incibe


La evolución de las tecnologías de la información nos ha permitido automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra organización. Estas tecnologías han ido ocupando un lugar cada vez más importante entre los activos de las empresas, hasta el punto de que hoy en día, sin estas tecnologías, muchos de nuestros procesos de negocio no serían posibles. Por ello, proteger los sistemas de información es proteger el negocio, y para ello se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad, tal y como se realiza en cualquier otro proceso productivo de la organización.

¿Qué ocurriría si nuestra empresa se encontrase en alguna de las siguientes situaciones?

  • Sufrimos los efectos de un virus informático y no sabemos cómo reaccionar.
  • Se produce una pérdida de datos y no tenemos copias de seguridad o no podemos recuperar la información.
  • Sufrimos la pérdida de un disco duro portátil con información sensible.
  • Nuestra página de comercio electrónico es el objetivo de un ataque de denegación de servicio, dejándolo inoperativo.
  • Se nos estropea algún servidor o elemento de red, que nos impide el uso del correo electrónico, la conexión a Internet o el uso de una aplicación crítica.

Frente a escenarios como los anteriores, surgen muchas dudas:

  • ¿Debería externalizar el soporte informático de mi empresa?
  • ¿Es seguro gestionar información corporativa en dispositivos móviles? ¿hemos proporcionado y utilizado los recursos necesarios para ello?
  • ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copias de toda la información crítica para nuestra organización?
  • Si sufrimos un incidente de seguridad informática, ¿conocemos los riesgos a los que está expuesta nuestra empresa?

Si las herramientas tecnológicas y la información que dan soporte a los servicios y procesos productivos de la organización son de gran valor para nuestra organización, debemos empezar a pensar en poner en práctica un Plan Director de Seguridad

¿Qué es un Plan Director de Seguridad? Un Plan Director de Seguridad consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.

Es fundamental para la realización de un buen Plan Director de Seguridad o PDS que recoja los objetivos estratégicos de la empresa, la definición del alcance y las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la organización así como terceros que colaboran con ésta.

 Infografia de las diferentes fases del plan director de seguridad. Ciberseguridad Empresas

Los proyectos que componen el Plan Director de Seguridad varían en función de diversos factores relacionados con:

  • El tamaño de la organización
  • El nivel de madurez en tecnología
  • El sector al que pertenece la empresa
  • El contexto legal que regula las actividades de la misma
  • La naturaleza de la información que manejamos
  • El alcance del proyecto
  • Otros aspectos organizativos

Estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad resultante. No obstante, por norma general el proyecto para la elaboración y puesta en marcha de un Plan Director de Seguridad consta de las siguientes fases o etapas:

fases del proyecto para la elaboración y puesta en marcha de un Plan Director de Seguridad. Cibserseguridad empresas

Pero siempre debemos tener presente que un Plan Director de Seguridad, se basa en la mejora continua y que por tanto cuando hayamos finalizado un proyecto o el conjunto del plan de seguridad debemos comenzar de nuevo el ciclo.

Fase1. Conocer la situación actual de la organización

La primera fase consiste en conocer la situación actual de nuestra empresa en materia de ciberseguridad. Para ello debemos llevar a cabo distintos análisis considerando aspectos técnicos, organizativos, regulatorios y normativos, entre otros. Esta es la fase más importante y compleja de la elaboración del Plan Director de Seguridad, debido a la participación de diferentes personas y la importancia que tiene que la información de la organización necesaria para conocer y evaluar su situación actual, sea fiable, completa y actualizada.

En esta fase es fundamental contar con el apoyo de la Dirección. Éste es un aspecto esencial para garantizar el éxito del Plan Director de Seguridad, dado que este respaldo garantizará no sólo que disponemos de suficientes recursos, sino que el enfoque del proyecto está alineado con la filosofía y estrategia de la empresa.

Antes de comenzar con el primer paso del análisis, debemos realizar varias actividades previas:

  1. Acotar y establecer claramente el alcance sobre el que vamos a desarrollar el PDS. Este alcance determinará la magnitud de los trabajos y también cual será el foco principal de la mejora tras la aplicación del PDS. Como posibles alcances podemos escoger, por ejemplo, un único departamento (habitualmente el de TIC), un conjunto de procesos críticos, o unos sistemas específicos.

    Lo recomendable es determinar aquellos procesos de negocio y activos críticos para los procesos de negocio de la empresa, y utilizar éstos como alcance del PDS. De esta manera, la ejecución del PDS tendrá un mayor impacto positivo sobre la seguridad de la información de la organización.

    Por ejemplo, si el proceso más crítico de nuestra empresa está relacionado con el proceso de facturación, podemos limitar el alcance a éste: sistemas y equipos implicados, personal, aplicaciones necesarias, riesgos específicos, etc. Aunque las mejoras serán específicas dentro de este proceso, nos permitirá profundizar en el resultado y partir de un punto para extenderlo a otros departamentos o procesos.

