EXCS - Mod5 - Agilidad y Transformación Hacia Un Negocio

Módulo
Agilidad y
Transformación
hacia un Negocio
Módulo
Agilidad y
Transformación
hacia un Negocio
1. EVALUACIONES Y AUDITORÍAS DE SEGURIDAD................................................ 03
1.1. INTRODUCCIÓN.............................................................................................. 03
1.2. FUNDAMENTOS DE AUDITORÍA...................................................................... 04
1.3. TIPOS DE AUDITORÍA...................................................................................... 07
1.4. EVALUACIÓN DEL CUMPLIMIENTO DEL ESQUEMA NACIONAL DE
SEGURIDAD........................................................................................................... 11
1.5. EVALUACIÓN DEL CUMPLIMIENTO DE LA ISO 27001...................................... 52
2. GESTIÓN DE AMENAZAS PERSISTENTES AVANZADAS...................................... 54
2.1. INTRODUCCIÓN.............................................................................................. 54
2.2. HERRAMIENTAS DE GESTIÓN DE APTS ........................................................... 64
3. AGILIDAD EN CIBERSEGURIDAD......................................................................... 72
3.1. INTRODUCCIÓN.............................................................................................. 72
3.2. SCRUM EN CIBERSEGURIDAD......................................................................... 81
3.3. MARCOS DE CIBERSEGURIDAD ÁGILES........................................................... 84
CONCLUSIONES...................................................................................................... 104
BIBLIOGRAFÍA......................................................................................................... 105
Centro Europeo de Postgrado Módulo. Agilidad y Transformación hacia un Negocio
1. Evaluaciones y Auditorías de
Seguridad
“Las auditorías y evaluaciones de seguridad deben realizarse de
forma homogénea, partiendo de unos principios, objetivos y alcance
básico.”
1.1. Introducción
Las organizaciones se deben a su operativa de negocio por lo que, exceptuando aquellas
que prestan servicios de seguridad, los recursos destinados en materia de seguridad de la
información y ciberseguridad suelen ser escasos. Ante este contexto, contra el cual poco
se puede hacer, es necesario actuar con doble diligencia, buscando aportar el máximo
valor con un conjunto de recursos que seguramente será mejorable o directamente me-
diocre.
Para tratar de encauzar esta situación es muy importante prevenir antes que curar, inten-
tando evitar los problemas antes de que lleguen y causen algún tipo de impacto. Para ello,
es fundamental evaluar si la seguridad que tenemos desplegada es eficaz y si cumple con
su cometido. Es muy probable que tengamos desplegada una medida de seguridad que
por alguna circunstancia, por ejemplo la falta de capacitación del personal o la inexisten-
cia de un procedimiento que regule su uso, esté siendo infrautilizada o directamente no
funcione y nada se esté dando cuenta de ello.
Es en este contexto donde entran en juego las auditorías y evaluaciones de seguridad,

siendo imprescindible que cualquier profesional de seguridad de la información desplie-
gue un mínimo plan en esta materia en la organización donde trabaje. En grandes orga-
nizaciones es posible que haya un pequeño equipo que tenga como única misión realizar
estas acciones, pero en la inmensa mayoría de entidades la realidad será muy diferente.
Por tanto, entender cómo desplegar un plan de auditoría y evaluación práctico y eficaz es
una herramienta de gran valor.
03
1.2. Fundamentos de auditoría

Las auditorías y evaluaciones de seguridad deben realizarse de forma homogénea, par-
tiendo de unos principios, objetivos y alcance básico. Perdería todo sentido si cada cierto
estos cambiasen, ya que imposibilitaría el poder hacer una comparativa del nivel de ma-
durez alcanzado. Además, se debe atender al parámetro de periodicidad, el cual puede
variar en función de los recursos que tenga cada organización. Por lo general se estima
que anualmente se debe llevar una acción en esta materia, lo cual no quita que se puedan
lanzar siempre que ocurran eventos imprevistos o se realicen modificaciones importantes
en los sistemas de información corporativos. Asimismo, los responsables de esta labor
deberán estar coordinados con las áreas legales, ya que quizá estas manejen normativas y
regulación que exijan otras periodicidades en relación a las tecnologías de la información
y comunicaciones.
También es importante resaltar la necesidad de emitir opiniones verificables, repetibles,

objetivas e independientes. En caso contrario la labor del profesional que realiza las audi-
torías y evaluaciones quedaría en entredicho. De igual modo, el principal objetivo de una
auditoría y evaluación de seguridad es detectar deficiencias y vulnerabilidades en esta
materia, por lo que servirán de poco estas acciones si posteriormente no se lanza un plan
para solventar los problemas detectados. También será, por tanto, labor del auditor hacer
un seguimiento de dicho plan, y velar porque se lleve a la práctica.
En toda esta fórmula el auditor debe equilibrar la capacidad y recursos corporativos fren-
te a los requisitos existentes en materia de confidencialidad, integridad, disponibilidad,
autenticidad y trazabilidad sobre los servicios prestados e información tratada. Por tanto,
a la hora de realizar una auditoría o evaluación de seguridad se deberá diseñar la siguien-
te información:
• Alcance y objetivo de la auditoría
• Recursos necesarios
• Necesidades en materia de comunicación con los responsables de la organización

que será auditada
• Requisitos de información previos sobre la organización a ser auditada
• Planificación previa a alto nivel de las actuaciones a llevar a cabo
04
• Diseño detallado de las actuaciones a realizar, incluyendo entrevistas, revisiones

y pruebas
• Requisitos para la presentación de resultados, así como identificación de las perso-

nas que deberán confirmar los mismos
• Requisitos para el diseño, presentación y emisión del informe final
Asimismo, es importante que el auditor traslade información detallada sobre los registros
y evidencia que obtuvo y tuvo en cuenta para emitir sus conclusiones. De igual modo,
es importante que detalle las posibles limitaciones y problemas con que se encontró, ya
que quizá alguna de las mismas pudiera haber derivado en la no obtención de pruebas
importantes.
A continuación se irá detallando cada uno de estos puntos básicos:
• Alcance y objetivo de la auditoría
El alcance y los objetivos perseguidos en la auditoría a realizar se deben definir y

documentar formalmente. Además, es importante que los mismos se consensuen
previamente con las partes interesadas, las cuales irán desde la alta dirección a
los responsables de seguridad de la información de la organización. Asimismo, en
la definición del alcance es fundamental indicar los límites del mismo, ya que en
muchas ocasiones habrá sistemas interconectados con terceros.
De igual modo, podremos explicitar cuáles son las medidas de seguridad que van
a ser evaluadas, las cuales pueden ser medidas organizativas, técnicas o físicas.
Asimismo, se deberá conocer si existe alguna limitación de cara al acceso a la in-
formación, teniendo por tanto que quedar reflejado dicho hecho. Además, y de cara
a respetar la necesaria independencia y objetividad, tendremos que asegurarnos
de no realizar durante la auditoría ninguna labor de consultoría, evitando de igual
modo la recomendación de cualquier producto concreto.
• Recursos necesarios
Los recursos más importantes en toda auditoría son los humanos, es decir, el equi-
po de auditores. Tendrán que ser profesionales que cuenten con los conocimientos
necesarios para realizar su tarea. En ese sentido, cuando se trata de una auditoría
interna los auditores tendrán que ser independientes de las áreas de negocio que
van a ser auditadas, pudiendo por tanto pertenecer a las áreas de auditoría, control
interno o intervención entre otras. En caso de que sea una auditoría externa los
integrantes de la misma deberán firmar los pertinentes clausulados en materia de
confidencialidad y protección de datos de carácter personal.
05
Además, el equipo de auditores no sólo deberá supervisar documentación, sino

que tendrá que evidencias robustas que soporten sus hallazgos y conclusiones. De
cara a coordinar todas estas tareas y requisitos, y si el alcance y recursos de la orga-
nización lo permiten, será oportuno contar con un jefe de auditoría que supervise
el trabajo de los auditores.
• Necesidades en materia de comunicación con los responsables de la organiza-

ción que será auditada
De forma inicial se tendrá que conocer información específica sobre la organiza-

ción a auditar, antes de pasar a la siguiente etapa. Información valiosa a requerir
será el organigrama corporativo, descripción de los sistemas de información, con-
troles de seguridad establecidos, conocer la existencia de un análisis de riesgos,
informes de auditorías previas que se hubieran realizado, etc.
• Requisitos de información previos sobre la organización a ser auditada
Se tendrán que establecer requisitos de información y documentación en cuestio-

nes como los conocimientos requeridos por parte del equipo auditor, las agendas
de reuniones y entrevistas a mantener, y la adjudicación de tareas a cada miembro
del equipo.
• Planificación previa a alto nivel de las actuaciones a llevar a cabo
Para establecer una planificación inicial necesitaremos conocer qué elementos de

seguridad podrán evaluarse vía entrevistas, revisión documental, etc. También se
tendrán que identificar los muestreos a realizar que den garantías suficientes sobre
los hallazgos, cuáles son las evidencias que se esperan obtener de cada prueba, etc.
• Diseño detallado de las actuaciones a realizar, incluyendo entrevistas, revisio-

nes y pruebas
Se tendrán que calendarizar de forma concreta las entrevistas a realizar, no tenien-

do porque anticipar las cuestiones exactas que serán preguntadas. Además, si el
auditor estimase que la muestra requerida sobre cierto asunto ha resultado insu-
ficiente, podrá requerir más información al respecto. De igual modo, ante la falta
de ciertas medidas de seguridad el equipo auditor podrá analizar si pueden existir
otras medidas compensatorias.
Asimismo, tendrá que documentarse todo el proceso de revisión documental lleva-

do a cabo, así como las posteriores aclaraciones que el auditado pudiese hacer al
respecto. Por otro lado, el equipo auditor intentará evitar que las pruebas obtenidas
contengan datos de carácter personal. Además, el equipo auditor deberá guardar
sus documentos de trabajo custodiados y archivados durante un mínimo de dos
años, como buena práctica general.
06
• Requisitos para la presentación de resultados, así como identificación de las

personas que deberán confirmar los mismos
Antes de emitir el informe final se tendrán que confirmar los hechos y deficiencias
encontradas con las personas responsables, a fin de analizar si tales hallazgos son
correctos o si en cambio hubo alguna información que no fue bien entendida. En
caso de que el auditado tuviese alguna alegación a efectuar, se atenderá la misma,
no teniendo que afectar al informe si el auditor considera que no cambia lo ya ex-
puesto en el mismo.
• Requisitos para el diseño, presentación y emisión del informe final
En función del alcance concreto de la auditoría se respetarán los formatos a los que
hubiese lugar, no trasladando el mismo a ningún tercero por acuerdo de confiden-
cial, y exceptuando únicamente el imperativo legal o mandato judicial que pudiese
afectar. En el informe final se indicarán cuáles son las deficiencias detectadas, indi-
cando el auditor cuál es su opinión al respecto de forma razonada.
Además, en el informe se tendrá que indicar cuál fue la metodología de auditoría

empleada, identificando la documentación revisada y pruebas efectuadas. Tam-
bién se tendrá que informar de las limitaciones que hayan podido producirse du-
rante la auditoría, y los posibles impactos a que hayan podido dar lugar. De igual
modo, el informe tendrá que contar con un resumen ejecutivo, donde se indiquen
las conclusiones más importantes. Todo ello firmado por el equipo auditor para
dejar constancia de su autoría.
1.3. Tipos de auditoría

Aunque siguen un proceso muy similar podemos distinguir diferentes tipos de auditorías
a realizar, en función de las necesidades concretas que tenga cada organización en un
momento determinado. Así, los principales tipos de auditorías son los siguientes:
Auditoría de amenazas
Se analiza si las principales ciberamenazas se pueden materializar en una organización,

buscando evidencias de que las mismas podrían afectar la confidencialidad, integridad o
disponibilidad corporativa. De igual modo, se busca la presencia en los sistemas de ata-
cantes, teniendo para ello en cuenta la información más actual sobre vulnerabilidades y
vectores de ataque.
07
Auditoría de evaluación
Se procede a analizar una serie de requisitos en materia de ciberseguridad, evaluando

los controles de seguridad que existen a nivel corporativo. Usualmente los requisitos que
se tienen en cuenta son los que marcan la propia normativa o regulación de aplicación
a cada entorno concreto. En este caso, la auditoría se centra en analizar si los controles
existentes están ayudando a prevenir la aparición de ataques, así como su alineación con
el cumplimiento normativo que sea de aplicación. De igual modo, se evalúa la efectividad
de dichos controles
Auditoría de validación
Se evalúa la efectividad de los controles existentes tomando como base los requisitos de
diseño y la documentación al respecto existente. Es decir, la auditoría de evaluación iden-
tificaría los controles que son necesarios para cumplir con ciertos requisitos normativos,
mientras que la auditoría de validación evaluaría si dichos controles están siendo efica-
ces. Gracias a esta auditoría se puede mejorar la operativa de ciberseguridad.
Tipo de auditoría Entrada Salida
Amenazas Lista de amenazas, procedimientos, Para cada amenaza se bus-

técnicas y tácticas de ataque can evidencias de si se está
llevando a cabo contra la
organización
Evaluación Lista de requisitos normativos de Para cada requisito se

cara a cumplir con cierta norma, identifican los controles que
estándar o ley sería pertinente establecer
Validación Lista de controles de seguridad Para cada control se analiza

corporativos su efectividad en función de
los requisitos que se hubie-
ran establecido
Por otro lado, también es importante que las organizaciones evalúen la efectividad de
los controles establecidos según la tipología de los mismos. En concreto, se tendrían que
evaluar los siguientes tipos de controles:
Controles de auditoría
Tienen que existir controles que permitan identificar la aparición de amenazas, pudiendo
así reaccionar de la forma más rápida posible a las mismas. En este caso, nos tendremos
que hacer preguntas como las siguientes. ¿Qué puedo hacer para identificar violaciones
de confidencialidad? ¿De haberse producido dónde podría haber evidencias del ataque?
¿Cómo puedo distinguir una pérdida de disponibilidad por un fallo en el sistema de un
ataque malicioso?
08
Controles forenses
Las organizaciones necesitan contar con registros donde quede evidencia de los ataques
que han podido sufrir. Este nos lleva a la necesidad de contar con logs robustos, que es-
tén protegidos, que se disponga de mecanismos de correlación. Además, la organización
tendrá que llevar a cabo ataques simulados para comprobar la efectividad de los controles
forenses establecidos.
Controles detectivos
La organización debe contar con controles que alerten lo antes posible de la actividad sos-
pechosa que se pueda estar originando por un ataque. La gestión de eventos, mecanismos
para filtrar los falsos positivos y el sentido común serán necesarios. Por ejemplo, si recibi-
mos una alerta por cada escaneo de puertos que sufrimos, pasará poco tiempo hasta que
se deje de prestar atención a dichas alertas. Sí será importante que recibamos alertas ante
los ataques más peligrosos, por lo que el analista de ciberseguridad tendrá que encontrar
un equilibrio correcto en este sentido.
Controles preventivos
Estos controles bloquearán cierto tipo de actividades sospechosas, evitando que puedan
ir más allá. Habrá de establecer procedimientos que no lleguen a ser motivo de bloqueo
para el propio negocio, centrándose en el bloqueo de comportamientos anómalos, ata-
ques que estén en sus primeras fases de materialización e intentos de obtención de infor-
mación relevante por parte de los atacantes.
Además, otro ámbito de evaluación importante es la relativa a las actividades y capaci-

dades de la organización. En este caso, los ámbitos de evaluación serían los siguientes:
1. Mitigación del riesgo
Se debe analizar si la organización es capaz de analizar los riesgos que le son de apli-
cación, contando para ello con metodologías y procedimientos para el cálculo de las
probabilidades e impactos asociados.
2. Áreas funcionales
La organización debe conocer qué áreas funcionales están más expuestas a riesgos,
teniendo que evaluar y priorizar los controles de seguridad que están establecidas en
las mismas.
09
3. Capacidades de seguridad
Se deben evaluar los procesos operativos de seguridad con que cuenta la organiza-
ción, identificando posibles mejoras y deficiencias que estén presentes.
4. Controles, tecnologías y procesos
A más bajo nivel se debe evaluar la efectividad operativa de los controles, tecnologías
y procesos existentes en ciberseguridad.
Por otro lado, al realizar este tipo de auditorías encontraremos un conjunto de deficiencias
que tendrán que ser gestionadas de forma oportuna. En este ciclo de gestión de deficien-
cias tendremos las siguientes fases:
• Deficiencias identificadas: Se deben listar de forma detallada las deficiencias que

se hayan encontrado en las auditorías realizadas.
• Deficiencias registradas: Se debe contar con una herramienta para hacer un se-
guimiento del estado de las deficiencias, contando con una periodicidad de revi-
sión acorde a los requisitos de seguridad corporativos.
• Deficiencias remediadas: Se debe establecer cuál es la solución a dar para cada

una de las deficiencias identificadas, debiendo buscar un equilibrio entre los im-
pactos derivados de tal deficiencia y lo costes de las posibles medidas a adoptar
para solucionarlo.
• Deficiencias resueltas: Se debe documentar e informar sobre las deficiencias que

se dan por resueltas, quedando así un registro que atestigua la proactividad cor-
porativa en esta materia. Además, dicha información servirá para resolver futuras
deficiencias relacionadas.
• Deficiencias no resueltas: Las deficiencias que siguen sin resueltas pasado un

largo periodo de tiempo, por ejemplo un año, deben ser consideradas como no
resueltas. No obstante, puede que en algunos casos exista un plan corporativo de
mitigación que contemple un horizonte de remediación mayor.
• Riesgos corporativos: Las deficiencias no resueltas deben ser analizadas para ac-
tualizar el mapa de riesgos corporativos, identificando los riesgos residuales ante
la presencia de controles supletorios que no resuelven totalmente el problema pre-
sente.
10
1.4. Evaluación del cumplimiento del Esquema Nacional de Seguridad

A fin de ejemplificar cómo se podría realizar una auditoría o evaluación sobre el cumpli-
miento del Esquema Nacional de Seguridad en una institución, se traslada el siguiente
marco de trabajo según es definido por el CCN-CERT.
CUMPLIMIENTO DEL ARTÍCULO DEL ENS
RD Aplicabilidad-
Categoría Requisito Comentarios
3/2010 Auditado
Art. 29 Instrucciones Técnicas de Seguridad y Guías de Seguridad
Aplica: Registros:
1.- ¿Conoce y mantiene actualizada la Sí - Documento:

relación de las instrucciones técnicas
- Muestreo:
de seguridad y guías de seguridad
Básica
que le son de aplicación a su sistema?
Lo audito: Observaciones
¿Dispone de una copia de dichos
auditoría:
documentos? Sí
Art. 35 Informe del estado de la seguridad
Aplica: Registros:
1.- ¿Cumplimenta la Instrucción Sí - Documento:

Técnica de Seguridad de Informe del
- Muestreo:
Estado de la Seguridad regulada por
Básica
Resolución de 7 de octubre de 2016,
Lo audito: bservaciones
de la Secretaría de Estado de Adminis-
auditoría:
traciones Públicas? Sí
Art. 36 Capacidad de respuesta a incidentes de seguridad de la información
1.- ¿Notifica al CCN-CERT (Centro Aplica: Registros:

Criptológico Nacional- Computer Sí - Documento:
Emergency Response Team) aquellos
incidentes de seguridad que tengan un - Muestreo:
Básica impacto significativo en la seguridad
de la información manejada y de los Lo audito: Observaciones
servicios prestados en relación con la auditoría:
categorización de sistemas recogida en Sí
el Anexo I del RD 3/2010?
11
CUMPLIMIENTO DEL ARTÍCULO DEL ENS
RD Aplicabilidad-
Categoría Requisito Comentarios
3/2010 Auditado
Art. 43
Categorías y facultades
y 44
1.- ¿Existe un proceso formal para la Aplica: Registros:

determinación de la categoría del sis-
tema de información en función de la Sí - Documento:
valoración del impacto que tendría un - Muestreo:
incidente que afectara a la seguridad
de la información o de los servicios con
perjuicio para la disponibilidad, auten-
ticidad, integridad, confidencialidad o
trazabilidad siguiendo el procedimien-
to establecido en el Anexo I del RD
3/2010? Respecto a las facultades para
realizar la valoración y determinar la
categoría del sistema:
Básica
1.1.- ¿El responsable de cada informa-
ción o servicio dentro del ámbito de
auditoría:
su actividad ejerce las facultades para Sí
efectuar las valoraciones a las que
se refiere el artículo 43, así como su
modificación posterior?
1.2.- ¿El responsable del sistema

ejerce las facultades para efectuar la
valoración del sistema a que se refiere
el artículo 43 así como su modificación
posterior?
ANEXO II MEDIDAS DE SEGURIDAD
Aplicabilidad-
Aptdo. Categoría Requisito Comentarios
Auditado
org Marco organizativo
org. 1 Política de seguridad
1.- ¿Dispone de una política de seguri- Aplica: Registros:

dad escrita?
Sí - Documento:
Respecto a dicha política de seguridad: - Muestreo:
1.1.- ¿Ha sido aprobada por el órgano

superior competente (de acuerdo a lo
establecido en el artículo 11 del RD
3/2010)?
Básica 1.2.- ¿Precisa los objetivos y misión de

la organización?
1.3.- ¿Precisa el marco legal y regu- Lo audito: Observaciones

latorio en el que sedesarrollarán las auditoría:
actividades? Sí
1.4.- ¿Precisa los roles o funciones de

seguridad, definiendo para cada uno,
los deberes y responsabilidades del
cargo, así como el procedimiento para
su designación y renovación?
12
Aplicabilidad-
Aptdo. Categoría Requisito Comentarios
Auditado
org. 1 Política de seguridad
1.5.- ¿Precisa la estructura del Aplica: Registros:

comité/s para la gestión y coordinación
de la seguridad, detallando su ámbito Sí - Documento:
de responsabilidad, los miembros y - Muestreo:
la relación con otros elementos de la
organización?
1.6.- ¿Precisa las directrices para la

estructuración de la documentación
Básica
de seguridad del sistema, su gestión
y acceso?
auditoría:
1.7.- ¿La política de seguridad incluye Sí
una referencia a la legislación aplicable
en materia de tratamiento de datos de
carácter personal y existe coherencia
entre dicha política y la documentación
exigida por tal legislación específica?
org. 2 Normativa de seguridad
1.- ¿Dispone de uno o varios documen- Aplica: Registros:

tos que constituyan los procedimientos
de seguridad escritos? Sí - Documento:
- Muestreo:
Respecto a dichos procedimientos de
seguridad:
Básica 1.1.- ¿Precisan cómo llevar a cabo las

tareas habituales? Lo audito: Observaciones
auditoría:
Sí
1.2.- ¿Precisan quién debe hacer cada
tarea?
1.3.- ¿Precisan cómo identificar y re-

portar comportamientos anómalos?
org. 3 Procedimientos de seguridad
1.- ¿Dispone de uno o varios documen- Aplica: Registros:

tos que constituyan los procedimientos
de seguridad escritos? Sí - Documento:
- Muestreo:
Respecto a dichos procedimientos de
seguridad:
1.1.- ¿Precisan cómo llevar a cabo las

tareas habituales? Lo audito: Observaciones
auditoría:
Sí
1.2.- ¿Precisan quién debe hacer cada
tarea?
1.3.- ¿Precisan cómo identificar y re-

portar comportamientos anómalos?
13
Categoría/Di- Aplicabilidad-
Aptdo. Requisito Comentarios
mensiones/Nivel Auditado
org. 4 Proceso de autorización
1.- ¿Existe un proceso formal para las Aplica: Registros:

autorizaciones respecto a los sistemas
de información? Respecto a dicho Sí - Documento:
proceso de autorización: - Muestreo:
1.1.- ¿Cubre la utilización de ins-

talaciones, tanto habituales como
alternativas?
1.2.- ¿Cubre la entrada de equipos en

producción, en particular, equipos que
involucren criptografía?
1.3.- ¿Cubre la entrada de aplicaciones

en producción?
Básica
1.4.- ¿Cubre el establecimiento de
enlaces de comunicaciones con otros Lo audito: Observaciones
sistemas? auditoría:
Sí
1.5.- ¿Cubre la utilización de medios

telemáticos de comunicación (tanto
habituales como alternativos)?
1.6.- ¿Cubre la utilización de soportes

de información?
1.7.- ¿Cubre la utilización de equipos

móviles?
1.8.- ¿Cubre la utilización de servicios

de terceros, bajo contrato o Convenio?
op Marco operacional
op. pl Planificación
op. pl. 1 Análisis de riesgos
1.- ¿Dispone de un análisis de riesgos, Aplica: Registros:

al menos, informal?
Sí - Documento:
Respecto a dicho análisis de riesgos: - Muestreo:
1.1.- ¿Identifica los activos más valio-

Básica sos del sistema?
1.2.- ¿Identifica las amenazas más
auditoría:
probables? Sí
1.3.- ¿Identifica las salvaguardas que

protegen de dichasamenazas?
14
op. pl. 1 Análisis de riesgos
1.4.- ¿Identifica los principales riesgos Aplica: Registros:

residuales?
Sí - Documento:
Evidencia: En el documento se iden- - Muestreo:

Básica tifican las amenazas para las que no
existen salvaguardas, o aquellas para Lo audito: Observaciones
las que el grado de protección actual auditoría:
Sí
no es el suficiente (p. ej.: fuga de
información en un soporte USB, etc.).
2.- ¿Dispone de un análisis de riesgos, Aplica: Registros:

al menos, semiformal? Respecto a
dicho análisis de riesgos: Sí - Documento:
- Muestreo:
2.1.- ¿Identifica y valora cualitativa-
mente los activos más valiosos del
sistema?
Media
2.2.- ¿Identifica y cuantifica las ame- Lo audito: Observaciones
nazas más probables? auditoría:
Sí
2.3.- ¿Identifica y valora las salvaguar-
das que protegen de dichas amenazas?
2.4.- ¿Identifica y valora el riesgo

residual?
3.- ¿Dispone de un análisis Aplica: Registros:

de riesgos formal? Respec-
to a dicho análisis de riesgos: Sí - Documento:
- Muestreo:
3.1.- ¿Identifica y valora cualitativa-
mente los activos más valiosos del
sistema?
3.2.- ¿Identifica y cuantifica las ame-

Alta nazas posibles?
3.3.- ¿Identifica las vulnerabilidades
auditoría:
habilitantes de dichas amenazas? Sí
3.4.- ¿Identifica y valora las salvaguar-

das adecuadas?
3.5.- ¿Identifica y valora el riesgo

residual?
15
op. pl. 2 Arquitectura de seguridad
1.- ¿Dispone de documentación de las Aplica: Registros:

instalaciones? Respecto a dicha docu-
mentación de las instalaciones: Sí - Documento:
- Muestreo:
1.1.- ¿Precisa las áreas?
1.2.- ¿Precisa los puntos de acceso?
2.- ¿Dispone de documentación del

sistema? Respecto a dicha documenta-
ción del sistema:
2.1.- ¿Precisa los equipos?
2.2.- ¿Precisa las redes internas y

conexiones al exterior?
2.3.- ¿Precisa los puntos de acceso al

sistema?
3.- ¿Dispone de documentación de

líneas de defensa? Respecto a dicha
documentación de las líneas de
defensa:
Básica
3.1.- ¿Precisa los puntos de interco- Lo audito: Observaciones

nexión a otros sistemas o a otras re- auditoría:
Sí
des, en especial si se trata de Internet
o redes públicas en general?
3.2.- ¿Precisa los cortafuegos, DMZ,

etc.?
4.- ¿Dispone de documentación del

sistema de identificación y autenti-
cación de usuarios? Respecto a dicha
documentación de identificación y
autenticación de usuarios:
4.1.- ¿Precisa el uso de claves con-

certadas, contraseñas, tarjetas de
identificación, biometría, u otras de
naturaleza análoga?
4.2.- ¿Precisa de ficheros o directorios

para autenticar al usuario y determinar
sus derechos de acceso (p. ej.: /etc/
passwd en Linux, Active Directory en
Windows, etc.)?
Aplica: Registros:
Sí - Documento:
5.- ¿Dispone de un sistema de gestión
relativo a la planificación, organización - Muestreo:
Media (D)
y control de los recursos relativos a la
seguridad de la información?
auditoría:
Sí
16
op. pl. 2 Arquitectura de seguridad
6.- ¿Dispone de documentación del Aplica: Registros:

sistema de gestión con actualización y
aprobación periódica? Sí - Documento:
- Muestreo:
7.- ¿Está esta documentación aproba-
da por la Dirección técnica?
Alta
8.- ¿Dispone y tiene documentación Lo audito: Observaciones
de los controles técnicos internos? auditoría:
Respecto a dicha documentación de los Sí
controles técnicos internos:
8.1.- ¿Precisa la validación de datos de

entrada, salida y datos intermedios?
op. pl. 3 Adquisición de nuevos componentes
1.- ¿Existe un proceso formal para Aplica: Registros:

planificar la adquisición de nuevos
componentes del sistema? Respecto a Sí - Documento:
dicho proceso de adquisición: - Muestreo:
1.1.- ¿Atiende las conclusiones del

análisis de riesgos [op.pl.1]?
Básica
1.2.- ¿Es acorde con la arquitectura de
auditoría:
seguridad [op.pl.2]? Sí
1.3.- ¿Contempla las necesidades téc-

nicas, de formación y de financiación
de forma conjunta?
op. pl. 4 Dimensionamiento / gestión de capacidades
1.- ¿Antes de la puesta en explotación, Aplica: Registros:

se han estudiado las necesidades de
dimensionamiento? Respecto a dicho Sí - Documento:
estudio del dimensionamiento: - Muestreo:
1.1.- ¿Cubre las necesidades de pro-

cesamiento? Evidencia: Dicho estudio
estima las necesidades de procesa-
miento (p. ej.: la CPU y memoria
del dispositivo soportarán el número
concurrente de sesiones estimadas).
1.2.- ¿Cubre las necesidades de alma-

Media cenamiento de información: durante
su procesamiento y durante el periodo Lo audito: Observaciones
que deba retenerse? auditoría:
Sí
1.3.- ¿Cubre las necesidades de comu-

nicación?
1.4.- ¿Cubre las necesidades de

personal: cantidad y cualificación
profesional?
1.5.- ¿Cubre las necesidades de insta-

laciones y medios auxiliares?
17
op. pl. 5 Componentes certificados
1.- ¿Se utilizan sistemas, productos Aplica: Registros:

o equipos cuyas funcionalidades de
seguridad y su nivel hayan sido eva- Sí - Documento:
luados conforme a normas europeas o - Muestreo:
internacionales?
Alta
2.- ¿Y están los certificados reconoci- auditoría:
dos por el Esquema Nacional de Eva- Sí
luación y Certificación de la Seguridad
de las Tecnologías de la Información?
op. acc Control de acceso
op.acc. 1 Identificación
1.- ¿Cada entidad (usuario o proceso) Aplica: Registros:

que accede al sistema tiene asignado
un identificador singular? Respecto a Sí - Documento:
dicho identificador: - Muestreo:
1.1.- ¿Cada usuario que accede al

sistema tiene asignado distintos iden-
tificadores únicos en función de cada
uno de los roles que deba desempeñar
en el sistema?
1.2.- ¿Se puede saber a quién corres-

ponde?
1.3.- ¿Se puede saber qué derechos

tiene?
Básica (A,T) 1.4.- ¿Se inhabilita el identificador Lo audito: Observaciones

cuando el usuario deja la organiza- auditoría:
ción, cesa en la función para la cual se Sí
requería la cuenta de usuario o cuando
la persona que la autorizó da orden en
sentido contrario?
1.5.- ¿El identificador se mantiene du-

rante el periodo necesario para aten-
der a las necesidades de trazabilidad
de los registros de actividad asociados
a las mismas?
2.- ¿El nivel de la dimensión de auten-

ticidad del mecanismo de autenticación
de los sistemas de información a los
que se accede se corresponde con el
nivel de seguridad de los sistemas de
identificación electrónica?
18
op.acc. 2 Requisitos de acceso
1.- ¿Se protegen los recursos del siste- Aplica: Registros:

ma con algún mecanismo que impida
su utilización (salvo a las entidades Sí - Documento:
que disfruten de derechos de acceso - Muestreo:
suficientes)?
2.- ¿Se establecen los derechos de

acceso de cada recurso según las
Básica (I,C,A,T)
decisiones de la persona responsable
del recurso, ateniéndose a la política y
normativa de seguridad del sistema? auditoría:
Sí
3.- ¿Incluye el mecanismo la protec-

ción frente al acceso a los compo-
nentes del sistema y a sus ficheros o
registros de configuración?
op.acc. 3 Segregación de tareas y funciones
1.- ¿Existe segregación de funciones y Aplica: Registros:

tareas? Respecto a dicha segregación
de funciones y tareas: Sí - Documento:
- Muestreo:
1.1.- ¿Contempla la incompatibilidad
de tareas de desarrollo con las de
operación?
Medio (I, C, A, T) 1.2.- ¿Contempla la incompatibili- Lo audito: Observaciones

dad de tareas de “configuración y auditoría:
mantenimiento del sistema” con las de Sí
operación?
1.3.- ¿Contempla la incompatibilidad

de tareas de “auditoría o supervisión”
con las de cualquier otra función rela-
cionada con el sistema?
op.acc. 4 Proceso de gestión de derechos de acceso
1.- ¿Se limitan los privilegios de cada Aplica: Registros:

usuario al mínimo estrictamente
necesario para acceder a la infor- Sí - Documento:
mación requerida y para cumplir sus - Muestreo:
obligaciones?
Básica (I, C, A, T
2.- ¿Puede sólo y exclusivamente el Lo audito: Observaciones
personal con competencia para ello
auditoría:
conceder, alterar o anular la autoriza- Sí
ción de acceso a los recursos conforme
a los criterios establecidos por su
responsable?
19
op.acc. 5 Mecanismo de autenticación
1.- ¿Se encuentra identificado el Aplica: Registros:

mecanismo de autenticación en cada
sistema? Respecto a las credenciales Sí - Documento:
utilizadas: - Muestreo:
1.1.- Si utilizan contraseñas ¿cumplen

las reglas básicas de calidad?
1.2.- ¿Se activa una vez que esté bajo

el control efectivo del usuario?
1.3.- ¿Están las credenciales bajo el

control exclusivo del usuario?
1.4.- ¿Ha confirmado el usuario que auditoría:
Básica (I, C, A, T) Sí
ha recibido las credenciales, y que
conoce y acepta las obligaciones que
implica su tenencia, en particular el
deber de custodia diligente, protección
de su confidencialidad e información
inmediata en caso de pérdida?
1.5.- ¿Se cambian las credenciales con

la periodicidad marcada por la política
de la organización (atendiendo a la ca-
tegoría del sistema al que se accede)?
1.6.- ¿Se retiran y deshabilitan las

credenciales cuando la entidad (perso-
na, equipo o proceso) que autentican
termina su relación con el sistema?
2.- ¿Se utiliza doble factor de auten- Aplica: Registros:

ticación?
Sí - Documento:
3.- Si utilizan contraseñas, ¿cumplen - Muestreo:

Medio (I, C, A, T) las políticas rigurosas de calidad y
renovación? Lo audito: Observaciones
auditoría:
Sí
4.- ¿Las credenciales utilizadas han
sido obtenidas tras un registro previo?
5.- ¿Se suspenden las credencia- Aplica: Registros:

les tras un periodo definido de no
Sí - Documento:
utilización? Respecto a los tokens:
- Muestreo:
Alta (I, C, A, T) 6.- ¿El algoritmo está acreditado o
certificado? Lo audito: Observaciones
auditoría:
7.- ¿Las credenciales utilizadas han Sí
sido obtenidas tras un registro previo?
20
op.acc. 6 Acceso logal (local logon)
1.- ¿Se previene la revelación de infor- Aplica: Registros:

mación del sistema?
Sí - Documento:
2.- ¿Se limita el número de intentos - Muestreo:

fallidos de acceso?
Básica (I, C, A, T)
3.- ¿Se registran los accesos con éxito
y los fallidos? Lo audito: Observaciones
auditoría:
Sí
4.- ¿Informa el sistema al usuario
de sus obligaciones inmediatamente
después de obtener el acceso?
Aplica: Registros:
5.- ¿Informa el sistema al usuario del Sí - Documento:
último acceso con su identidad con
Medio (I, C, A, T) éxito? - Muestreo:
auditoría:
Sí
Aplica: Registros:
6.- ¿Se limita el horario, fechas y lugar
desde donde se accede? Sí - Documento:
Alta (I, C, A, T) - Muestreo:

7.- ¿Se han establecido puntos en los
que el sistema requerirá una renova- Lo audito: Observaciones
ción de la autenticación del usuario? auditoría:
Sí
op.acc. 7 Acceso remoto (remote login)
Aplica: Registros:
1.- ¿Se garantiza la seguridad del Sí - Documento:
sistema cuando acceden remotamente
Básica (I, C, A, T) usuarios u otras entidades? - Muestreo:
auditoría:
Sí
Aplica: Registros:
2.- ¿Está documentado lo que puede Sí - Documento:
hacerse remotamente?
Medio (I, C, A, T) - Muestreo:
3.- ¿Se han autorizado previamente
los accesos remotos? Lo audito: Observaciones
auditoría:
Sí
21
op. exp Explotación
op.exp 1 Inventario de activos
1.- ¿Dispone de un inventario del siste- Aplica: Registros:

ma? Respecto a dicho inventario:
Sí - Documento:
1.1.- ¿Identifica la naturaleza de los - Muestreo:

elementos?
Básica Lo audito: Observaciones

1.2.- ¿Identifica a los responsables de
los elementos? auditoría:
Sí
1.3.- ¿Se mantiene actualizado?
op.exp 2 Configuración de seguridad
1.- ¿Dispone de un procedimiento de Aplica: Registros:

fortificación o bastionado de los siste-
mas previo a su entrada en operación? Sí - Documento:
Respecto a dicho procedimiento de - Muestreo:
bastionado:
1.1.- ¿Indica que se retiren las cuentas

y contraseñas estándar?
1.2.- ¿Indica que el sistema proporcio-

ne la funcionalidad requerida para que
la organización alcance sus objetivos y
Básica
ninguna otra funcionalidad?
2.- Las medidas de seguridad serán auditoría:
Sí
respetuosas con el usuario y prote-
gerán a éste, salvo que se exponga
conscientemente a un riesgo. ¿indica
el sistema esa posibilidad al usuario, y
tiene éste que dar su consentimiento
expreso asumiendo el riesgo?
3.- ¿La configuración por defecto es

segura?
op.exp 3 Gestión de la configuración
Aplica: Registros:
Sí - Documento:
1.- ¿Se gestiona de forma continua la - Muestreo:
Medio
configuración?
auditoría:
Sí
22
op.exp 4 Mantenimiento
1.- ¿Dispone de un plan de man- Aplica: Registros:

tenimiento del equipamiento físico
y lógico? Respecto a dicho plan de Sí - Documento:
mantenimiento: - Muestreo:
1.1.- ¿Atiende a las especificaciones de

los fabricantes en lo relativo a instala-
ción y mantenimiento de los sistemas?
Básica 1.2.- ¿Efectúa un seguimiento continuo Lo audito: Observaciones

de los anuncios de defectos? auditoría:
Sí
1.3.- ¿Dispone de un procedimiento

para analizar, priorizar y determinar
cuándo aplicar las actualizaciones
de seguridad, parches, mejoras y
nuevas versiones, teniendo en cuenta
el cambio en el riesgo de cara a su
priorización?
op.exp 5 Gestión de cambios
1.- ¿Dispone de un control continuo Aplica: Registros:

de cambios realizados en el sistema?
Respecto a dicho control de cambios: Sí - Documento:
- Muestreo:
1.1.- ¿Analiza todos los cambios anun-
ciados por el fabricante o proveedor
para determinar su conveniencia para
ser incorporados o no?
1.2.- ¿Antes de poner en producción

una nueva versión o una versión
parcheada se comprueba en un equipo
que no esté en producción (equiva-
lente al de producción en los aspectos
que se comprueban) que la nueva ins- Lo audito: Observaciones
Medio auditoría:
talación funciona correctamente y no
Sí
disminuye la eficacia de las funciones
necesarias para el trabajo diario?
1.3.- ¿Se planifican los cambios para

reducir el impacto sobre la prestación
de los servicios afectados?
1.4.- ¿Se determina mediante análisis

de riesgos si los cambios son relevan-
tes para la seguridad del sistema? En
caso de que el cambio implique una
situación de riesgo de nivel alto ¿es
aprobado el cambio explícitamente de
forma previa a su implantación?
23
op.exp 6 Protección frente a código dañino
1.- ¿Dispone de mecanismos de Aplica: Registros:

prevención y reacción frente a código
dañino (virus, gusanos, troyanos, Sí - Documento:
programas espía y “malware” en ge- - Muestreo:
neral)? Respecto a dichos mecanismos
Básica frente a código dañino:
1.1.- ¿Siguen un mantenimiento auditoría:
Sí
conforme a las recomendaciones del
fabricante?
op.exp 7 Gestión de incidentes
1.- ¿Dispone de un proceso integral Aplica: Registros:

para hacer frente a incidentes que
puedan tener un impacto en la segu- Sí - Documento:
ridad del sistema? Respecto a dicho - Muestreo:
procedimiento:
1.1.- ¿Incluye el reporte tanto de inci-

dentes, como de eventos de seguridad
y debilidades, detallando los criterios
de clasificación y el escalado de la
notificación?
1.2.- ¿Incluye la toma de medidas

urgentes, contemplando la detención
de servicios, el aislamiento del sistema
afectado, la recogida de evidencias
y protección de los registros (según
convenga al caso)?
1.3.- ¿Incluye la asignación de Lo audito: Observaciones

recursos para investigar las causas, auditoría:
Sí
analizar las consecuencias y resolver
Medio el incidente?
1.4.- ¿Incluye el aviso a las partes

interesadas (internas y externas)?
1.5.- ¿Incluye medidas de prevención

de la repetición del incidente?
1.6.- ¿Incluye en los procedimientos

de usuario la identificación y forma de
tratar el incidente?
1.7.- ¿Incluye el actualizar, extender,

mejorar u optimizar los procedimientos
de resolución de incidentes?
1.8.- En caso de afectar el incidente a

ficheros con datos de carácter personal
¿contempla su gestión además lo
dispuesto en la legislación vigente
de tratamiento de datos de carácter
personal?
24
op.exp 8 Registro de la actividad de los usuarios
1.- ¿Se registran todas las actividades Aplica: Registros:

de los usuarios en el sistema espe-
cialmente activando los registros de Sí - Documento:
actividad en los servidores? Respecto a - Muestreo:
dichos registros:
1.1.- ¿La determinación de las activi-

dades a registrar y su nivel de detalle
se determina en base al análisis de
riesgos del sistema?
Básica (T)
1.2.- ¿Indican quién realiza la activi- Lo audito: Observaciones
dad, ¿cuándo la realiza y sobre qué auditoría:
información, sea cual sea el usuario? Sí
1.3.- ¿Incluye la actividad de los ope-

radores y administradores del sistema?
1.4.- ¿Incluye tanto las actividades

realizadas con éxito como los intentos
fracasados?
Aplica: Registros:
1.- ¿Se revisan informalmente los Sí - Documento:
registros de actividad en busca de
Medio (T) patrones anormales? - Muestreo:
auditoría:
Sí
Aplica: Registros:
3.- ¿Se dispone de un sistema auto- Sí - Documento:
mático de recolección de registros y
Alta (T) correlación de eventos? - Muestreo:
auditoría:
Sí
op.exp 9 Registro de la gestión de incidentes
1.- ¿Se registran todas las actuaciones Aplica: Registros:

relacionadas con la gestión de inci-
dentes ([op.exp?7])? Respecto a dicho Sí - Documento:
registro de los incidentes: - Muestreo:
1.1.- ¿Se registran el reporte inicial,

las actuaciones de emergencia y las
modificaciones del sistema derivadas
Medio del incidente?
1.2.- ¿Se registran aquellas evidencias auditoría:
que puedan, posteriormente, sustentar Sí
una demanda judicial, o hacer frente a
ella, cuando el incidente pueda llevar
a actuaciones disciplinarias sobre el
personal interno, sobre proveedores
externos o a la persecución de delitos?
25
op.exp
Protección de los registros de actividad
10
1.- ¿Se encuentran protegidos los re- Aplica: Registros:

gistros del sistema? Respecto a dichos
registros: Sí - Documento:
- Muestreo:
1.1.- ¿Está determinado el periodo de
retención de los mismos?
1.2.- ¿La fecha y hora de los mismos

Alta (T) está asegurada?
1.3.- ¿Se encuentran protegidos frente auditoría:
a su modificación o eliminación por Sí
personal no autorizado?
1.4.- ¿Las copias de seguridad, si

existen, se ajustan a los mismos
requisitos?
op.exp
Protección de claves criptográficas
11
1.- ¿Se protegen las claves criptográfi- Aplica: Registros:

cas durante todo su ciclo de vida?
Sí - Documento:
2.- ¿Se utilizan medios de generación - Muestreo:

Básica aislados de los medios de explotación?
3.- ¿Las claves retiradas de operación auditoría:
que deban ser archivadas, lo son en Sí
medios aislados de los de explotación?
4.- ¿Se utilizan medios de generación Aplica: Registros:

y custodia en explotación evaluados o
dispositivos criptográficos certificados? Sí - Documento:
- Muestreo:
5.- ¿Los medios de generación y custo-
Medio
dia en explotación emplean algoritmos Lo audito: Observaciones
acreditados por el CCN? auditoría:
Sí
6.- ¿Los medios de custodia en explo-
tación están protegidos?
26
op. ext Servicios externos
op.ext. 1 Contratación y acuerdos de nivel de servicio
1.- ¿Se han analizado los riesgos de Aplica: Registros:

la contratación de servicios externos?
Previamente a la utilización de recur- Sí - Documento:
sos externos se ha establecido: - Muestreo:
1.1.- ¿Las características del servicio

prestado?
Medio
1.2.- ¿Lo que se considera calidad Lo audito: Observaciones

mínima y las consecuencias de su auditoría:
incumplimiento? Sí
1.3.- ¿Las responsabilidades de las

partes?
op.ext. 2 Gestión diaria
1.- ¿Dispone de un sistema rutinario Aplica: Registros:

para medir el cumplimiento de las
obligaciones de servicio? Sí - Documento:
- Muestreo:
2.- ¿Dispone de un procedimiento para
neutralizar cualquier desviación fuera
del margen de tolerancia acordado?
Evidencia: Dicho procedimiento con-
templa un protocolo de actuación en
caso de incumplimiento o degradación
en la calidad acordada en [op.ext.1].
Consultar si se ha detectado algún
Medio incumplimiento de las obligaciones de
servicio y qué actuación se ha llevado
auditoría:
a cabo. Sí
3.- ¿Se han establecido el mecanismo

y los procedimientos de coordinación
para llevar a cabo las tareas de mante-
nimiento de los sistemas afectados por
el acuerdo?
4.- ¿Se han establecido el mecanismo

y los procedimientos de coordinación
en caso de incidentes y desastres?
op.ext. 9 Medios alternativos
1.- ¿Dispone de un plan para reempla- Aplica: Registros:

zar el servicio por medios alternativos
en caso de indisponibilidad del servicio Sí - Documento:
contratado? - Muestreo:
2.- ¿El servicio alternativo ofrece las

Alta (D)
mismas garantías de seguridad que el
servicio habitual? Lo audito: Observaciones
auditoría:
Sí
3.- ¿El plan de reemplazamiento de
servicios se vertebra dentro del plan
de continuidad de la organización?
27
op. cont. Continuidad del servicio
op.
Análisis del impacto
cont. 1
1.- ¿Se ha realizado un análisis de Aplica: Registros:

impacto? Respecto a dicho análisis de
impacto: Sí - Documento:
- Muestreo:
1.1.- ¿Identifica los requisitos de
Medio (D)
disponibilidad de cada servicio?
auditoría:
1.2.- ¿Identifica los elementos que Sí
son críticos para la prestación de cada
servicio?
op.
Plan de continuidad
cont. 2
1.- ¿Dispone de un plan de continui- Aplica: Registros:

dad? Respecto a dicho plan:
Sí - Documento:
1.1.- ¿Identifica funciones, responsabi- - Muestreo:

lidades y actividades a realizar?
1.2.- ¿Existe una previsión de los

medios alternativos que se van a
conjugar para poder seguir prestando
los servicios?
Alta (D) 1.3.- ¿Están los medios alternativos

planificados y materializados en acuer- Lo audito: Observaciones
dos o contratos con los proveedores auditoría:
Sí
correspondientes?
1.4.- ¿Han recibido las personas afec-

tadas por el plan la formación específi-
ca relativa a su papel en el mismo?
1.5.- ¿Es parte integral y armónica

de los planes de continuidad de la
organización en otras materias ajenas
a la seguridad?
op.
Pruebas periódicas
cont. 3
Aplica: Registros:
1.- ¿Se realizan pruebas periódicas
para localizar y corregir, en su caso, Sí - Documento:
los errores o deficiencias que puedan
Alta (D) - Muestreo:
existir en el plan de continuidad?
auditoría:
Sí
28
op. mon. Monitorización del sistema
op.
Detección de intrusión
mon. 1
Aplica: Registros:
1.- ¿Dispone de herramientas de de- Sí - Documento:

tección o prevención de intrusión?
Medio (D) - Muestreo:
auditoría:
Sí
op.
Sistema de métricas
mon. 2
1.- ¿Se recopilan los datos necesarios Aplica: Registros:

atendiendo a la categoría del Sistema
para conocer el grado de implantación Sí - Documento:
de las medidas de seguridad y en su - Muestreo:
caso para proveer el informe anual
requerido en el artículo 35 del ENS
de acuerdo con la Resolución de 7 de
octubre de 2016, de la Secretaría de
Estado de Administraciones Públicas,
por la que se aprueba la Instrucción Lo audito: Observaciones
Básica Técnica de Seguridad de Informe del auditoría:
Estado de la Seguridad (ITS INES)? Sí
Respecto a dichos valores:
1.1.- ¿Miden el grado de implantación

de las medidas de seguridad que apli-
quen de las detalladas en el Anexo II
y, en su caso, para proveer el informe
anual requerido por el artículo 35
Informe del estado de la seguridad?
Aplica: Registros:
1.2.- ¿Permiten valorar el sistema de Sí - Documento:

gestión de incidentes?
Medio - Muestreo:
auditoría:
Sí
Aplica: Registros:
Sí - Documento:
1.3.- ¿Miden la eficiencia de las medi-
Alta das de seguridad incluyendo recursos - Muestreo:
consumidos?
auditoría:
Sí
29
mp Medidas de protección
mp. if Protección de las instalaciones e infraestructuras
mp.if.1 Áreas separadas y con control de acceso
1.- ¿El equipamiento ha sido instalado Aplica: Registros:

en áreas separadas específicas para
su función? Respecto a dichas áreas Sí - Documento:
separadas: - Muestreo:
Básica
1.1.- ¿Se controlan los accesos? Lo audito: Observaciones
auditoría:
Sí
mp.if.2 Identificación de las personas
1.- ¿Se dispone de un mecanismo de Aplica: Registros:

control de acceso a los locales donde
hay equipamiento que forme parte del Sí - Documento:
sistema de información? Respecto a - Muestreo:
dicho control de acceso:
Básica
1.1.- ¿Se identifican a todas las perso-
nas que accedan a estos locales? Lo audito: Observaciones
auditoría:
Sí
1.2.- ¿Se registran las entradas y
salidas de personas?
mp.if.3 Acondicionamiento de los locales
1.- ¿Los locales donde se ubican los Aplica: Registros:

sistemas de información y sus com-
ponentes disponen de las adecuadas Sí - Documento:
condiciones de temperatura y hu- - Muestreo:
medad? Respecto a dichos locales:
Básica 1.1.- ¿Cuentan con protección frente

a las amenazas identificadas en el Lo audito: Observaciones
análisis de riesgos? auditoría:
Sí
1.2.- ¿Cuentan con protección del
cableado frente a incidentes fortuitos o
deliberados?
mp.if.4 Energía eléctrica
1.- ¿Se dispone de las tomas eléctricas Aplica: Registros:

necesarias?
Sí - Documento:
2.- ¿Se garantiza el suministro de - Muestreo:

Básica (D)
potencia eléctrica?
3.- ¿Se garantiza el correcto funciona- auditoría:
Sí
miento de las luces de emergencia?
30
mp.if.1 Áreas separadas y con control de acceso
1.- ¿El equipamiento ha sido instalado Aplica: Registros:

en áreas separadas específicas para
su función? Respecto a dichas áreas Sí - Documento:
separadas: - Muestreo:
Básica
1.1.- ¿Se controlan los accesos? Lo audito: Observaciones
auditoría:
Sí
mp.if.2 Identificación de las personas
1.- ¿Se dispone de un mecanismo de Aplica: Registros:

control de acceso a los locales donde
hay equipamiento que forme parte del Sí - Documento:
sistema de información? Respecto a - Muestreo:
dicho control de acceso:
Básica
1.1.- ¿Se identifican a todas las perso-
nas que accedan a estos locales? Lo audito: Observaciones
auditoría:
Sí
1.2.- ¿Se registran las entradas y
salidas de personas?
mp.if.3 Acondicionamiento de los locales
1.- ¿Los locales donde se ubican los Aplica: Registros:

sistemas de información y sus com-
ponentes disponen de las adecuadas Sí - Documento:
condiciones de temperatura y hu- - Muestreo:
medad? Respecto a dichos locales:
Básica 1.1.- ¿Cuentan con protección frente

a las amenazas identificadas en el Lo audito: Observaciones
análisis de riesgos? auditoría:
Sí
1.2.- ¿Cuentan con protección del
cableado frente a incidentes fortuitos o
deliberados?
1.- ¿Se dispone de las tomas eléctricas Aplica: Registros:

necesarias?
Sí - Documento:
2.- ¿Se garantiza el suministro de - Muestreo:

Básica (D)
potencia eléctrica?
3.- ¿Se garantiza el correcto funciona- auditoría:
Sí
miento de las luces de emergencia?
31
Aplica: Registros:
4.- ¿Se garantiza el suministro de
potencia eléctrica en caso de fallo del Sí - Documento:
suministro general, garantizando el - Muestreo:
Medio
tiempo suficiente para una terminación
ordenada de los procesos, salvaguar- Lo audito: Observaciones
dando la información? auditoría:
Sí
mp.if.5 Protección frente a incendios
Aplica: Registros:
1.- ¿Se protegen los locales donde se Sí - Documento:

ubiquen los sistemas de información - Muestreo:
Básica (D)
y sus componentes frente a incendios
fortuitos o deliberados? Lo audito: Observaciones
auditoría:
Sí
mp.if.6 Protección frente a inundaciones
Aplica: Registros:
1.- ¿Se protegen los locales donde se Sí - Documento:
ubiquen los sistemas de información y
Medio (D) sus componentes frente a incidentes - Muestreo:
fortuitos o deliberados causados por
el agua? Lo audito: Observaciones
auditoría:
Sí
mp.if.7 Registro de entrada y salida de equipamiento
Aplica: Registros:
1.- ¿Se lleva un registro pormeno-
rizado de toda entrada y salida de Sí - Documento:
equipamiento, incluyendo la identifi-
cación de la persona que autoriza el - Muestreo:
Básica
movimiento?
auditoría:
Sí
mp.if.9 Instalaciones alternativas
1.- ¿Está garantizada la existencia y Aplica: Registros:

disponibilidad de instalaciones alter- Sí - Documento:
nativas para poder trabajar en caso
Alta (D) de que las instalaciones habituales no - Muestreo:
estén disponibles?
auditoría:
Sí
32
mp.per Gestión del personal
mp.per.1 Caracterización del puesto de trabajo
1.- ¿Se ha caracterizado cada puesto Aplica: Registros:

de trabajo? Respecto a dicha caracte-
rización: Sí - Documento:
- Muestreo:
1.1.- ¿Define las responsabilidades
relacionadas con cada puesto de
trabajo?
1.2.- ¿Define los requisitos que deben

Medio satisfacer las personas que vayan a
ocupar el puesto de trabajo, en parti- Lo audito: Observaciones
cular en términos de confidencialidad? auditoría:
Sí
2.- ¿Los requisitos del puesto de traba-

jo se tienen en cuenta en la selección
de la persona que vaya a ocupar dicho
puesto, incluyendo la verificación de
sus antecedentes laborales, formación
y otras referencias?
mp.per.2 Deberes y obligaciones
1.- ¿Se informa a cada persona que Aplica: Registros:

trabaja en el sistema de los deberes
y responsabilidades de su puesto de Sí - Documento:
trabajo en materia de seguridad? - Muestreo:
2.- ¿Se informa a cada persona que

trabaja en el sistema de los deberes
y responsabilidades de su puesto de
trabajo en materia de seguridad?
3.- ¿Se han establecido, en el caso

