d i r e c c i Ó n d e c i b e r d e f e n s a p l a n m a
TRANSCRIPT
D I R E C C I Ó N D E
C I B E R D E F E N S A
P L A N M A E S T R O
D E
C I B E R S E G U R I D A D
P Á G I N A 0 2
1. INTRODUCCIÓN ........................................................................................................ 03
2. ¿QUÉ OCURRIRÍA SI NUESTRA ORGANIZACIÓN SE ENCONTRASE EN ALGUNADE LAS
SIGUIENTES SITUACIONES? .............................................................................................. 04
3. ¿QUÉ ES UN PLAN MAESTRO DE SEGURIDAD? ............................................................... 05
4. IMPLANTANDO UN PLAN MAESTRO DE SEGURIDAD ..................................................... 06
5. SITUACIÓN ACTUAL DE LA ORGANIZACIÓN (FASE 1) .................................................... 07
6. ALCANCE .............................................................................................................................. 08
7. RESPONSABLES DE LA GESTIÓN DE LOS ACTIVOS........................................................ 09
8. CONTROLES DE SEGURIDAD ............................................................................................. 11
9. ANÁLISIS DE CUMPLIMIENTO ........................................................................................... 12
10. OBJETIVOS ........................................................................................................................... 14
11. ANÁLISIS DE RIESGO .......................................................................................................... 16
12. CONOCER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN (FASE 2) ............................ 18
13. DEFINICIÓN DE PROYECTOS E INICIATIVAS (FASE 3) .................................................... 19
14. DEFINICIÓN DE PROYECTOS E INICIATIVAS (FASE 3) ................................................... 20
Í N D I C E
P Á G I N A 0 3
La evolución de las tecnologías de la información y comunicación nos ha permitido
automatizar y optimizar muchas de las actividades que se llevan a cabo en nuestra
organización. Estas tecnologías han ido ocupando un lugar cada vez más importante, hasta el
punto de que hoy en día, sin ellas, muchos de nuestros procesos operativos no serían posibles.
Por ende, es necesario destacar que la información es un activo importante para la
organización que debe ser protegido. Para garantizar la seguridad de la información de las
instituciones necesitan llevar a cabo una gestión planificada de actuaciones en materia de
ciberseguridad, tal y como se realiza en cualquier otro proceso productivo.
I N T R O D U C C I Ó N
D A T O S P Á G I N A 0 4
Sufrimos los efectos de un virus informático.
Se produce una pérdida de datos y no se posee copias de seguridad.
Nuestro portal web institucional es el objetivo de un ataque de denegación de
servicio, dejándola inoperativa.
Se nos inutiliza algún servidor o elemento de red, que nos impide el uso del
correo electrónico, la conexión a internet o el uso de aplicaciones críticas.
Frente a estos escenarios, surgen varias dudas:
► ¿Debería externalizar el soporte informático de mi institución?
► ¿Es seguro gestionar información corporativa en dispositivos móviles?
► ¿hemos proporcionado y utilizado los recursos necesarios para ello?
► ¿Sabemos si las copias de seguridad funcionan? ¿estamos realizando copias de
toda la información crítica para nuestra organización?
► Si sufrimos un incidente de seguridad informática, ¿conocemos los
riesgos a los que está expuesta nuestra institución?
Si las herramientas tecnológicas y la información que dan soporte a los servicios y
procesos productivos de la organización son de gran valor para nuestra organización,
debemos empezar a pensar en poner en práctica un Plan maestro de Seguridad.
¿QUÉ OCURRIRÍA SI NUESTRA
ORGANIZACIÓN SE ENCONTRASE EN ALGUNA
DE LAS SIGUIENTES SITUACIONES?
D A T O S P Á G I N A 0 5
Un Plan Maestro de Seguridad es un
documento donde se establecen los
objetivos estratégicos, l a s etapas,
acciones y recursos necesarios para
proteger desde el dato más simple hasta la
vida de los sistemas de información de tu
empresa ante cualquier eventualidad.
¿Q U É E S U N P L A N M A E S T R O D E
S E G U R I D A D?
