin que deben ser vo de provocar una interrupcin puntual o
especialmente protegidos. prolongada de los mismos.

INDISPONIBILIDAD DE SERVICIOS PRDIDA DE REPUTACIN


Interrupcin puntual o prolongada de los Ms que un riesgo en s mismo, es una de
servicios online ofrecidos por una organiza- las principales consecuencias de los ata-
cin (correos, pagos financieros, cobro de ques y el objetivo de gran parte de los cibe-
La prdida de
impuestos, registros pblicos). rataques, cuyos efectos en una organiza-
reputacin es una de
cin pueden resultar altamente significati-
las principales SABOTAJE DE INFRAESTRUCTURAS
vos.
consecuencias de los Ataques contra los servicios o infraestructu-
ataques y el objetivo de ras crticas de un pas o estado (abasteci-
gran parte de los
ciberataques, con
efectos altamente PRINCIPALES RIESGOS PRINCIPALES TCNICAS DE ATAQUE
significativos. Fraude dinerario. Ingeniera social.
Robo de informacin. Fingerprinting.
Indisponibilidad de servicios.
Enumeracin y escaneo.
Sabotaje de infraestructuras.
Prdida de reputacin. Ataques de das cero (0-Day).

Spam y Phishing.
PRINCIPALES AMENAZAS Hijacking.
Contra la informacin.
DoS (Denegacin de Servicios).
Contra la infraestructura TIC.
SQL Injection.

PERFIL DE LOS ATACANTES Cross-site scripting (XSS).

Hacking. Virus, malware, gusanos y troyanos.


Cibercrimen.
Botnet (Redes zombis).
Hacktivismo.
Rootkits.
Ciberespionaje y ciberterrorismo.
Insiders. APT (Amenaza Persistente Avanzada).

Amenazas
Al igual que la naturaleza se adapta, las ame- usuario ms molestas que dainas, se estn
nazas que en un principio eran puntuales y convirtiendo en sofisticadas herramientas po-
muy concretas en cuanto a objetivos, con tc- tencialmente dainas. De este modo, las prin-
nicas muy simples y consecuencias para el cipales amenazas relacionadas con el ciberes-

10
BUENAS PRCTICAS EN GESTIN DE RIESGOS

pacio se pueden agrupar en las amenazas AMENAZAS CONTRA LAS INFRAESTRUCTU-


contra la informacin y las amenazas contra RAS TIC
la infraestructura TIC5. Son aquellas cuya materializacin pueden
provocar la interrupcin temporal, parcial o
AMENAZAS CONTRA LA INFORMACIN
total de determinados servicios o sistemas,
Aquellas cuya materializacin provocan una
entre las que se encuentran:
prdida, manipulacin, publicacin o uso
Ataques contra infraestructuras crticas.
inadecuado de la misma. Entre otras desta-
can: Ataques contra las redes y sistemas.
Espionaje, desde el mbito del espionaje Ataques contra servicios de Internet.
de Estado al espionaje industrial. Ataques contra sistemas de control y re-
Robo y publicacin de informacin clasi- des industriales.
ficada o sensible (datos personales, datos Infecciones con malware.
bancarios). Ataques contra redes, sistemas o servi-
Robo de identidad digital. cios a travs de terceros.
Fraude.

Perfil de los atacantes


Si bien el anonimato y la deslocalizacin son palmente el fraude econmico y el robo de
algunas de sus mximas seas de identidad, informacin confidencial).
los principales actores que componen el perfil
HACKTIVISMO
de los atacantes se pueden clasificar en los si-
Grupos de hackers que actan en base a
guientes grupos:
una serie de principios y/o creencias polti-
HACKING cas, sociales o religiosas, principalmente
Individuos que generalmente trabajan de con fines reivindicativos. Sus principales ob-
manera individual con el objetivo de provo- jetivos suelen incluir multinacionales, go-
car trastornos o daos puntuales, si bien no biernos y organismos oficiales.
suelen resultar de gran impacto. Algunos ejemplos conocidos de grupos
hacktivistas son: Anonymous,Legion of
CIBERCRIMEN
Doom, Milw0rm y LulzSec.
Organizaciones y/o grupos de ciberdelin-
cuentes/hackers que cuentan generalmente CIBERESPIONAJE Y CIBERTERRORISMO
con los recursos, conocimientos, motivacin Uso de tecnologas de la informacin y co-
y respaldo o apoyo financiero necesarios municacin electrnica con el propsito de
para la obtencin de sus objetivos (princi- apoderarse de informacin confidencial de

5. Spanish Cyber Security Institute (2014): La Ciberseguridad Nacional, un compromiso de todos.

11
BUENAS PRCTICAS EN GESTIN DE RIESGOS

gobiernos, naciones u otros organismos, e je/destruccin de infraestructuras crticas; has-


incluso generar el miedo o terror en una ta la sustraccin de informacin corporativa
poblacin o Estado. estratgica como la relativa a la propiedad in-
Este objetivo puede perpetrarse a travs del dustrial o intelectual, datos personales de
La informacin es una
saboteo de infraestructuras crticas, infiltra- clientes y empleados, inteligencia de merca-
de las armas
cin en redes de alta seguridad, recluta- do, etc., con objeto de lucro; el dao de la
estratgicas ms letales
miento de personal a travs de Internet y/o imagen o reputacin de una entidad; la rei-
en un nuevo escenario
publicacin de contenidos violentos o ame- vindicacin poltico-social; e incluso la simple
de riesgo para las
nazadores.
organizaciones. notoriedad o amenaza, entre otras6.
INSIDERS
Los objetivos son muy heterogneos y los
Personal de las propias organizaciones que,
ataques van dirigidos a cualquier tipo de or-
aprovechando su conocimiento o acceso a
ganizacin pblica o privada, con nimo de
informacin confidencial en los sistemas,
lucro o sin l afectando a empresas de todos
realiza igualmente acciones delictivas (prin-
cipalmente de fraude) asociadas al cibercri- los sectores de actividad, gobiernos y organi-
men. zaciones de cualquier tipo.

Las motivaciones son diversas y pueden va- As las cosas, los recientes eventos de fuga de
riar desde la perpetuacin de un fraude finan- informacin y fallos en la seguridad cibernti-
ciero sobre los ingresos de la organizacin o ca de algunas organizaciones evidencian un
de sus clientes; la produccin de un quebran- nuevo escenario de riesgo donde la informa-
to econmico directo a una compaa, el en- cin se convierte en una de las armas estrat-
torpecimiento de sus operaciones o el sabota- gicas ms letales, comprometiendo la estabili-

ACTORES MOTIVACIN OBJETIVOS

HACKING. Personal. Notoriedad, pequeos disturbios,

CIBERCRIMEN. Ecnomica/lucro. Robo dinerario o de informacin.

HACKTIVISMO. Ideolgica. Dao reputacional, divulgacin de


informacin,

CIBERESPIONAJE. Poltica. Trastrornos graves, robo de informacin


crtica,

INSIDERS. Varias. Varias

Fuente: elaboracin propia

6. Deloitte (2015): 12 Programa para el Desarrollo de Directores Financieros.

12
BUENAS PRCTICAS EN GESTIN DE RIESGOS

dad o continuidad de cualquier persona u or- an sin estrenar8. Otros ejemplos relevantes
ganizacin. fueron las filtraciones de Edward Snowden,
Los principales ataques
cuando se comprometi la informacin de
En efecto, algunos ataques cibernticos re- son los producidos en
ms de 40 delegaciones de pases en suelo
cientes han puesto en riesgo naciones e in- forma de DDoS,
estadounidense9, o el robo de datos de 83
dustrias. Un ejemplo fue la operacin Auro- hacking, ataques fuera
millones de clientes a la entidad bancaria JP
ra, en 2009, que vulner los sistemas de se- del permetro, ataques
Morgan Chase.
guridad de hasta 34 compaas de EEUU (Go- a activos intangibles y
ogle, Yahoo, Symantec y Adobe, entre muchas Estos hechos demuestran que los objetivos de los basados en el
otras)7. O el ciberataque sufrido por Sony en los atacantes son cada vez ms ambiciosos, fraude econmico y la
2014, cuando se filtraron en Internet los da- se manifiesten sus acciones en el terreno de fuga de informacin
tos personales, nmeros de identificacin fis- la ciberdelincuencia o en los entornos del ci- confidencial.
cal e informacin mdica de los ms de 3.800 berespionaje (estados, empresas, personas) y
trabajadores de la empresa, as como varios del ciberterrorismo.
contenidos de producciones cinematogrficas

Principales tcnicas de ataque y vulnerabilidades


Nos encontramos con ataques a plataformas tivos intangibles (reputacin de la marca o los
propias en forma de DDoS, hacking o de ex- directivos); a activos fsicos o infraestructuras
plotacin de vulnerabilidades en el hardware crticas; y ataques basados en el fraude eco-
y software corporativo; ataques fuera del per- nmico y en la fuga de informacin confiden-
metro, como los dirigidos a clientes (phishing, cial (filtraciones, robos o perdidas de disposi-
malware, credenciales robadas); ataques a ac- tivos).

INGENIERA SOCIAL
Tcnicas y habilidades sociales o psicolgicas para obtener informacin confidencial a tra-
vs de la manipulacin de las personas o usuarios.

FINGERPRINTING
Bsqueda y recoleccin de todo tipo de informacin del objetivo, principalmente en Inter-
net, y realizada de manera pasiva, que pueda ser utilizada en la perpetracin de un ataque.
Puede incluir tanto la recoleccin de informacin de fuentes pblicas (OSINT: Open-Source
Intelligence), como de fuentes privadas o de pago.

7. El Economista (2010): Operacin Aurora, el ciberataque ms sofisticado de la historia.

8. CNet (2014): Sony encabeza la lista de los peores 'hackeos' del ao.

9. Onemagazine (2014): La ciberseguridad en 2013: un ao marcado por Snowden.

13
BUENAS PRCTICAS EN GESTIN DE RIESGOS

ENUMERACIN Y ESCANEO
Identificacin de sistemas, equipos y dispositivos existentes en la red. Obtencin de nom-
bres de equipos, usuarios, recursos compartidos, etc.
Tambin incluye habitualmente la identificacin de posibles vulnerabilidades.

ATAQUES DE DAS CERO (0-DAY)


Ataques contra aplicaciones o sistemas que aprovechan nuevas vulnerabilidades, desconoci-
das por los fabricantes del producto y/o software, y para los que no se han desarrollado an
parches o soluciones que las corrijan.
Estos ataques pueden tener un grave impacto, y el cdigo para explotar dichas vulnerabili-
dades se vende a menudo por elevadas cantidades de dinero en el denominado mercado
negro de los exploits.

SPAM Y PHISHING
Ataques a travs del servicio de correo electrnico, ya sea buscando la indisponibilidad del
mismo o la suplantacin de identidad para obtener informacin confidencial de los usua-
rios.
Durante los ltimos aos las tcnicas de phishing han evolucionado enormemente dada su
simplicidad y alta efectividad, y es habitual hablar de ataques concretos de smishing, vis-
hing, spear phishing, etc.

HIJACKING
Tcnicas ilegales utilizadas por los atacantes para aduearse o tomar el control de diferen-
tes recursos: navegador, credenciales de sesin, conexiones TCP/IP, pginas web, etc.

DoS (DENEGACIN DE SERVICIOS)


Ataques de desbordamiento con el objetivo de provocar la parada o interrupcin de un ser-
vicio crtico, tpicamente realizados a travs de una inundacin de peticiones a pginas web.

SQL INJECTION
Tcnica de ataque sobre pginas web qu,e a travs de la ejecucin de comandos SQL, per-
mite la obtencin y/o manipulacin de informacin de la base de datos del servidor.

CROSS-SITE SCRIPTING (XSS):


Tcnicas de inyeccin de cdigo (principalmente Javascript y PHP) que, aprovechando erro-
res de programacin en las pginas web, provocan un comportamiento anormal del sistema
pudiendo afectar a la integridad del mismo.

14
BUENAS PRCTICAS EN GESTIN DE RIESGOS

VIRUS, MALWARE, GUSANOS Y TROYANOS


Software o cdigo malicioso que tiene como objetivo infiltrarse o daar un sistema o equi-
po, estando adems normalmente diseados para su rpida propagacin en una red de or-
denadores. Especialmente extendido se encuentra el uso de troyanos, cuya apariencia simu-
la la de un programa benigno o inocuo que, tras ser ejecutado por el usuario, ocultan y libe-
ran el virus contenido en l.
El 80% de los ataques
BOTNET (REDES ZOMBIS) podran prevenirse con
buenas prcticas como
Conjunto de ordenadores (conectados a Internet) infectados que se ejecutan y controlan de
el uso de contraseas
manera autnoma y automtica. Estas redes son usadas principalmente para aumentar la
seguras,
capacidad de procesamiento necesaria para perpetrar un ataque, as como para ocultar el
configuraciones de
origen y autora del mismo.
seguridad adecuadas,
un correcto control de
ROOTKITS
accesos a aplicaciones
Herramientas y programas usados para esconder la presencia del intruso, obteniendo privi-
y datos, y la
legios de administracin que permitirn la manipulacin futura del sistema.
actualizacin de
sistemas.
APT (AMENAZA PERSISTENTE AVANZADA)
Ataques especialmente diseados y dirigidos contra una organizacin o entidad concreta.
Por lo general requieren de un elevado tiempo de preparacin y combinan diferentes tcni-
cas y vulnerabilidades de entre las ya comentadas anteriormente.

