Índice

1. Políticas de seguridade e análises de riscos..........................................................2

1.1 Política global de seguridade...........................................................................................2
1.2 Plans directores e estratéxicos de seguridade................................................................2
Fase 1. Coñecer a situación actual da organización.........................................................................3
Fase 2. Coñecer a estratexia da organización..................................................................................3
Fase 3. Definición de proxectos e iniciativas.....................................................................................4
Fase 4. Clasificar e priorizar os proxectos para realizar....................................................................4
Fase 5. Aprobar o Plan Director de Seguridade................................................................................4
Fase 6. Posta en marcha.................................................................................................................. 4
1.3 A análise e xestión de riscos...........................................................................................4
1.3.1 Definicións previas............................................................................................................................................ 4
1.3.2 Fases dunha análise de riscos.......................................................................................................................... 6
Fase 1. Definir o alcance................................................................................................................... 7
Fase 2. Identificar os activos............................................................................................................. 7
Fase 3. Identificar / seleccionar as ameazas....................................................................................8
Fase 4. Identificar vulnerabilidades e salvagardas............................................................................8
Fase 5. Avaliar o risco....................................................................................................................... 8
Táboa para o cálculo da probabilidade...................................................................................................... 8
Táboa para o cálculo do impacto............................................................................................................... 9
Fase 6. Tratar o risco...................................................................................................................... 10
Recursos......................................................................................................................................... 10

Páxina 1 de 11
1. Políticas de seguridade e análises de
riscos1

1.1 Política global de seguridade

A política de seguridade dunha empresa recolle as directrices ou obxectivos dunha organi-
zación con respecto á seguridade da información. Forma parte da súa política xeral e, por
tanto, debe ser aprobada pola dirección.
Trátase dun documento de alto nivel que denota o compromiso da xerencia coa seguri-
dade da información.
O obxectivo principal da redacción dunha política de seguridade é a de concienciar a
todo o persoal dunha organización e en particular ao involucrado directamente co sistema
de información, na necesidade de coñecer que principios rexen a seguridade da entidade e
cales son as normas para conseguir os obxectivos de seguridade planificados. Por tanto, a
política de seguridade deberá redactarse de forma que poida ser comprendida por todo o
persoal dunha organización.
Non todas as políticas de seguridade son iguais. O contido depende da realidade e das
necesidades da organización para a que se elabora.
Existen algúns estándares de políticas de seguridade por países e por áreas (goberno,
medicina, militar...), así como normativas internacionais como son as definidas pola ISO
(International Organization for Standardization), baixo a norma ISO 27000. En España, o
Esquema Nacional de Seguridade (ENS) proporciona ao Sector Público e aos seus pro-
vedores unha formulación común de seguridade para a protección da información que ma-
nexa e os servizos que presta; impulsa a xestión continuada da seguridade, á vez que faci-
lita a cooperación e proporciona un conxunto de requisitos uniforme á Industria, consti-
tuíndo tamén un referente de boas prácticas.
Unha política de seguridade conterá os obxectivos xerais da empresa en materia de se-
guridade do sistema de información, xeralmente englobados en:
– Contexto no que se sitúa a empresa.
– Ámbito de aplicación (empresa, delegacións, centros de traballo,..)
– Responsables da súa aplicación.
– Versións e revisións do documento.
– Marco normativo no que se sustenta.
– Plans estratéxicos que concretan o definido.

1.2 Plans directores e estratéxicos de seguridade2

Un Plan Director de Seguridade consiste na definición e priorización dun conxunto de pro-
xectos en materia de seguridade da información co obxectivo de reducir os riscos aos que