  2. Definir las responsabilidades en la gestión de los activos de la organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones (CPD), servicios e información. Esto nos facilitará hacer un seguimiento de la ejecución de las iniciativas implantadas, así como del análisis y recogida de la información.

    Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una persona o un comité formado por varias personas. En algunos casos de pequeñas empresas varios de estos roles pueden ser asumidos por la misma persona (el propietario del activo en cuestión). Al menos, debemos definir los siguientes perfiles:

    • Responsable de Seguridad, con la finalidad de hacer un seguimiento y coordinar todas las iniciativas puestas en marcha por la organización en materia de Seguridad de la Información.

      En función del tamaño de nuestra organización, podemos optar por un comité de varias personas o por una única persona.

    • Responsable de Información, especialmente cuando tratamos con información específica que es gestionada a través de diferentes entornos.
    • Responsables de ámbito, en el caso de que pongamos en marcha iniciativas en el ámbito lógico, físico, legal y organizativo. Por ejemplo, los controles de seguridad física pueden ser responsabilidad del responsable del área de Mantenimiento o Servicios Generales, mientras que los aspectos legales serán responsabilidad del responsable del área Jurídica

      Todos estos deberán ser coordinados por el Responsable de Seguridad, garantizando su correcta ejecución.

  3. Realizar una valoración preliminar de la situación actual de la organización para determinar los controles y requisitos que son de aplicación, teniendo en cuenta que hay un gran porcentaje de ellos que aplican a la mayoría de organizaciones.

    Por norma general, la evaluación de los aspectos normativos y regulatorios la realizaremos tomando como referencia el estándar internacional ISO/IEC 27002:2013, el cuál reúne un Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, proponiendo diferentes controles de seguridad que abarcan cuestiones técnicas, legales y organizativas. Por ejemplo, controles relacionados con la gestión de copias de seguridad, requerimientos legales, plan de continuidad del negocio, etc.

    El conocimiento de esta norma es imprescindible para el desarrollo adecuado de un Plan Director de Seguridad. No es necesaria la implementación de todos los controles que se indican en la norma 27002:2013, sino sólo aquellos que sean de aplicación a nuestra empresa.

    Por ejemplo:

    • Si nuestra empresa no desarrolla aplicaciones, no tendremos que valorar aquellos controles de esta norma que hagan referencia al correcto desarrollo de aplicaciones.
    • Si nuestra empresa no proporciona un servicio de comercio electrónico, no será necesario que apliquemos los controles relacionados con la transacción de datos personales en la compra-venta online.
    • Por el contrario si será necesario aplicar medidas o controles relacionados con las copias de seguridad o el proceso de altas y bajas de personal, ya que éstos serán de aplicación en cualquier organización.

    El documento que contiene el conjunto de controles o medidas de seguridad que aplican en una organización y su grado de madurez recibe el nombre de “Declaración de Aplicabilidad”, “(SOA)” o “Documento de Selección de Controles”.

    A modo orientativo, podemos partir de una escala de madurez de cinco niveles como la siguiente, basada en el Modelo de Madurez de Capacidades o CMM por sus siglas en inglés:

    1. Inexistente. No se lleva a cabo el control de seguridad en los sistemas de información. Por ejemplo, aplicándolo a la realización de copias de seguridad en la organización, en este nivel de madurez no se realizarían.
    2. Inicial. Las salvaguardas existen, pero no se gestionan. El éxito depende de buena suerte y de tener personal de la alta calidad. Aplicándolo al ejemplo de las copias de seguridad, en este nivel de madurez se realizan sin ninguna planificación.
    3. Repetible. La medida de seguridad se realiza de un modo totalmente informal. En nuestro caso de copias de seguridad, las copias se realizan de manera poco formal
    4. Definido. El control se aplica conforme a un procedimiento documentado, pero no ha sido aprobado ni por el Responsable de Seguridad ni el Comité de Dirección.
    5. Administrado. El control se lleva a cabo de acuerdo a un procedimiento documentado, aprobado y formalizado.
    6. Optimizado. El control se aplica de acuerdo a un procedimiento documentado, aprobado y formalizado, y su eficacia se mide periódicamente mediante indicadores.

Para llevar a cabo el análisis de cumplimiento y situación de los aspectos normativos y regulatorios , debemos:

  1. Realizar reuniones con el personal de los distintos departamentos de la organización para evaluar el cumplimiento de los controles de seguridad implantados.

    Aunque la mayor parte de los controles corresponden al departamento TIC, también es necesario analizar procesos de otras áreas. Habitualmente se incluyen los departamentos de Personal, Jurídico, Administración, Servicios Generales y, en caso de existir, el departamento de Calidad.