Con carcter general, todas estas tcnicas o ques sufridos por las empresas evidencian fa-
amenazas se basan en la deteccin y existen- llos ocasionados por la ausencia de medidas
cia de errores en la configuracin de seguri- de seguridad, mtodos, procedimientos, pro-
dad de los sistemas, obsolescencia o falta de ductos y herramientas debidamente imple-
actualizacin de las infraestructuras tecnol- mentados y certificados.
gicas, y fallos de programacin o diseo en
las arquitecturas de seguridad y comunicacio- A este hecho se suma la escasa conciencia-
nes, cuya identificacin y mitigacin debe cin y cultura de seguridad dentro de las or-
considerarse una prioridad por las entidades y ganizaciones, y la escasez de personal slida-
organizaciones. mente formado y especializado dedicado a la
ciberseguridad. El 80% de los ataques ciber-
Por otro lado, a las facilidades derivadas de
una mayor superficie de explotacin por parte nticos podran prevenirse mediante una serie
de los atacantes (mviles, cloud, redes socia- de sencillas buenas prcticas en redes y equi-
les, etc.) o la existencia de un mercado negro pos, que suelen incluir el uso de contraseas
de vulnerabilidades 0-Day, poco ayuda una seguras, configuraciones de seguridad ade-
realidad en la que la mayor parte de los ata- cuadas, correcta gestin del control de acce-

15
BUENAS PRCTICAS EN GESTIN DE RIESGOS

sos a aplicaciones y datos, y un apropiado ni- Seguridad), el mayor porcentaje de ataques


vel de actualizacin de los sistemas10. tienen su origen en vulnerabilidades ya cono-
cidas y para las que se dispone de soluciones
De hecho, segn estudios recientes publica-
y medidas de deteccin y mitigacin.
dos por el CCN-CERT (Centro Criptolgico
Nacional-Centro de Respuesta a Incidentes de

DE LA SEGURIDAD DE TI A LA CIBERSEGURIDAD: EL CAMBIO DE PA-


RADIGMA
Es importante sealar el incremento en el n- Hasta tal punto es as, que tambin el ciber-
mero de ataques directos a personas (em- crimen se ha convertido en un negocio (Cy-
pleados, clientes, simples usuarios de Inter- bercrime as a Service), siendo posible actual-
El cibercrimen se ha net), puesto que representan el eslabn ms mente contratar a travs de Internet (princi-
convertido en un dbil de la cadena de seguridad. La populari- palmente en la Deep-web / Dark-Web11) la
negocio, siendo posible zacin y extendido uso de Internet en casi to- realizacin de un ataque de DoS, spam, phis-
contratar a travs de dos los mbitos de la sociedad actual (pbli- hing, el alquiler de una botnet o los servicios
Internet la realizacin co, profesional, compras, comunicacin, noti- de un hacker.
de un ataque DoS, cias, viajes, cultura,) ha incrementado nota-
spam, phishing, el Este nuevo entorno de evolucin, sofisticacin
blemente la superficie de ataque disponible
alquiler de una botnet e incremento de los ataques y amenazas est
para los cibercriminales; y debido a su alta
o los servicios de un produciendo un cambio relevante en la mane-
efectividad y la falta de medidas de protec-
hacker. ra de gestionar la seguridad en las organiza-
cin adecuadas que en muchas ocasiones
ciones.
presentan los dispositivos (smartphones, ta-
blets, ordenadores personales,) son cada Tradicionalmente la seguridad de la informa-
vez ms habituales este tipo de ataques, ha- cin ha sido siempre una de las materias ma-
biendo crecido su impacto de manera expo- yormente olvidadas, cuya percepcin general
nencial durante los ltimos aos. se aproximaba ms a un impedimento o traba
en el desarrollo de los negocios y las tecnolo-
Se puede afirmar incluso que el cibercrimen
gas, que a una autntica necesidad.
se ha profesionalizado, contando actualmente
los atacantes con elevados conocimientos y Desde un enfoque histrico, la gestin de la
recursos, tanto humanos como tcnicos y fi- seguridad de la informacin consista en un
nancieros. Se trata, por tanto, de grupos bien enfoque principalmente reactivo: las revisio-
organizados y preparados. nes de configuracin de seguridad de los sis-

10. National Audit Office (2013): The UK cyber security strategy: Landscape review

11. Parte oculta de Internet, utilizada por los cibercriminales/delincuentes, no accesible desde los motores de bsqueda
tradicionales, y dotada de complejos sistemas de comunicacin y reenvo del trfico y contenidos para ocultar su ori-
gen, acceso y mantener el anonimato.

16
BUENAS PRCTICAS EN GESTIN DE RIESGOS

CIBERSEGURIDAD
Controles centrados en el cumplimienro normativo.
ENFOQUE PREVENTIVO

Desarrollo de una estrategia global de seguridad. Compliance tcnico con auditoras y estndares.

ENFOQUE REACTIVO
Monitorizacin y vigilancia de la seguridad.
Escaso anlisis de amenazas externas, con foco casi
Gestin de amenazas de manera proactiva. exclusivo en el personal interno.
Coordinacin e intercambio de informacin.
Anlisis de logs y eventos de seguridad, nicamente
Personal dedicado y experto. realizado tras sufrir incidentes o ataques relevantes.
Formacin y concienciacin de personal.
SEGURIDAD DE TI

Fuente: elaboracin propia

temas y revisin de logs o registros de even- de sus planes de transformacin a la econo-


tos eran ejecutadas casi nica y exclusiva- ma digital.
mente por exigencias de cumplimiento o au-
Un ciberataque dirigido a una organizacin
ditoras, entre otros motivos por la carencia
afecta a todas sus reas, pero se traduce so-
de cultura de seguridad en las organizacio-
bre todo en prdidas que afectan al nego-
nes, as como por la escasez de recursos y
cio12:
personal dedicado a estas tareas.
Prdida de ingresos (19%).
El contexto actual ha hecho necesario evolu- Prdida de productividad (21%).
cionar hacia una gestin proactiva de la segu-
Deterioro marca/ reputacin y prdida de la
ridad, la identificacin anticipada de los ries-
confianza de clientes/accionistas (30%).
gos y la gestin continua de las amenazas
que pueblan el ciberespacio. En otras pala- Cumplimiento y sanciones legales (8%).
bras, es necesario evolucionar de la actual
cultura reactiva a una de prevencin y resi- Costes de TI: 22% Prdidas que afectan
al negocio: 78%
liencia.
12% 19%
Por otra parte, las funciones de seguridad de 10%
la informacin, prevencin de fraude y conti-
nuidad de negocio, estn pasando a un pri- 8%
21%
mer plano corporativo porque se imbrican en
el conjunto de responsabilidades de la alta di-
reccin de las organizaciones. Especialmente 30%

en empresas cotizadas, que han de ser ejem-


plares de cara a sus accionistas en el buen
De hecho, apenas una cuarta parte del impac-
gobierno de sus sociedades y en el cumpli-
to de ciberataque son costes TI:
miento legal, por lo que deberan invertir ade-
cuadamente en la gestin de riesgos de ciber- Costes tcnicos de remediacin (10%).
seguridad como uno de los elementos clave Costes de investigacin (12%).

12. IBM (2014): Global Study on the Economic Impact of IT Risk

17
BUENAS PRCTICAS EN GESTIN DE RIESGOS

De la rapidez y extensin del impacto que tie- deteccin de los riesgos de ciberseguri-
nen las nuevas amenazas en toda la organi- dad.
zacin se concluye que la ciberseguridad no
Medidas organizativas, como la difusin
es una cuestin cuya responsabilidad deba
La ciberseguridad no de polticas de seguridad en las organiza-
debe circunscribirse a circunscribirse a los departamentos de TI, sino
ciones o la concienciacin a los usuarios de
los departamentos de que la Alta Direccin de la empresa ha de es-
los riesgos en el uso de las tecnologas de
TI, sino que la Alta tar implicada en su gestin eficiente con un
la informacin.
Direccin ha de compromiso activo continuo.
implicarse en su Medidas tcnicas que pueden incluir desde
Por tanto la seguridad corporativa ya no se
gestin eficiente con un la existencia de herramientas para la ges-
identifica nicamente con la seguridad pre-
compromiso activo tin centralizada de alertas y eventos de
ventiva, ni es responsabilidad exclusiva de un
continuo. seguridad en los sistemas a tcnicas que
departamento, ni se separa en un escenario
interior o exterior o con un enfoque reactivo o permitan detectar y prevenir fugas de infor-
preventivo. macin confidencial; contratacin de servi-
cios de hacking tico y auditoras forenses
De este modo surgen en el seno de las em- de seguridad; bsqueda de informacin en
presas nuevas actividades y tareas relaciona- Internet, prensa o redes sociales; suscrip-
das entre las que cabe destacar: cin a servicios de alertas, incidentes y vul-
nerabilidades de seguridad; e incluso la
Anlisis de la exposicin a los ciberries-
contratacin de plizas de los denominados
gos por parte de las entidades, identifica-
ciberseguros que cubran la prdidas ocasio-
cin y clasificacin de informacin crtica
nadas por un ciberataque, y la participacin
existente en una organizacin y estableci-
miento de una estrategia de seguridad. en ciberejercicios que permitan evaluar las
capacidades de organizacin y resiliencia
Concienciacin: Cualquier persona o rea ante el cibercrimen.
de una entidad puede ser vctima de un ci-
berataque, por lo que resulta necesario es- Servicios y sistemas de seguridad
tablecer una cultura de seguridad en las or-
ganizaciones con el objetivo de cambiar la En los ltimos aos han surgido diferentes
manera en que la seguridad es percibida servicios avanzados de seguridad para el con-
por las personas, adoptando entre otras al- trol y gestin de estos riesgos que cada vez
gunas de estas medidas: ms organizaciones estn adaptando e im-
- Divulgacin de polticas y manuales de plantando en su operativa diaria, y entre los
seguridad. que cabe destacar:

- Difusin de incidentes y ataques de se- SOC (Security Operations Center). La exis-


guridad, explicando sus causas y orge- tencia de un Centro de Operaciones de Se-
nes. guridad (24x7) con personal especialista
- Establecimiento de cursos y actividades dedicado en exclusiva a la prevencin y de-
formativas en materia de prevencin y teccin de ciberataques.

18
BUENAS PRCTICAS EN GESTIN DE RIESGOS

SIEM (System Information Event Manage- informacin, etc. Incluye la coordinacin e


ment). La existencia de herramientas que intercambio de informacin con organismos
permitan la correlacin e identificacin de pblicos (por ejemplo, Fuerzas de Seguri-
eventos de seguridad en los diferentes sis- dad del Estado) y otras organizaciones de
temas y dispositivos, as como una gestin referencia.
centralizada de dichas alertas.
Para llevar a cabo estas actividades, resulta
DLP (Data Loss Prevention). La existencia fundamental contar con los recursos y el per-
de procedimientos, medidas y herramientas sonal capacitado para realizarlas, adaptndo-
para la prevencin y deteccin de prdidas,
nos por supuesto a las necesidades, nivel de
robos y fugas de informacin confidencial.
exposicin y tamao de cada entidad. Por es-
te motivo, el personal con conocimientos y El tratamiento de la
Antimalware. Herramientas de deteccin y
habilidades en materia de ciberseguridad es a ciberseguridad requiere
prevencin de malware y otras amenazas
de un enfoque
avanzadas. Estos sistemas, utilizan tcnicas da de hoy un perfil muy demandado y valora-
transversal e integral,
heursticas y de deteccin por comporta- do en el mercado de trabajo actual.
ya que sta excede el
miento algo ms avanzadas que los clsi-
Por otro lado, en el actual contexto globaliza- mbito, funciones y
cos anti-virus, normalmente basados en fir-
do donde empresas y organizaciones de cual- responsabilidad del
mas.
quier pas y sector son posibles objetivos de personal y reas de
Hacking tico y pen-testing. La necesidad los ciberdelincuentes, para combatir estas seguridad y tecnologa.
de contar con servicios y pruebas peridicas amenazas resulta casi imprescindible la cola-
de hacking e intrusin en los sistemas, rea- boracin, coordinacin e intercambio de infor-
lizados bien sea a travs de recursos inter- macin entre entidades, gobiernos, institucio-
nos o subcontratados con terceros. nes pblicas y gubernamentales, y fabricantes
Auditoras forenses de seguridad. Servi- y proveedores de software y hardware.
cios basados en diferentes procesos de in-
El alcance actual de la ciberseguridad y los
vestigacin, rastreo y recopilacin de infor-
riesgos que conlleva excede con creces el m-
macin con el objetivo de establecer el ori-
bito de las infraestructuras y tecnologas de la
gen, motivo e incluso autora de un cibera-
comunicacin, e incluye tambin la proteccin
taque, as como la recoleccin de eviden-
de personas.
cias digitales que puedan servir incluso co-
mo prueba en posibles litigios o procesos Debido a ello, su tratamiento requiere de un
judiciales. enfoque transversal e integral en las organi-
Ciberinteligencia. Observatorio de Internet zaciones. Cualquier persona o rea de una or-
y servicios de vigilancia digital que incluyan ganizacin puede ser vctima de un ciberata-
entre otros el seguimiento y anlisis de in- que, por lo que es necesario contar con todas
formacin publicada en redes sociales, fo- ellas, puesto que la ciberseguridad excede el
ros, portales tcnicos, medios de comunica- mbito, funciones y responsabilidades del per-
cin, etc., como medida de prevencin de sonal y reas de seguridad y tecnologa, y nos
posibles ataques, identificacin de fugas de afecta a todos y cada uno de nosotros.