1 fonte: www.incibe.es
2 fonte: Instituto nacional de ciberseguridad. https://www.incibe.es
Páxina 2 de 11
está exposta a organización ata uns niveis aceptables, a partir dunha análise da situación
inicial.
É fundamental para a realización dun bo Plan Director de Seguridade (PDS) que se
aliñe cos obxectivos estratéxicos da empresa, inclúa unha definición do alcance e incorpo-
re as obrigacións e boas prácticas de seguridade que deberán cumprir os traballadores da
organización así como terceiros que colaboren con esta.
Os proxectos que compoñen o Plan Director de Seguridade varían en función de diver-
sos factores relacionados como: o tamaño da organización, o sector ao que pertence a em-
presa, o contexto legal que regula as actividades da mesma, a natureza da información que
manexamos, etc.
Estes factores determinarán a magnitude e complexidade do Plan Director de Segurida-
de resultante. Con todo, en xeral, para a elaboración e posta en marcha dun Plan Director
de Seguridade séguense as seguintes fases ou etapas:

Sempre debemos ter presente que un Plan Director de Seguridade baséase na mellora con-
tinua. Por tanto cando finalizásemos debemos comezar de novo o ciclo.

Fase 1. Coñecer a situación actual da organización

A primeira fase consiste en coñecer a situación actual da nosa empresa en materia de ci-
berseguridade. Para iso debemos levar a cabo distintos análises considerando aspectos téc-
nicos, organizativos, regulatorios e normativos, entre outros.
Dentro desta fase un dos apartados máis importantes é a análise de riscos, da que fala-
remos máis adiante.

Fase 2. Coñecer a estratexia da organización

A segunda fase consiste en coñecer a estratexia corporativa da nosa organización. Isto im-
plica considerar os proxectos en curso e futuros, previsións de crecemento, cambios na or-
ganización debido a reorganizacións, etc.
Todos estes factores poden afectar á orientación das medidas e ao peso de cada unha
delas.
Páxina 3 de 11
 Fase 3. Definición de proxectos e iniciativas

A partir da información solicitada ata este momento, debemos definir as accións, iniciati-
vas e proxectos necesarios para alcanzar o nivel de seguridade que a nosa organización re-
quire. Na definición e concreción destes proxectos e de onde sairán, entre outras, as
accións a por en marcha para o bastionado dos nosos sistemas.

Fase 4. Clasificar e priorizar os proxectos para realizar

Unha vez identificadas as accións, iniciativas e proxectos, debemos clasificalas e prioriza-

las. Ante esta situación, é recomendable agrupar as iniciativas ou dividir as propostas para
homoxeneizar o conxunto de proxectos que definimos. É conveniente ademais organizar
os proxectos atendendo ao esforzo que requiren e ao seu custo temporal. Deste xeito esta-
blécense proxectos a curto, medio e longo prazo.

Fase 5. Aprobar o Plan Director de Seguridade

Neste punto xa dispoñeremos dunha versión preliminar do Plan Director de Seguridade. Este
plan debe revisalo e aprobalo a Dirección.
Unha vez dispoñible a versión final aprobada pola Dirección, é conveniente que esta
traslade a todos os empregados da organización (mediante reunión do director con todos os
empregados ou mediante correo electrónico) o respaldo ao Plan Director de Seguridade e a
importancia do deber de colaborar de toda a organización na implantación do mesmo.

Fase 6. Posta en marcha

Unha vez aprobado pola Dirección, o Plan Director de Seguridade marca o camiño a se-
guir para alcanzar o nivel de seguridade que a nosa organización necesita. Coma se dun
proxecto máis se tratase, cada organización pode empregar a metodoloxía de xestión de
proxectos que considere oportuno para levalo a cabo.

1.3 A análise e xestión de riscos3

1.3.1 Definicións previas

 Activo: calquera recurso da empresa necesario para desempeñar as actividades diarias

e cuxa non dispoñibilidade ou deterioración supón un agravio ou custo. A natureza
dos activos dependerá da empresa (datos, software, hardware, redes, instalacións,...),
pero a súa protección é o fin último da xestión de riscos.
 Ameaza: circunstancia desfavorable que pode ocorrer e que cando sucede ten conse -
cuencias negativas sobre os activos provocando a súa indispoñibilidade, funciona-
mento incorrecto ou perda de valor.
En función do tipo de alteración, dano ou intervención que poderían producir sobre os
activos, as ameazas clasifícanse en catro grupos:
– De interrupción. Pode provocar que un obxecto do sistema se perda, quede non utili-
zable ou non dispoñible; por exemplo, destruíndo compoñentes físicos como o disco