Básica de personal contratado a través de
un tercero, los deberes y obligaciones
del personal? Respecto del personal Lo audito: Observaciones
contratado a través de un tercero: auditoría:
Sí
3.1.- ¿Se han establecido los deberes y

obligaciones de cada parte?
3.2.- ¿Se ha establecido el procedi-

miento de resolución de incidentes
relacionados con el incumplimiento de
las obligaciones?
33
mp.per Gestión del personal
mp.per.3 Concienciación
1.- ¿Se realizan acciones para concien- Aplica: Registros:

ciar regularmente al personal acerca
de su papel y responsabilidad para Sí - Documento:
que la seguridad del sistema alcance - Muestreo:
los niveles exigidos? Respecto a dicha
concienciación:
1.1.- ¿Forma parte del contenido la

normativa de seguridad relativa al
buen uso de los sistemas?
Básica
1.2.- ¿Forma parte del contenido la
auditoría:
identificación de incidentes, activida- Sí
des o comportamientos sospechosos
que deban ser reportados para su tra-
tamiento por personal especializado?
1.3.- ¿Forma parte del contenido el

procedimiento de reporte de incidentes
de seguridad, sean reales o falsas
alarmas?
mp.per.4 Formación
1.- ¿Se forma regularmente al perso- Aplica: Registros:

nal en aquellas materias que requieran
para el desempeño de sus funciones? Sí - Documento:
Respecto a dicha formación: - Muestreo:
1.1.- ¿Cubre la configuración de

sistemas?
Básica
1.2.- ¿Cubre la detección y reacción a Lo audito: Observaciones

incidentes? auditoría:
Sí
1.3.- ¿Cubre la gestión de la informa-
ción en cualquier soporte en el que se
encuentre?
mp.per.9 Personal alternativo

disponibilidad de otras personas que
se puedan hacer cargo de las funcio- Sí - Documento:
nes en caso de indisponibilidad del - Muestreo:
personal habitual? Respecto a dicho
Alta (D) personal alternativo:
1.1.- ¿Está sometido a las mismas auditoría:
Sí
garantías de seguridad que el personal
habitual?
34
mp.eq Protección de los equipos
mp.eq.1 Puesto de trabajo despejado
Aplica: Registros:
1.- ¿Se exige que los puestos de Sí - Documento:
trabajo permanezcan despejados, sin
Básica más material encima de la mesa que el - Muestreo:
requerido para la actividad que se está
realizando en cada momento? Lo audito: Observaciones
auditoría:
Sí
Aplica: Registros:
Sí - Documento:
2.- ¿Se guarda este material en lugar - Muestreo:
Medio
cerrado cuando no se está utilizando?
auditoría:
Sí
mp.eq.2 Bloqueo de puesto de trabajo
Aplica: Registros:
1.- ¿El puesto de trabajo se bloquea Sí - Documento:
al cabo de un tiempo prudencial de
Medio (A) inactividad, requiriendo una nueva au- - Muestreo:
tenticación del usuario para reanudar
la actividad en curso? Lo audito: Observaciones
auditoría:
Sí
Aplica: Registros:
2.- ¿Pasado un cierto tiempo, superior Sí - Documento:

al anterior, se cancelan las sesio- - Muestreo:
Alta (A)
nes abiertas desde dicho puesto de
trabajo? Lo audito: Observaciones
auditoría:
Sí
35
mp.eq.3 Protección de equipos portátiles
1.- ¿Son protegidos adecuadamente Aplica: Registros:

los equipos que sean susceptibles
de salir de las instalaciones de la Sí - Documento:
organización y no puedan beneficiarse - Muestreo:
de la protección física correspon-
diente, con un riesgo manifiesto de
pérdida o robo? Respecto a los equipos
portátiles:
1.1.- ¿Se lleva un inventario de los

mismos junto con una identificación de
la persona responsable del mismo?
1.2.- ¿Se ha establecido un canal de Lo audito: Observaciones

comunicación para informar, al servicio auditoría:
de gestión de incidentes, de pérdidas o Sí
sustracciones?
Básica
1.3.- ¿Se ha limitado la información y
los servicios accesibles a los mínimos
imprescindibles, en el ámbito de ope-
ración del servidor, cuando un equipo
portátil se conecta remotamente a
través de redes que no estén bajo
control de la organización?
1.4.- ¿Se requiere autorización previa

de los responsables de la información
y servicios accesibles a través de
Internet y otras redes que no sean de
confianza?
1.5.- ¿Se evita, en la medida de lo

posible, que el equipo contenga claves
de acceso remoto a la organización?
Aplica: Registros:
1.6.- ¿Se le ha dotado de detectores
de violación que permitan saber si el Sí - Documento:
equipo ha sido manipulado y activen
los procedimientos previstos de ges- - Muestreo:
Alta tión del incidente?
1.7.- ¿Se protege la información de auditoría:
Sí
nivel alto almacenada en el disco
mediante cifrado?
36
mp.eq.9 Medios alternativos

disponibilidad de medios alternativos
de tratamiento de la información en Sí - Documento:
caso de indisponibilidad de los medios - Muestreo:
habituales? Respecto a dichos medios
alternativos:
Medio (D) Lo audito: Observaciones

1.1.- ¿Están sometidos a las mismas auditoría:
garantías de seguridad que los habi- Sí
tuales?
1.2.- ¿Se ha establecido un tiempo

máximo para que los equipos alternati-
vos entren en funcionamiento?
mp.com Protección de las comunicaciones
mp.
Perímetro seguro
com1
Aplica: Registros:
Sí - Documento:
1.- ¿Dispone de cortafuegos que sepa- - Muestreo:
Básica
re la red interna del exterior?
auditoría:
Sí
Respecto a dicho cortafuegos: Aplica: Registros:
Sí - Documento:
1.1.- ¿El sistema de cortafuegos cons-
ta de dos o más equipos de diferente - Muestreo:
fabricante dispuestos en cascada?
Alta
1.2.- ¿Se dispone de sistemas redun- auditoría:
Sí
dantes? Evidencia: Los firewalls deben
ser redundantes. Ver la configuración
de los firewalls.
mp.
Protección de la confidencialidad
com2
1.- ¿Se emplean redes privadas vir- Aplica: Registros:

tuales (VPN3) cuando la comunicación
discurre por redes fuera del propio Sí - Documento:
dominio de seguridad? Respecto a - Muestreo:
Medio (C) esas VPN:
1.1.- ¿Emplean algoritmos acreditados auditoría:
por el CCN? Sí
37
mp.
Protección de la confidencialidad
com2
Aplica: Registros:
1.2.- ¿Se emplean preferentemente
dispositivos hardware en el estableci- Sí - Documento:
miento y utilización de la VPN?
Alta (C) - Muestreo:
1.3.- ¿Se emplean productos certifi- Lo audito: Observaciones

cados? auditoría:
Sí
mp.
Protección de la autentiticidad y de la integridad
com3
1.- ¿Se asegura la autenticidad del Aplica: Registros:

otro extremo de un canal de comuni-
cación antes de intercambiar informa- Sí - Documento:
ción alguna? - Muestreo:
2.- ¿Se previenen ataques activos (al-

teración de la información en tránsito,
inyección de información espuria o
Básica (I, A) secuestro de la sesión por una tercera Lo audito: Observaciones
parte), garantizando que al menos auditoría:
serán detectados, y se activarán los Sí
procedimientos previstos de tratamien-
to del incidente?
3.- ¿Se utilizan mecanismos de

autenticación de los previstos en la
normativa de aplicación?
4.- ¿Se emplean redes privadas virtua- Aplica: Registros:

les cuando la comunicación discurre
por redes fuera del propio dominio de Sí - Documento:
seguridad? Respecto a esas VPN: - Muestreo:
4.1.- ¿Emplean algoritmos acreditados

Medio (I, A)
por el CCN?
auditoría:
4.2.- Se aceptará cualquier mecanismo Sí
de autenticación de los previstos en la
normativa de aplicación. ¿se utilizan
claves concertadas?
4.3.- ¿Se emplean preferentemente Aplica: Registros:

dispositivos hardware en el estableci-
miento y utilización de la VPN? Sí - Documento:
- Muestreo:
4.4.- ¿Se emplean productos certifi-
Alta (I, A) cados?
auditoría:
4.5.- Se aceptará cualquier mecanismo Sí
de autenticación de los previstos en la
normativa de aplicación. ¿Se utilizan
claves concertadas?
38
mp.
Segregación de redes
com4
1.- ¿Se encuentra la red segmentada? Aplica: Registros:

Respecto a dichos segmentos:
Sí - Documento:
1.1.- ¿Existe control de entrada de los - Muestreo:

usuarios que llegan a cada segmento?
Alta 1.2.- ¿Existe control de salida de Lo audito: Observaciones

la información disponible en cada auditoría:
Sí
segmento?
1.3.- ¿Está el punto de interconexión

particularmente asegurado, mantenido
y monitorizado?
mp.
Medios alternativos
com9

de comunicación en caso de indispo- Sí - Documento:
nibilidad de los medios habituales? - Muestreo:
Respecto a dichos medios alternativos:
Alta (D) 1.1.- ¿Están sometidos a las mismas

garantías de seguridad que los habi- Lo audito: Observaciones
tuales? auditoría:
Sí

máximo para que los equipos alternati-
mp.si Protección de los soportes de información
mp.si.1 Etiquetado
1.- ¿Se encuentran etiquetados los Aplica: Registros:

soportes de información? Respecto a
dicho etiquetado: Sí - Documento:
- Muestreo:
1.1.- ¿Revela el contenido?
1.2.- ¿Indica el nivel de seguridad de

la información contenida de mayor
calificación?
Básica (C) Lo audito: Observaciones

1.3.- ¿Pueden los usuarios entender auditoría:
el significado de las etiquetas, bien Sí
mediante simple inspección, bien
mediante recurriendo a un repositorio
que lo explique?
1.4.- ¿Se aplica tanto a aquellos en so-

porte electrónico como no electrónico
(que hayan sido causa o consecuencia
directa de la información electrónica
dentro del alcance del ENS)?
39
mp.si.2 Criptografía
Aplica: Registros:
1.- ¿Se aplican mecanismos cripto-
gráficos, en particular, a todos los Sí - Documento:
dispositivos removibles (CD, DVD,
Medio (I, C) discos USB, u otros de naturaleza - Muestreo:
análoga) que garanticen la confiden-
cialidad e integridad de la información Lo audito: Observaciones
contenida? auditoría:
Sí
Respecto a dichos mecanismos crip- Aplica: Registros:

tográficos:
Sí - Documento:
1.1.- ¿Emplean algoritmos acreditados - Muestreo:

por el CCN?
1.2.- ¿Se emplean productos certi- Lo audito: Observaciones

Alta (I, C) ficados? Evidencia: Dispone de una auditoría:
política o normativa documentada que Sí
indica el uso de productos certificados
(en relación con [op.pl.5] compo-
nentes certificados). Consultar si se
utilizan productos certificados o, en
caso contrario, si está aprobado por el
responsable.
mp.si.3 Custodia
1.- ¿Se aplica la debida diligencia y Aplica: Registros:

control a los soportes de información
que permanecen bajo la responsabi- Sí - Documento:
lidad de la organización? Respecto a - Muestreo:
dicho control:
1.1.- ¿Garantiza el control de acceso

Básica
con medidas físicas, lógicas o ambas? Lo audito: Observaciones
auditoría:
1.2.- ¿Garantiza que se respeten las Sí
exigencias de mantenimiento del
fabricante, en especial en lo referente
a temperatura, humedad y otros agre-
sores medioambientales?
40
mp.si.4 Transporte
1.- ¿Dispone de un registro de salida Aplica: Registros:

que identifica al transportista que reci-
be el soporte para su traslado? Sí - Documento:
- Muestreo:
2.- ¿Dispone de un registro de entrada
que identifica al transportista que lo
entrega?
Básica
3.- ¿Utiliza medios de protección crip- Lo audito: Observaciones
tográfica correspondientes al nivel de auditoría:
calificación de la información contenida Sí
de mayor nivel? Respecto a dicha
protección criptográfica:
3.1.- ¿Gestiona las claves de forma

segura?
mp.si.5 Borrado y destrucción
Aplica: Registros:
1.- ¿Los soportes que vayan a ser
reutilizados para otra información o Sí - Documento:
liberados a otra organización, son
Básica (C) - Muestreo:
borrados de forma segura?
auditoría:
Sí
2.- ¿Se destruyen de forma segura Aplica: Registros:

los soportes cuando la naturaleza del
soporte no permita un borrado seguro? Sí - Documento:
- Muestreo:
3.- ¿Se destruyen de forma segura los
Medio (C)
soportes según el tipo de la informa-
ción contenida? Lo audito: Observaciones
auditoría:
Sí
4.- ¿Se emplean productos certifica-
dos?
41
mp.sw Protección de las aplicaciones informáticas
mp.sw.1 Desarrollo de aplicaciones
1.- ¿Se desarrollan aplicaciones sobre Aplica: Registros:

un sistema diferente y separado del de
producción? Sí - Documento:
- Muestreo:
2.- ¿Existen herramientas o datos de
desarrollo en el entorno de produc-
ción?
3.- ¿Aplica una metodología de desa-

rrollo reconocida? Respecto a dicha
metodología de desarrollo:
3.1.- ¿Toma en consideración los as-

pectos de seguridad a lo largo de todo
el ciclo de vida?
3.2.- ¿Trata específicamente los datos

usados en pruebas?
3.3.- ¿Permite la inspección del código

Medio fuente? Evidencia: Dicha metodología Lo audito: Observaciones
de desarrollo permite la inspección del auditoría:
código fuente. Sí
3.4.- ¿Incluye normas de programa-

ción segura?
4.- ¿Los mecanismos de identificación

y autenticación son parte integral del
diseño del sistema?
4.1.- ¿Y los mecanismos de protección

de la información tratada?
4.2.- ¿Y la generación y tratamiento de

pistas de auditoría?
5.- ¿Se realizan las pruebas anteriores

a la implantación o modificación de
los sistemas de información con datos
reales?
42
mp.sw Protección de las aplicaciones informáticas
mp.sw.2 Aceptación y puesta en servicio
1.- ¿Dispone de un plan de pruebas Aplica: Registros:

antes de pasar a producción para
comprobar el correcto funcionamiento Sí - Documento:
de la aplicación? Respecto a dichas - Muestreo:
pruebas:
1.1.- ¿Comprueba que se cumplen los

criterios de aceptación en materia de
Básica seguridad? Lo audito: Observaciones
auditoría:
Sí
1.2.- ¿Comprueba que no se deteriora
la seguridad de otros componentes del
servicio?
1.3.- ¿Se realizan en un entorno

aislado?
Aplica: Registros:
2.- ¿Previamente a la entrada en
servicio, se le realiza un análisis de Sí - Documento:
vulnerabilidades?
Medio - Muestreo:
2.1.- ¿Y se le realiza una prueba de Lo audito: Observaciones

penetración? auditoría:
Sí
Aplica: Registros:
2.2.- ¿Y un análisis de coherencia en la
integración en los procesos? Sí - Documento:
Alta - Muestreo:
2.3.- ¿Y se considera la oportunidad
de realizar una auditoría de código Lo audito: Observaciones
fuente? auditoría:
Sí
mp.info Protección de la información
mp.
Datos de carácter personal
info1
Aplica: Registros:
1.- ¿Se ha identificado si el sistema
trata datos de carácter personal? Sí - Documento:
Básica - Muestreo:
2.- En caso de tratar datos de carácter
personal ¿se aplica la normativa Lo audito: Observaciones
vigente? auditoría:
Sí
43
mp.
Calificación de la información
info2
1.- ¿Se califica la información confor- Aplica: Registros:

me a lo establecido legalmente sobre
la naturaleza de la misma? Sí - Documento:
- Muestreo:
2.- ¿Establece la política de seguridad
quién es el responsable de cada infor-
mación manejada por el sistema?
3.- ¿Recoge la política de seguridad,

directa o indirectamente, los criterios
que en la organización determinan el
nivel de seguridad requerido?
Básica (C)
4.- ¿El responsable de cada informa-
ción sigue los criterios determinados Lo audito: Observaciones
en la política de seguridad para auditoría:
asignar a cada información el nivel de Sí
seguridad requerido y es responsable
de su documentación y aprobación
formal?
5.- ¿El responsable de cada informa-

ción en cada momento tiene en exclu-
siva la potestad de modificar el nivel
de seguridad requerido, de acuerdo a
la política de seguridad?
6.- ¿Existen procedimientos que des- Aplica: Registros:

criban en detalle la forma en que se ha
de etiquetar y tratar la información? Sí - Documento:
Respecto a dicho tratamiento de la - Muestreo:
información:
6.1.- ¿Contempla su control de acceso?
6.2.- ¿Contempla su almacenamiento?
6.3.- ¿Contempla la realización de

Medio (C)
copias?
auditoría:
6.4.- ¿Contempla el etiquetado de Sí
soportes?
6.5.- ¿Contempla su transmisión

telemática?
6.6.- ¿Y contempla cualquier otra

actividad relacionada con dicha infor-
mación?
44
mp.
Cifrado
info3
1.- ¿Se cifra la información con un Aplica: Registros:

nivel alto en confidencialidad tanto
durante su almacenamiento como Sí - Documento:
durante su transmisión? Respecto a la - Muestreo:
criptografía:
Alta (C) 1.1.- ¿Contempla el uso de criptografía

en comunicaciones? Lo audito: Observaciones
auditoría:
2.- ¿Permanece sólo en claro la Sí
información con un nivel alto en confi-
dencialidad mientras se está haciendo
uso de ella?
mp.
Firma electrónica
info4
1.- ¿Dispone de una Política de Firma Aplica: Registros:

Electrónica aprobada por el órgano
superior competente que corresponda? Sí - Documento:
- Muestreo:
2.- ¿Se firman electrónicamente los
documentos que requieren capacidad
probatoria según la ley de procedi-
miento administrativo común de las
Básica (I, A) Administraciones Públicas?
3.- En el caso de que se utilicen otros

mecanismos de firma electrónica
sujetos a derecho, ¿se incorporan Lo audito: Observaciones
medidas compensatorias suficientes auditoría:
que ofrezcan garantías equivalentes o Sí
superiores en lo relativo a prevención
del repudio?
45
mp.
Firma electrónica
info4
4.- Si se emplean sistemas de firma Aplica: Registros:

electrónica avanzada, ¿se emplean
certificados cualificados? Sí - Documento:
- Muestreo:
5.- ¿Se emplean preferentemente
certificados reconocidos?
6.- ¿Se emplean algoritmos acredita-

dos por el CCN?
7.- ¿Se garantiza la verificación y vali-

dación de la firma electrónica durante
el tiempo requerido por la actividad
administrativa que aquella soporte, sin
perjuicio de que se pueda ampliar ese
periodo de acuerdo con lo que esta-
blezca la política de firma electrónica y
de certificados que sea de aplicación?
Respecto a la verificación y validación
de la firma electrónica:
7.1.- ¿Se adjunta a la firma, o se

Medio (I, A) referencia, el certificado?
7.2.- ¿Se adjuntan a la firma, o se auditoría:
referencian, los datos de verificación y Sí
validación?
7.3.- ¿Se protegen la firma, el cer-

tificado y los datos de verificación y
validación con un sello de tiempo?
7.4.- ¿Verifica y valida el organismo

que recaba documentos firmados la
firma recibida en el momento de la
recepción, anexando o referenciando
sin ambigüedad el certificado, los
datos de verificación y validación, y el
sello de tiempo?
7.5.- ¿La firma electrónica de docu-

mentos por parte de la Administración
anexa o referencia sin ambigüedad el
certificado, los datos de verificación y
validación, y el sello de tiempo?
8.- ¿Se emplean certificados cualifi- Aplica: Registros:

cados?
Sí - Documento:
9.- ¿Se emplean dispositivos cualifica- - Muestreo:

Alta (I, A)
dos de creación de firma?
10.- ¿Se emplean productos certifi- auditoría:
Sí
cados?
46
mp.
Sellos de tiempo
info5
1.- ¿Se aplican sellos de tiempo Aplica: Registros:

(fechado electrónico) a aquella infor-
mación que sea susceptible de ser Sí - Documento:
utilizada como evidencia en el futuro? - Muestreo:
2.- ¿Los datos pertinentes para la

verificación posterior de la fecha son
tratados con la misma seguridad que
la información fechada a efectos de
disponibilidad, integridad y confiden-
cialidad?
Alta (T)
3.- ¿Se renuevan regularmente los
sellos de tiempo hasta que la infor-
mación protegida ya no sea requerida Lo audito: Observaciones
por el proceso administrativo al que auditoría:
da soporte? Sí
4.- ¿Se utilizan productos certificados

o servicios externos admitidos?
5.- ¿Se emplean “sellos cualificados

de tiempo electrónicos” acordes a la
normativa europea en la materia?
mp.
Limpieza de documentos
info6
Aplica: Registros:
1.- ¿Existe un procedimiento para
limpiar (retirar la información conte- Sí - Documento:
nida en campos ocultos, meta-datos,
comentarios o revisiones) todos los - Muestreo:
Básica (C)
documentos que van a ser transferidos
a otro dominio de seguridad, salvo Lo audito: Observaciones
cuando dicha información sea perti- auditoría:
nente para el receptor del documento? Sí
47
mp.
Copias de seguridad
info9
1.- ¿Realizan copias de respaldo que Aplica: Registros:

permitan recuperar
Sí - Documento:
datos perdidos accidental o inten- - Muestreo:

cionadamente con una antigüedad
determinada? Respecto a dichas copias
de seguridad:
1.1.- ¿Abarcan la información de tra-

bajo de la organización?
1.2.- ¿Abarcan las aplicaciones en

explotación, incluyendo los sistemas
operativos?
1.3.- ¿Abarcan los datos de configura-

ción, servicios, aplicaciones, equipos, u
otros de naturaleza análoga?
1.4.- ¿Abarcan las claves utilizadas

para preservar la confidencialidad de la
Básica (D) información?
1.5.- ¿Disfrutan de la misma seguridad Lo audito: Observaciones

que los datos originales en lo que se auditoría:
Sí
refiere a integridad, confidencialidad,
autenticidad y trazabilidad?
1.6.- ¿Existe un proceso de autoriza-

ción para la recuperación de informa-
ción de las copias de seguridad?
1.7.- ¿Se verifica regularmente que la

información respaldada está correcta-
mente dispuesta para ser recuperada
en caso de necesidad?
1.8.- ¿Se conservan en lugar(es)

suficientemente independiente(s) de
la ubicación normal de la información
en explotación como para que los
incidentes previstos en el análisis de
riesgos no se den simultáneamente en
ambos lugares?
48
mp.s Protección de los servicios
mp.s.1 Protección del correo electrónico
1.- ¿La información que se distribuye Aplica: Registros:

por medio de correo electrónico se
protege, tanto en el cuerpo de los Sí - Documento:
mensajes como en los anexos? - Muestreo:
2.- ¿Se protege la información de

encaminamiento de mensajes y esta-
blecimiento de conexiones?
3.- ¿Se protege a la organización fren-

te a problemas que se materializan por
medio del correo electrónico, como del
correo no solicitado (spam)?
3.1.- ¿Se protege frente a programas

dañinos (virus, gusanos, troyanos,
espías u otros de naturaleza análoga)
relacionado con op.exp.6 Protección
Básica frente a código dañino? Respecto a la
protección frente a problemas por el
auditoría:
e-mail. Sí
3.2.- ¿Se protege frente a código móvil

de tipo “applet”?
4.- ¿Se han establecido normas de

uso del correo electrónico? Respecto a
dicha norma de uso del e-mail.
4.1.- ¿Contempla limitaciones al uso

como soporte de comunicaciones
privadas?
4.2.- ¿Se llevan a cabo actividades de

concienciación y formación relativas al
uso del correo electrónico?
49
mp.s.2 Protección de servicios y aplicaciones web
1.- ¿Se encuentran protegidos los Aplica: Registros:

subsistemas dedicados a la publicación
de información frente a las amenazas Sí - Documento:
que les son propias? - Muestreo:
2.- Cuando la información tenga algún

tipo de control de acceso ¿se garan-
tiza la imposibilidad de acceder a la
información obviando la autenticación?
Respecto a dicho control de acceso:
2.1.- ¿Se evita que el servidor ofrezca

acceso a los documentos por vías
alternativas al protocolo determinado?
2.2.- ¿Se previenen ataques de mani-

pulación de URL?
2.3.- ¿Se previenen ataques de Lo audito: Observaciones

manipulación de las cookies de los auditoría:
Básica usuarios? Sí
2.4.- ¿Se previenen ataques de inyec-

ción de código?
3.- ¿Se previenen intentos de escalado

de privilegios?
4.- ¿Se previenen ataques de “cross

site scripting”?
5.- ¿Se previenen ataques de manipu-

lación de “proxys” o “cachés”?
6.- ¿Se realizan auditorías de seguri-

dad y pruebas de penetración?
7.- ¿Se emplean certificados de

autenticación de sitio web acordes a la
normativa europea en la materia?
Aplica: Registros:
8.- ¿Se emplean certificados cualifi-
cados de autenticación de sitio web Sí - Documento:
acordes a la normativa europea en la
Alta - Muestreo:
materia?
auditoría:
Sí
50
mp.s.8 Protección frente a la denegación de servicio
1.- ¿Se ha planificado y dotado al Aplica: Registros:

sistema de capacidad suficiente
para atender a la carga prevista con Sí - Documento:
holgura? - Muestreo:
Medio (D)
2.- ¿Se han desplegado tecnologías
para prevenir los ataques conocidos Lo audito: Observaciones
de denegación de servicio (Denial of auditoría:
Sí
Service (DoS))?
3.- ¿Se ha establecido un sistema de Aplica: Registros:

detección de ataques de denegación
de servicio? Sí - Documento:
- Muestreo:
4.- ¿Se ha establecido un procedimien-
to de reacción a los ataques, incluyen-
Alta (D)
do la comunicación con el proveedor Lo audito: Observaciones
de comunicaciones? auditoría:
Sí
5.- ¿Se impide el lanzamiento de ata-
ques desde las propias instalaciones
perjudicando a terceros?
mp.s.9 Medios alternativos

para prestar los servicios en caso Sí - Documento:
de indisponibilidad de los medios - Muestreo:
habituales? Respecto a dichos medios
alternativos:
Alta (D) Lo audito: Observaciones

1.1.- ¿Están sometidos a las mismas
garantías de seguridad que los habi- auditoría:
Sí
tuales?

máximo para que los medios alternati-
51
1.5. Evaluación del cumplimiento de la ISO 27001

A fin de ejemplificar cómo se podría realizar una auditoría o evaluación sobre el cumpli-
miento de la ISO 27001, se traslada el siguiente marco de trabajo.
ISO/IEC 27001:2013 Auditable Fecha Estado Documentación
Objetivo de control /
Dominio Sección
Control
Directrices de la dirección
Política de seguridad 5.1 en seguridad de la infor-
mación
Aspectos organizativos 6.1 Organización interna

de la seguridad de la
Dispositivos para movilidad
información 6.2
y teletrabajo
7.1 Antes de la contratación

Seguridad ligada a los
7.2 Durante la contratación
recursos humanos
7.3 Antes de la contratación
Responsabilidades sobre
8.1
los activos
Clasificación de la infor-
Gestión de activos 8.2
mación
Manejo de los soportes de
8.3
almacenamiento
Requisitos de negocio para

9.1
el control de accesos
Control de accesos
Gestión de accesos de
9.2
usuario
Responsabilidades del
9.3
usuario
Control de acceso a siste-
9.4
mas y aplicaciones
Cifrado 10.1 Controles criptográficos
11.1 Áreas seguras

Seguridad física y
ambiental
11.2 Seguridad de los equipos
52
ISO/IEC 27001:2013 Auditable Fecha Estado Documentación
Objetivo de control /
Dominio Sección
Control
Responsabilidades y proce-
12.1
dimientos de operación
Protección contra código
12.2
malicioso
12.3 Copias de seguridad
Registro de actividad y
Seguridad en la 12.4
supervisión
operativa
Control del software en
12.5
explotación
Gestión de la vulnerabili-
12.6
dad técnica
Consideraciones de las
12,7 auditorías de los sistemas
de información
Gestión de la seguridad en
13.1
Seguridad en las las redes
telecomunicaciones Intercambio de información
13.2
con partes externas
Requisitos de seguridad de
Adquisición, desarrollo 14.1 los sistemas de informa-
ción
y mantenimiento de
Seguridad en los procesos
sistemas de 14,2
de desarrollo y soporte
información
14.3 Datos de prueba
Seguridad de la informa-
15.1 ción en las relaciones con
Relaciones con suministradores
suministradores Gestión de la prestación
15.2 del servicio por suminis-
tradores
Gestión de incidentes Gestión de incidentes de

en seguridad de la 16,1 seguridad de la informa-
información ción y mejoras
Continuidad de la seguri-
Aspectos de seguridad 17.1
dad de la información
de la información en
17.2 Redundancias
la gestión de la
continuidad del negocio Responsabilidades y proce-
17.2.1
dimientos
Cumplimiento de los
18.1 requisitos legales y con-
Cumplimiento tractuales
Revisiones de la seguridad
18.2
de la información
53
2. Gestión de Amenazas Persistentes

Avanzadas
“ (...) no sólo es necesario minimizar la posibilidad de ser compro-
metido, sino también mejorar las capacidades de detección, ya que
antes o después nos podremos ver afectados por un ciberataque.”
2.1. Introducción
En ciertas ocasiones, y sobre todo cuando estamos ante organizaciones importantes y/o
que manejan datos de alta sensibilidad, los atacantes a que nos enfrentamos cuentan con
muchos más recursos que aquellos que están en la parte defensiva. Es por ello que cuando
hablamos de atacantes que van a por un objetivo cueste lo que cueste, contando además
con todo un esquema y proceso de ataque, así como con múltiples recursos, se habla
de que estamos ante una Amenaza Persistente Avanzada. En muchas situaciones dichas
APTs son orquestadas por agencias gubernamentales o de inteligencia, así como por el
crimen organizado. Es por ello fundamental que los profesionales de la ciberseguridad
conozcan la probabilidad de que uno de estos atacantes avanzados trate de irrumpir en su
organización. En ese sentido, será importante que conozcamos los siguientes parámetros
sobre tales atacantes:
• Capacidad técnica
Las habilidades y herramientas técnicas que use un atacante son muy importantes,
pudiendo dar con personas capaces de crear sus propias herramientas, así como
identificar vulnerabilidades no conocidas aún por la comunidad de seguridad. En
ese sentido, un atacante sofisticado también podrá ser capaz de saltarse los con-
troles de seguridad que haya implantados, pudiendo, por ejemplo, reescribir su
malware para hacer que sea indetectable por nuestros sistemas de seguridad.
Siguiendo este punto un esquema de trabajo es identificar cuál es el nivel mínimo

de amenaza que nuestros sistemas deben ser capaces de identificar y parar. Por
ejemplo, ataques lanzados desde herramientas como Metasploit que se encuentran
de forma gratuita y pueden ser usados por cualquier persona. Si no pudiésemos
llegar a ese punto daríamos por hecho por cualquier atacante, por novato que sea,
nos podría poner en dificultades. También debemos tener en cuenta que existen
atacantes que pueden comprender un sistema mucho mejor que los propios dise-
ñadores que lo crearon, por tanto necesitamos esa suspicacia sana de saber que po-
demos ser violentados en cualquier momento y, por tanto, qué capacidad mínima
requerimos en nuestros sistemas para contener esos ataques.
54
• Capacidad de engaño
Los atacantes avanzados además de ser buenos técnicamente lo son también di-
señando y creando trampas, las cuales pueden ir desde hacerse pasar por otra per-
sona, crear un email exacto al de una empresa, o falsificar el sitio web de cualquier
organización. Dicha capacidad de engaño puede ser más elaborada en el tiempo,
pensemos por ejemplo en un atacante que descubre un sitio web que es visitado
con frecuencia por personas de la organización que quiere atacar. Después de ga-
nar dicha información el siguiente paso que daría sería atacar dicho sitio web, que
posiblemente cuente con menos defensas que las establecidas en la organización
objetivo, instalando algún tipo de malware para que las víctimas caigan y revelen
algún tipo de dato.
Por tanto, en esta capacidad de engaño se encuadrarían todas las técnicas conoci-
das sobre ingeniería social, donde el atacante trata de aprovecharse de cuestiones
que harán que un usuario baje la guardia. Por ejemplo, la familiaridad con las per-
sonas, la urgencia, el incentivo o el aspecto emocional.
• Tiempo
Un atacante sofisticado puede pasarse semanas o meses investigando a su víctima,

recopilando información y realizando pruebas hasta que consigue entrar dentro.
Una vez en los sistemas de la organización podrá de nuevo pasar semanas o meses
escondido hasta que encuentre su objetivo.
Siguiendo una combinación de estos parámetros los atacantes diseñan sus amenazas
persistentes avanzadas, requiriendo en algunos casos como se ha comentado grandes
cantidades de tiempo o de pericia técnica. De esta forma podemos ver que el enfoque que
llevan a cabo muchas organizaciones, limitándose únicamente a parchear sus sistemas
y a llevar a cabo evaluaciones de seguridad de forma aleatoria, no es totalmente eficaz
ante las amenazas APT. Así se explica que continuamente las organizaciones sufran ata-
ques a pesar de seguir invirtiendo en ciberseguridad. En definitiva, sólo están tratando
de gestionar las amenazas percibidas, dejando sin cubrir un amplio espectro de posibles
ataques. Por tanto, no sólo es necesario minimizar la posibilidad de ser comprometido,
sino también mejorar las capacidades de detección, ya que antes o después nos podremos
ver afectados por un ciberataque.
Todo ello hace necesario que las organizaciones reevalúen la forma en que entienden la
seguridad. Hace más de una década las empresas sabían que existían amenazas pero no
le prestaban demasiada atención. Más adelante eran conscientes en mayor grado de estas
ciberamenazas pero no llegaban a entender los posibles impactos derivados, y hoy en día
son conscientes de todo pero no saben realmente qué hacer para remediarlo.
55
De igual modo, no se es muy consciente de que las amenazas pueden ser invisibles, y que
aún sin ser conscientes de que sus sistemas han sido atacados, es probable que tengan
un enemigo dentro de sus puertas. Y si dicho evento se produce y es detectado con mu-
cha frecuencia se echa la culpa al equipo de ciberseguridad, sin darse cuenta que uno de
los grandes problemas es que el enfoque corporativo sobre la ciberseguridad sigue sin
cambiar.
Por tanto, las organizaciones deben reconocer que las amenazas están ocurriendo
ahora mismo, debiendo partir del peor escenario posible para decidir qué hacer. Es
decir, dejar de vivir en la negación y ser consciente de la situación real a nivel interna-
cional. Así, desde la visión de que nada es seguro podremos tratar de detectar lo antes
posible el incidente y minimizar sus consecuencias. De no seguir esta sistemática podre-
mos tener al enemigo en casa durante meses o años, lo cual es inaceptable en todos los
sentidos. Además, un ejemplo de que las organizaciones no siguen este enfoque es ver
cómo los robos de registros ascienden a millones y millones, lo cual señala al falta de ca-
pacidades para detectar de forma temprana al atacante, haciendo al menos que el robo de
datos sea mucho más limitado.
De igual modo, sabemos que un sistema 100% será muy probablemente incapaz de trasla-
dar la funcionalidad requerida, haciendo que el sistema no aporte valor alguno a la orga-
nización lo cual sería un riesgo aún mayor. Por tanto, debemos gestionar el riesgo mante-
niendo los necesarios equilibrios, ya que igual da que un atacante tumbe un sistema que
sea tan complejo de usar o esté tan limitado que los usuarios aún estando disponible no
lo puedan usar. En uno u otro caso el negocio es quien pierde. El problema es si en nues-
tro comercio, por poner un ejemplo, entra un ladrón muy sofisticado que a nuestros ojos
parece un cliente normal. Se comporta como un comprador medio, y durante los minutos
que esté en el comercio deberemos detectar que algo raro está pasando. Si le cogemos
in fraganti a los dos minutos seguramente le habrá dado tiempo a robar menos artículos
que si lo cogemos a los diez minutos, o si nos damos cuenta del problema al día siguiente
viendo las cámaras de seguridad.
Esto nos lleva a entender que de forma general las APT estarán camufladas de tal forma
que el tráfico o las acciones que veamos nos parezcan totalmente legítimas, por lo que
los mecanismos tradicionales de seguridad se verán incapaces de detectar tal hecho. Así,
llegamos a la necesidad de contar con una defensa en profundidad, al saber que ningún
sistema o tecnología por sí solos nos van a proteger de forma completa. De esta manera
debemos contar con diversos mecanismos de seguridad, apuntalando unos contra otros,
siguiendo un símil con cómo se diseña y estructura un castillo. Siguiendo ese ejemplo,
nos encontraremos con una sola entrada, un foso, o el hecho de que el castillo esté por
regla general en una colina.
56
De esta forma se evitan en gran medida los ataques furtivos, pudiendo centrar la atención
en aquellos puntos por donde podría llegar el enemigo. Además, la única puerta de acceso
será estrecha, teniendo que entrar el enemigo despacio y de uno en uno, facilitando así la
defensa contra dichos atacantes. Asimismo, las escaleras serán en espiral, estrechas y con
poca iluminación. Todo un arsenal de medidas defensivas que resultaban muy eficaces.
Llegados a este punto deberíamos preguntarnos si la seguridad de nuestras organiza-

ciones se ha construido también con esa visión defensiva desde su propia estructura.
Obviamente en la mayor parte de los casos la respuesta será negativa, haciendo muy fácil
que un atacante pueda lograr sus objetivos, y en cambio poniendo muchas dificultades
para que el defensor realice su tarea. Un ejemplo sería aquellos sitios donde los usuarios
son administradores de sus equipos, o no existe una línea base de configuración segura,
por comentar sólo algunos posibles casos. Por tanto, partiendo de este punto, donde el
defensor tiene una clara desventaja, se hace necesario contar con esas múltiples líneas de
defensa, a fin de evitar intrusiones y dentro de lo malo poder detectarlas lo antes posible.
Dicho de otra forma, para poder actuar frente a las APT debemos ser proactivos y no
reactivos.
De esta forma entenderemos que una medida importante para la lucha contra las APT es
el análisis del comportamiento, yendo más allá del tradicional bloqueo o permiso de ac-
cesos. Es decir, ya no estaremos ante una decisión binaria, de permitir o no el acceso, sino
de aún habiendo permitido un acceso verificar si la actividad que se está llevando a cabo
es o no sospechosa. También así se explica el éxito de las APT, ya que las organizaciones
piensan que su tecnología de seguridad puede bloquear estos ataques, cuando realmente
necesitamos una seguridad adaptativa. Así, ante la detección de anomalías en el compor-
tamiento podríamos reducir los niveles de acceso, o bloquearlos directamente, reducien-
do la capacidad de maniobra del atacante o malware que está infectando un sistema. Para
ello podremos encontrar productos en el mercado como firewalls de nueva generación o
sistemas contra la pérdida de datos o DLP.
Por otro lado, y como ya se ha comentado, no es aceptable que las organizaciones detec-
ten que han sido atacadas seis o más meses después de que ocurrió el incidente, lo cual en
muchas ocasiones ocurrirá por una notificación de alguna autoridad gubernamental o de
alguna denuncia lanzada por otra organización. Esto por desgracia ocurrirá siempre que
estemos ante una APT, por lo que si entendemos que nuestra organización es susceptible
de recibir estos ataques tendremos que mejorar nuestras capacidades de detección. Por
tanto, debemos reducir de mesas a semanas al menos esa capacidad de detección. Ocurre
exactamente lo mismo que con un cáncer en el campo de la medicina, si la detección no
es precoz el resultado clínica seguramente sea muy desfavorable.
57
En definitiva, aquellas entidades que puedan sufrir un APT deben reconsiderar si han de
centrar tanto sus esfuerzos en la parte de prevención, cuando realmente no saben de qué
deben prevenirse, y en cambio no destinar más esfuerzos a la parte de detección.
Por tanto, en este juego de equilibrios que se deben mantener hay que calibrar qué im-
portancia dar a cada una de las dimensiones de gestión del riesgo. Obviamente, no
hacer nada para prevenir sería un desastre, teniendo que contar con unas mínimas capa-
cidades para prevenir que cierto conjunto de ataques tenga lugar, pero como se ha dicho
siendo conscientes de que estas medidas no nos librarán de sufrir un APT.
Por tanto, de cara a detectar una amenaza APT requeriríamos de las siguientes capaci-
dades:
• Automatización: las amenazas APT son persistentes y tienen un carácter conti-

nuo, por lo que nuestras defensas también deben estar automatizadas. Además,
tendrán que contar con capacidades analíticas, de cara a realizar decisiones auto-
máticas según los parámetros que tengan en consideración.
• Adaptabilidad: el atacante intentará entrar en nuestros sistemas de forma per-

sistente, por lo que irá probando todo un arsenal de técnicas hasta conseguir su
objetivo. En ese sentido, empleará técnicas que quizá aún no son conocidas por la
comunidad de seguridad, por lo que nuestros mecanismos deberán estar prepara-
dos para ese escenario de la mejor forma posible. En cambio, si sólo contásemos
con medidas que previenen ciertos tipos de ataques estaríamos ganando pequeñas
batallas a corto plazo, pero a medio y largo plazo perderíamos la batalla.
• Proactividad: como se ha comentado el enfoque reactivo no sirve absolutamente