19
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Actualmente, resulta cada vez ms comn es- Para ello, las entidades estn adoptando mo-
cuchar en las entidades y medios de comuni- delos para la gestin de los ciberriesgos, ba-
cacin trminos como ciberinteligencia, resi- sados en algunos de los estndares y buenas
liencia o seguridad operacional, que represen- prcticas del mercado, propuestos por las
Las organizaciones
tan perfectamente este cambio de paradigma, principales organizaciones de referencia (ISO,
deben implantar una
y ahondan en la idea del establecimiento de CobiT, ISACA, ITIL).
estrategia de seguridad
acorde a su exposicin una estrategia global del ciclo de vida de la La siguiente figura muestra las principales
a los riesgos y a las seguridad y la gestin de incidentes, as como funciones asociadas a la gestin de la ciber-
necesidades, en las capacidades de las organizaciones de seguridad segn el modelo de control pro-
posibilidades y defenderse, resistir e incluso responder a un puesto por el Instituto Nacional de Estndares
recursos. ciberataque. y Tecnologa Norteamericano (NIST13).

CICLO DE VIDA DE GESTIN DE LOS CIBERRIESGOS

Identificar Proteger Detectar Responder Recuperar

Fuente: NIST (National Institute of Standards and Technology) (Feb. 2014): Framework for Improving Critical Infrastructure
Cybersecurity

Si bien la seguridad no existe al cien por cien sobre todo, es necesario un cambio de menta-
(siempre estaremos expuestos en mayor o lidad.
menor medida), s es posible hacer nuestras
En este sentido, las organizaciones deben rea-
organizaciones ms seguras. Para ello, la anti- lizar un anlisis detallado de la exposicin a
cipacin es clave. Hay que ir por delante de estos riesgos, e implantar una estrategia de
los ataques siendo capaces de detectarlos y seguridad acorde a la misma, as como a las
prevenirlos. necesidades, posibilidades y recursos de cada
organizacin, construyendo un modelo de
Adems, se puede limitar de forma significati-
gestin de la seguridad donde, adems de las
va el dao si se reacciona de forma rpida y reas clsicas de la seguridad IT, tengan refle-
decidida ante cualquier intento de compro- jo capacidades ms avanzadas asociadas con
meter nuestro entorno. Todo esto requiere los conceptos de ciberseguridad y ciberresi-
continuidad y constancia en la vigilancia pero, liencia14.

13. NIST: del ingls National Institute of Standards and Technology.

14. Deloitte (2015): Modelo Colaborativo de CiberSeguridad (MCCS).

20
BUENAS PRCTICAS EN GESTIN DE RIESGOS

A nivel agregado, el conjunto de medidas y Prevencin frente a ciberataques mante-


principales actividades para el control y ges- niendo y mejorando las herramientas y me-
tin de los ciberriesgos, podra resumirse en: didas de seguridad fsica, de sistemas, re-
Gobierno y organizacin en la entidad para des, y aplicaciones para la proteccin de
gestionar los riesgos, con una clara asigna- sus infraestructuras y sus activos de infor-
cin de roles y responsabilidades en toda la macin.
La sucesiva realizacin
organizacin, implantando estructuras de Respuesta ante incidentes de seguridad y de ciberejercicios
gobierno procedimientos, polticas de se- recuperacin adecuadas, con el fin de po- permite a las
guridad, estndares, cumplimiento legal,
der limitar su impacto sobre la organizacin organizaciones mejorar
formacin y concienciacin de directivos y
y mantener la continuidad del negocio. su desempeo en el
empleados, gestin de proveedores que
mbito de la
permitan mantener y evolucionar sus capa- Este marco estratgico para la gestin de la
ciberseguridad.
cidades de ciberseguridad. seguridad, permitir a las organizaciones
Deteccin de las amenazas mediante el comprender el panorama de las ciberamena-
uso de las mltiples fuentes de ciberinteli- zas y los riesgos subyacentes; proteger los da-
gencia con el fin de poder gestionarlas pro- tos y activos contra las amenazas cibernti-
activamente, anlisis de redes y sistemas, cas; detectar estas a tiempo; y finalmente,
anlisis del comportamiento de los usua- responder a los ciberataques y estar mejor
rios, monitorizacin de eventos de seguri- preparadas para reaccionar frente a lo inespe-
dad, etc. rado.

CIBEREJERCICIOS Y CIBERSEGUROS
De la misma forma que en el mundo de la mite evaluar el estado de preparacin de los
continuidad de negocio y la gestin de crisis participantes frente a crisis de origen cibern-
el modelo de gestin evoluciona principal- tico, facilitando adems lecciones aprendidas
mente por la realizacin de sucesivos escena- y recomendaciones para el futuro
rios de prueba, dentro de la ciberseguridad la
Con carcter general, y aunque la naturaleza
sucesiva realizacin de ciberejercicios permi-
de estos ejercicios es variada, pueden cumplir
ten a las organizaciones mejorar su desempe- con los siguientes objetivos:
o dentro de este mbito.
- Evaluar las medidas de seguridad perime-
tral, monitorizacin de seguridad y protec-
Ciberejercicios cin de sistemas y activos de informacin,
Tal y como se recoge en el documento Taxo- mediantes ejercicios de hacking tico o
noma de Ciberejercicios desarrollado por el pentesting que simulan y utilizan las tcni-
INCIBE (Instituto Nacional de Ciberseguri- cas y modos de actuacin de los atacantes.
dad), se puede definir el concepto de cibere- - Evaluar las capacidades de tratamiento y
jercicio como: una herramienta que per- recuperacin de las entidades ante un ci-

21
BUENAS PRCTICAS EN GESTIN DE RIESGOS

berataque, tanto de las medidas organizati- que con la participacin de organismos de


vas y de gestin (ejercicios role-play: toma defensa estadounidenses. La realizacin de
de decisiones), como desde un punto de este tipo de ejercicios suele implicar la partici-
vista tcnico (capacidades de deteccin, pacin de numerosos organismos guberna-
Los resultados de los
anlisis de la infeccin e informtica foren- mentales incluyendo tanto al ejrcito como a
ciberejercicios permiten
se, contingencia de los sistemas,). las fuerzas del orden y seguridad del Estado.
identificar debilidades y
ausencias de control en - Evaluar el nivel de concienciacin, forma- La implicacin de mltiples organismos en la
los sistemas y cin y cultura de seguridad de los emplea- preparacin de estos ciberejercicios represen-
mecanismos de control dos de la organizacin, tpicamente realiza- ta un gran dilema a la hora de desarrollar una
y seguridad de la do a travs de la realizacin de simulacros estrategia continua de pruebas. El alto coste
informacin, (falsas campaas de phishing, colocacin de preparacin y coordinacin de actividades
permitiendo establecer de dispositivos con informacin confiden- que exigen estos ejercicios representa un es-
planes y acciones para cial,). collo importante a la hora de formalizar un
su resolucin y mejora. proceso continuo de prueba. Adems, suele
Los resultados de estos ejercicios son de gran
ser complicado obtener un reaprovechamien-
valor para las entidades, puesto que permiten
to de las actividades desarrolladas anterior-
identificar debilidades y ausencias de control
mente debido al alto grado de volatilidad y
en los sistemas y mecanismos de control y se-
caducidad de las ciberamenazas. Es decir, el
guridad de la informacin, permitiendo esta-
escenario preparado un ao para la realiza-
blecer planes y acciones para su resolucin y
cin del ciberejercicio puede encontrarse ob-
mejora.
soleto para el ejercicio del ao siguiente, lo
Estas actividades de prueba dentro de la ci- que requiere volver a desarrollar y planificar
berseguridad han sido promovidas y desarro- un nuevo escenario de prueba cada ejercicio.
lladas, tradicionalmente, por los mbitos mili-
La elevada complejidad de las pruebas, unida
tares y gubernamentales.
al reducido beneficio que estas actividades
Generalmente las pruebas cuentan con la par- pueden llegar a proporcionar (teniendo en
ticipacin de las fuerzas de seguridad locales, consideracin la constante aparicin de nue-
aunque recientemente, y cada vez ms, la vas ciberamenazas) han hecho surgir el trmi-
complejidad de las infraestructuras tecnolgi- no CyberRange, conocido como Campo de
cas y la proteccin de las infraestructuras cr- Maniobras. Este tipo de iniciativas represen-
ticas implican la participacin de diferentes tan una infraestructura tecnolgica de virtua-
organizaciones empresariales de diversos sec- lizacin con la suficiente versatilidad como
tores. para poder componer multitud de escenarios
y situaciones de manera rpida y automatiza-
Inicialmente, los principales ciberejercicios da. De esta forma, con un esfuerzo menor y
provenan de organismos gubernamentales de forma gil se pueden recrear campos de
de defensa como la OTAN. Dentro de este ti- entrenamiento continuo para el personal im-
po de iniciativas podramos encuadrar el Loc- plicado en la ciberseguridad. Este concepto,
ked Shields y la Cyber Coalition, que se de- con un elevado coste y una alta complejidad
sarrollan principalmente a nivel europeo aun- de diseo, representa actualmente una ten-

22
BUENAS PRCTICAS EN GESTIN DE RIESGOS

dencia muy interesante para los organismos vez en 2015 cont con la participacin de ins-
de defensa de cara a reducir la carga de tra- tituciones europeas) o los ms recientes Pro-
bajo que puede representar la preparacin y teus (Brasil), CBEST Cyber Exercise (Inglaterra)
realizacin de ciberejercicios. y Ciber Perseu (Portugal).

Sin embargo, actualmente la realizacin y par-


ticipacin de las entidades en ciberejercicios
Ciberseguros
se encuentra ampliamente extendida y ha Otra de las tendencias recientes en el mbito
evolucionado hacia un enfoque menos com- de la ciberseguridad es la proliferacin de los
plejo y ms prctico (pequeos simulacros y denominados ciberseguros o plizas para la
ejercicios concretos) para las entidades, hasta cobertura de los riesgos relacionados con la
ser considerada una buena prctica casi im- ciberseguridad, siendo considerada una de las
La contratacin de
prescindible en ciberseguridad para las orga- principales estrategias para la mitigacin de
ciberseguros es
nizaciones. riesgos (transferencia del mismo a un terce-
tendencia, con
ro).
En el mbito nacional los ejercicios organiza- coberturas que van
dos por el INCIBE y el CNPIC (Cyber-Ex), con- Las compaas aseguradoras han diseado desde la proteccin de
taron en 2014 con la participacin de quince productos especficos dentro de este mbito las propias
grandes empresas espaolas de sectores del con coberturas que oscilan desde la protec- infraestructuras a la
transporte, finanzas, energa, servicios, inver- cin de las propias infraestructuras a la cober- cobertura de los riesgos
siones y seguros; como por ejemplo Banco tura de los riesgos, en caso de la declaracin en caso de la
Santander, Repsol, Mapfre, Metro Madrid, Ac- de una ciberguerra. declaracin de una
ciona S.A., y El Corte Ingls, entre otras. ciberguerra.
En este tipo de plizas el tomador de las mis-
En el ao 2015 aument el nmero de enti- mas debe cumplimentar un cuestionario, e in-
dades participantes, habindose realizado cluso el tomador puede verse sometido a un
ejercicios especficos adaptados a la naturale- proceso de evaluacin en ciberseguridad por
za de la actividad de las entidades (diferentes parte de un externo contratado por la compa-
ejercicios por sector), as como la realizacin a aseguradora, de cara a establecer el im-
del primer Cyber-Ex Internacional, incluido en porte de la prima, que depender en parte de
el marco de los Estados Miembros de la Orga- las medidas de seguridad que el tomador ha
nizacin de los Estados Americanos (OEA), implantado en su compaa, as como de las
con el objetivo de fortalecer las capacidades coberturas y franquicias establecidas.
de respuesta ante incidentes cibernticos, as
Es importante mencionar que, con carcter
como una mejora de la colaboracin y coope-
general, este tipo de plizas no suele cubrir
racin ante este tipo de incidentes.
las prdidas econmicas directas (robo dine-
Otros ejemplos de ciberejercicios relevantes rario) ocasionadas por un cibertaque (las
son los promovidos por FS-ISAC15 y Payments compaas suelen disponer de otro tipo de
Council (iniciados en 2010 para entidades de plizas y provisiones para cubrir los eventos
Estados Unidos y Canad, y que por primera de fraude tanto interno como externo), sino

15. Financial ServicesInformation Sharing and Analysis Center. https://www.fsisac.com/

23
BUENAS PRCTICAS EN GESTIN DE RIESGOS

que estn enfocadas a cubrir las prdidas y de 61 millones de dlares, de los cuales su
gastos relacionados con fallos en los siste- seguro cubri 44 millones.
mas, notificacin y atencin a clientes, investi-
Un reciente estudio de Wells Fargo sobre 100
gacin forense, extorsin, gastos de consulto-
Los ciberseguros no empresas medianas y grandes de Estados
suelen cubrir las ras y asesoramiento legal, impactos reputa-
Unidos desvel que el 85% de ellas tenan un
prdidas econmicas cionales o responsabilidades derivadas de ro-
ciberseguro. De stas, el 44% haban sufrido
directas de un bos de informacin y publicacin de conteni-
incidentes que fueron cubiertos por su asegu-
ciberataque, sino que dos en medios digitales. radora.
cubren aquellas
Valga como ejemplo el caso de la cadena de Segn la corredura de seguros Marsh, el mer-
relacionadas con fallos
supermercados norteamericana Target, que cado de los ciberseguros gener en Estados
en los sistemas,
dispona de un ciberseguro. A finales de 2013 Unidos 1.000 millones de dlares en 2013,
notificacin a clientes,
sufri un cibertaque por el que le fueron sus- cantidad que se dobl en 2014 y cuya de-
investigacin forense o
impactos trados los nmeros de tarjetas de crdito y manda sigue aumentando significativamente
reputacionales, entre dbito de 40 millones de clientes, as como en la actualidad. El mercado europeo de ci-
otras. los datos personales de 70 millones de perso- berseguros es an pequeo comparado con
nas. El coste del ataque para la compaa fue Estados Unidos, pero crece a buen ritmo.