    Para poder desempeñar adecuadamente las tareas de recopilación de información, es vital que la Dirección traslade a cada una de las áreas y sus responsables la importancia del proyecto, los beneficios derivados de su implantación así como la implicación que se espera de ellos en todas las fases del proyecto.

  2. Los estándares y normas internacionales en materia de seguridad de la información incluyen requisitos para implantar medidas de control de acceso físico y seguridad medioambiental. Por lo tanto, también será necesario llevar a cabo una inspección in-situ de las instalaciones.
  3. Registrar todos los problemas y evidencias que vayamos detectando, en relación a los requisitos de seguridad de aplicación y que están prefijados, en documentos que luego podamos contrastar y consultar. Por norma general, es muy útil emplear formularios y listas de verificación (checklists) que incluyen los aspectos a revisar y comprobar.
  4. Una vez dispongamos de toda la información, debemos analizar los resultados y situar el cumplimiento de cada control en una escala, por ejemplo entre el 0 al 5, donde 0 es la ausencia total del control, y el 5 la aplicación optimizada del control.

    Trasladando la escala a cada control, por ejemplo, en las copias de seguridad el nivel 0 sería la ausencia de copias de seguridad, y el nivel 5 la realización de copias, existencia de procedimientos, pruebas de recuperaciones periódicas, análisis periódico de incidencias, etc.

    Esta escala nos permitirá conocer la evolución en el tiempo del grado de seguridad de la organización.

  5. Por último, debemos establecer cuáles son nuestros objetivos a cumplir en materia de ciberseguridad de la empresa, lo que nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos.

    A continuación, podemos ver un ejemplo de los resultados de la evaluación de los aspectos normativos y regulatorios en una organización tomando como referencia la norma ISO/IEC 27002:2013. En este caso, la línea roja representa el grado de cumplimiento actual, la línea amarilla un posible objetivo de cumplimiento a medio / largo plazo y, por último, la línea verde representa el nivel de cumplimiento óptimo. Los números que se muestran en la gráfica hacen referencia a los diferentes dominios contemplados en el estándar.

ejemplo de los resultados de la evaluación de los aspectos normativos y regulatorios tomando como referencia la norma ISO 27002. En este caso, la línea roja representa el grado de cumplimiento actual, la línea naranja un posible objetivo de cumplimiento a medio / largo plazo y, por último, la línea verde representa el nivel de cumplimiento óptimo

Además de la evaluación de la Seguridad de la Información respecto a esta guía de buenas prácticas, para la valoración de los aspectos normativos y legales puede ser necesario tomar como referencia otros estándares o normativas específicos, u otras leyes de aplicación general como la Ley Orgánica de Protección de Datos (LOPD), detallada en los dosieres de Protección de Información y Cumplimiento Legal.

Otros estándares relevantes son el de PCI DSS si gestionamos datos de tarjetas de crédito; COBIT si queremos optar por guías de buenas prácticas alternativas a la norma ISO 27002 o el Esquema Nacional de Seguridad si trabajamos habitualmente con información de la Administración Pública o les proporcionamos servicios.

Por otra parte, el análisis técnico de la seguridad queda cubierto mediante la valoración del grado implantación y madurez de los controles más relacionados con los sistemas de información empleados por la organización para almacenar y gestionar su información. Además de temas de gestión y de evaluación de controles en base a entrevistas y percepciones, la realidad del estado de seguridad de una organización se evidencia mediante la comprobación y valoración de aspecto tales como:

  • Si disponemos de antivirus y cortafuegos.
  • Si nuestra página web es segura.
  • Si la red está correctamente segmentada, que impida por ejemplo que desde Internet sean visibles los equipos de los usuarios o los servidores internos.
  • Si existen controles de acceso físicos a las áreas con información sensible: salas de servidores, despachos, área de Recursos Humanos, etc.

Estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la organización, y a través de ellas, comprobamos la eficacia de los controles de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de detección de intrusos, niveles de parcheado, política de contraseñas, etc.

El alcance y modalidad de esta auditoría puede variar en función de la estrategia de negocio, ámbito de nuestra empresa y antecedentes. Una empresa de comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo, cultura en seguridad o los controles de acceso, entre otros.

Debido a que se trata de un trabajo especializado, es habitual que la organización opte por externalizar el análisis técnico de la seguridad. En estos casos debemos prestar especial atención a la coordinación del equipo externo con el personal propio de nuestra organización, para establecer el tipo de pruebas a realizar y el método de trabajo que se utilizará. Por norma general, debemos requerir que no se lleven a cabo pruebas “agresivas”, en cuanto a carga de trabajo de sistemas o redes, que pudieran afectar a la disponibilidad de los servicios TIC.