de nada ante un APT, además que los impactos que sufriremos una vez tenga lugar
el ataque serán seguramente cuantiosos, y aún resolviendo ese problema a poste-
riori nadie nos podrá asegurar que al día siguiente no podremos ser objeto de otro
ataque avanzado.
• Predictividad: dado que los atacantes cuentan con herramientas y mecanismos

que pueden superar nuestro conocimiento, necesitamos tener esa capacidad pre-
dictiva para aún sabiendo al 100% lo que puede ocurrir tener cierta sensibilidad
que nos haga dar mayor o menor importancia a ciertos temas. Esto podremos con-
seguirlo teniendo información sobre las últimas campañas de ataque detectadas,
exploits que han salido a la luz, etc. Además, por supuesto, de contar con herra-
mientas inteligentes que tengan en cuenta de forma automática toda esa informa-
ción.
58
• Enfoque en los datos: hay muchos mecanismos de seguridad que están centra-
dos en las formas de ataque que son conocidas, o en firmas de ataque que están
empleando los atacantes. No obstante, todas ellas pueden fallar y están obviando
un punto importante. Independientemente del mecanismo de ataque que emplee
un hacker el objetivo en muchas ocasiones será el mismo: llegar a los datos que
está buscando. Por tanto, tiene mucho más sentido centrarse en tales datos a fin de
proteger esa última milla, así como detectar cualquier comportamiento anómalo
sobre los mismos.
Por otro lado, también hay que considerar que son muchas las organizaciones que ya
cuentan con mecanismos tecnológicos que les pueden ayudar en este cometido, si bien
los mismos no están correctamente desplegados o configurados para ello. Como ejemplo
podemos citar tecnologías como NAC para el control de acceso a la red, el despliegue
de VLAN o redes de área local virtuales. Usando ambas, por ejemplo, tendríamos que un
dispositivo antes de conectarse a la red pasaría por un escaneo a fin de determinar si está
parcheado entre otras cuestiones de seguridad. En caso positivo el dispositivo podría ac-
ceder a una VLAN privada, mientras que si el resultado fuese negativo se le pasaría a una
VLAN con acceso limitado, donde el sistema podría descargar e instalar el parche oportu-
no. Como ves esta combinación puede mejorar nuestra postura de seguridad, no obstante
en muchas organizaciones se emplea este mecanismo sólo se emplea en el primer acceso
que realiza el sistema en cuestión, cuando sería mucho mejor usarlo de forma continua.
Asimismo, debemos considerar que un atacante sofisticado tratará de cifrar el tráfico a fin
de que los dispositivos de seguridad no puedan detectar sus movimientos. En este caso
sería importante contar con tecnología que pudiese alertar esta situación ante el análisis
de parámetros como los siguientes:
1. Duración de la conexión: los usuarios normales suelen hacer conexiones cortas,

mientras que los atacantes suelen hacer conexiones largas.
2. Cantidad de paquetes: las conexiones normales generalmente envían una pequeña

cantidad de paquetes, mientras que los atacantes suelen enviar un mayor volumen de
paquetes.
3. Cantidad de datos: las conexiones normales normalmente envían solicitudes a servi-

dores para solicitar información, la cual no suele ser muy voluminosa. En cambio, los
atacantes que están extrayendo información lo hacen en grandes cantidades
4. IP de destino: las conexiones salientes para usuarios normales suelen ir a direcciones

IP legítimas, generalmente hacia países considerados de confianza. En cambio, los
atacantes normalmente hacen conexiones salientes a IPs anómalas o IPs en países
extranjeros que no son sitios normales a los que la empresa se conecta.
59
Por supuesto estos parámetros deberán ajustarse a la realidad de cada organización, pero
en uno u otro caso tecnologías como las comentadas podrían ser usadas para crear una
línea base de seguridad. Se podría monitorizar cada puerto de los switch para promediar
cuál es la actividad normal de cada usuario. De este medio cuando, por ejemplo, un pará-
metro varía superando en un 20% o 30% la normalidad se podría mover al usuario a una
VLAN de menor confianza. Y si dicho parámetro aumenta en una proporción aún mayor
se podrían aplicar medidas aún más restrictivas, volviendo a la normalidad cuando los
parámetros bajo estudio también lo hacen.
Por otro lado, debemos tener en cuenta que muchas de las APT actuales más que cen-
trarse en las vulnerabilidades de los sistemas, lo hacen en el componente humano. En
este caso hablamos del envío de mensajes maliciosos, o incluso otras interacciones más
directas como las llamadas telefónicas, que harán que el usuario revele información con-
fidencial que propicie el lanzamiento de un ataque. En definitiva, las organizaciones que
deben protegerse ante un APT deben dejar a un lado la seguridad tradicional centrada en
el perímetro, dejando en cambio las puertas abiertas una vez se accede a la red. Es decir,
una vez el usuario llega a la red privada puede moverse con facilidad entre los sistemas,
accediendo a una gran cantidad de datos. Además, consideremos que las defensas pe-
rimetrales si se basan en una postura estática tampoco valdrán de mucho, por lo que la
situación es bastante deficiente.
Todo ello de nuevo apunta a la necesidad de apostar por una seguridad centrada en el
dato, ya que en caso de ser atacados si los datos están cifrados, por ejemplo, la repercu-
sión que causará el ataque será exponencialmente menor a la que podría haber ocurrido.
De esta forma si vamos cambiando nuestro paradigma defensivo, entendiendo que en el
caso de las APT nos enfrentamos a atacantes sigilosos y centrados en el robo de datos
podremos abordar de una forma diferente el problema de la ciberseguridad. Por tanto, de
forma constante las organizaciones deben buscar indicios de compromiso en toda su su-
perficie de ataque. De nuevo siguiendo el símil del cáncer, el mismo sólo tendrá solución
cuando se identifica en la persona que aún se siente sana. Si en cambio se hace cuando la
persona ya ha sufrido un grave deterioro en su salud es posible que lleguemos tarde para
dar una solución. Por tanto, debemos preguntarnos qué deberíamos detectar en nuestros
sistemas para inferir que algo raro está pasando. Además, podemos llegar a la conclusión
de que analizando un único sistema es muy difícil que podamos percibir la presencia de
un atacante. De ahí la necesidad para tratar con un APT de contar con tecnología que sea
capaz de correlar datos, pudiendo así tener una visión global de lo que está ocurriendo.
Por supuesto también habrá soluciones o posturas tradicionales de seguridad que nos
ayudarán en nuestro cometido, siendo una de ellas el principio de mínimo privilegio. Es
decir, debemos dar a cualquier entidad, sea un sistema informático o una persona, el me-
nor acceso que requiera para poder realizar su función.
60
De igual modo ocurrirá con el bastionado de los servidores, eliminando cualquier puerto
o protocolo que no sea necesario para la función que se entiende va a cubrir. Además, re-
cordemos que en un APT se intentará atacar a los usuarios, por tanto es muy común que
un ataque tenga éxito cuando se ha comprometido previamente a un usuario el cual tiene
mayores accesos de los debidos en alguno de los sistemas corporativos.
Como se ha comentado en diversas ocasiones un problema que agrava todos los indica-
dos sobre la gestión de las amenazas APT es la falta de concienciación por parte de la
alta dirección de las organizaciones. En este punto tendríamos que preguntarnos cuándo
fue la última vez que el responsable de ciberseguridad habló con su directiva, y si cuando
tal hecho ocurrió se empleó un lenguaje en términos de negocio. Es decir, si la dirección
entendió realmente lo que es un APT y las consecuencias hacia negocio que se pueden
derivar de las mismas. De ahí la importancia de dirimir cuáles son los impactos que su-
friría negocio en estas situaciones, trasladando conceptos como el ROI o retorno de la
inversión en ciberseguridad, o ROSI si queremos apuntar mejor el tiro, frente a los citados
impactos. Todo ello empleando informes y gráficos sucintos pero representativos sobre
esta temática.
Una vez llegados a este punto vamos a ver las fases por las que pasa un ataque persis-
tente avanzado o APT:
1. Reconocimiento
El reconocimiento implica encontrar información, normalmente información pública,

acerca de una organización para comprender mejor cómo funciona, utilizándose para
identificar personas o puntos potenciales de compromiso que pueden utilizarse para
explotar con éxito una vulnerabilidad. En ocasiones hay técnicas de ataque, como los
llamados gusanos informáticos, que no llevan a cabo ninguna labor de reconocimien-
to, teniendo simplemente en cuenta que ahí afuera hay muchos sistemas vulnerables
y sin parchear. Por tanto, a esos atacantes no les importa atacar una u otra organiza-
ción, ya que buscan meramente volumen. En cambio si el atacante desea apuntar a
una organización específica identificará primero las vulnerabilidades existentes para
tener una alta probabilidad de éxito.
Por otro lado, cuando se dice que las APT tienen una tasa de éxito muy elevada debe-
mos recordar la importancia de la fase de reconocimiento. Esto se debe a que cuanta
más información se recoja a través del reconocimiento, más fácil es entrar en una
organización. La cantidad de información existente en la red es muy elevada, a lo cual
hay que añadir la información personal de los empleados de las organizaciones que
se encuentran disponibles en redes sociales. Con toda esa información las posibilida-
des de que un ataque sea exitoso aumentan dramáticamente.
61
2. Escaneo
Una vez que se realiza el reconocimiento y el atacante tiene información general so-
bre el objetivo, comenzará a sondear a la organización para obtener más información
y posibles debilidades que pueden ser explotadas. El reconocimiento implica la reco-
lección general disponible en fuentes abiertas, pero sin centrarse en ninguno de los
sistemas de la víctima. Esta es una de las razones por las que es muy difícil detectar
el reconocimiento. Sin embargo, el escaneo es donde el atacante toma la información
de fuentes abiertas y la usa para comenzar a recopilar información específica sobre el
objetivo. El reconocimiento generalmente implica identificar un objetivo específico y
el escaneo es encontrar detalles adicionales sobre el objetivo a atacar.
Para poder un ejemplo simple, imaginemos a un ladrón que se pase por un barrio para
en la fase de reconocimiento detectar posibles viviendas que estén vacías o donde los
propietarios se hayan idos de vacaciones. Una vez acabada esta fase procedería con
el escaneo, donde el ladrón iría a las casas identificadas para encontrar debilidades
en las mismas. Para ello podría disfrazarse de repartidor o agente comercial, teniendo
así ocasión de ver si realmente alguien abre o no la puerta, si hay cámaras de videovi-
gilancia, ventanas abiertas, etc.
En el caso del ciberespacio el escaneo consistirá en general en el análisis de los ran-

gos de direcciones IP de la organización víctima, tratando de buscar puertos abiertos
y lo servicios que están detrás de los mismos. Una vez el atacante identifica tales ser-
vicios trataría de buscar vulnerabilidades que les aplicasen, exploits publicados para
ello, etc. No obstante, si la organización cuenta con firewalls y sistemas de correlación
de eventos esta no será una buena idea, dada la alta probabilidad de que el intento de
ataque sea detectado. Por tanto, y como ya se comentó, será mucho más plausible el
uso de métodos de ingeniería social, para tratar de engañar a alguno de los usuarios
pertenecientes a la organización.
3. Explotación
Una vez que un atacante recopila información sobre el objetivo utilizando informa-
ción de fuentes abiertas y comienza a sondear la organización directamente está listo
para explotar o comprometer a la organización. Para ello, explotará alguna debilidad
conocida en los sistemas, como por ejemplo desbordamientos de búfer o inyecciones
SQL. Y como se comentaba anteriormente este punto se podría diseñar mediante el
envío de un correo malicioso a un atacante, donde iría un adjunto malicioso que al ser
abierto provocaría que el atacante tuviese acceso al sistema. De ahí la importancia de
ser proactivos, ya que un ataque puede ocurrir en cualquier momento, sin que nues-
tras defensas perimetrales puedan hacer nada al respecto.
62
4. Creación de puertas traseras
En general un atacante entra en un sistema de forma lateral, sin tener acceso directo
al sistema o datos que está buscando. Por lo tanto, después de un compromiso inicial,
el atacante necesita crear una puerta trasera para que sea más fácil entrar y salir del
sistema. Así, después de un compromiso los atacantes desplegarán sus herramientas
para poder entrar y salir nuevamente mediante sesiones cifradas, haciendo pasar di-
chas acciones como tráfico legítimo.
5. Eliminación de rastros
Obviamente los atacantes no quieren ser atrapados, además de necesitar mantener

la cautela y sigilo a largo plazo. Esto es debido a que la organización objetivo no sólo
tendrá ahora información importante, sino que en el futuro ese hecho seguirá sien-
do así. Además, económicamente es más rentable dejar un punto de acceso en los
sistemas camuflado para poder emplearlo en el futuro en cualquier momento, sin la
necesidad de tener que empezar desde cero con la APT, y todo ello borrando las pistas
que pudieran hacer sospechar a los administradores del sistema que algo ha ocurrido.
Como podemos observar un atacante tradicional, que no entraría dentro del contexto
de las APT, se centraría directamente en el escaneo y explotación, y algo menos en la
parte de creación de puertas traseras. En cambio se saltaría las fases primera y quinta,
que sí son importantes en una APT.
Por otro lado, es curioso comentar que muchas de las organizaciones que han sufrido una
amenaza persistente avanzada contaban con las siguientes medidas de seguridad:
• Políticas de seguridad.
• Personal de seguridad.
• Presupuestos de seguridad.
• Cortafuegos.
• Sistema de detección de intrusos.
• Cifrado.
• Protección de punto final.
63
Esta situación es obviamente preocupante, no obstante debemos tener presente que tales
medidas de seguridad son totalmente necesarias, ya que constituirán nuestra base para
repelar los ataques no sofisticados a que nos vemos expuestos. Es decir, si tales medidas
no existiesen las organizaciones estarían en una situación aún peor. De igual modo, es
importante recordar que también en demasiadas ocasiones estos elementos no están des-
plegados o configurados correctamente, lo cual es también vital para intentar ponerle las
cosas difíciles a los atacantes sofisticados que nos quieren atacar.
2.2. Herramientas de gestión de APTs

Dada la complejidad que suponen las amenazas persistentes avanzadas contra las orga-
nizaciones es importante entender cuáles son las herramientas más importantes con que
contamos para afrontar este gran reto. A continuación se hace un repaso sobre las mis-
mas.
• Descubrimiento de datos
Es necesario que las organizaciones descubran dónde tienen los datos, controlán-
dolos de forma correcta ante las APT. Muchos podrían decir que saber dónde están
los datos de una organización es algo simple, pero la realidad dista bastante de
esto. Recordemos que estamos en la era de los dispositivos móviles, shadow IT
o TI en la sombra, sistemas cloud o repositorios de información privados entre
otras muchas cuestiones. Por tanto, resulta crucial identificar dichos elementos
para posteriormente evaluar si los controles de seguridad que están desplegados
enlazan con los requisitos de seguridad asociados a la información y/o datos con-
cretos en cuestión.
• Arquitecturas de red seguras
Más allá de la seguridad perimetral como se ha comentado las organizaciones de-

ben ir más allá en su postura de seguridad, creando arquitecturas de red capaces
de resistir un ataque donde el usuario juega un papel fundamental. Esto se debe a
la posibilidad de que sea un usuario, y no un servidor, el que sea atacado, pudiendo
así un hacker entrar directamente a la parte privada de la red y desde allí crear un
canal de comando y control para ir pivotando por la red de la organización afecta-
da. Por supuesto este hecho se verá minimizado si los usuarios tienen acceso sólo
a los servidores que de verdad requieren para su trabajo. Así, debemos intentar que
los puestos de trabajo de los usuarios y sus dispositivos portátiles estén en una red
privada donde la información sea mínima. De igual modo, los servidores críticos
deberán estar en redes separadas, en función de su nivel de sensibilidad.
64
Por otro lado, otra idea es que la información almacenada en los teléfonos inteli-
gentes corporativos sea eliminada cada 24 horas, evitando así que en caso de robo
o pérdida la información almacenada fuese muy grande. Todo ello para crear una
defensa en profundidad sobre nuestros datos, para lo cual podríamos hacernos pre-
guntas como las siguientes para conocer nuestro nivel de madurez.
1. ¿Qué soluciones y cuántas soluciones tenemos para proteger y controlar nuestra

información crítica?
2. ¿Qué soluciones y cuántas hemos integrado en nuestras aplicaciones que acce-

den y almacenan información crítica?
3. ¿Qué soluciones y cuántas tenemos para asegurar y proteger nuestros servido-

res? ¿Y cuándo los servidores almacenan información crítica?
4. ¿Qué soluciones y cuántas tenemos para asegurar y proteger nuestras redes? ¿Y

cuándo atraviesan tales redes información sensible?
• Clasificación de los datos
Otra herramienta fundamental para la lucha contra las APT es contar con un pro-
ceso de clasificación de datos. De esta forma sabremos qué información es sensible
y cual no, así como las medidas de seguridad que deben aplicar en uno u otro caso.
Así también podremos saber si la información que está saliendo de la organiza-
ción, o siendo transmitida por la red, es más o menos sensible, pudiendo aplicar
medidas más o menos coercitivas sin afectar al resto - de usuarios o sistemas a los
que se puede dejar algo más de libertad.
Para dar forma a un proceso de clasificación de datos habría al menos que seguir
los siguientes pasos:
1. Identificar al administrador.
2. Especificar los criterios sobre cómo se clasificará y etiquetará la información.
3. Clasificar los datos por su propietario, que está sujeto a revisión por parte de un
supervisor.
4. Especificar y documentar las excepciones a la política de clasificación.
5. Especificar los controles que se aplicarán a cada nivel de clasificación.
6. Especificar los procedimientos de finalización para desclasificar la información

o para transferir la custodia de la información a otra entidad.
7. Crear un programa de conciencia empresarial sobre los controles de clasifica-

ción.
65
• Cifrado
Otra herramienta fundamental para luchar contra las APT es el cifrado, ya que en
caso de que nos roben información la misma no podrá ser obtenida en claro por los
atacantes. No obstante, para que esto sea realmente así debemos gestionar correc-
tamente las claves de cifrado. Para evaluar cómo de bien estamos llevando a cabo
esta tarea podemos preguntarnos las siguientes cuestiones.
1. ¿Dónde está la clave?
2. ¿Quién tiene acceso a la clave?
3. ¿Cómo se protege y se maneja la clave?
En relación a este punto, en muchas organizaciones las claves se almacenan junto

con los datos, de cara sobre todo a facilitar la vida a los usuarios. Esto por supuesto
es tan ridículo como dejar la llave de casa debajo del felpudo. Además, también es
importante considerar la necesidad de emplear algoritmos de cifrado de confianza
que estén difundidos y probados a nivel internacional. De igual modo, contar con
claves de una longitud adecuada es algo fundamental para proteger nuestra infor-
mación.
Por tanto, algunas cuestiones fundamentales que debemos preguntarnos en torno

al cifrado son las siguientes.
1. ¿La clave está protegida y controlada?
2. ¿Tiene la clave una longitud suficiente basada en la vida útil de la información?
3. ¿El algoritmo no es propietario?
4. ¿Ha estado el algoritmo en el dominio público durante un período de tiempo

suficiente para ser completamente examinado?
Además, debemos recordar que el cifrado tendrá que aplicarse en las siguientes
fases:
1. Datos en reposo.
2. Datos en tránsito y/o en uso.
3. Gestionar y controlar las claves.
66
• Segmentación de redes
En vez de tener una red plana debemos segmentarla, dividiéndola en redes más
pequeñas para tener los datos y sistemas bajo control. Como se ha comentado an-
teriormente lo ideal es trasladar a un segmento de red específico los servidores y
datos más críticos, donde el nivel de seguridad será más elevado. Así también evi-
taremos un problema común en muchas organizaciones, como es la necesidad de
que toda la organización tenga el mismo nivel de seguridad. Esto no tiene mucho
sentido y a nivel operativo sólo conducirá a problemas. Cada organización debe
saber dónde puede sufrir un APT y por tanto poner ahí su foco de atención.
• Zonas sin cifrado
Usualmente en las APT los atacantes extraen la información de la organización

afectada de forma sigilosa, para lo cual creará un canal de salida cifrado pudien-
do hacer que los mecanismos de seguridad no se percaten de ello. Ante este he-
cho cabe comentar que existen dispositivos de seguridad que pueden descifrar
la información del tráfico de red, pero esta solución no servirá si el atacante está
usando su propio sistema de cifrado. Por tanto, una posible decisión de seguridad
a adoptar es la creación de un segmento de red donde no se permita el cifrado.
Así, en caso de encontrarnos con un atacante que quisiera llevar a cabo la acción
comentada se le detectaría de forma rápida.
• Monitorización de la conducta
Una gran ayuda para luchar contra las amenazas persistentes avanzadas es la dis-
ponibilidad de tecnología que sea capaz de identificar el comportamiento legítimo
de un usuario y, por tanto, las anomalías que se salen de esos casos. Con dichos
perfiles podremos prevenir y detectar de forma temprana cualquier intento de in-
trusión por parte de un atacante avanzado.
• Plan de respuesta y recuperación ante incidentes
Ser capaces de reaccionar rápido ante un ataque es fundamental de cara a minimi-

zar los posibles impactos. En este caso hemos de considerar que frecuentemente
será un tercero el que nos alerte sobre un APT que hemos sufrido. Por ejemplo,
cuando un cliente, proveedor o agencia gubernamental nos avisa sobre la existen-
cia de datos nuestros en sitios de Internet. Ante este escenario debemos pregun-
tarnos cómo haremos para responder a esta brecha, aún a pesar de no haber sido
capaces de detectarla.
Por otro lado, hay una serie de metodologías y enfoques que también pueden apor-
tarnos valor en nuestra lucha contra las APT. A continuación se muestra una sín-
tesis de algunas de estas herramientas.
67
• Cyber Kill Chain
La empresa Lockheed Martin Corporation desarrolló el concepto de Cyber Kill