METODOLOGAS Y ESTRATEGIAS DE CONTROL Y GESTIN DE CIBER-


RIESGOS
En la actualidad existe un buen nmero de prcticas si queremos luchar con xito contra
marcos de control y buenas prcticas sobre los riesgos asociados a la ciberseguridad.
ciberseguridad que pueden ser de gran utili-
dad para que las organizaciones afronten este NIST 02-2014
reto. Hacer uso de ellos facilitar la compren-
sin de los riesgos y amenazas existentes y El National Institute of Standards and Techno-
facilitar la implantacin de las medidas ade- logy (NIST) proporciona interesantes referen-
cuadas a la realidad de la compaa. cias y buenas prcticas a travs de metodolo-
gas y normas, cuyo objetivo no es otro que el
A continuacin se muestran algunos de los de promover la innovacin y competitividad
ejemplos ms significativos, incluyendo algu- industrial.
nas de las entidades/organismos de referen-
cia en el mbito de la ciberseguridad, tanto a Dentro de su gran produccin de marcos de
nivel nacional como internacional. referencia, cabe destacar por su utilidad en el
tema que estamos tratando el correspondien-
No hay que olvidar que el sector se encuentra te a ciberseguridad: Framework for Impro-
en constante evolucin, pudiendo surgir nue- ving Cybersecurity. Este documento, de ca-
vas referencias. Es importante mantenerse ac- rcter pblico y disponible a travs de su p-
tivo en la bsqueda de soluciones y nuevas gina web, muestra un enfoque basado en

24
BUENAS PRCTICAS EN GESTIN DE RIESGOS

riesgos para la gestin de la ciberseguridad y Niveles de implantacin del marco y proce-


se compone de tres apartados: sos para gestin del riesgo.
Marco base: Conjunto de actividades para Perfiles del marco: Resultados en base a las
la correcta gestin de la ciberseguridad. Se necesidades del negocio.
divide en 5 funciones: identificar, proteger,
detectar, responder y recuperar que, a su
vez, se dividen en 20 categoras.

FRAMEWORK FOR IMPROVING CIBERSECURITY MARCO BASE

Identificar Proteger Detectar Responder Recuperar

Gestin de activos Control de acceso Anomalas y eventos Plan de respuesta Plan de


recuperacin
Entorno de negocio Formacin y Monitorizacin Comunicaciones
concienciacin continua Anlisis
Gobierno Mitigacin
Seguridad de los Procesos de Mejoras
Anlisis de riesgos datos deteccin
Estrategia Proteccin de la
de gestin informacin
Mantenimiento
Tecnologas de
proteccin

Fuente: National Institute of Standards and Technology (NIST)

ISO / IEC 27032 pos de seguridad, definicin de grupos de in-


ters y sus roles, y gua para hacer frente a los
La organizacin internacional de normaliza- problemas de ciberseguridad. Normas como la ISO
cin no poda ser menos a la hora de ofrecer 27032, la ISO 27014 o
un estndar internacional con directrices de Es importante tener presente que las buenas el conjunto ISO 27000
ciberseguridad. prcticas en seguridad de la informacin, se- son importantes para
guridad fsica, etc., son tambin aplicables a asegurarse buenas
El alcance de las directrices incluidas en la la ciberseguridad, por lo que se deben tener prcticas en materia de
norma Cybersecurity Guideline engloba tambin presentes otras normas como la ISO ciberseguridad.
los mbitos de seguridad de la informacin, 27014 Gobierno de la seguridad de la infor-
seguridad de la red, seguridad en Internet y macin, o el conjunto ISO 27000, entre las
en las infraestructuras crticas, as como bue- que destacan entre otras:
nas prcticas en el intercambio de informa- ISO 27001 Estndar para la seguridad de
cin, manejo de incidentes y colaboracin en- la informacin.
tre las partes interesadas. La norma establece ISO 27002 Cdigo de buenas prcticas
una visin general de ciberseguridad, explica- para la gestin de seguridad de la informa-
cin de la relacin entre la misma y otros ti- cin.

25
BUENAS PRCTICAS EN GESTIN DE RIESGOS

ISO 27003 Directrices para la implanta- CESG UK GOV


cin de un SGSI16.
Communications - Electronics Security Group
ISO 27004 Mtricas para la gestin de la
(CESG)) representa la autoridad nacional en
Segn el Instituto seguridad de la informacin.
el Reino Unido en materia de seguridad de la
SANS, hay 20 controles ISO 27005 Gestin de riesgos en seguri- informacin.
crticos o acciones clave dad de la informacin.
que las organizaciones Entre sus muchas publicaciones destaca Ten
deberan implementar Steps To Cyber Security, una gua sobre c-
SANS y CIS
para prevenir, detectar mo las organizaciones pueden protegerse en
y mitigar los SysAdmin Audit, Networking and Security Ins- el ciberespacio en 10 pasos. Inicialmente pu-
ciberataques. titute (SANS) es una conocida organizacin blicada en septiembre de 2012, a la fecha de
norteamericana de investigacin y educacin publicacin de este documento la ltima ver-
cooperativa que ofrece recursos y noticias so- sin data de enero de 2015, e incluye como
bre seguridad. Entre sus artculos se puede sus 10 principales prioridades la gestin de
encontrar mucha informacin relevante en los siguientes aspectos:
materia de ciberseguridad. Dentro de sus re- Modelo de informacin de los riesgos de ci-
cursos, se encuentra Securing The Human, berseguridad.
que ofrece herramientas de concienciacin Configuracin segura.
gratuitas.
Seguridad de la red.
En el ao 2008, con el objetivo de minimizar Gestin de usuarios privilegiados.
los robos de informacin sufridos principal- Formacin y concienciacin de usuarios.
mente por organizaciones del mbito de de-
Gestin de incidentes.
fensa estadounidense, se inici el proyecto
Proteccin ante el malware.
para la elaboracin de una gua de buenas
prcticas en seguridad de la informacin: Monitorizacin de seguridad.
Critical Security Controls for Effective Cy- Control de dispositivos removibles.
ber Defense, que fue transferido en 2015 al Poltica de trabajo a distancia (mvil y en el
Center for Internet Security (CIS) de Estados hogar).
Unidos.

Se trata de 20 controles crticos o acciones ISACA


clave que las organizaciones deberan imple- Information Systems Audit and Control Asso-
mentar para prevenir, detectar y mitigar los ci- ciation (ISACA) se involucra en el desarrollo
berataques. A la fecha de publicacin de este de buenas prcticas en auditora y control en
documento, la ltima versin (6.1) data de sistemas de la informacin. Dentro de la infi-
agosto de 2016 y ser objeto de un mayor nidad de documentacin que proporciona a
anlisis en posteriores captulos del presente los profesionales cabe destacar la gua para la
documento. aplicacin del marco NIST (mencionado ante-

16. Sistema de Gestin de Seguridad de la Informacin.

26
BUENAS PRCTICAS EN GESTIN DE RIESGOS

riormente) para la ciberseguridad: Imple- Gestin de riesgos.


menting the NIST Cybersecurity Frame- Ciberseguridad en comercio electrnico.
work, desarrollada dentro de su programa
CSX (Cybersecurity Nexus), creado en 2015 Adicionalmente, el Instituto pone a disposi-
tras la aprobacin de la ley de ciberseguridad cin de los usuarios de todo un catlogo de
estadounidense (Cibersecurity Information empresas proveedoras de soluciones de ciber-
Sharing Act of 2015), con el objetivo de pro- seguridad, as como un servicio gratuito para
porcionar a los profesionales de seguridad los conocer si un equipo est infectado.
conocimientos y herramientas necesarios para
la realizacin de su trabajo. En materia de formacin y concienciacin ca-
be destacar la actividad de la Oficina de Se-
Adicionalmente, y dentro la ltima revisin de guridad del Internauta (www.osi.es), cuyo ob-
El espaol INCIBE pone
CobiT (Control objectives for Information and jetivo es ayudar a los usuarios de Internet a la
a disposicin de
related Technology), cuyas guas representan adopcin de buenos hbitos en seguridad, ciudadanos y empresas
uno de los principales estndares de buenas sensibilizando a la comunidad de los riesgos una elevada cantidad
prcticas para el control y supervisin de tec- existentes, y contribuyendo a reducir el volu- de recursos e
nologa de la informacin a nivel mundial, men y gravedad de incidentes de seguridad informacin
ISACA lanz en junio del 2012 COBIT 5 pa- sufridos por los usuarios. relacionada con la
ra la seguridad de la informacin, actuali-
zando la ltima versin de su marco para pro- Otras de las iniciativas lideradas por el INCIBE ciberseguridad.
porcionar una gua prctica de seguridad de son CyberCamp y CyberEx, tambin mencio-
la empresa en todos sus niveles prcticos, y nadas en este documento.
ayudar a las empresas a reducir sus perfiles
de riesgo a travs de una adecuada adminis- ENISA
tracin de la seguridad.
La European Union Agency for Network and
INCIBE Information Security (ENISA) ofrece en su p-
gina web intercambio de informacin, buenas
El Instituto Nacional de Ciberseguridad (INCI- prcticas y conocimiento en el campo de la ci-
BE), fundando en Espaa en 2006 bajo el berseguridad.
nombre de INTECO (Instituto Nacional de Tec-
nologas de la Comunicacin) y dependiente Un reglamento publicado en junio de 2013
del Ministerio de Industria, pone a disposicin encomendaba a ENISA el mbito de actua-
de su pblico que abarca desde ciudadanos cin y la autoridad necesarios que les permite
individuales a grandes empresas una eleva- la lucha contra el cibercrimen:
da cantidad de recursos e informacin rela- Desarrollo de polticas y legislacin de la
cionada con la ciberseguridad. Unin Europea en materia de ciberseguri-
Entre muchas otras utilidades, en su pgina dad.
web se puede encontrar un apartado especfi- Investigacin, desarrollo y estandarizacin
co denominado Protege tu empresa, y que de normativa.
incluye por ejemplo las siguientes guas: Prevencin, deteccin y respuesta a cibera-
Cmo gestionar una fuga de informacin. menazas fronterizas.

27
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Aunque sus recomendaciones estn enfoca- nas prcticas aplicables a la realidad de las
das a estrategias nacionales de ciberseguri- organizaciones.
dad, su lectura puede ayudar a extraer bue-

REGULACIN Y NORMATIVA
Sector Pblico Objetivos de la ciberseguridad. En este
apartado se establece el objetivo global de
El documento ms importante en materia de lograr que Espaa haga un uso seguro de
ciberseguridad en el mbito regulatorio na- los Sistemas de Informacin y Telecomuni-
cional fue el publicado en el ao 2013 desde caciones.
la Presidencia del Gobierno con el ttulo Es-
trategia de Ciberseguridad Nacional. Este Lneas de accin de la ciberseguridad na-
documento, conforma el eje central estratgi- cional. Define una serie de lneas maestras
La Estrategia de co y recoge los principios fundamentales para para alcanzar los objetivos expuestos en el
Ciberseguridad la definicin de la estrategia espaola en ma- captulo anterior.
Nacional recoge los teria de ciberseguridad.
puntos fundamentales La ciberseguridad en el Sistema de Segu-
para la definicin de la El documento se encuentra estructurado en ridad Nacional. Define la estructura org-
estrategia espaola en los siguientes captulos: nica al servicio de la ciberseguridad.
materia de El ciberespacio y su seguridad. Este cap- En el mbito del sector pblico, se puede pro-
ciberseguridad. tulo recoge las caractersticas del ciberes- ducir una nueva diferenciacin respecto al
pacio, as como sus principales oportunida- mbito de aplicacin de esta estrategia nacio-
des y amenazas. nal. Por un lado, se puede diferenciar el mbi-
Propsito y principios rectores de la ciber- to especfico de defensa (militar) y por otro, se
seguridad en Espaa. Establece una defini- puede identificar el mbito de las administra-
cin de las directrices generales del uso se- ciones pblicas. Aunque la estrategia en ma-
guro del ciberespacio. teria de ciberseguridad es la misma para es-
tos mbitos, la aproximacin empleada para
su desarrollo es diferente.
Ciberespacio
y su EN EL MBITO DE LAS ADMINISTRACIONES
seguridad
PBLICAS, la principal normativa empleada
Sistema de Propsito y
Seguridad principios para la gestin de la ciberseguridad lo confor-
Nacional Estrategia de rectores man las normas internacionales ISO (princi-
Ciberseguridad
Nacional palmente ISO27002 e ISO18044).