D A T O S P Á G I N A 0 6
Los proyectos que componen el Plan Maes tr o de Seguridad varían en función de
diversos factores relacionados como:
► El tamaño de la organización.
► El nivel de madurez en tecnología.
► El sector al que pertenece la empresa.
► El contexto legal que regula las actividades de la misma.
I M P L A N T A N D O U N P L A N M A E S T R O D E
S E G U R I D A D
F A S E 1 P Á G I N A 0 7
La primera fase consiste en conocer la situación actual de
nuestra organización en materia de ciberseguridad. La
ciberseguridad desempeña un papel fundamental dentro
de las Fuerzas Armadas, debido a que el ciberespacio se ha
convertido en el vector de ataque más común en las últimas
décadas, es esencial que las FF. AA. trabajen bajo las
mejores prácticas de ciberseguridad, para así, cumplir
con su cometido de proteger la soberanía nacional.
En la actualidad, los mayores desafíos que enfrentamos
dentro de la infraestructura informática de las FF. AA. son: la
falta de cultura de ciberseguridad, sistemas
desactualizados y/u obsoletos, monitoreo y capacitación del
personal informático en ámbitos de ciberseguridad.
S I T U A C I Ó N A C T U A L D E L A
O R G A N I Z A C I Ó N ( F A S E 1 )
F A S E 1 P Á G I N A 0 8
La infraestructura web de las FF. AA. y
sus dependencias, la cual incluye, pero no
se limita a servidores web y servidores de
correo eléctrico, debido a que estos
representan el mayor vector de acceso e
intrusión para los ciber atacantes y de
igual forma, son la parte visible de las
instituciones, en caso de un acceso
ilegitimo, esto podría afectar la imagen e
integridad de las mismas.
A L C A N C E
F A S E 1 P Á G I N A 0 9
Los activos de las instituciones son todos aquellos que tienen valor para ella. Así los
activos de información son todos los procesos, personas, equipos, instalaciones,
software o ficheros de todo tipo que la contienen, procesan o manejan de alguna forma.
Por esto es importante definir las responsabilidades sobre los activos de la
organización: equipos informáticos, dispositivos móviles, aplicaciones, instalaciones,
servicios e información. De este modo, esto nos facilitará hacer un seguimiento de la
ejecución de las iniciativas implantadas, así como del análisis y recogida de la
información.
Dichas responsabilidades deben estar asociadas a perfiles específicos, ya sea una
persona o un comité formado por varias personas. En el caso de instituciones de pequeño
tamaño, varios de estos roles pueden ser asumidos por la misma persona.
Al menos, se deben definir los siguientes perfiles:
• Responsable de Seguridad, con la finalidad de hacer u n seguimiento y coordinar
todas las iniciativas puestas en marcha por la organización en materia de
Seguridad de la Información.
R E S P O N S A B L E S D E L A G E S T I Ó N D E L O S
A C T I V O S
F A S E 1 P Á G I N A 10
• Responsable de Ciberseguridad, con la finalidad de hacer un seguimiento y
coordinar todas las iniciativas puestas en marcha por la institución directora en
materia de Seguridad de la Información.
• Responsable de Información, especialmente cuando tratamos con
información específica que es gestionada a través de diferentes entornos.
• Responsables de ámbito, en el caso de que pongamos en marcha
iniciativas en el ámbito lógico, físico, legal y organizativo.
R E S P O N S A B L E S D E L A G E S T I Ó N D E L O S
A C T I V O S
F A S E 1 P Á G I N A 11
Un buen comienzo, implica realizar una valoración preliminar de la situación actual de la
organización, para determinar los controles y requisitos que son de aplicación. En la
jerga de Gestión de la Seguridad se llaman controles a las medidas de todo tipo (técnico,
legal u organizativo) que se implementan para contrarrestar los riesgos de seguridad.
Luego de analizar las infraestructuras informáticas de las instituciones de las FF. AA., se
determinó que las siguientes normativas serán aplicadas de forma inicial en dichas
instituciones.
1. ISO/IEC 27002:2017. Diseñada para ser utilizada a la hora de designar
controles para la selección e implantación de un Sistema de seguridad de la
información, así como unas directrices de gestión de la misma.