3 fonte: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_ries-
gos_metad.pdf
Páxina 4 de 11
 duro, bloqueando o acceso aos datos, ou cortando ou saturando as canles de comuni-
cación.
– De interceptación. Pode provocar que un programa, proceso ou usuario consiga ac-
ceder a recursos para os que non ten autorización.
– De modificación. Pode provocar que un programa, proceso ou usuario non só teña
acceso a un recurso do sistema senón que ademais este poida ser modificado.
– De fabricación. Permite inserir novos obxectos ao sistema (por exemplo información
falsa).
Segundo a súa orixe, as ameazas clasifícanse en:
– Accidentais. Accidentes meteorolóxicos, incendios, inundacións, fallos nos equipos,
nas redes, nos sistemas operativos ou no software ou erros humanos.
– Intencionadas. Son debidas sempre á acción humana consciente (non a erros). As
ameazas intencionadas poden ter a súa orixe no exterior da organización ou mesmo
no persoal da mesma.
 Vulnerabilidade: debilidade que presentan os activos e que facilita a materialización
das ameazas.
 Impacto: consecuencia da materialización dunha ameaza sobre un activo aproveitan -
do unha vulnerabilidade. O impacto adóitase estimar en porcentaxe de degradación
que afecta ao valor do activo, o 100% sería a perda total do activo.
Os impactos poden ser:
– Cuantitativos, se os prexuízos poden cuantificarse economicamente.
– Cualitativos, se supoñen danos non cuantificables, como os causados contra os de-
reitos fundamentais das persoas.
O seguinte diagrama mostra as relacións entre estes conceptos:

 Probabilidade: é a posibilidade de ocorrencia dun feito, suceso ou acontecemento. Pa-

ra estimar a frecuencia podemos basearnos en datos empíricos (datos obxectivos) do
histórico da empresa, ou en opinións de expertos ou do empresario (datos subxectivos).

Páxina 5 de 11
  O risco é unha estimación do que pode ocorrer. Valórase, de forma cuantitativa, como
o produto do impacto (consecuencia) asociado a unha ameaza (suceso), pola probabili-
dade da mesma:

Traballar con magnitudes económicas facilita ás organizacións establecer o chamado

limiar de risco: o nivel máximo de risco que a empresa está disposta a soportar. A
xestión de riscos debe manter o nivel de risco sempre por baixo deste limiar.
Doutra banda, denomínase custo de protección ao custo que supón para as organi-
zacións manter o nivel de risco por baixo do limiar desexado. As organizacións deben
vixiar de non empregar máis recursos dos necesarios para cumprir ese obxectivo. Na
seguinte gráfica podemos ver como ambos os conceptos, risco e custo de protección,
relaciónanse.

1.3.2 Fases dunha análise de riscos4

Como xa comentamos anteriormente, a análise de riscos forma parte da primeira fase a re-
alizar dentro dun Plan director de seguridade (PDS). Por outra banda, tamén podemos
obter beneficios se realizamos unha análise de riscos de forma illada en lugar de levalo a
cabo dentro dun contexto maior como é o do desenvolvemento dun PDS. Permitiranos
centrar o noso foco de atención e mitigar certos tipos de incidentes de ciberseguridade.
Aínda que hai distintas estratexias á hora de afrontar unha análise de riscos, en xeral
podemos dicir que contaremos coas seguintes fases:

4 fonte: https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
Páxina 6 de 11
 fonte:
https://www.incibe.es/extfrontinteco/img/Image/BLOG/2014Abril/20140430_analisis_r
iesgos_pasos/fases_el_analisis_de_riesgos.png

Fase 1. Definir o alcance

O primeiro paso á hora de levar a cabo a análise de riscos é establecer o alcance do estudo.
Se a análise de riscos forma parte do PDS, o lóxico é que cubra a totalidade do alcance do
PDS. Por outra banda, tamén é posible definir un alcance máis limitado atendendo a de-
partamentos, procesos ou sistemas. Por exemplo, análise de riscos sobre os procesos do
departamento Administración, análise de riscos sobre os procesos de produción e xestión
de almacén ou análise de riscos sobre os sistemas TIC relacionados coa páxina web da
empresa, etc.