Lneas Estas normas internacionales recogen, por un


de accin Objetivos
lado, un conjunto de controles para la gestin
de la seguridad de la informacin (ISO27002)

28
BUENAS PRCTICAS EN GESTIN DE RIESGOS

y, por otro lado, la norma ISO18044 define las desde un punto de vista tcnico de los requi-
medidas de seguridad aplicables para el trata- sitos del ENS en entornos Windows 7 y Win-
miento y respuesta a incidentes tecnolgicos. dows server 2008 R2.). Estos documentos y
herramientas son tambin empleados dentro
EN EL MBITO DE DEFENSA, como ya se ha del mbito de defensa para la implantacin
mencionado anteriormente, se toma como de medidas de ciberseguridad.
principal gua el documento Estrategia de Ci-
berseguridad Nacional. Sin embargo, se ma- Finalmente, y aunque su mbito de actuacin
nejan y toman como documentacin adicional excede el de la seguridad de las comunicacio-
los documentos de benchmarking elaborados nes telemticas y el ciberespacio, abarcando
La serie de guas de la
por el CIS (Center for Internet Security) y las el terreno de la seguridad fsica y la lucha
serie STIC establece las
guas DISA STIGs (Defense Information Sys- contra el terrorismo, es relevante mencionar
polticas y
tems Agency - Security Technical Implementa- la creacin del Centro Nacional de Proteccin
procedimientos
tion Guides) elaboradas por organismos esta- de las Infraestructuras Crticas (CNPIC) de-
acecuados para la
dounidenses, que definen medidas de seguri- pendiente del Ministerio del Interior encar-
gado de impulsar, coordinar y supervisar to- implantacin de las
dad especficas para diferentes entornos y
das las actividades y mecanismos necesarios medidas contempladas
plataformas. Estas guas definen gran canti-
dad de medidas de seguridad, algunas de para garantizar la seguridad de la infraestruc- en el Esquema Nacional
ellas bastante costosas de implementar, pero turas que proporcionan servicios esenciales a de Seguridad.
son una pieza fundamental y muy completa a nuestra sociedad, fomentando la participacin
la hora de bastionar distintas plataformas. de todos y cada uno de los agentes del siste-
ma en sus correspondientes mbitos, con el
A nivel nacional tambin se cuenta con un objetivo de crear un modelo de seguridad ba-
conjunto de guas de la serie STIC (Seguridad sado en la confianza mutua, y creando una
de las Tecnologas de la Informacin y las Co- asociacin pblico-privada que permita mini-
municaciones). En concreto, cabe destacar la mizar las vulnerabilidades de las infraestruc-
serie 800 relacionada con el ENS (Esquema turas crticas ubicadas en el territorio nacio-
Nacional de Seguridad). Esta Serie CCN-STIC- nal.
800 establece las polticas y procedimientos
adecuados para la implementacin de las me- El primer Plan Nacional de Proteccin de las
didas contempladas en el Esquema Nacional Infraestructuras Crticas, aprobado en mayo
de Seguridad (RD 3/2010). de 2007, reconoce que el riesgo de ataques
terroristas catastrficos contra infraestructu-
Adicionalmente, tal y como se ha indicado, ras crticas est viviendo un aumento, y por
dentro del mbito de las administraciones p- ello se ha creado un catlogo de instalaciones
blicas se pueden destacar las normativas ela- sensibles a estos atentados.
boradas por el CCN-CNI (Centro Criptolgico
Nacional) a travs de las series de guas STIC. Este plan establece que las infraestructuras
Estas guas cuentan, en algunas ocasiones, crticas son aquellas instalaciones, redes, ser-
con herramientas propias de desarrollo como vicios y equipos fsicos y de tecnologa de la
son CARMEN (Centro de Anlisis de Registros informacin cuya interrupcin o destruccin
y Minera de Datos), LUCIA (Listado Unificado pueden tener una repercusin importante en
de Coordinacin de Incidentes y Amenazas) o la salud, la seguridad o el bienestar econmi-
CLARA (que permite verificar el cumplimiento co de los ciudadanos o en el eficaz funciona-

29
BUENAS PRCTICAS EN GESTIN DE RIESGOS

miento de los gobiernos de los Estados miem- nanzas, entre otros, a informar a las autorida-
bros. des nacionales acerca de incidentes de impac-
to significativo.
Entre estas instalaciones sensibles destacan
INFRAESTRUCTURAS
CRTICAS las centrales y redes de energa, las comunica- Se ha establecido que las 5 estrategias priori-
PLAN NACIONAL DE PROTECCIN ciones, las finanzas, el sector sanitario, la ali- tarias a desarrollar son:
Factores
mentacin, el agua embalses, almacena- La resiliencia contra ciberataques.
miento, tratamiento y redes, los transpor- La reduccin drstica de la delincuencia en
Rango
tes aeropuertos, puertos, etc., monumentos la red.
Escala
nacionales, as como la produccin, almacena-
Efectos en el tiempo El desarrollo de una poltica de ciberdefen-
miento y transporte de mercancas peligrosas,
sa y de las capacidades correspondientes
como material qumico, biolgico o nuclear.
Parmetros en el mbito de la Poltica Comn de Segu-
El criterio para incluir a dichas instalaciones ridad y Defensa (PCSD).
Daos causados
Impacto econmico
en el catlogo es una mezcla de diversos fac- El desarrollo de los recursos industriales y
tores: rango, escala y efectos en el tiempo; y tecnolgicos necesarios en materia de ci-
Impacto en servicios
esenciales de parmetros: daos causados, impacto eco- berseguridad.
nmico e impacto en servicios esenciales; y El establecimiento de una poltica interna-
reas estratgicas comprende actualmente ms de 3.500 insta-
cional coherente del ciberespacio en la
Energa laciones e infraestructuras sensibles dentro de
Unin Europea y la promocin de los valo-
Industria Nuclear las siguientes reas estratgicas: Energa, In-
res europeos esenciales.
TI dustria Nuclear, Tecnologas de la Informa-
Transportes cin, Transportes, Suministro de Agua, Sumi- As pues, son numerosas las iniciativas a nivel
Suministro de Agua nistro de Alimentos, Salud, Sistema Financie- internacional que diferentes organismos, re-
Suministro de Alimentos ro, Industria Qumica, Espacio y Administra- guladores y gobiernos estn promoviendo en
Salud cin. el mbito de la ciberseguridad y proteccin de
Sistema Financiero las infraestructuras crticas, entre las que cabe
EN EL MBITO INTERNACIONAL caben desta-
Industria Qumica destacar la aprobacin y promulgacin de di-
car otras iniciativas como La Estrategia de Ci-
Espacio versas leyes en diferentes pases:
berseguridad de la Unin Europea (publica-
Administracin
da en 2013), o la Directiva de Seguridad de Cybersecurity Enhancement Act of 2014 (Es-
la Redes y la Informacin (NIS), que estable- tados Unidos). Proporciona una asociacin
ce medidas de control y mecanismos de coo- permanente pblico-privada para mejorar y
peracin concretos entre los estados miem- fortalecer la investigacin y el desarrollo
bros, como la red de equipos de respuesta a del personal, educacin, preparacin y con-
incidentes de seguridad (CSIRT) y el grupo de ciencia en materia de ciberseguridad.
cooperacin, compuesto por miembros de au-
toridades nacionales competentes, la Comi- - Cybersecurity Act of 2015 (Estados Unidos).
sin de la Unin Europea y la ENISA. La Di- Creada con el objetivo de promover y alen-
rectiva tambin obliga a disear una estrate- tar al sector privado y gobierno de Estados
gia de ciberseguridad nacional, y la obliga- Unidos para intercambiar con rapidez y de
cin para empresas que trabajan en sectores manera responsables informacin sobre las
crticos tales como energa, transporte y fi- amenazas cibernticas.

30
BUENAS PRCTICAS EN GESTIN DE RIESGOS

- IT Security Act (Alemania). En respuesta, y Por supuesto no hay que olvidar que el sector
tras la alarma del ciberataque al parlamen- privado deber realizar un levantamiento de
to alemn (Bundestag) conocido en junio las leyes y regulaciones de los pases en los
de 2015, Alemania aprob una ley de se- que tiene presencia con objeto de conocer sus
guridad informtica destinada a reforzar los obligaciones legales.
dispositivos de proteccin a las empresas,
debiendo adems informar de inmediato As pues, la regulacin en materia de ciberse-
acerca de cualquier incidente, anomala o guridad en el sector privado ha cobrado espe-
sospecha de virus. cial importancia durante los ltimos aos, co-
La realizacin de
mo demuestran algunos de estos hechos:
cuestionarios, pruebas
Sector Privado - La creacin por parte del NERC (Corpora- internas de ingeniera
cin para la confiabilidad del sector elctri- social y actividades de
Dentro de las compaas de sector privado se co norteamericano) de un estndar de bue- concienciacin para
debe desarrollar un cuerpo normativo de se- nas prcticas en ciberseguridad y soporte a que los empleados
guridad que cubra todos los riesgos a los que la industria e infraestructura elctrica.
conozcan sus
la compaa se encuentra expuesta, sin olvi- - La creciente exigencia a los bancos y enti- responsabilidades en
dar la ciberseguridad. Este cuerpo normativo dades financieras en materia de sistemas y materia de
debe ser debidamente publicado y comunica- para la prevencin y deteccin de amena- ciberseguridad son
do a todos los empleados de modo que co-
zas de ciberseguridad por parte de los dife- buenas prcticas a
nozcan los riesgos a los que nos exponemos
rentes reguladores del sistema financiero. aplicar en el sector
cuando nos enfrentamos a la ciberseguridad.
As lo demuestran las constantes revisiones, privado.
Una buena prctica es realizar cuestionarios y
auditoras y procesos peridicos de anlisis y
actividades de concienciacin que permitan a
evaluacin de la capacidad de ciberresiliencia
los empleados conocer sus responsabilidades
de las mismas, realizadas por la FED17, OCC18
en materia de ciberseguridad y realizar prue-
y FDIC19 en Estado Unidos, PRA20 y FCA21 en
bas internas de ingeniera social que nos ayu-
Inglaterra, y ms recientemente por el Meca-
den a medir el nivel de concienciacin im-
nismo nico de Supervisin (MUS) del Banco
plantado en la compaa. Realizar revisiones
Central Europeo. A este respecto, es impor-
peridicas de cumplimiento del cuerpo nor-
tante mencionar que el BCE inici sus diligen-
mativo permitir identificar debilidades y es-
cias el pasado ao sobre las principales enti-
tablecer acciones correctoras.
dades bancarias a nivel europeo, con la reali-
Cabe mencionar la importancia de colabora- zacin de un primer proceso de evaluacin de
cin con entidades pblicas, tal y como esta- ciberseguridad a travs del envo de un cues-
blece la Estrategia de Ciberseguridad Nacio- tionario, y seguido por inspecciones in situ ac-
nal comentada con anterioridad. tualmente en curso.

17. Federal Reserve System - https://www.federalreserve.gov/


18. Office of the Comptroller of the Currency - http://www.occ.gov/
19. Federal Deposit Insurance Corporation - https://www.fdic.gov/
20. Prudential Regulation Authority - http://www.bankofengland.co.uk/
21. Financial Conduct Authority - http://www.fca.org.uk/

31
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Buenas prcticas de Auditora Interna


para la evaluacin y revisin de
controles de ciberseguridad
A partir de este punto, se profundiza en los aspectos ms relevantes que un auditor interno de
sistemas o TI deber tener en cuenta a la hora de abordar una revisin de ciberseguridad.

EL ROL DE AUDITORA INTERNA


La ciberseguridad suscita mucho inters en Una buena aproximacin puede consistir en
los rganos de gobierno (comits o consejos integrar la ciberseguridad en el sistema co-
Una buena mnmente implantado en la mayora de las
directivos, comisiones de auditora, comits
aproximacin para organizaciones (modelo de las tres lneas de
de riesgos, etc) de las distintas organiza-
mitigar los riesgos defensa).
ciones, independientemente de su sector y ac-
puede consistir en
tividad, y cada vez est ms presente en las
integrar la
reuniones y en el da a da de dichos rganos. La primera lnea de defensa
ciberseguridad en el
Modelo de las Tres Los riesgos derivados de ciberseguridad como La primera lnea de defensa es la propietaria
Lneas de Defensa, fugas de informacin, fraudes, sabotajes, etc., de los riesgos y de su tratamiento en primera
comnmente pueden golpear duramente la reputacin de instancia. Debe realizar los procedimientos de
implantado en la las compaas, castigar econmicamente en control interno y de gestin de riesgos en su
mayora de las forma de sanciones y prdidas, o pueden lle- actividad diaria y tomar las decisiones en
organizaciones. gar a parar la operativa o prestacin del servi- cuanto al riesgo con base a su cuantificacin
cio de las compaas, incluso en pases con cualitativa y cuantitativa, con el objetivo de
una regulacin avanzada pueden conllevar alcanzar los niveles ptimos en cuanto al cos-
condenas penales. te/beneficio de asumir o no un riesgo.

Tanto el volumen como el impacto de las Debe poner en funcionamiento todas las me-
amenazas estn aumentando exponencial- didas tcnicas y organizativas necesarias. Los
mente en los ltimos tiempos. Por todo esto empleados y usuarios (o los propietarios de
hay que extremar las medidas en materia de las aplicaciones sean o no desarrolladas inter-
ciberseguridad y establecer todos los contro- namente por la organizacin) deben ser cons-
les necesarios para poder mitigar los riesgos cientes de que son parte primordial de esta
en las organizaciones. primera lnea de defensa. Son el primer obje-

32
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Modelo de las Tres Lneas de Defensa* adaptado al riesgo de Ciberseguridad

Regulador / Supervisor
Auditora de Cuentas
Cumplimiento Normativo
Control de TI
de las reas
Seguridad de TI Auditora Interna
de TI
Gestin de Riesgos de TI
Control
Interno de TI

* European Confederation of Institutes of Internal Auditors/Federation of Risk Management Association-2013. Endorsed


by Global Institute of Internal Auditors-2014

tivo y la puerta de entrada ms dbil para los tendrn ms presencia que otras, pero todas
malos. ellas deberan tener en cuenta la ciberseguri-
dad y sus riesgos.
Deben tener mucho cuidado con correos elec-
trnicos sospechosos, dispositivos mviles, re- La relacin entre todas ellas debe formar un
des Wifi, redes sociales, etc. Un uso adecuado modelo de aseguramiento en ciberseguridad
de los mismos y conforme a las polticas de que facilite que los riesgos y controles en este
seguridad de la compaa provee una garan- mbito se manejan de manera consistente,
ta que minimiza el riesgo existente. Pero esto mediante revisiones proactivas de la seguri-
no es suficiente, tambin se tienen que im- dad y procesos de deteccin, correccin y me-
plantar todas las medidas tcnicas (firewall, jora continua, proveyendo de tranquilidad y
IDS, gestin de accesos, cifrado de la informa- confianza a la alta direccin de la organiza-
cin, etc.) al alcance de la organizacin y en cin.
consonancia con la informacin que se mane-
ja. Como principales tareas debe:
Desarrollar e implementar las polticas ge-
La segunda lnea de defensa nerales (ciberseguridad) y facilitar el desa-
rrollo e implantacin del marco general de
La segunda lnea de defensa puede estar
riesgos y controles.
compuesta por diferentes funciones en la or-
ganizacin tales como Gestin de Riesgos de Establecer las metodologas y mtricas para
TI, Seguridad de Sistemas, Cumplimiento Nor- evaluar y monitorizar el proceso.
mativo de TI, Asesora Jurdica, etc. Es eviden- Reforzar los marcos de control definidos
te que dependiendo de la organizacin unas por la primera lnea de defensa.