2. COBIT. (Objetivos de Control para Información y Tecnologías Relacionadas. En
inglés: Control Objectives for Information and related Technology), fue creado
para ayudar a las organizaciones gubernamentales a obtener el valor óptimo de
TI manteniendo un balance entre la realización de beneficios, la utilización de
recursos y los niveles de riesgo asumidos.
C O N T R O L E S D E S E G U R I D A D
F A S E 1 P Á G I N A 12
Para llevar a cabo el análisis de cumplimiento y situación, se
realizarán inspecciones y auditorías a las instituciones con
las cuales se esté trabajando, para asegurar que, las mejores
prácticas de seguridad estén siendo implementadas, además
se efectuarán reuniones presenciales con los directores de
tecnología de las dependencias de las FF. AA. cada 6 semanas,
de igual forma, se mantendrá contacto y seguimiento vía
telefónica con el personal designado a trabajar para la
implementación de los controles de seguridad.
Los estándares y normas internacionales en materia de
seguridad de la información, incluyen requisitos para
implantar medidas de control de acceso físico y seguridad
medioambiental. Por lo tanto, también s e r á necesario llevar
a cabo una inspección de las instalaciones.
A N Á L I S I S D E C U M P L I M I E N T O
F A S E 1 P Á G I N A 13
Luego de cada auditoria, inspección y otra revisión del
cumplimiento de los controles de seguridad a implementar, el
departamento de ciberseguridad realizara un informe de
análisis de cumplimiento sobre la institución auditada y los
avances realizados por la misma.
Una vez dispongamos de toda l a información, procederemos
analizar los resultados y situar el cumplimiento de cada
control en una escala, por ejemplo, entre el 0 al 5, según el
modelo de madurez, donde 0 es la ausencia total del control,
y el 5 la aplicación optimizada del control. Esta escala nos
permitirá conocer la evolución en el tiempo del grado de
seguridad de la organización.
A N Á L I S I S D E C U M P L I M I E N T O
F A S E 1 P Á G I N A 14
Una vez realizado el análisis de cumplimiento de los controles de ciberseguridad, se
realizará una matriz de cumplimiento de objetivos, para analizar cuan cerca se encuentra la
institución a los objetivos planteados en los controles de ciberseguridad señalados
anteriormente, bajo la normativa ISO/IEC 27002:2017.
0
10
20
30
40
50
60
70
80
90
100
Politica de Seguridad
Organización de la Seguridadde la Información
Seguridad relativa a los RRHH
Gestión de Activos
Control de Acceso
Criptografía
Seguridad Física y delEntorno
Seguridad de las Operaciones
Seguridad de lasComunicaciones
Adquisición, Desarrollo yMantenimiento de Sistemas
Relación con Proveedores
Gestión de Incidentes
Gestión de la Continuidad
Cumplimiento
ACTUAL OBJETIVO ÓPTIMO
O B J E T I V O S
F A S E 1 P Á G I N A 15
Además de los controles a analizar en el punto anterior luego de cada auditoria, es
importante considerar los siguientes objetivos puntuales:
¿Disponemos de antivirus y cortafuegos?
¿Página web es segura?
¿La red está correctamente segmentada, que impida por ejemplo que desde
internet sean visibles los equipos de los usuarios o los servidores internos?
¿Existen controles de acceso físicos a las áreas con información sensible: salas
de servidores, despachos, área de Recursos Humanos, ¿etc.?
Estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la
organización, y a través de ella, comprobamos la eficacia de los controles de
seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de
detección de intrusos, niveles de parcheado, política de contraseñas, etc.
O B J E T I V O S
F A S E 1 P Á G I N A 16
Luego de cada auditoria, se llevará a cabo un análisis de riesgo, para verificar que tan
preparada está la institución para enfrentar las amenazas del ciberespacio luego de la
implementación de los controles de ciberseguridad.