Fase 2. Identificar os activos

Unha vez definido o alcance, debemos identificar os activos máis importantes que gardan
relación co departamento, proceso, ou sistema obxecto do estudo. Para manter un inventa-
rio de activos sinxelo pode ser suficiente con facer uso dunha folla de cálculo ou táboa co-
mo a que se mostra a continuación a modo de exemplo:

fonte:
https://www.incibe.es/extfrontinteco/img/Image/BLOG/2014Abril/20140430_analisis_riesgos_pasos/
inventario_de_activos.png

Páxina 7 de 11
Fase 3. Identificar / seleccionar as ameazas

Tendo identificados os principais activos, o seguinte paso consiste en identificar as amea-

zas ás que estes están expostos. Tal e como imaxinamos, o conxunto de ameazas é amplo e
diverso polo que debemos facer un esforzo en manter un enfoque práctico e aplicado. Por
exemplo, se a nosa intención é avaliar o risco que corremos fronte á destrución do noso
servidor de ficheiros é conveniente considerar as avarías do servidor, a posibilidade de da-
nos por auga (rotura dun cano) ou os danos por lume, en lugar de expornos o risco de que
o CPD sexa destruído por un meteorito.
Á hora de identificar as ameazas, pode ser útil tomar como punto de partida o catálogo
de ameazas que inclúe a metodoloxía MAGERIT v3.

Fase 4. Identificar vulnerabilidades e salvagardas

A seguinte fase consiste en estudar as características dos nosos activos para identificar
puntos débiles ou vulnerabilidades. Por exemplo, unha posible vulnerabilidade pode ser
identificar un conxunto de computadores ou servidores cuxo sistemas antivirus non están
actualizados ou unha serie de activos para os que non existe soporte nin mantemento por
parte do fabricante. Posteriormente, á hora de avaliar o risco aplicaremos penalizacións
para reflectir as vulnerabilidades identificadas.
Por outra banda, tamén analizaremos e documentaremos as medidas de seguridade im-
plantadas na nosa organización. Por exemplo, é posible que instalásemos un sistema SAI
(Sistema de Alimentación Ininterrompida) ou un grupo electróxeno para abastecer de elec-
tricidade aos equipos do CPD. Ambas as medidas de seguridade (tamén coñecidas como
salvagardas) contribúen a reducir o risco das ameazas relacionadas co corte de subminis-
tración eléctrica.
Estas consideracións (vulnerabilidades e salvagardas) debemos telas en conta cando va-
iamos estimar a probabilidade e o impacto como veremos na seguinte fase.

Fase 5. Avaliar o risco

Chegado a este punto dispoñemos dos seguintes elementos:

 Inventario de activos.
 Conxunto de ameazas ás que está exposta cada activo.
 Conxunto de vulnerabilidades asociadas a cada activo (se corresponde).
 Conxunto de medidas de seguridade implantadas
Con esta información, atopámonos en condicións de calcular o risco. O cálculo de risco
pódese realizar usando tanto criterios cuantitativos como cualitativos. Pero para entendelo
mellor, veremos a modo de exemplo as táboas para estimar os factores probabilidade e im-
pacto.