33
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Proveer de un mapa de riesgos completo y de seguridad de sistemas (encargadas de la


actualizado de la organizacin. ciberseguridad), asistiendo a sus comits o
Realizar el seguimiento de la exposicin al simplemente estableciendo entre ambas una
riesgo y verificacin de que est dentro de lnea de reporting lo suficientemente comple-
Para definir su Plan de
los mrgenes y apetito al riesgo definido en ta.
Auditora, Auditora
Interna de TI debe la sociedad. Para definir su Plan de Auditora, Auditora In-
incorporar la Establecer los sistemas de reporting vertical terna de TI debera incorporar la informacin
informacin y horizontal en materia de ciberseguridad. suministrada por la segunda lnea de defensa
suministrada por la adems de sus propios anlisis prestando es-
segunda lnea de La tercera lnea de defensa pecial atencin a la ciberseguridad.
defensa y sus propios
anlisis, prestando La tercera lnea de defensa, que suele recaer Adicionalmente, Auditora Interna puede par-
especial atencin a la sobre Auditora Interna, en nuestro mbito de ticipar en ejercicios de revisin tcnica de la
ciberseguridad. ciberseguridad recaera ms especficamente seguridad, con el fin de identificar riesgos no
sobre Auditora Interna de Sistemas. Debe ser identificados en las capas anteriores.
completamente independiente del resto de l-
A modo de gua general, el siguiente listado
neas de defensa y debe proveer garantas so-
pretende reflejar los principales aspectos en
bre el sistema de control interno a los rga-
materia de ciberseguridad, que deberan ser
nos de gobierno (consejo, comisiones de audi-
preocupacin y objeto de revisin por parte
tora), y la alta direccin.
de Auditora Interna:
Auditora interna debe proporcionar una revi- 1. Colaborar con la direccin de la compaa
sin y evaluacin independiente sobre la efi- en la creacin y desarrollo de una estrate-
cacia de las lneas de defensa inferiores. gia y poltica de ciberseguridad.

La colaboracin con la segunda lnea de de- 2. Asegurar que la organizacin cuenta con
fensa es muy importante facilitando el alinea- un correcto nivel de madurez y capacidad
miento con el modelo de aseguramiento a ni- para la identificacin y mitigacin de los
vel corporativo y poner en contexto y elevar riesgos de ciberseguridad.
tanto las bondades del modelo como los gaps 3. Verificar los mecanismos para reconocer
o deficiencias encontradas en materia de ci- incidentes de ciberseguridad procedentes
berseguridad. de un empleado o proveedor externo.
En este punto, Auditora Interna debera parti- 4. Aprovechar las relaciones con la direccin
cipar de manera pasiva o estar informada de la compaa para aumentar el nivel de
puntualmente de las actividades de las reas concienciacin con los riesgos de ciberse-

PLAN
DE AUDITORA INTERNA Informacin sobre ciberseguridad

34
BUENAS PRCTICAS EN GESTIN DE RIESGOS

guridad de la Junta y el Consejo, as como alcanzar los objetivos y retos de ciberse-


su implicacin y compromiso con cuestio- guridad de la compaa.
nes clave en esta materia, como la actua-
lizacin de la estrategia de ciberseguridad Ciberseguridad en comits y comisio-
de la compaa. nes
5. La ciberseguridad se encuentra formal-
Adems de las funciones vistas en las tres l-
mente cubierta e integrada en el Plan de
neas de defensa, existen multitud de comits
Auditora Interna.
y comisiones delegadas dependiendo de las
6. Entender y desarrollar un perfil de riesgo propias caractersticas de las organizaciones,
en ciberseguridad de la compaa, tenien- para tomar decisiones en cuanto a la estrate-
do en cuenta las nuevas tecnologas y gia, organizacin y operacin. La ciberseguri-
tendencias emergentes. dad debera estar presente en todos ellos y
tomada en consideracin como un aspecto
7. Evaluar el programa de ciberseguridad de
relevante en los siguientes:
la compaa con el marco de ciberseguri-
dad de la NIST, y otros estndares tales Comits de Sistemas, de Seguridad, de Con-
como ISO 27001 y 27002. tinuidad de Negocio.
8. Identificar y evaluar las capacidades pre- Comits de Cumplimiento, de Riesgos. Auditora Interna debe
ventivas de control de la ciberseguridad entender y desarrollar
en materia de educacin, formacin y Comits de Direccin. el perfil de riesgo en
concienciacin de usuarios, as como pro- Comisiones de Auditora y Cumplimiento, ciberseguridad de la
cesos y herramientas de control y vigilan- de Riesgos. organizacin, teniendo
cia digital. en cuenta las nuevas
Con esta presencia aseguramos que los mxi- tecnologas y
9. Asegurar que la monitorizacin y gestin
mos responsables de las organizaciones: pre- tendencias emergentes.
de ciberincidentes es considerada una
sidencia, consejeros delegados, consejos de
prioridad en la compaa, existiendo un
administracin, etc., estn informados en to-
proceso de escalado claro al respecto.
do momento de los riesgos que tienen las or-
10. Identificar cualquier carencia o falta de ganizaciones en materia de ciberseguridad,
personal de IT y Auditora Interna que las medidas adoptadas y las responsabilida-
pueda representar un impedimento para des que asumen.

20 CONTROLES CRTICOS DE SEGURIDAD QUE TODAS LAS ORGANI-


ZACIONES DEBERAN IMPLEMENTAR
Antecedentes comunes y dainos con la intencin de auto-
Los controles de seguridad crticos son un matizarlos lo mximo posible. Estn alineados
conjunto recomendado de acciones de ciber- con el marco de ciberseguridad del NIST y son
defensa, orientados a mitigar los ataques ms un subconjunto de los controles definidos de

35
BUENAS PRCTICAS EN GESTIN DE RIESGOS

la publicacin NIST 800-53, compendio de SANS Institute ha coordinado la actualizacin


controles recomendados para las agencias es- hasta la versin 5.0. En agosto de 2016 se
tadounidenses, y sobre el cual se realizan las public la versin 6.1, ya coordinada desde el
auditoras de seguridad de las agencias esta- Center for Internet Security (CIS). Aunque esta
Los controles de
seguridad crticos son tales en EEUU. ltima versin no incorpora cambios relevan-
acciones recomendadas tes en la redaccin y contenido de los contro-
Los mecanismos de defensa recogidos en es- les, incluye una categorizacin de los mismos
orientadas a mitigar los
tos controles se basan en las experiencias de en 2 niveles: fundamental y avanzado. Para
ataques ms comunes y
dainos para contencin efectiva de ataques reales. Las ac- 2017 se espera la publicacin de una herra-
automatizarlos al ciones estn priorizadas por orden de mitiga- mienta que permitir evaluar el nivel de im-
mximo. cin, segn la puntuacin de la NSA. plantacin de estos controles.

En 2009 un consorcio de agencias federales


de los Estados Unidos y compaas del sector
Listado de controles y objetivos de
control
privado generaron las Directrices Consensua-
das de Auditora (CAG por sus siglas en in- La siguiente tabla muestra los 20 Controles
gls), un conjunto de 20 controles de seguri- Crticos de Seguridad (CSC), as como los ob-
dad de la informacin alineados con la publi- jetivos de control necesarios para su correcta
cacin NIST 800-53. implementacin:

CSC 1 INVENTARIO DE DISPOSITIVOS Gestionar activamente todos los dispositivos hardware en la red, de
AUTORIZADOS Y NO AUTORIZADOS forma que slo los dispositivos autorizados tengan acceso a la red.

CSC 2 INVENTARIO DE SOFTWARE AUTORIZADO Gestionar activamente todo el software en los sistemas, de forma
Y NO AUTORIZADO que slo se pueda instalar y ejecutar software autorizado.

CSC 3 CONFIGURACIONES SEGURAS Establecer una configuracin base segura para dispositivos mviles,
DE SOFTWARE Y HARDWARE PARA porttiles, equipos de sobremesa y servidores, y gestionarlas
DISPOSITIVOS MVILES, PORTTILES, activamente utilizando un proceso de gestin de cambios y
EQUIPOS DE SOBREMESA Y SERVIDORES configuraciones riguroso, para prevenir a los atacantes explotar
servicios y configuraciones vulnerables.

CSC 4 PROCESO CONTINUO DE IDENTIFICACIN Disponer un proceso continuo para obtener informacin sobre
Y REMEDIACIN DE VULNERABILIDADES nuevas vulnerabilidades, identificarlas, remediarlas y reducir la
ventana de oportunidad a los atacantes.

CSC 5 CONTROL SOBRE PRIVILEGIOS Desarrollar procesos y utilizar herramientas para identificar, prevenir
ADMINISTRATIVOS y corregir el uso y configuracin de privilegios administrativos
en ordenadores, redes y aplicaciones.

CSC 6 MANTENIMIENTO, MONITORIZACIN Recoger, gestionar y analizar logs de eventos que pueden ayudar a
Y ANLISIS DE LOGS DE AUDITORA detectar, entender o recuperarse de un ataque.

36
BUENAS PRCTICAS EN GESTIN DE RIESGOS

CSC 7 PROTECCIN DEL CORREO ELECTRNICO Minimizar la posibilidad de que los atacantes manipulen a los
Y DEL NAVEGADOR empleados a travs de su interaccin con el correo electrnico
y el navegador.

CSC 8 DEFENSAS CONTRA EL MALWARE Evitar la instalacin, difusin y ejecucin de cdigo malicioso en
distintos puntos, al tiempo que se fomenta la automatizacin para
permitir una actualizacin rpida en la defensa, recopilacin de
datos y la correccin.

CSC 9 LIMITAR Y CONTROLAR LOS PUERTOS Gestionar el uso de puertos, protocolos y servicios en los
DE RED, PROTOCOLOS Y SERVICIOS dispositivos que tengan red para reducir las vulnerabilidades
disponibles a los atacantes.

CSC 10 CAPACIDAD DE RECUPERACIN Disponer procesos, metodologas y herramientas adecuadas para


DE DATOS respaldar la informacin crtica y realizar pruebas de recuperacin.

CSC 11 CONFIGURACIONES SEGURAS Establecer una configuracin base para los dispositivos de
DE DISPOSITIVOS DE RED infraestructura de red, y gestionarlas activamente utilizando un
(FIREWALLS, ROUTERS Y SWITCHES) proceso de gestin de cambios y configuraciones riguroso, para
prevenir a los atacantes explotar servicios y configuraciones
vulnerables.

CSC 12 DEFENSA PERIMETRAL Desarrollar una estrategia para detectar, prevenir y corregir los flujos
de transmisin de informacin entre redes de distintos niveles de
seguridad (confianza).

CSC 13 PROTECCIN DE LOS DATOS Disponer de procesos y herramientas adecuadas para prevenir la
fuga de informacin, mitigar los efectos cuando se ha producido un
incidente de fuga de informacin, y asegurar la confidencialidad e
integridad de la informacin sensible.

CSC 14 ACCESO BASADO EN LA NECESIDAD DE El acceso a los activos crticos debe realizarse de acuerdo a una
CONOCER (NEED TO KNOW) definicin formal de que personas, sistemas y aplicaciones tienen la
necesidad y el derecho de acceso. Los procesos y herramientas
utilizadas en el seguimiento, proteccin y correccin de estos
accesos deben estar alineados con las definiciones.

CSC 15 CONTROL DE ACCESO WIRELESS Disponer de procesos y herramientas para garantizar una seguridad
adecuada en las redes WiFi y en los sistemas clientes, incluyendo
seguimiento y correccin de las medidas de seguridad.

CSC 16 CONTROL Y MONITORIZACIN Gestionar activamente el ciclo de vida de las cuentas de sistema y
DE CUENTAS DE SISTEMA de aplicacin (creacin, uso, inactividad y borrado) para reducir su
utilizacin por parte de un atacante.

37
BUENAS PRCTICAS EN GESTIN DE RIESGOS

CSC 17 VERIFICACIN DE LAS HABILIDADES Identificar los conocimientos especficos, habilidades y capacidades
DE SEGURIDAD Y FORMACIN ADECUADA necesarias en la organizacin para la defensa de los activos crticos
de la compaa, y desarrollar y evaluar un plan para identificar gaps
y remediar con polticas, formacin y programas de sensibilizacin.