Por contra, si optamos por llevar a cabo estas pruebas de forma interna, es fundamental acotar el periodo de realización y que el personal TIC prepare, previamente, procedimientos de recuperación sobre los entornos que serán evaluados, con el fin de minimizar el impacto en el negocio.

Es recomendable que se lleven a cabo auditorías técnicas tanto desde el exterior de la organización como desde el interior. De este modo podremos ponernos en el papel tanto de un atacante interno, por ejemplo un empleado malintencionado, como en el de un atacante externo, por ejemplo un ciberdelincuente.

Paralelamente al desarrollo de los trabajos de auditoría, es necesario que realicemos un análisis de riesgos a los que está expuesta nuestra organización.

Para llevarlo a cabo, podemos identificar las siguientes etapas:

Etapas de un análisis de riesgos

Como resultado de este análisis de riesgos, obtendremos el conjunto de amenazas a las que estamos expuestos.

Existe una gran variedad de metodologías para el análisis de riesgos, habitualmente, éstas presentan aspectos comunes como, por ejemplo, la necesidad de identificar los activos de la organización y su valor.

En el siguiente diagrama, podemos identificar gran parte de los elementos que intervienen en un análisis de riesgos, así como las fases que están implicadas.

cuarta imagen del documento ’Borrador_D1’

Por ejemplo, según el diagrama anterior, la obtención del riesgo implicaría la ejecución de los siguientes pasos:

  1. El proceso del análisis comienza identificando los activos de información de nuestra organización, cada uno de los cuales estará expuesto a unas amenazas determinadas y tendrá unas vulnerabilidades asociadas. Por ejemplo, un servidor web puede estar expuesto a una denegación de servicio y tener como vulnerabilidad poca tolerancia a una carga de tráfico excesiva.
  2. Del paso anterior, que nos describe el estado del activo, obtenemos el riesgo intrínseco. Es decir, el riesgo al que está expuesto el activo “por defecto” sin la aplicación de controles específicos.
  3. En el paso siguiente, determinamos la probabilidad de materialización de un riesgo intrínseco, que dará como resultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materialización de la amenaza.
  4. A continuación, debemos identificar aquellos riesgos que por su probabilidad, impacto o ambos, no son aceptables para nuestra organización. Esta decisión debemos tomarla de acuerdo a nuestra estrategia corporativa y en función de los riesgos que estemos dispuestos a asumir.

    Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la implantación de controles o salvaguardas, que tendrán un coste asociado.

    En algunos casos, este coste es determinante para escoger controles menos eficaces pero con un menor coste, o para asumir el riesgo debido al alto coste del control mitigante.

  5. Como resultado de la aplicación de los controles, obtendremos el riesgo residual del activo, que nos indicará el grado de exposición del activo a las amenazas después de haber implantado los controles seleccionados así como las consecuencias de la materialización de la amenaza.

Todos los elementos y valores anteriores son dinámicos y podrán cambiar a medida que nuestra infraestructura evolucione, se añadan nuevos activos, ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles determinados. Por ejemplo, la sustitución de un sistema de copias tradicional por un sistema de replicación de datos en diferido puede eliminar riesgos de disponibilidad pero incrementar los riesgos de disponibilidad e integridad de los datos, al propagarse éstos de manera automática.

También podemos crear nuestra propia metodología específica a partir de las existentes. En este sentido, puede resultar interesante adaptar diversas metodologías para obtener una que se adapte a la naturaleza de nuestra organización.

Tras la identificación de los riesgos debemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que deben ser tratados y los riesgos que son asumibles. ¿Cómo podemos tratar un riesgo? A través de cuatro posibles estrategias:

  • Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro.
  • Eliminar el riesgo. Por ejemplo, eliminando un proceso que ya no es necesario.
  • Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno o disponer de un centro de respaldo en caso de interrupción del suministro eléctrico puede ser demasiado alto y por tanto, puede ser necesario asumir el riesgo durante varias horas, a pesar de su impacto.
  • Implantar medidas para mitigarlo. Por ejemplo, instalando un sistema de alimentación ininterrumpida o SAI para hacer frente a los cortes de electricidad más breves, o tener algún tipo de acuerdo recíproco con otra compañía para en caso de que se produzca un incidente grave poder usar sus servidores o instalaciones.

En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden unos límites aceptables para la organización.

Todos los trabajos desarrollados hasta el momento están fuertemente relacionados y en todos los casos requieren de la intervención de múltiples personas que conozcan la organización. En este sentido, nuevamente destacamos la importancia de contar con el apoyo de la Dirección para garantizar el éxito del proyecto.

Fase 2. Conocer la estrategia de la organización

La segunda fase de la realización de un Plan Director de Seguridad consiste en conocer la estrategia corporativa de nuestra organización.