Táboa para o cálculo da probabilidade

Páxina 8 de 11
Táboa para o cálculo do impacto

Se optamos por unha análise cuantitativa, xa mencionamos anteriormente a fórmula a apli-

car:

Se pola contra optamos pola análise cualitativa, faremos uso dunha matriz de risco como a
que se mostra a continuación:

Tal e como indicabamos no apartado anterior, cando vaiamos estimar a probabilidade e o

impacto debemos ter en conta as vulnerabilidades e salvagardas existentes. Por exemplo, a
caída do servidor principal podería ter un impacto alto para o negocio. Con todo, se existe
unha solución de alta dispoñibilidade (Ex. Servidores redundantes), podemos considerar
que o impacto será medio xa que estas medidas de seguridade farán que os procesos de ne-
gocio non se vexan gravemente afectados pola caída do servidor. Se pola contra identifica-
mos vulnerabilidades asociadas ao activo, aplicaremos unha penalización á hora de esti-
mar o impacto. Por exemplo, se os equipos de climatización do CPD non recibiron o man-
temento recomendado polo fabricante, incrementaremos o impacto de ameazas como
“condicións ambientais inadecuadas” ou “malfuncionamento dos equipos debido a altas
temperaturas”.

Páxina 9 de 11
Fase 6. Tratar o risco

Unha vez calculado o risco, debemos tratar aqueles riscos que superen un límite que nós
mesmos establecésemos. Por exemplo, trataremos aqueles riscos cuxo valor sexa superior
a “4” ou superior a “Medio” no caso de que fixésemos o cálculo en termos cualitativos. Á
hora de tratar o risco, existen catro estratexias principais:
 Transferir o risco a un terceiro. Por exemplo, contratando un seguro que cubra os danos
a terceiros ocasionados por fugas de información.
 Eliminar o risco. Por exemplo, eliminando un proceso ou sistema que está suxeito a un
risco elevado. Poderiamos, por exemplo, eliminar a wifi de cortesía para dar servizo
aos clientes se non é estritamente necesario.
 Asumir o risco, sempre xustificadamente. Por exemplo, o custo de instalar un grupo
electróxeno pode ser demasiado alto e, por tanto, a organización pode optar por asumi-
lo.
 Implantar medidas para mitigalo. Por exemplo, contratando un acceso a internet de res-
paldo para poder acceder aos servizos na nube no caso de que a liña principal caia.
Por último, cabe sinalar que se realizamos esta análise de riscos no contexto dun PDS, as
accións e medidas para tratar os riscos pasarán a formar parte dos proxectos e iniciativas a
realizar. A posterior clasificación e priorización dos mesmos determinarán a forma de le-
valos a cabo.

Recursos

Ferramenta de autodiagnóstico de INCIBE

A web de Incibe pon ao dispor das empresas unha ferramenta para facer unha avaliación
de riscos inicial do seu negocio en función de como utilizan a tecnoloxía: correo electróni-
co, páxina web, tabletas, smartphones, etc.
Non se pode tomar como un substituto dunha análise de riscos serio pero pode servir
como punto de partida para reflexionar sobre os riscos existentes e por onde empezar a tra-
ballar.
A ligazón á ferramenta é o seguinte: https://adl.incibe.es/. Ao final do cuestionario
obtense unha pantalla deste estilo:

Páxina 10 de 11
Á dereita proporciónanse unhas ligazóns con recomendacións sobre como reducir o risco
en cada un dos apartados: persoas, procesos e tecnoloxía. Podes ver un exemplo deles no
documento 01-INCIBE-Ferramenta autodiagnóstico-Exemplo de consellos para distin-
tos niveis de Risco.pdf do apartado Documentación complementaria do módulo.
 https://www.incibe.es/protege-tu-empresa/que-te-interesa
 https://www.incibe.es/protege-tu-empresa/herramientas/politicas
 https://www.incibe.es/protege-tu-empresa/kit-concienciacion

A matriz MITRE ATT&CK

A matriz MITRE ATT&CK™ é unha colección integral de tácticas, técnicas e procede-
mentos utilizados polos ciberdelincuentes e que, nos últimos anos, estase a converter nun
marco de referencia para toda a industria da ciberseguridade. Entre outras moitas cousas,
pode ser utilizada para mellorar as estratexias de bastionado cara a incrementar a fortaleza
da nosa organización fronte ás distintas estratexias utilizadas polos ciberdelincuentes.
Tedes unha explicación máis detallada e un exemplo de uso no documento 02-A matriz
MITRE ATT&CK.pdf do apartado Documentación complementaria do módulo.

Páxina 11 de 11