Chain a fin d e ayudar a los decisores de seguridad sobre cómo actuar ante estos
ataques. De forma resumida, identifican las fases por las que pasa un atacante que
está detrás de un APT, buscando formas para romper dicha cadena en alguno de
sus eslabones.
Fuente: INCIBE
Fuente: Lockheed Martin
68
Así, según cada fase que vaya a lanzar un atacante APT podemos idear y desple-
gar en nuestros sistemas una serie de medidas que interrumpen el avance del
atacante:
Detectar Denegar Interrumpir Degradar Engañar Destruir
Política de
prevención Crear
Análisis
Reconocimiento del uso de registros
web
foros por los falsos
usuarios
Preparación
Network Filtrado
Intrusión pero
Encolado
Distribución Detección Antivirus respondiendo
de correo
System. con “fuera de
Formación la oficina”
Prevención
Explotación HIDS Parcheo de ejecución
de datos
Instalación
Network
Estrangu-
Comando y Listas Intrusión
NIDS lamiento
Control blancas Protection
HTTP
System
Network Limitación
Detección
Acciones sobre Intrusión de
mediante Cortafuegos Honeypot
objetivos Protection peticiones
Proxi
System HTTP
Fuente: INCIBE
• Mapas de calor APT
Cada organización debe identificar qué posibles APT puede sufrir, parametrizando
cada uno de ellos según la probabilidad con que pudiera darse y el impacto que
causaría en tal caso. Para ello, es útil emplear herramientas como los mapas de
calor.
69
Fuente: ISACA
• Métricas en el modelo Cyber Kill Chain
De cara a medir cómo de preparada está una organización para desbaratar un po-
sible APT lanzada contra ella es importante contar con métricas. En las mismas
tendría sentido evaluar cómo de bien estamos en los siguientes parámetros.
• Personas
• Procesos
• Tecnología
• Medición
Así, en la siguiente imagen vemos un ejemplo de cómo podríamos llegar a orques-

tar un cuadro de mando para cada una de las fases del modelo Cyber Kill Chain.
70
Fuente: Optiv
Dato importante
Las organizaciones que deben protegerse ante un APT deben dejar a un lado la se-
guridad tradicional centrada en el perímetro, dejando en cambio las puertas abier-
tas una vez se accede a la red.
71
3. Agilidad en Ciberseguridad
“ (...) Scrum es uno de los marcos ágiles más utilizado para el desa-
rrollo de software, basándose en un conjunto de procesos flexibles y
adaptables a cualquier tipo de organización.”
3.1. Introducción
Uno de los principales problemas en el mundo de la ciberseguridad es el reto de mantener
un equilibrio entre las necesidades de negocio y los objetivos de seguridad. En muchas
ocasiones se entiende que ambos buscan objetivos divergentes, lo cual se ve aún más
agravado cuando estamos dentro del propio departamento de informática y nos enfren-
tamos al desarrollo ágil de aplicaciones software. Además, en muchas ocasiones los de-
partamentos de seguridad de la información pierden de vista su principal objetivo, que
no es otro sino apoyar a los objetivos de negocio de su organización. Por tanto, un exceso
de contramedidas y burocracia podría prestar un flaco favor a la consecución de tal meta.
Si atendemos a la filosofía ágil veremos como conceptos primordiales la flexibilidad y

capacidad de responder rápidamente ante cualquier cambio, lo cual es inherente al propio
manifiesto de movimiento ágil.
El mismo dice lo siguiente:
Estamos descubriendo formas mejores de desarrollar software tanto por nuestra

propia experiencia como ayudando a terceros. A través de este trabajo hemos
aprendido a valorar:
• Individuos e interacciones sobre procesos y herramientas.
• Software funcionando sobre documentación extensiva.
• Colaboración con el cliente sobre negociación contractual.
• Respuesta ante el cambio sobre seguir un plan.
• Esto es, aunque valoramos los elementos de la derecha, valoramos más los de la
izquierda.
72
Además, del manifiesto ágil se infieren otros conceptos que también son de valor para el
ámbito de la seguridad de la información.
• Entrega temprana y continua de un producto de trabajo, con intervalos cortos en-

tre lanzamientos.
• Equipos multi-funcionales, auto-organizados producen los mejores requisitos, ar-

quitecturas, y diseños.
• Comunicación cara a cara.
• Simplicidad (el arte de maximizar la cantidad de trabajo no hecho).
• Reflexión regular sobre cómo ser más efectivo, y ajustes a comportamientos y pro-
cesos.
Por tanto, ser ágil es algo también fundamental para los profesionales de la ciberseguri-
dad. Máxime si nuestros sistemas cambian constantemente, y sentimos que vamos con
la lengua fuera, sin llegar nunca a alcanzar los objetivos que nos habíamos propuesto.
Además, teniendo en cuenta que las amenazas y vulnerabilidades no paran de aparecer,
poniendo constantemente en jaque nuestros sistemas. Y, como no, considerando de igual
los cambios normativos y regulatorios que están relacionados con la seguridad de la in-
formación.
Por otro lado, podemos ver cómo el enfoque tradicional de ciberseguridad, donde se cuen-
ta con muchas políticas, procedimientos, documentos y procesos, puede chocar hasta
cierto punto con la visión ágil. No obstante, la idea que podamos aplicar es que es posible
reducir la complejidad de nuestros procesos, así como descomponer tareas muy compli-
cadas en otras más pequeñas y entendibles. En definitiva, el que algo sea simple no quiere
decir que sea incompleto o difuso, sino hacerlo más operativo y eficaz dentro del complejo
día a día corporativo.
Así, es importante que las organizaciones se den cuenta de que la seguridad no es un

obstáculo, y para ello los profesionales de este campo debemos hacer los deberes. De
igual modo, hay personas en el departamento de informática que una vez acaban ciertas
labores de seguridad se dicen así mismos que ya pueden volver a su trabajo, dando a en-
tender que la seguridad es algo ajeno que sólo ayuda a perder el tiempo y descentrarse
del verdadero objetivo.
Siguiendo esta línea vamos a ver algunos de los principios ágiles y cómo engancharía en
el ámbito de la ciberseguridad:
73
• Satisfacción del cliente a través de la entrega temprana y continua
Una de las claves en la agilidad es la entrega de software útil de forma continua

y temprana, siendo en el caso de la ciberseguridad la organización en la que tra-
bajamos el cliente. Por otro lado, los productos se trasladarían a los controles que
implantamos, así como los requisitos de seguridad que se indican a terceros, las
políticas y procedimientos y, en definitiva, cualquier salvaguarda teniendo tam-
bién en consideración aquellas relacionadas con el cumplimiento normativo.
Partiendo de este punto buscaríamos ofrecer elementos útiles a los clientes de la

forma más temprana posible. Así, el cliente puede expresar sus inquietudes o du-
das lo antes posible, pudiendo nosotros incluir tales comentarios en una versión
posterior de forma rápida. De esta forma el cliente ve avances en los entregables,
dando una retroalimentación rápida, con el nivel de satisfacción que ello supone
para todas las partes.
En el lado de los controles de seguridad veríamos que tales elementos ayudan a

mitigar el riesgo que se había identificado, no retrasando de forma innecesaria la
implantación de los mismos.
En cuanto a la documentación de los controles, políticas, etc., hemos de recordad

que la capa directiva necesita recibir información a fin de saber cuál es la situación
en la que nos encontramos y nuestras propuestas de trabajo. De igual modo, los
usuarios necesitan conocer el funcionamiento de las medidas de seguridad que
se implanten, por lo que la documentación no puede ni debe estar reñida con la
seguridad ágil. Así, la documentación tendría que entregarse lo antes posible, sien-
do una posible guía para ello el preguntarnos si operativamente ya tiene sentido
dicha documentación.
• Abrazar los requisitos cambiantes
El enfrentarnos a requisitos cambiantes es algo que a priori nos produce miedo

y desazón, ya que entendemos que supondrá una carga de trabajo extra. Además,
en el mundo de la seguridad dichos requisitos cambiantes podrían traducirse en
dar por obsoletos decenas de documentos, evaluaciones de riesgos, etc. En cambio
debemos estar prevenidos y estar a gusto en dicho entorno cambiante, para lo cual
ayudará el que ofrezcamos productos en intervalos cortos de tiempo, en concreto
en lo que se llamaría “sprint” en el mundo de la agilidad.
Además, esta actitud demuestra una alta capacidad de comunicación, escuchando

de forma constante a la organización e incluso anticipándonos a sus necesidades.
Este enfoque de hecho encaja perfectamente con el espíritu de la ciberseguridad,
ya que pretendemos dar respuestas a eventos que pueden ocurrir de forma impre-
vista y con un coste alto para la organización.
74
• Entrega frecuente
Como sabemos las amenazas y vulnerabilidades suceden de forma imprevista,

además de con un ritmo de publicación muy alto. Por ello, desde seguridad ten-
dríamos que estar entregando funcionalidades y características de forma rápida y
constante, ya sea en forma de parches, avisos, documentos, etc. Además, si man-
tenemos un ritmo de entrega elevado los problemas que nos puedan surgir serán
mucho más fáciles de resolver. De igual modo, estaremos ayudando a construir
una cultura de seguridad corporativa, ayudándonos del cambio para ello en vez de
renegar del mismo.
• Colaboración diaria
Los silos de conocimiento suelen conducir a situaciones donde falta una comuni-
cación fluida, pudiendo paralizar o romper directamente la correcta finalización de
cualquier proyecto. Por ello, para intentar que nuestra organización alcance sus ob-
jetivos es importante tener una colaboración estrecha, siendo lo ideal que la misma
tenga una periodicidad diaria. Así, podremos mantenernos actualizados con los
compañeros de sistemas, desarrollo software, unidades de negocio, proveedores,
etc.
También esta idea es interesante ya que cuestiones como parches que apliquemos
en los sistemas, cambios en la arquitectura de sistemas, etc, puede tener un impac-
to notable sobre otras áreas de la organización. Por otro lado, esta cuestión es aún
más importante si en la organización se llevan a cabo desarrollos software de for-
ma ágil. Todo ello entendiendo que no debemos ser un obstáculo para el progreso
del trabajo de otros compañeros, debiendo ser aliados y no enemigos.
• Involucrar a personas motivadas, apoyarlas y crear confianza
Un equipo de seguridad ágil debe construirse alrededor de personas motivadas y

autodirigidas, a las cuales se les proporcionan las herramientas que necesitan para
realizar su trabajo. De esta forma, el jefe de un equipo de ciberseguridad ágil debe
dar apoyo y orientación, en vez de leyes y regulaciones. En definitiva, debe elimi-
nar cualquier obstáculo que impida la innovación y el que los compañeros sientan
una pertenencia a los sistemas y objetivos de negocio a alcanzar.
Asimismo, la confianza se genera con el paso del tiempo, siendo importante que se
ofrezca a los compañeros del equipo de seguridad la posibilidad de probar nuevos
enfoques, sin echar la bronca a nadie por la introducción de nuevas vulnerabili-
dades al haber introducido algún componente o función nueva en los sistemas.
Debemos tender nuestra mano para ayudar y no para avergonzar a nadie.
75
• Comunicación cara a cara
La comunicación cara a cara se ha perdido en el mundo actual, prefiriendo el envío

de interminables correos. Este hecho lleva aparejado una falta de eficacia y trabajo
excesivo. En cambio cuando se está en persona la conversación abre y cierre los
posibles temas a dirimir, además de evitar las complicaciones y malinterpretacio-
nes que pueden ocurrir en el correo electrónico. Además, la comunicación cara a
cara promueve la confianza, pudiendo cada persona exponer sus ideas así como
asumir las responsabilidades que fuesen asociadas. Obviamente dicha interacción
directa también es asumible vía videoconferencia o similares, siendo mucho más
preferible que los comentados correos electrónicos.
De esta forma cuando vayamos a tomar decisiones importantes conseguiremos

un extra de apertura y honestidad, recibiendo y transmitiendo información mucho
más precisa que hará que el equipo realice su trabajo de una forma mucho más
eficaz y certera.
• Medir el progreso a través de los productos de trabajo
Este principio es fundamental para medir cómo de bien estamos realizando nues-
tro trabajo. En muchas ocasiones se pretende medir la eficacia de un equipo de
ciberseguridad en base a la falta de incidentes, lo cual se desmoronará una vez
ocurra uno de estos incidentes. En ese mismo sentido, el cumplimiento de una nor-
ma o la implantación de una política no aportan realmente mucho valor de cara a
medir el rendimiento. En cambio sería mucho más útil medir si las medidas que he-
mos implantador para cumplir con tales normas han sido más o menos intrusivas
con los usuarios y compañeros del departamento de informática. Si se han llevado
a cabo acciones para medir el grado de cumplimiento real en la organización, o si
la alta dirección ha podido tomar decisiones acertadas gracias a la información
generada, en vez de contabilizar documentos que crían polvo en una cajonera.
En definitiva, todo lo que hagamos desde el equipo de seguridad se puede conside-

rar inútil si no ayuda a mitigar o prevenir una vulnerabilidad, permitir una buena
toma de decisiones, hacer que los usuarios sean más conscientes de los ciberries-
gos, etc.
• Operativa sostenible
Es importante que el ritmo de los sprints sea previsible y sostenible, además de

que el resto de compañeros de la organización sabrán a qué atenerse a la hora de
recibir nuestros requisitos, actualizaciones de las evaluaciones de riesgos, tiempo
de parcheo, campañas de concienciación, etc. Además, al mantener un ritmo de tra-
bajo estable se favorecerá la retención de las personas valiosas de nuestro equipo
de ciberseguridad, al no tener expectativas imposibles de cumplir, picos de trabajo
sin sentido, etc.
76
• Enfoque continuo en la excelencia técnica y el diseño
El que nos enfoquemos hacia un marco de trabajo ágil podría derivar en tener pro-
ductos de trabajo poco maduros o inestables, lo cual se evitará si se da la importan-
cia que merece a la excelencia técnica y las buenas prácticas en materia de diseño.
De este modo, es muy importante conseguir un equilibrio entre la generación de
nuevas capacidades de seguridad y el refinamiento de las ya existentes. Así, el con-
tar con un sistema de detección de intrusos muy complejo y eficaz perdería sentido
si no tenemos un sistema con un mínimo de solidez y bastionado.
De igual modo, es importante probar y validar nuestros productos de seguridad,

intentando hacer las cosas bien a la primera aunque esto suponga introducir un
pequeño retraso en nuestro ciclo ágil. Además, los elementos que construyamos
tienen que ser sólidos y mantenibles, para lo cual siempre ayudará el principio de
la simplicidad.
• Simplicidad como factor primordial
Una fuente de inestabilidad en la complejidad innecesaria, sea que hablamos de

un sistema de detección de intrusos, reglas de un firewall o un conjunto de tareas
a desarrollar. Por tanto, la idea a buscar sería descomponer ese elemento en trozos
más pequeños. Así, encontramos el valor de la refactorización para nuestro enfo-
que ágil de trabajo, lo cual podría traducirse por ejemplo en crear una estructura
anidada de permisos o refinar los roles con los que asignamos permisos. De este
modo mejoramos la comprensión del sistema, promovemos la reutilización de las
soluciones alcanzadas y el uso de las mismas.
Por otro lado, la descomposición ha de ser otra de nuestras herramientas clave,

pudiendo expresar tareas de alto nivel en forma de historias de seguridad o casos
de abuso. En ese sentido, una historia de seguridad es una herramienta para definir
nuevas funciones o competencias basadas en los requisitos de los usuarios o clien-
tes. Un ejemplo podría ser “quiero que la comunicación con mis clientes sea segura
de cara a compartir con ellos información confidencial”. A partir de estas historias
podremos construir tareas y elementos de seguridad de alto nivel, que tendremos
en cuenta en nuestros análisis de riesgos.
De igual modo, los casos de abuso son parecidos a las historias de seguridad, pero
en este caso se enfocan para tener en cuenta la perspectiva de un potencial atacan-
te. Por ejemplo, “como usuario descontento quiero robar información confidencial
de la empresa para venderla a la competencia”. Con ellas también podríamos iden-
tificar a alto nivel contramedidas a implantar, manejando el problema en trozos
simples y manejables. Y para analizar si hemos conseguido esa simplicidad podría-
mos preguntarnos si esa tarea se podría realizar en un periodo de tiempo corto, por
ejemplo de 1 a 3 días.
77
Además, para mantener la simplicidad es importante mantener los entregables

separados unos de otros, evitando así una complejidad extra que sólo crearía una
carga de trabajo innecesaria.
• Equipos auto-organizados
Los equipos ágiles deben confiar en sí mismos y en su liderazgo, eliminando cual-