Esto implica considerar los proyectos en curso y futuros, previsiones de crecimiento, cambios en la organización debido a reorganizaciones, etc. También es importante tener en cuenta si nuestra organización opta por una estrategia de centralización de servicios, por la externalización de los servicios TIC, si forma parte de un grupo empresarial mayor o si va a iniciar la actividad en algún sector distinto del actual que pueda generar requisitos legales adicionales.

Todos estos factores pueden afectar a la orientación de las medidas y al peso de cada una de ellas.

Aunque en términos de esfuerzo y coste temporal, esta fase tiene menos peso que las restantes, su importancia es fundamental ya que nos permitirá implantar medidas de seguridad acordes a la naturaleza de nuestra organización.

Esta fase permite alinear la estrategia de seguridad no sólo con la estrategia TIC, sino también con la estrategia general de negocio de la organización

Para el correcto desarrollo de esta fase, se recomienda analizar la estrategia de la organización con los responsables de los departamentos implicados y por supuesto, con la Dirección. Se obtienen así dos objetivos. En primer lugar, se les hace partícipes en el proyecto y, en segundo lugar, conseguiremos tener una visión objetiva y global de la estrategia de negocio.

Fase 3. Definición de proyectos e iniciativas

A partir de la información recabada hasta este momento, debemos definir las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que nuestra organización requiere.

Dado que el análisis realizado incluye diferentes ámbitos como Recursos Humanos, Dirección, Mantenimiento, Jurídico, etc., las iniciativas para subsanar las deficiencias detectadas también serán de distinta índole:

  • En primer lugar, definiremos las iniciativas dirigidas a mejorar los métodos de trabajo actuales, para que contemplen los controles establecidos por el marco normativo y regulatorio.
  • En segundo lugar, pondremos en marcha un conjunto de acciones relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia hemos detectado.
  • En tercer lugar, definiremos la estrategia a seguir así como los proyectos más adecuados para gestionar los riesgos por encima de nuestro riesgo aceptable.

En la medida de lo posible, debemos estimar el coste de las iniciativas propuestas en términos temporales y económicos, contemplando los recursos materiales como humanos necesarios, tanto a nivel interno como externo.

A modo orientativo, a continuación se incluyen una serie de iniciativas / proyectos “tipo” que frecuentemente forman parte del Plan Director de Seguridad.

ID Proyecto Descripción
01 Desarrollar e implementar una
política de seguridad
Desarrollar e implementar una política de seguridad que
contenga al menos los siguientes aspectos:

  • Compromiso de la Dirección.
  • Utilización del e-mail e Internet.
  • Utilización de dispositivos móviles.
  • Aspectos de protección de datos.
02 Desplegar un plan de concienciación en materia de
seguridad de la información.
Llevar a cabo sesiones de formación para y
concienciación que cubran tanto el personal de
los departamentos operativos como la Dirección.
03 Mejora en la gestión de incidentes y
atención al usuario
Definir, documentar e implantar un proceso para
la gestión de los incidentes de seguridad.
04 Adecuación a la LOPD y RDLOPD Llevar a cabo un proyecto para adaptar la organización a la
LOPD y su Reglamento de Desarrollo (RDLOPD).
05 Mejorar la coordinación entre el
departamento de RRHH y el
departamento TIC
Mejorar la capacidad de respuesta de la organización para
hacer frente a una contingencia TIC.
06 Desarrollar un Plan de continuidad
TIC
Llevar a cabo acciones técnicas para la
segmentación de la red corporativa y
posteriormente implantar sistemas de detección
de intrusos (IDS).
07 Mejoras en la seguridad de la red
corporativa
Mejorar la capacidad de respuesta de la
organización para hacer frente a una
contingencia TIC.
08 Política de copias de seguridad Realizar un análisis de la información corporativa
de la que se realiza copia e implantar una política
de copias adecuada, que implique la realización
de restauraciones periódicas.
09 Clasificación de la información Definir un sistema de clasificación de la
información que contemple al menos tres niveles
de seguridad (público, privado y confidencial).

Este sistema debe contemplar aspectos como el
etiquetado, acceso, destrucción de la
información,uso de cifrado, etc.

10 Regulación de los servicios TIC
prestado por terceros
Revisar y homogeneizar los contratos
establecidos con los proveedores TIC externos a
fin de garantizar que estos son adecuados a las
necesidades de la organización. Para aquellos
que sean críticos, establecer acuerdos de nivel
de servicio.

Nuevamente, debemos señalar la importancia de considerar la estrategia de la organización a la hora de definir las iniciativas a implantar.

Por ejemplo, si está previsto que la organización pase a formar parte de un grupo empresarial que presta servicios TIC centralizados a todas las sociedades del mismo, se procurará evitar inversiones en activos TIC locales ya que estos podrían no ser amortizados.