CSC 18 SEGURIDAD EN EL CICLO DE VIDA Gestionar el ciclo de vida de todas las aplicaciones, tanto las
DE LAS APLICACIONES desarrolladas internamente como las de proveedores para prevenir,
detectar y corregir vulnerabilidades tcnicas.

CSC 19 GESTIN Y RESPUESTA A INCIDENTES Proteger la informacin y la reputacin de la organizacin


desarrollando e implementando una infraestructura de respuesta a
incidentes para detectar un ataque, contener el dao de forma
efectiva, expulsar al atacante, y restaurar la integridad de los
sistemas y la red.

CSC 20 REALIZAR TEST DE PENETRACIN Probar las defensas de la organizacin (tecnologa, procesos
Y EJERCICIOS DE ATAQUE y personas) mediante la simulacin de un ataque, utilizando sus
mismas acciones y objetivos.

El papel de Auditora Interna en la revi- CONTROLES 1 Y 2


sin de los controles La revisin puede realizarse de dos formas:
Verificar que existe una gestin de inventarios
Para cada uno de los 20 enunciados, existen ac-
hardware y software, identificando listas blan-
tividades ms concretas que pueden formar par-
cas y negras y su actualizacin (al ser una
te del programa de trabajo de una auditora de
aproximacin de ver que existe un control,
ciberseguridad.
podramos llamarla, de capa 2).
El propio CIS cuenta con una gua para la medi- El auditor interno escanea las redes internas
cin de la efectividad de estos controles. Esta utilizando herramientas automticas (acta
vara con las amenazas cambiantes. Es necesa- como Red Team, segn el control 20, es decir,
rio contar con procesos de diagnstico de la comportndose como lo hara un atacante),
efectividad de los controles, utilizando mtricas. hace una verificacin tcnica, que podra-
La automatizacin de estos es fundamental para mos llamar de capa 1.
alcanzar este objetivo. En el resto de controles tambin usaremos estas
dos aproximaciones de revisin.
Los controles estn pensados para organizacio-
nes de cualquier tipo, no obstante, el conoci- CONTROLES 3 Y 4
miento de la organizacin y la exposicin a las Su revisin se puede enfocar, de forma comple-
amenazas va a condicionar la propia prioriza- mentaria a los controles 1 y 2, verificando si
cin y alcance de la implantacin de los contro- existe una poltica de bastionado de todos los
les. dispositivos, aplicaciones y servicios, si esta pol-

38
BUENAS PRCTICAS EN GESTIN DE RIESGOS

tica est alineada con buenas prcticas y si se supuesto y personal suficiente se suele dispo-
dispone de un proceso de revisin de las vul- ner de un SIEM (Security Information and
nerabilidades que retroalimente la poltica de Event Management), sistema que permite dis-
bastionado. poner en tiempo real de alertas de seguridad.
Otra aproximacin es que el auditor escanee La verificacin pasa por analizar el contenido
los dispositivos/aplicaciones utilizando herra- de los logs, y, si actuamos como Red Team,
mientas automatizadas, actuando como Red las actividades que realicemos, como esca-
Team. near una red o conectarnos como usuario ad-
ministrador desde un puesto no habitual, de-
CONTROL 5
beran reflejarse en los logs y generarse las
Este control nos lleva a que las cuentas de
alertas correspondientes.
usuarios administradores de aplicaciones, dis- Los controles estn
positivos y sistemas operativos deben estar CONTROL 7 pensados para
identificadas, su uso auditado, eliminando las organizaciones de
Nuevo en la versin 6.0, pasa por utilizar
que no se utilizan y cambiando las que estn cualquier tipo. El
clientes de correo y navegadores actualizados
definidas por defecto. Adicionalmente, deben conocimiento de la
y evitar que el usuario pueda aadir extensio-
cumplir con la poltica de fortaleza de contra- organizacin y la
nes, as como cambiar su configuracin. La
seas. exposicin a las
configuracin debe ser la ms restrictiva posi-
amenazas condicionar
La revisin de este control puede orientarse a ble para que el usuario pueda trabajar, desha-
la propia priorizacin y
verificar la existencia de una poltica de alta, bilitando los plugins innecesarios. alcance de la
baja y mantenimiento de usuarios administra-
De forma complementaria, el control 8 habili- implantacin.
dores, y la fortaleza de la contrasea (debera
ta el anlisis de malware en los equipos, y de-
formar parte de la poltica de bastionado), y
ben definirse medidas para evitar que el mal-
las tareas que se desarrollan para comprobar
ware entre a travs de la navegacin del
su cumplimiento.
usuario o de la lectura de correo (IPS, antivi-
Por otro lado, tambin podemos solicitar el
rus de navegacin y correo, bloqueo de URLs
listado de usuarios definidos en los sistemas y
maliciosas, etc.).
los ficheros de contraseas cifradas asocia-
dos, y comprobar que no disponen de las cla- CONTROL 8
ves por defecto utilizando herramientas auto- El control 8 tambin recomienda agregar
mticas.
otras medidas contra el malware que deben
CONTROL 6 estar recogidas en la poltica, como el blo-
queo de USB y la monitorizacin contina de
Implica que todos los sistemas y aplicaciones
los equipos.
deberan tener habilitadas las trazas de audi-
tora, incluyendo respuestas a desde dnde, Debe existir una poltica del uso seguro y de
quin, qu y cundo, as como tener definidas configuraciones autorizadas, y tareas de revi-
acciones de alerta. sin automatizada de los equipos y servido-
Debera existir una poltica asociada, un for- res.
mato de log corporativo y una tarea de anli- Otra posible verificacin pasa por enviar un
sis de estos logs. En organizaciones con pre- correo con contenido no autorizado a una

39
BUENAS PRCTICAS EN GESTIN DE RIESGOS

cuenta interna, o navegar por una pgina del uso del administrador y, adicionalmente,
dentro de una lista negra. control de cuentas por defecto (control 16).
El test de este control sera de la misma for-
CONTROL 9
El acceso a la ma que los controles mencionados.
Nos habla de limitar los servicios expuestos a
informacin debe CONTROL 12
las redes, y separar fsicamente las mquinas
seguir el principio de
que tienen esos servicios. Debe existir una po- En este control vemos que tenemos que tener
necesidad de
ltica que defina que slo los servicios y puer- una seguridad perimetral basada en aplicar
conocer. Un perfilado
tos necesarios para la organizacin estn ha- filtros sobre las comunicaciones de nuestra
adecuado mitiga el
bilitados, o restringidos a las redes/usuarios organizacin hacia y desde fuera, as como
riesgo, pero deben
que realizan tareas asociadas. El resto debera desplegar sensores que detecten actividades
implantarse otros
estar deshabilitado/filtrado. sospechosas y alimenten a nuestro SIEM, te-
controles, ya que un
nemos que protegernos, pero tambin es im-
ataque puede obtener La aproximacin para verificar este control
portante detectar si estn intentando entrar
credenciales que pasa por realizar escaneos automticos de las
o, si ya lo han hecho, identificarlos.
tengan acceso a la diferentes redes, para identificar puertos/ser-
informacin. vicios que deberan estar restringidos o des- Por otro lado, tenemos que tener una DMZ,
una zona donde los servicios expuestos a In-
habilitados. Un auditor interno puede realizar
ternet estn separados de la red interna.
esta tarea de forma puntual o verificar si exis-
te un proceso continuo que lo realice. Si necesitamos acceder a la red interna desde
fuera (teletrabajo), debemos implantar un se-
CONTROL 10 gundo factor de autenticacin.
Nos pide que se hagan copias de seguridad El anlisis de las reglas de FW nos permite
de todos los datos crticos, as como que se evaluar este control. De igual forma que en
verifique de forma peridica que estos se controles anteriores, podemos hacer un esca-
pueden recuperar en un tiempo asumible. Asi- neo de nuestro permetro desde Internet para
mismo, los sistemas donde se guardan estas identificar puntos de entrada, servicios accesi-
copias deben tener acceso restringido, tanto bles sin autenticacin robusta y, testear qu
fsica como lgicamente. alertas han generado nuestra actividad.
Para probar este control, se pueden solicitar CONTROL 13
las polticas de back up y el resultado de las Este control confa en el cifrado de la infor-
pruebas de recuperacin. macin en reposo y en trnsito para garanti-
CONTROL 11 zar la privacidad y prevenir una fuga.

Se basa en definir una configuracin segura CONTROL 14


para los dispositivos de comunicaciones (fire- El acceso a la informacin debe seguir el prin-
walls, routers, switches), junto con los proce- cipio de necesidad de conocer. Un perfilado
sos de gestin de cambio asociados. Este con- adecuado mitiga el riesgo, pero aun as debe-
trol es la implantacin para estos dispositivos mos implantar otros controles, ya que un ata-
de los controles 3, 4 y 5: configuracin base que puede obtener credenciales que tienen
segura, revisin de vulnerabilidades y control acceso a la informacin. Debemos emprender

40
BUENAS PRCTICAS EN GESTIN DE RIESGOS

acciones complementarias, y algunos de los lance herramientas automticas para identifi-


controles que hemos visto nos ayudan: limitar car cuentas obsoletas habilitadas.
el uso de USB, monitorizar las conexiones o la
separacin entre redes. CONTROL 17
La prueba del control tiene que ser emprica, Se basa en que cada puesto funcional tiene
intentar acceder a informacin a la que no te- que tener una formacin especfica en seguri-
nemos acceso por perfil. dad. Deben identificarse posibles carencias y
formar a los empleados. Igualmente, la orga-
CONTROL 15
nizacin debera tener un programa de con-
Nos dice que protejamos las redes wireless. cienciacin dirigido a todos los empleados,
Un inventario de todas las existentes, junto adecuado a las funciones que realizan.
con revisiones peridicas por parte del rea Deben establecerse
Solicitar la formacin recibida del personal de bloqueos de cuentas
de seguridad de que no existen redes no au-
seguridad nos permite identificar las caren- por accesos fallidos,
torizadas; la comprobacin automtica de sus
cias. limitando desde dnde
vulnerabilidades y de la fortaleza de las con-
Una forma de probar la efectividad es, una se puede acceder y
traseas; y una limitacin de las redes inter-
vez realizada la accin formativa/conciencia- solicitando un doble
nas a las que se puede acceder; completan la
dora, enviar un correo tipo phishing para ver factor para acceder a
revisin del control.
la reaccin del empleado y los pasos que rea- sistemas/datos
Adicionalmente, se deberan desplegar detec- especialmente
liza para denunciar el evento.
tores de intrusos en estas redes para identifi- sensibles.
car dispositivos no autorizados.
CONTROL 18
CONTROL 16 El ciclo de vida del software tambin necesita
Si el control 4 era qu hace el administrador, tener una capa de seguridad, como muestra
el 16 es si hay cuentas definidas en los siste- el control 18. Tanto el desarrollo interno como
mas que sean usuarios por defecto, usuarios la compra de software de terceros requieren
que ya han abandonado la organizacin o si de una capa de seguridad.
existen otras cuentas definidas en los siste- Las redes de desarrollo y produccin deberan
mas. estar separadas.
Por otro lado, se deben establecer bloqueos Unas directrices de programacin segura o
de cuentas por accesos fallidos (este punto plan de formacin especfica de desarrollo se-
debera estar en la poltica de seguridad), li- guro, ayuda a evitar vulnerabilidades en las
mitando desde dnde se puede acceder y so- aplicaciones desarrolladas internamente. Si lo
licitando un doble factor para acceder a siste- acompaamos de una revisin automtica de
mas/datos especialmente sensibles. cdigo por parte de herramientas especializa-
Los accesos de terceros deben revisarse espe- das, limitamos las vulnerabilidades.
cialmente. Una revisin final una vez integrado todo el
Para probar este control, una opcin es verifi- desarrollo nos permite completar el ciclo. Esta
car que exista un proceso de revisin de ltima accin puede realizarla Auditora Inter-
usuarios. Otra opcin es que Auditora Interna na.

41
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Existen productos que filtran/limitan las vul- CONTROL 20


nerabilidades ms comunes, que tambin Nos habla de realizar ciberejercicios. Los tipos
pueden desplegarse en produccin. de ataques no paran de crecer. Aparecen nue-
Es fundamental Los productos de terceros deberan probarse vas tcnicas de las que nos tenemos que de-
disponer de un plan de antes de su implantacin. fender. Una forma de probar si tenemos las
gestin y respuesta a defensas adecuadas es comportarnos como
CONTROL 19
incidentes que un posible atacante utilizando tcnicas simila-
Se enfoca en la gestin de crisis. Es funda- res.
contemple
mental disponer de un plan de gestin y res-
procedimientos La capa 2 puede realizar esta tarea. Auditora
puesta a incidentes que contemple procedi-
escritos, asignacin de Interna revisara las situaciones identificadas
mientos escritos, asignacin de tareas y res-
tareas y y las acciones correctoras.
ponsabilidades.
responsabilidades. Auditora Interna tambin puede realizar la
Estos planes deberan ser probados para veri-
tarea (prueba todos los controles), o contratar
ficar cmo est preparada la organizacin
los servicios de un externo.
frente a un incidente de envergadura, y ga-
rantizar una gestin adecuada a la crisis.