Como resultado de este análisis de riesgos, obtendremos el conjunto de amenazas a las
que estamos expuestos. El análisis de riesgo a realizar constará de las siguientes 6
etapas:
A N Á L I S I S D E R I E S G O
F A S E 2 P Á G I N A 17
A N Á L I S I S D E R I E S G O
F A S E 2 P Á G I N A 18
La segunda fase consiste en conocer la
estrategia corporativa de las FF.AA.
Esto implica considerar los proyectos en curso y
futuros, previsiones de crecimiento, cambios en
la organización debido a reorganizaciones, etc.
También es importante tener en cuenta si
nuestra organización opta por una estrategia de
centralización de servicios, por la
externalización de los servicios TIC, si forma
parte de un grupo empresarial mayor o si va a
iniciar la actividad en algún sector distinto del
actual que pueda generar requisitos legales
adicionales.
Todos estos factores pueden afectar a la
orientación de las medidas y al peso de cada una
de ellas. Aunque en términos de esfuerzo y coste
temporal, esta fase tiene menos peso que las
restantes, su importancia es fundamental ya que
nos permitirá implantar medidas de seguridad
acordes a la naturaleza de nuestra comunidad
atendida.
C O N O C E R L A S I T U A C I Ó N A C T U A L D E L A
O R G A N I Z A C I Ó N ( F A S E 2 )
F A S E 3 P Á G I N A 19
A partir de la información recabada hasta este momento, definiremos las acciones,
iniciativas y proyectos necesarios para alcanzar el nivel de seguridad que nuestra
organización requiere.
1. En primer lugar, las iniciativas dirigidas a mejorar los métodos de trabajo actuales,
para que contemplen los controles establecidos por el marco normativo y regulatorio.
2. En segundo lugar, pondremos en marcha un conjunto de acciones relacionadas con
los controles técnicos y físicos cuyas fallas hemos detectado.
3. En tercer lugar, la estrategia a seguir, así como los proyectos más adecuados
para gestionar por encima de nuestro riesgo aceptable.
D E F I N I C I Ó N D E P R O Y E C T O S E
I N I C I A T I V A S ( F A S E 3 )
F A S E 3 P Á G I N A 20
ID PROYECTO DESCRIPCIÓN
01 Desarrollar e implementar una política de
seguridad.
Desarrollar e implementar una política de seguridad que contenga al menos los siguientes aspectos:
• Compromiso de la dirección • Utilización del e-mail e internet • Utilización de dispositivos móviles • Aspectos de protección de datos
02 Desplegar un plan de concienciación en
materia de seguridad de la información.
Llevar a cabo sesiones de formación y concienciación que cubran tanto el personal de los departamentos operativos como la dirección.
03 Mejora en la gestión de incidentes y atención
al usuario. Definir, documentar e implantar un proceso para la gestión de los incidentes de seguridad.
04 Adecuación al RGPD. Llevar a cabo un proyecto para adaptar la organización al RGPD.
05
Mejora la coordinación entre el
departamento de RRHH y el departamento
TIC.
Mejorar la capacidad de respuesta de la organización para hacer frente a una contingencia TIC.
06 Desarrollar un plan de continuidad TIC. Llevar a cabo acciones técnicas para la segmentación de la red corporativa y posteriormente implantar sistemas de detección de intrusos (IDS).
07 Mejoras en la seguridad de la red corporativa. Mejorar la capacidad de respuesta de la organización para hacer frente a una contingencia TIC.
08 Política de copia de seguridad. Realizar un análisis de la información corporativa de la que se realiza copia e implantar una política de copias adecuada, que implique la realización de restauraciones periódicas.
09 Clasificación de la información.
Definir un sistema de clasificación de la información que contemple al menos tres niveles de seguridad (público, privado y confidencial). Este sistema debe de contemplar aspectos como el etiquetado, acceso, destrucción de la información, uso de cifrado, etc.
10 Regulación de los servicios TIC prestados por
terceros.
Revisar y homogenizar los contratos establecidos con los proveedores TIC externos a fin de garantizar que estos son adecuados a las necesidades de la organización. Para aquellos que sean críticos, establecer acuerdos de nivel de servicio.
D E F I N I C I Ó N D E P R O Y E C T O S E
I N I C I A T I V A S ( F A S E 3 )