Fase 4. Clasificar y priorizar los proyectos a realizar

Una vez identificadas las acciones, iniciativas y proyectos, debemos clasificarlas y priorizarlas. El detalle y granularidad de las acciones a llevar a cabo puede ser muy variado. Ante esta situación, es recomendable agrupar las iniciativas o dividir las propuestas para homogeneizar el conjunto de proyectos que hemos definido.

A la hora de clasificar las iniciativas podemos considerar como criterio el origen de las mismas (es decir, derivadas de la evaluación del cumplimiento normativo y regulatorio, análisis técnico o análisis de riesgos); el tipo de acción (técnica, organizativa, regulatoria, etc.).

Sin embargo, con independencia de que consideremos estos criterios, es conveniente organizar los proyectos atendiendo al esfuerzo que requieren y a su coste temporal. De este modo se establecen proyectos a corto, medio y largo plazo. Adicionalmente, es muy aconsejable que creemos un grupo que reúna aquellos proyectos cuya consecución requiere poco esfuerzo pero su resultado produce mejoras sustanciales en la seguridad. Tradicionalmente este tipo de iniciativas reciben el nombre de “quick wins”.

Fase 5. Aprobar el Plan Director de Seguridad

En este punto, disponemos de una versión preliminar del Plan Director de Seguridad. Si no ha intervenido directamente en el detalle de su elaboración, es necesario presentarlo a la Dirección para hacerles partícipes de las iniciativas y que conozcan en detalle los distintos proyectos en los que se divide y su justificación. Dado que algunos proyectos pueden tener un carácter eminentemente técnico, dicha presentación debemos realizarla en un lenguaje natural y orientado al negocio.

Es posible que tras la reunión sea necesario revisar el Plan Director de Seguridad modificando su alcance, duración o la prioridad de algunos proyectos. Si es preciso, el proceso de revisión se repetirá cíclicamente hasta disponer de una versión final aprobada formalmente por la Dirección.

Una vez disponible la versión final aprobada por la Dirección, es conveniente que ésta traslade a todos los empleados de la organización (mediante reunión del director con todos los empleados o mediante correo electrónico) el respaldo al Plan Director de Seguridad, y la importancia del deber de colaborar de toda la organización en la implantación del mismo.

Fase 6. Implantar o puesta en marcha del PDS

Una vez aprobado por la Dirección, el Plan Director de Seguridad marca el camino a seguir para alcanzar el nivel de seguridad que nuestra organización necesita. Como si de un proyecto más se tratara, cada organización puede emplear la metodología de gestión de proyectos que considere oportuno para llevarlo a cabo.

A continuación se indican una serie de aspectos cuya consideración favorecerá el éxito del proyecto y la consecución de los objetivos establecidos:

  • Al inicio del proyecto, debemos llevar a cabo una presentación general del proyecto a las personas implicadas, haciéndoles partícipes del mismo e informándoles de cuáles son los trabajos y los resultados que se persiguen.
  • Asignar Responsables / Coordinadores de proyecto a cada uno de los proyectos establecidos y dotarlo de los recursos necesarios. Dependiendo de la envergadura del proyecto, puede ser necesario componer un Comité de Gestión que se encargue de la supervisión del mismo.
  • Establecer la periodicidad con la que se debe llevar a cabo el seguimiento individual de los proyectos así como el seguimiento conjunto del Plan Director de Seguridad. Al respecto, cabe señalar que aquellos cambios en la organización o en el entorno de la misma que puedan modificar el enfoque estratégico, requerirán que revisemos igualmente el Plan Director de Seguridad, a fin de confirmar que sigue siendo válido y consecuente con la estrategia general de la organización.
  • A medida que vayamos alcanzado los hitos previstos, debemos confirmar que las deficiencias identificadas en las auditorías o en el análisis de riesgos han sido subsanadas.


(Fuente: https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad )

logo_ccn_med

Al igual que en años anteriores, 2015 ha visto incrementar el número, tipología y gravedad de los ataques contra los sistemas de información de las Administraciones Públicas y Gobiernos, de las empresas e instituciones de interés estratégico o aquellas poseedoras de importantes activos de propiedad intelectual e industrial y, en general, contra todo tipo de entidades y ciudadanos.

La generalización del uso de los medios electrónicos incrementa la superficie de ataque y, en consecuencia, los beneficios potenciales derivados, lo que constituye sin duda uno de los mayores estímulos para los atacantes.

Así lo ha constatado, un año más, el Centro Criptológico Nacional al elaborar su ya tradicional Informe de Ciberamenazas y Tendencias y cuyo extracto y principales conclusiones presentamos en este documento. En él se examina el impacto, en España y fuera de sus fronteras, de las amenazas y los ciberincidentes más significativos ocurridos en 2015: ciberespionaje (por estados y empresas), ciberdelincuencia, hacktivismo2 y, como singularidad, el que hemos denominado ciberyihadismo (acciones atribuibles a grupos de tendencia violenta y radical dentro del islam político), los actores internos o los ciberinvestigadores.