quier obstáculo de cara a conseguir sus objetivos. El equipo debe refactorizar su
trabajo, buscar la simplicidad y la descomposición de tareas complejas en otras
más manejables. Además, el equipo debe ser multifuncional, teniendo sus inte-
grantes diversas áreas de experiencia y comunicándose tanto entre ellos como con
la organización de forma efectiva. También deben estar al tanto de las cosas que
hacen el resto de equipos de la empresa. Necesitan muy poca dirección y su único
objetivo es eliminar obstáculos para diseñar los mejores productos, requisitos y
arquitecturas de seguridad.
• Reflexión regular y mejora de procesos
Un equipo ágil debe reflexionar con regularidad sobre cómo mejorar su operativa
y eficacia. Gracias a esta retrospectiva como se indica en Scrum buscamos analizar
después de cada acción qué salió bien, qué salió mal y cómo podemos mejorar.
Gracias a esta mejora en la efectividad podremos concentrarnos más y mejor en el
trabajo que hacemos protegiendo a la organización. De hecho, esta retroalimenta-
ción continua supone la clave de la agilidad.
Por otro lado, hemos de ser conscientes que todo proceso de agilidad va a generar
obstáculos y resistencias, ya que la disciplina de ciberseguridad se ha vuelto extre-
madamente rígida en muchas organizaciones Al igual que con cualquier cambio
importante en el proceso, habrá resistencia al encontrar un esfuerzo para hacer la
transición a un marco más ágil en materia de seguridad. La clave para gestionar
y superar este problema es identificar las fuentes de resistencia e idear una estra-
tegia para superarlas a través de la comprensión de las necesidades que tiene la
organización. De este modo examinaremos los obstáculos con el objetivo de que
todos entiendan los valores y ventajas que tiene la agilidad.
En ese sentido, las personas somos seres de costumbres que evitamos aquello que
va contra los hábitos y cultura, lo cual puede también extrapolarse a las organiza-
ciones. Por tanto, será fundamental identificar las necesidades que tienen aque-
llas partes que se resisten al cambio, buscando cómo usar los procesos ágiles para
abordar tales necesidades.
78
Así, tendremos que tener presente que aquellas personas que ante el cambio verán
aumentado o disminuido su poder o influencia serán posiblemente una fuente de
resistencia.
Lo mismo ocurrirá con aquellas personas con las que puede ser difícil comunicarse
o acostumbrase al uso de los procesos ágiles. Pensemos por ejemplo en personas
que prefieren trabajar solas, o que tienen una personalidad incompatible para tra-
bajar en grupo, o tienen miedo a perder el control y propiedad sobre su trabajo.
De igual modo, otra fuente de resistencia vendrá por aquellas personas preocupa-
das por el compliance o cumplimiento normativo, ya que entenderán que con los
procesos ágiles no se podrá cumplir con los requisitos que apliquen en cada caso.
Por tanto, en todas estas situaciones habrá que identificar realmente cuáles son las
preocupaciones que sí tienen sentido, y abordarlas de forma conjunta con aquellas
personas que las has promovido.
Además, para afrontar correctamente estos desafíos es importante construir equi-

pos ágiles y relaciones robustas, con confianza en sí mismos y conocedores de que
tienen la propiedad directa sobre los productos de seguridad. Y para que dicho
equipo trabaje de forma exitosa debe construir relaciones con las personas, enor-
gulleciéndose de su trabajo y operando como una unidad.
Para entender un poco más este tema veamos los roles que tienen lugar en un
equipo de Scrum:
1. Líder de equipo o Scrum Master
Es el responsable de facilitar el trabajo del equipo y conseguir el éxito propues-

to. En ese sentido, se ha de decir que no se trata de un jefe o administrador de
tareas tradicional, ya que su principal labor es eliminar obstáculos para el éxito
del equipo, y para impulsar la inversión y dedicación de su equipo en el producto
que se esté desarrollando. Además, este rol no realiza las tareas de forma directa,
sino que confía en los miembros del equipo para hacerlo. Como líder de equipo
proteges al mismo desde fuera, facilitando la comunicación y resolviendo cual-
quier problema que pueda surgir con otro equipo dentro de la organización.
En ese sentido, se puede decir que estamos ante un servidor que busca ante todo
el bienestar de las personas que están a su cargo. Para ello antepone las necesi-
dades de su equipo y organización a las suyas, no buscando por tanto poder o
control sino crear una cultura de confianza. De igual modo, tomará las decisio-
nes que sean necesarias y revisará el progreso del equipo de trabajo.
79
2. Miembros del equipo
Este será el corazón del equipo de ciberseguridad, habiendo sido seleccionados

por su experiencia y permitiéndoles la autonomía que sea necesaria para crear
un buen trabajo. Para ello, tendrán que ser capaces de tomar requisitos, enten-
der las regulaciones que sean de aplicación y los riesgos a que se ve expuesta
la organización. Asimismo, tendrá que contar con la autoridad necesaria para
determinar la mejor manera de abordar dichos riesgos. En ese sentido, tendrán
que ser responsables de su trabajo ante el propio equipo, y no en el sentido de
reportar al líder de equipo o a la alta dirección.
También es importante que los miembros del equipo interaccionen entre sí para
aprender unos de otros, compartiendo la tutorización y propiedad de los produc-
tos de seguridad que se creen. Gracias a ello el equipo podrá tomar decisiones
mucho más óptimas que las que podría tomar el líder. Por tanto, es muy impor-
tante promover la toma de decisiones entre estas personas.
3. Dueño del producto o Product Owner
Su principal objetivo es representar los intereses de las partes interesadas que

podrán ir desde los usuarios, ejecutivos, equipos de negocio, de compliance, y
cualquier otro colectivo que tenga alguna relación con el programa de ciber-
seguridad. Gracias a este rol se produce una comunicación fluida con dichas
partes interesadas, siendo la única persona responsable de la construcción y
mantenimiento de la cartera de productos de seguridad. Además, será también
quien priorice dichos productos, definiendo el alcance de los proyectos y sus
requisitos.
Por tanto, aunque no trabaje de forma directa en los productos de seguridad será
quien tenga la responsabilidad final sobre los mismos y, por tanto, quien debe
impulsar el contenido y objetivos de cada uno de dichos elementos.
Dato importante
Ser ágil es algo fundamental para los profesionales de la ciberseguridad. Máxime

si nuestros sistemas cambian constantemente y teniendo en cuenta que las amena-
zas y vulnerabilidades no paran de aparecer, poniendo en jaque nuestros sistemas.
80
3.2. Scrum en Ciberseguridad

Scrum es uno de los marcos ágiles más utilizado para el desarrollo de software, basán-
dose en un conjunto de procesos flexibles y adaptables a cualquier tipo de organización.
Fue desarrollado en los años 90 por Jeff Sutherland y Ken Schwaber, quienes también
formaron parte de la creación del Manifiesto Ágil. Además de los conceptos ya vistos an-
teriormente se debe destacar el de cartera de proyectos, con el que se define el producto
que entregaremos al cliente. Esta cartera se irá modificando con el tiempo según se van
entregando nuevos entregables en cada sprint, una vez que las tareas a alto nivel expresas
como historias se descomponen en tareas más pequeñas.
Para ver la forma en que evolucionan estos elementos dentro de cada sprint se suelen usar
pizarras con notas adhesivas, software específico o de ofimática. Tales elementos pue-
den incluir nuevas funciones y funcionalidades de seguridad, trabajos técnicos, tareas de
creación de conocimiento para abordar una tarea, etc. Así, el equipo de seguridad podrá
agregar al backlog o “reserva de tareas” cuestiones como las siguientes:
• Nuevo hardware, software y otras infraestructuras relacionadas con la mitigación

de un riesgo en nuestra evaluación de riesgos.
• Políticas y cambios de configuración, tales como políticas de grupo de Windows,

firewall, ACL, configuración de auditoría, configuración de recopilación de regis-
tros y permisos.
• Modificación de los controles existentes para corregir errores o problemas no de-

seados.
• Actualizaciones de documentación, incluyendo cambios en la evaluación de ries-

gos, actualizaciones en las tareas de capacitación de usuarios, o políticas de uso
aceptable.
• Entregables de capacitación para el usuario, tales como sesiones de capacitación

en sí mismas, materiales asociados, y cualquier otro elemento para mejorar la con-
cienciación de los usuarios.
• Elementos y actividades relacionadas con la auditoría y el cumplimiento norma-

tivo.
De esta forma en el programa de ciberseguridad las historias de seguridad conformarán

el backlog, pudiendo venir las mismas desde múltiples fuentes. No obstante, dado que
nuestra principal preocupación será la protección de los activos de información de la
organización, la principal fuente de información serán las historias de usuario y los casos
de abuso.
81
Por otro lado, en cualquier organización tipo la seguridad se suele ver como un obstáculo,
o como mínimo no entienden lo importante que es esta área. Por tanto, tendrán que ser los
miembros del equipo de ciberseguridad quienes hagan las suposiciones necesarias para
determinar las amenazas y vulnerabilidades que pueden ocurrir en los sistemas, ya que la
información que puedan proporcionar en este sentido los usuarios será escasa. De igual
modo, también podremos recurrir a requisitos que vengan impuestos por normativa legal,
o por historias de usuario que nos pueda trasladar la alta dirección. Además, el product
owner es quien debe priorizar el backlog, pudiendo expresar la importancia de cada uno
de los productos de seguridad a las distintas partes interesadas. En ese sentido, el product
owner tendrá una visión mucho más cercana al usuario que la que pueda tener el equipo
de ciberseguridad, pudiendo así servir de puente entre ambos colectivos.
En cuanto a las historias de usuario debemos recalcar que se trata de la declaración de

una necesidad trasladada desde el punto de vista del usuario, mientras que si la perspec-
tiva es la del atacante hablaríamos de casos de abuso. Algunos ejemplos de historias de
usuarios serían las siguientes:
• Como usuario quiero que mi antivirus sea robusto, de modo que no experimente
lentitud o periodos de inactividad debido a infecciones de virus y problemas de
estabilidad.
• Como usuario quiero que nuestro sitio web público o repositorio documental esté
a salvo de ataques DDoS, a fin de que los clientes puedan acceder a la información
sin problema.
• Como usuario del área de I+D quiero que mi investigación esté protegida, para que
no sea robada o mal utilizada por terceros.
• Como departamento legal queremos que los datos personales de nuestros emplea-
dos estén protegidos, evitando por tanto las responsabilidades derivadas de las
brechas de datos en nuestros sistemas.
De igual modo, recordemos que el equipo de ciberseguridad también podrá crear histo-
rias de usuario expresando deseos en nombre de los usuarios, o bien basándose en los
análisis de riesgos efectuados. En cuanto a casos de abuso, comentamos también algunos
posibles ejemplos:
• Como competidor quiero poder acceder a diseños confidenciales, a fin de hacerme

con una mayor cuota de mercado.
• Como estafador quiero obtener nombres de empleados, direcciones y demás in-

formación personal para robar identidades y realizar estafas en nombre de otros.
82
• Como un gobierno extranjero hostil quiero violar sus sistemas militares para acce-
der a información clasificada.
• Como empleado descontento que pronto será despedido quiero eliminar perma-
nentemente la mayor cantidad de datos posible, de modo que pueda causar el ma-
yor daño posible.
En este caso, la construcción de casos de abuso vendrá a través del conocimiento que
tenga el equipo de ciberseguridad de las amenazas que pueden ocurrir a nuestra organi-
zación.
Por otro lado, los sprints son periodos de tiempo concreto durante los cuales se comple-
tan los elementos derivados de los productos del backlog. Este sprint puede durar de a 1 a
2 semanas, o incluso de 4 a 6 semanas, dependiendo todo ello de las exigencias e idiosin-
crasia de cada organización. La idea es que en dicho sprint el equipo de ciberseguridad
habrá creado un producto de ciberseguridad. En líneas generales, las características de un
sprint son las siguientes:
• El período de tiempo es concreto y no se puede ampliar. Cualquier elemento sin

terminar volvería a la cartera de productos.
• Una vez que se define la cantidad de tareas del sprint no se puede agregar más
trabajo a ese sprint. Las dependencias deben tenerse en cuenta antes de que co-
mience el sprint.
• Cada sprint comienza con una reunión de planificación y termina con una revisión
y una tarea de retrospección, siendo la reunión diaria de “stand-up” de Scrum el
método principal de comunicación.
• Al final de un sprint se habrá creado un producto de trabajo.
En ese sentido, durante la reunión de planificación del sprint el equipo de ciberseguridad,

el Scrum Master y el propietario del producto se reunirán para decidir qué pasará en los
siguientes sprints.
Aunque pueda ser difícil identificar los detalles de los sprints sucesivos e importante
prever el trabajo que seguirá al sprint actual, para que el equipo pueda mirar hacia ade-
lante e identificar dependencias. Al finalizar dicha reunión de planificación se debe tener
un objetivo y un listado de tareas para el sprint que se está diseñando. Así, un posible
objetivo para el sprint podría ser “instalar y configurar una VPN”, o “revisar las reglas de
nuestro firewall”.
83
De cara a la descomposición de las historias en tareas más manejables ponemos el si-

guiente ejemplo:
• Historia de usuario: como usuario quiero que el disco de mi ordenador portátil esté
cifrado, de cara a que si es robado no se pueda acceder a la información.
• Tareas:
• Determinar la configuración de la política de grupo requerida para la aplicación

de BitLocker.
• Implementar una GPO para normalizar la situación en la organización.
• Validar la funcionalidad de la GPO con pruebas de usuarios.
• Poner la política en el entorno de producción.
• Auditar los portátiles de la empresa para revisar el cumplimiento de la GPO.
3.3. Marcos de ciberseguridad ágiles

Muy ligado con el ámbito de la ciberseguridad ágil está el hecho de que no muchas or-
ganizaciones pueden permitirse el lujo de implantar muchos controles de seguridad, ya
que para su desgracia tienen importantes restricciones presupuestarias. Este hecho nos
conduce a la necesidad de optimizar muy bien los recursos en lo que invertimos, no pu-
diendo quizá atacar marcos de ciberseguridad como la ISO 27002 con sus 114 controles.
En ese sentido, el SANS Institute, tomando posteriormente el relevo el conocido como

Consejo de Ciberseguridad, analizó qué medidas de seguridad son las que dan un retorno
más eficaz, reduciendo el riesgo con un equilibrio entre el coste y la mencionada eficacia.
Derivado de este trabajo se nos traslada un conjunto de 20 controles de seguridad que
pueden ayudar a aquellas organizaciones que no quieren o pueden dedicar demasiado
tiempo a los mecanismos formales de la ciberseguridad, los análisis de riesgos, etc.
84
A continuación se indica cada uno de los controles de dicho marco, junto con los subcon-
troles que estarían relacionados y una breve descripción:
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
Fuente: CIS
103
Conclusiones
Dada la creciente complejidad del mundo de la ciberseguridad es necesario afrontar
este reto de la forma más eficaz posible. Para ello, será importante entender cómo di-
señar un programa de evaluación y auditoría de ciberseguridad, que nos permitirá saber
cuál es el estado de madurez de la organización, en qué puntos se debe mejorar, etc.
Además, gracias a esa valoración de las capacidades organizativas podremos saber cómo
de preparados estamos para gestionar los posibles ataques sofisticados que pueden afec-
tarnos.
Dichos ataques avanzados, o amenazas persistentes avanzadas siguiendo la terminología

dada a estos casos, pueden causarnos múltiples impactos, por lo que es muy importante
saber cómo prepararnos ante los mismos, conocer por qué vías pudieran afectarnos, etc.
De igual modo, la eficacia en ciberseguridad está intrínsecamente ligada al hecho de in-

vertir en aquellos controles que de verdad pueden ayudaros a reducir el riesgo. Para ayu-
darnos en esa toma de decisiones podemos tomar como base marcos de ciberseguridad
ágiles, que cuentan con un número de controles muy reducido lo cual facilitará nuestro
análisis.
104
Bibliografía
• Blog Trendmicro. https://blog.trendmicro.com/cyber-attacks-considered-top-na-
tional-security-threat/
• Carmen Lasa et al. Métodos ágiles: Scrum, Kanban, Lean. Anaya.
• CCN. CCN-SCTIC 808: Verificación del cumplimiento de las medidas en el ENS.
• ISO. ISO 27001:2013. Sistemas de Gestión de Seguridad de la Información.
• ISO. ISO 27002:2013. Código de prácticas para los controles de seguridad de la

información.
• Lockheed Martin. Applying Cyber Kill Chain Methodology.
• Martín Alaimo et al. Proyectos ágiles con Scrum. Kleer.
105
CEUPE
Centro Europeo de Postgrado
Web
www.ceupe.com
E-mail
[email protected]

EXCS - Mod5 - Agilidad y Transformación Hacia Un Negocio

Cargado por

Copyright:

Formatos disponibles

EXCS - Mod5 - Agilidad y Transformación Hacia Un Negocio

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EXCS - Mod5 - Agilidad y Transformación Hacia Un Negocio

Cargado por

Copyright:

Formatos disponibles

Módulo

Es en este contexto donde entran en juego las auditorías y evaluaciones de seguridad,

1.2. Fundamentos de auditoría

También es importante resaltar la necesidad de emitir opiniones verificables, repetibles,

• Alcance y objetivo de la auditoría

• Necesidades en materia de comunicación con los responsables de la organización

• Requisitos de información previos sobre la organización a ser auditada

• Planificación previa a alto nivel de las actuaciones a llevar a cabo

• Diseño detallado de las actuaciones a realizar, incluyendo entrevistas, revisiones

• Requisitos para la presentación de resultados, así como identificación de las perso-

• Requisitos para el diseño, presentación y emisión del informe final

A continuación se irá detallando cada uno de estos puntos básicos:

• Alcance y objetivo de la auditoría

El alcance y los objetivos perseguidos en la auditoría a realizar se deben definir y

Además, el equipo de auditores no sólo deberá supervisar documentación, sino

• Necesidades en materia de comunicación con los responsables de la organiza-

De forma inicial se tendrá que conocer información específica sobre la organiza-

• Requisitos de información previos sobre la organización a ser auditada

Se tendrán que establecer requisitos de información y documentación en cuestio-

• Planificación previa a alto nivel de las actuaciones a llevar a cabo

Para establecer una planificación inicial necesitaremos conocer qué elementos de

• Diseño detallado de las actuaciones a realizar, incluyendo entrevistas, revisio-

Se tendrán que calendarizar de forma concreta las entrevistas a realizar, no tenien-

Asimismo, tendrá que documentarse todo el proceso de revisión documental lleva-

• Requisitos para la presentación de resultados, así como identificación de las

• Requisitos para el diseño, presentación y emisión del informe final

Además, en el informe se tendrá que indicar cuál fue la metodología de auditoría

1.3. Tipos de auditoría

Se analiza si las principales ciberamenazas se pueden materializar en una organización,

Se procede a analizar una serie de requisitos en materia de ciberseguridad, evaluando

Tipo de auditoría Entrada Salida

Amenazas Lista de amenazas, procedimientos, Para cada amenaza se bus-

Evaluación Lista de requisitos normativos de Para cada requisito se

Validación Lista de controles de seguridad Para cada control se analiza

Además, otro ámbito de evaluación importante es la relativa a las actividades y capaci-

1. Mitigación del riesgo

4. Controles, tecnologías y procesos

• Deficiencias identificadas: Se deben listar de forma detallada las deficiencias que

• Deficiencias remediadas: Se debe establecer cuál es la solución a dar para cada

• Deficiencias resueltas: Se debe documentar e informar sobre las deficiencias que

• Deficiencias no resueltas: Las deficiencias que siguen sin resueltas pasado un

1.4. Evaluación del cumplimiento del Esquema Nacional de Seguridad

CUMPLIMIENTO DEL ARTÍCULO DEL ENS

Art. 29 Instrucciones Técnicas de Seguridad y Guías de Seguridad

1.- ¿Conoce y mantiene actualizada la Sí - Documento:

Art. 35 Informe del estado de la seguridad

1.- ¿Cumplimenta la Instrucción Sí - Documento:

Art. 36 Capacidad de respuesta a incidentes de seguridad de la información

1.- ¿Notifica al CCN-CERT (Centro Aplica: Registros:

CUMPLIMIENTO DEL ARTÍCULO DEL ENS

1.- ¿Existe un proceso formal para la Aplica: Registros:

1.2.- ¿El responsable del sistema

ANEXO II MEDIDAS DE SEGURIDAD

org Marco organizativo

org. 1 Política de seguridad

1.- ¿Dispone de una política de seguri- Aplica: Registros:

Respecto a dicha política de seguridad: - Muestreo:

1.1.- ¿Ha sido aprobada por el órgano

Básica 1.2.- ¿Precisa los objetivos y misión de