Certificaciones profesionales
Con el aumento del nivel de amenazas y ries- dad de CyberCamp (celebrado los das 27, 28
gos relacionados con la ciberseguridad expe- y 29 de noviembre de 2015 en el Barclaycard
rimentado durante los ltimos aos, existe ac- Center de Madrid) con el objetivo de dar a
tualmente una alta demanda de profesionales conocer la oferta y demanda laboral de dife-
especializados en estas materias. La Unin rentes empresas, orientar a los jvenes acerca
Europea prev la creacin de 90.000 nuevos de las posibles trayectorias profesionales, as
puestos de trabajo en este sector para el ao como informar acerca de los diferentes pro-
2020. gramas y opciones de formacin.
Sin embargo, no resulta fcil para las empre- En este marco, a las ya tradicionales certifica-
sas encontrar los perfiles adecuados y espe-
ciones para profesionales de seguridad y au-
cializados en los nuevos riesgos de la seguri-
ditora de sistemas: ITIL (Information Techno-
dad de la informacin, puesto que no existe
logy Infrastructure Library), CobiT (Control
todava demasiada formacin reglada.
Objectives for Information and Related Tech-
En este sentido, se lanzaron iniciativas como nology), ISO 27000 (Estndar para la Seguri-
el Foro de Empleo y Talento en Ciberseguri- dad de la Informacin), CISA22 (Certified Inter-

22. Certificacin otorgada por ISACA (Information Systems Audit and Control Association).

42
BUENAS PRCTICAS EN GESTIN DE RIESGOS

nal Systems Auditor), CISM (Certified Informa- CSX Specialist. Certificaciones avanzadas y
tion Security Manager), CISSP23 (Certified In- especializadas en el conocimiento y habili-
formation Systems Security Professional), Se- dades de las siguientes reas o dominios:
curity+ (certificada por CompTIA24), etc.; se Identificacin de riesgos, proteccin de sis-
han incorporado otras muchas que han co- temas, deteccin de amenazas, respuesta y
brado importancia (especialmente aquellas anlisis de incidentes, y recuperacin de los
relacionadas con aspectos de pentesting y sistemas.
hacking tico, gestin de ciberincidentes o CSX Expert. Certificacin de nivel avanza-
anlisis forense), tales como las ofrecidas por do para la identificacin, anlisis, respuesta
las siguientes organizaciones. y mitigacin de incidentes de ciberseguri-
dad avanzados, y asociados a empresas con
ISACA entornos complejos y una alta exposicin a
ataques.
Ha lanzado el programa Cybersecurity Ne-
xus25 (CSX), que ofrece una serie de certifica-
SANS
ciones en diferentes niveles para la formacin
de profesionales, y alineadas con los principa- El Instituto SANS (SysAdmin Audit, Networ-
les estndares de ciberseguridad del merca- king and Security Institute) en colaboracin
do: con la entidad certificadora GIAC (Global In-
formation Assurance Certification) ofrece un
Cybersecurity Fundamentals Certificate. conjunto de ms de 20 certificaciones agru-
Orientada a la introduccin de los concep- padas en diferentes niveles en materia de ad-
tos, marcos, guas de buenas prcticas y es- ministracin y gestin de seguridad, auditora
tndares de ciberserguridad de la industria; legal y de seguridad, seguridad del software y
ciberseguridad en redes, sistemas, aplica- anlisis forense:
ciones y datos, implicaciones de seguridad
NIVEL INTRODUCTORIO.
de las nuevas tecnologas y respuesta bsi-
Administracin de Seguridad.
ca ante incidentes.
- GISF: Information Security Fundamentals.
CSX Practitioner. Certificacin orientada a NIVEL INTERMEDIO.
la primera capa de respuesta de seguridad, Administracin de Seguridad.
con el objetivo de conocer e implementar - GSEC: Security Essentials Certification.
los principales controles de seguridad, reali- Gestin.
zar anlisis y escaneos de vulnerabilidades, - GISP: Information Security Professional.
definicin de procesos y procedimientos de Forense.
seguridad en los sistemas. - GCFE: Certified Forensics Examiner.

23. Certificacin otorgada por ISC2 (International Information Security Certification Consortium).

24. Computing Technology Industry Association. http://certification.comptia.org/

25. https://cybersecurity.isaca.org/csx-certifications

43
BUENAS PRCTICAS EN GESTIN DE RIESGOS

NIVEL AVANZADO. EC-Council2


Administracin de Seguridad.
- GPPA: Certified Perimeter Protection A- El Consejo Internacional de Consultores de
nalyst. Comercio Electrnico, ofrece entre otras mu-
- GCIA: Certified Intrusion Analyst. chas, las siguientes certificaciones relaciona-
- GCIH: Certified Incident Handler. das con la gestin de la ciberseguridad:
- GCUX: Certified UNIX Security Adminis-
trator. CEH (Certified Ethical Hacker). Introduc-
- GCWN: Certified Windows Security Ad- cin a las habilidades y vulnerabilidades en
ministrator. sistemas utilizando los mismos conocimien-
- GCED: Certified Enterprise Defender. tos y herramientas que los hackers malicio-
- GPEN: Certified Penetration Tester. sos y metodologa de pentesting, con el ob-
- GWAPT: Web Application Penetration jetivo de ayudar a la organizacin a tomar
Tester. medidas contra estos ataques.
Gestin. ECSA (Certified Security Analyst). Curso
- GSLC: Security Leadership Certification. avanzado en mtodos y tcnicas de pene-
- GCPM: Certified Project Manager Certifi- tracin, analizando diferentes herramientas,
cation.
tecnologas y fases del proceso de hacking
Seguridad del software. tico, para identificar y mitigar los riesgos
- GSSP-NET: Secure Software Programmer- de seguridad de la infraestructura como
NET. analista de seguridad y pentester.
- GSSP-JAVA: Secure Software Program-
mer - Java. ENSA (Network Security Administrator).
Certificacin dirigida a administradores de
Auditora.
seguridad, proporcionando las habilidades
- GSNA: Systems and Network Auditor.
para analizar las amenazas (internas y ex-
Forense. ternas), as como las tcnicas defensivas
- GCFA: Certified Forensic Analyst. para protegerse ante ellas.
Legal.
CHFI (Computer Hacking Forensic Investi-
- GLEG: Law of Data Security & Investiga-
gator). Preparacin para la deteccin ante
tions.
ataques perpetrados por hackers, responder
NIVEL EXPERTO a incidentes de seguridad, e identificacin
Administracin de Seguridad. de tcnicas de investigacin y anlisis para
- GAWN: Assessing Wireless Networks. rastrear el origen del evento con el fin de
- GXPN: Exploit Researcher and Advanced determinar diferentes evidencias digitales.
Penetration Tester.
ECIH (Certified Incident Handler). Disea-
Forense. da para proveer los conocimientos necesa-
- GREM: Reverse Engineering Malware.
rios en materia deteccin, gestin y res-
GSE. puesta ante amenazas e incidentes de ci-
- GSE: GIAC Security Expert. berseguridad.

44
BUENAS PRCTICAS EN GESTIN DE RIESGOS

ECES (Certified Encription Specialist). materia de ciberseguridad relacionados


Aprendizaje de las diferentes tcnicas (si- fundamentalmente con las siguientes mate-
mtrico, clave criptogrfica), fundamentos y rias: gestin de ciberincidentes, anlisis
detalle de los algoritmos de cifrado (DES, avanzados de amenazas, anlisis forense
AES, RSA, MD5, etc.), as como su uso e im- digital y gestin de amenazas en dispositi-
plementacin tcnica. vos mviles.

- El Instituto Nacional de Ciberseguridad


Formacin (INCIBE28) ofrece una serie de cursos online
Ante la demanda y bsqueda de nuevos pro- como, por ejemplo: Seguridad en sistemas
fesionales en ciberseguridad, y con el objetivo de control y automatizacin industrial, Ci-
de facilitar una mejor comprensin y gestin berseguridad para micro-pymes y autno-
de estos riesgos, existe actualmente en el mos, Seguridad avanzada en dispositivos
mercado una amplia oferta de opciones de mviles o Ciberseguridad para fuerzas y
formacin (seminarios, cursos presenciales y/o cuerpos de seguridad.
online, cursos de postgrado), entre los que
- Diferentes Masters en ciberseguridad ofre-
podemos destacar:
cidos entre otras por S21sec, Zin Security,
- El Instituto Tecnolgico de Massachusetts CICE (Escuela de Formacin de Nuevas Tec-
(MIT 26 ) reconocido mundialmente como nologas), Aucal Business School, y diferen-
una de las mejores instituciones del sector, tes centros universitarios como la Universi-
dispone de una amplia gama de cursos, dad de Len, la Universidad Europea de
certificaciones y seminarios, y cuenta con Madrid, la Universidad Politcnica de Cata-
una completa plataforma online que permi- lua o la Universidad Camilo Jos Cela.
te a la inscripcin de estudiantes de todo el
mundo, y el seguimiento de clases online.

- La Agencia Europea para la Seguridad de


las Comunicaciones y la Informacin (ENI-
SA27, por sus siglas en ingls), ofrece tam-
bin una serie de cursos de formacin en

26. http://web.mit.edu/

27. https://www.enisa.europa.eu/

28. https://www.incibe.es/

45
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Bibliografa relevante
Estndares, normativa y legislacin
- NIST (02/14): Framework for improving Cyber-security.
- ISO27032: Guidance from improving the state of cyber-security.
- Estrategia de Ciberseguridad Nacional (Gobierno de Espaa).
- Ten steps to cyber security (UK GOV: CESG and CPNI).
- Cybersecurity Capability Maturity Model (C2M2) Program (USA Department of Energy).
- CIS Critical Security Controls (SANS Institute & Center for Strategic & International Studies).

Artculos, informes y presentaciones tcnicas


- State of Cybersecurity: Implications for 2015 (Nexus, ISACA y RSA).
- Temas candentes de la Ciberseguridad - Un nuevo espacio lleno de incgnitas (IE y PWC).
- Presente y Futuro de la Ciberseguridad (CCN-CERT).
- Ciberamenazas 2014. Tendencias 2015 (CCN-CERT).
- Gua de gestin de ciberincidentes (CCN-CERT).
- Ciberinteligencia: de la reaccin a la prevencin en Ciberseguridad (KPMG).
- Ciberinteligencia aplicada al desarrollo de servicios (INCIBE).
- Anlisis y caracterizacin del mercado de la ciberseguridad (INCIBE).
- Risk Intelligence Report (CEB).
- Informe sobre el estado de la ciberseguridad 2015 (U-TAD).
- State of the Internet Security Report 2015 (Akamai).
- System Design Guide for Thwarting Targeted Email Attacks (IPA, Japan).
- Controls for Effective Cyber Defense v6.0 (CIS: Center for Internet Security).
- Cybersecurity, What the Board Directors Needs To Ask (IIARF & ISACA).
- Assessing the Top Priorities for Internal Audit Functions (Protiviti)
- COSO in the Cyber Age (Deloitte).
- 2016 Data Protection & Breach Readiness Guide.
- Auditing Cybersecurity (ISACA Journal enero/febrero 2016).

46
Instituto de Auditores Internos de Espaa
Santa Cruz de Marcenado, 33 28015 Madrid Tel.: 91 593 23 45 Fax: 91 593 29 32 www.auditoresinternos.es

Depsito Legal: M-36848-2016

ISBN: 978-84-945594-2-6

Diseo y maquetacin: desdecero, estudio grfico

Impresin: IAG, SL
OTRAS PRODUCCIONES DE LA FBRICA DE PENSAMIENTO

COBERTURA DEL RIESGO TECNOLGICO: HACIA UNA AUDITORA


INTERNA DE TI INTEGRADA
El documento destaca la importancia de Auditora Interna de TI en su
apoyo a la organizacin en la gestin, gobierno y control de los
riesgos de TI. Se han estudiado temas relacionados con la gestin de
las relaciones entre Auditora Interna de TI y el rea de TI,
destinatarios de los informes de Auditora Interna de TI o las
herramientas que habitualmente se utilizan en este tipo de trabajos.

MARCO DE RELACIONES DE AUDITORA INTERNA CON OTRAS FUNCIONES


DE ASEGURAMIENTO
Ayuda a fijar posiciones sobre la necesidad de mejorar la eficiencia de
los recursos de las Direcciones de Auditora Interna para mantener el
nivel adecuado de aseguramiento en coordinacin con las distintas
funciones encargadas de proporcionarlo. Aborda la necesidad de
realizar un mapa de aseguramiento que proporcione una visin
global de las actividades de control llevadas a cabo, proponiendo a
Auditora Interna como coordinador principal de todas las funciones
de aseguramiento.

GESTIN DEL RIESGO DE FRAUDE


Aborda los diferentes procesos para una ptima gestin del riesgo de
fraude, que pasa por el establecimiento de un programa eficaz de
prevencin, deteccin e investigacin de fraudes. La gua, resumen
ejecutivo de un estudio ms amplio publicado por el Instituto de
Auditores Internos, define un enfoque efectivo para la gestin del
riesgo de fraude y un anlisis profundo sobre las responsabilidades
en su prevencin, deteccin e investigacin.
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Prcticamente todos los mbitos de nuestra sociedad se sustentan hoy


ms que nunca, y cada vez ms, en el ciberespacio propiciado por las
tecnologas de la informacin y las comunicaciones. Una de las
principales amenazas que han trado consigo estos avances es la
proliferacin de acciones delictivas en el ciberespacio, aadiendo
nuevos retos y desafos para las organizaciones.

La ciberseguridad es una de las principales preocupaciones de empresas


e instituciones y exige extremar las medidas para establecer todos los
controles necesarios para mitigar los riesgos en las organizaciones.

Esta gua establece diversas buenas prcticas, incluyendo los 20 Con-


troles Crticos de Seguridad que todas las organizaciones deben
implementar, y cul es el papel de Auditora Interna en su revisin.

Tambin aportar gran valor a Comisiones de Auditora y otros comits,


que encontrarn aqu un importante aliado con informacin completa y
precisa para permitirles tomar decisiones sobre la estrategia, estructura
y operacin de las organizaciones.