CCN-CERT: Resumen ejecutivo

indice


Departamento de Seguridad Nacional

Este Informe ha sido elaborado por el Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, en su condición de Secretaría Técnica y Órgano de Trabajo Permanente del Consejo de Seguridad Nacional, con la participación del Ministerio de Asuntos Exteriores y de Cooperación, el Ministerio de Justicia, el Ministerio de Defensa, el Ministerio de Hacienda y Administraciones Públicas, el Ministerio del Interior, el Ministerio de Fomento, el Ministerio de Educación, Cultura y Deporte, el Ministerio de Empleo y Seguridad Social, el Ministerio de Industria, Energía y Turismo, el Ministerio de Agricultura, Alimentación y Medio Ambiente, el Ministerio de la Presidencia, el Ministerio de Economía y Competitividad, el Ministerio de Sanidad, Servicios Sociales e Igualdad y el Centro Nacional de Inteligencia.

El Informe fue aprobado por el Consejo de Seguridad Nacional en su reunión de 27 de mayo de 2016

DSN – Informe anual 2015

cnpic-logo

incibe

Identificación y reporte de incidentes de seguridad para operadores estratégicos


Guía básica de Protección de Infraestructuras Críticas

Esta guía básica de protección de Infraestructuras Críticas relativa a la Identificación y Reporte de incidentes de seguridad para operadores estratégicos tiene como finalidad servir de manual de actuación para el reporte y gestión de incidentes relacionados con las Infraestructuras Críticas (IICC) y los Operadores Estratégicos, a través del Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT).

Destacar que la respuesta a incidentes en IICC se realiza desde INTECO en estrecha colaboración con el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) a través del CERT de Seguridad e Industria.

El funcionamiento de dicho servicio de respuesta incluye el reporte a INTECO-CERT y CNPIC de los propios incidentes de seguridad, su análisis y el escalado necesario para poder gestionar su resolución y dar una respuesta por parte de INTECO-CERT a los operadores con las recomendaciones oportunas que permitan reducir el riesgo para la seguridad que suponga dicho incidente.

Para facilitar una gestión más adecuada, en este documento se definen también las pautas y actuaciones que pueden adoptar los operadores que puedan estar sufriendo un incidente, así como las categorías y niveles de criticidad del mismo. Esta información se incluirá al tratar cada incidente en el sistema de gestión de incidentes (en adelante RTIR, de Request Tracker Incident Response).

Como guía de identificación y reporte de incidentes de seguridad, aunque se incluyen cuestiones específicas que pueden ser sólo de aplicación al caso concreto que se desarrolla, los criterios generales que aquí se exponen atienden a buenas prácticas generalmente reconocidas en la gestión de incidentes y, como tales, pueden servir de referencia en el diseño e implementación de este tipo de servicios en cualquier otro ámbito.

CNPIC/INCIBE – Guía de reportes de incidentes de seguridad

2a35f-boe2

“La seguridad constituye la base sobre la cual una sociedad puede desarrollarse, preservar su libertad y la prosperidad de sus ciudadanos, y garantizar la estabilidad y buen funcionamiento de sus instituciones”

Actualización 21 de Julio de 2016

http://www.boe.es/legislacion/codigos/abrir_pdf.php?fich=173_Codigo_de_Derecho__de_la_Ciberseguridad.pdf

 informe-estado-islamico-espanaFernando Reinares y Carola García-Calvo, 2016

¿Cómo son los seguidores que Estado Islámico (EI) ha sido capaz de atraer y movilizar dentro del territorio español? ¿Cuándo, dónde y cómo se radicalizaron en la ideología que es propia de esa organización yihadista? ¿Qué tipo de motivaciones individuales son las que les han llevado a la participación en actividades terroristas? ¿Cuáles son sus patrones de implicación yihadista en favor de EI tanto dentro como fuera de nuestro país? Este informe responde a esas preguntas.

Descargar PDF

¿Cuál es el perfil sociológico más frecuente entre los detenidos en España por actividades relacionadas con Estado Islámico?

Los detenidos puestos a disposición judicial en España desde 2013 por actividades relacionadas con Estado Islámico (EI) se caracterizan ante todo por ser hombres jóvenes, casados y con hijos, tanto españoles como marroquíes, en su mayoría con estudios secundarios y cuya tasa de desempleo es similar a la de la población española en su conjunto. No es inusual que tengan antecedentes penales. Si bien de ascendencia musulmana, su conocimiento del islam y de la sharía o ley islámica suele ser elemental. Ahora bien, nada de ello es incompatible con que se registren porcentajes significativos de mujeres, conversos y universitarios.

En conjunto, el principal escenario de la movilización promovida en España por EI se encuentra en la provincia de Barcelona, pero si la atención se centra solo en los detenidos de nacionalidad española su foco hay que situarlo entre jóvenes de segunda generación nacidos y residentes en Ceuta.

¿Cuándo, dónde y cómo se radicalizaron esos individuos en la ideología del salafismo yihadista que es propia de EI?

La radicalización de los detenidos en España que iniciaron dicho proceso tras el auge de EI en 2013 se desarrolló sobre todo en entornos mixtos, que combinan ámbitos offline y online. Ahora bien, el número de individuos radicalizados solo offline es marcadamente superior al de los radicalizados únicamente online. Domicilios privados, lugares de culto y centros culturales islámicos, espacios al aire libre, así como centros penitenciarios, destacan entre los ámbitos de radicalización offline.

Hay dos factores de asociación diferencial que ayudan a entender por qué determinados individuos se radicalizaron en cierto lugar mientras otros de similares rasgos sociodemográficos, en el mismo o diferente sitio, no hicieron suya la ideología de EI: por una parte, la existencia de contacto físico directo con un agente de radicalización al que generalmente se atribuye cierto carisma y, por otra, los lazos sociales preexistentes basados en vínculos de vecindad, amistad o parentesco.

¿Qué tipo de motivaciones individuales son las que les han llevado  a  la participación en actividades terroristas?

Las motivaciones ideológicas y utilitarias para adherirse a EI parecen haber sido más relevantes entre los detenidos que las de índole existencial e identitaria, o que las de carácter emocional y afectivo. La idea de yihad terrorista como imperativo religioso, el convencimiento de que es eficaz y de que su éxito queda de manifiesto con la proclamación del califato, al igual que la provisión de incentivos selectivos o recompensas materiales y no materiales, mueven más a la implicación en EI que la posibilidad de encauzar distintos tipos de emociones o encontrar una salida a crisis vitales o a conflictos de identidad.

Con todo, según los testimonios orales o escritos que han dejado los detenidos, el odio, principal pero no exclusivamente hacia occidentales que son descritos como infieles y hacia chiíes considerados apóstatas, está generalizado entre ellos y a menudo se combina con otro tipo de motivaciones individuales.

¿Cuáles son sus patrones típicos de implicación yihadista en favor de EI tanto dentro como fuera de nuestro país?

La inmensa mayoría de los detenidos puestos a disposición judicial en España desde 2013 por actividades terroristas relacionadas con EI se hallaban implicados en compañía de otros y no aislados o en solitario. En concreto, como integrantes de células, grupos o redes, más de nueva formación y alcance transnacional que regeneradas y confinadas  en sus actividades al territorio español.

En el seno de dichas células, grupos o redes, los detenidos contribuían sobre todo a funciones de radicalización, reclutamiento, envío de combatientes terroristas extranjeros a Siria e Irak, difusión de propaganda o financiación para cubrir las necesidades derivadas de su implicación yihadista. Una amplia mayoría de los mismos  se habían desplazado a Siria e Irak, lo habían intentado o tenían intención de hacerlo. Pese a lo cual, un tercio de ellos pertenecía a células, grupos o redes con capacidades operativas y que tenían voluntad de atentar en España.

¿Cómo son y deben ser tanto la reacción social como las respuestas institucionales a la amenaza que supone EI?

La sociedad española es consciente de la amenaza terrorista que implica para nuestro país EI. Las más de 40 operaciones policiales contra EI desde 2013 ponen de manifiesto una efectiva respuesta institucional cuyo actual enfoque preventivo no está exento de inconvenientes. Estos pueden atenuarse en buena medida tras la entrada en vigor, en 2015, de las nuevas disposiciones antiterroristas del Código Penal.

Apremia una implementación efectiva y localizada del Plan Estratégico Nacional de Lucha contra la Radicalización Violenta (PEN-LRV) al tiempo que deben mantenerse como prioritarias la cooperación bilateral con Marruecos y la multilateral en la Unión Europea. España ha de favorecer iniciativas legítimas de la comunidad internacional en zonas que son foco de la amenaza de EI. La revisión de la Estrategia Integral Contra el Terrorismo Internacional y la Radicalización (EICTIR) ofrece una oportunidad para el consenso parlamentario que cuenta con el mecanismo del pacto antiyihadista.

Informe: Estado Islámico en España (PDF – 5,6 MB)

cnuji4wwgaaodme

http://www.interior.gob.es/documents/642317/1204854/Anuario_estadistico_2015_126150729.pdf/da61515a-9cd8-4cb4-bdd9-a17f3d3d7b20