21 Jun

Preparación Forense (Forensic Readiness)

La Preparación Forense, o Forensic Readiness, es la capacidad de una organización para estar lista de antemano para recopilar, preservar y utilizar evidencias digitales (como correos, registros o datos de dispositivos) en caso de que ocurra un problema. No se trata de actuar después de que pase algo (como un delito o una disputa), sino de prepararse antes para que las pruebas sean válidas y útiles en un juicio o investigación.

¿Por qué surge la Preparación Forense?

Las empresas generan toneladas de datos digitales todos los días: correos, mensajes, grabaciones de cámaras, copias de seguridad, etc. Muchos de esos datos no parecen importantes en el momento, pero pueden volverse clave si sucede algo como:

  • Una disputa comercial.
  • Un caso penal.
  • Problemas laborales.

El problema es que si solo se intenta recopilar esas evidencias después de que ocurra el incidente:

  • Son frágiles: Los datos digitales se pueden borrar o cambiar fácilmente (a propósito o sin querer).
  • Falta de preparación: Si el personal no sabe qué hacer, puede arruinar las pruebas.
  • Es costoso: Investigar datos digitales toma mucho tiempo y los expertos cobran mucho (por ejemplo, 24 horas de trabajo por 1 hora de datos analizados).

Por eso, esperar a que pase algo (actuar de forma reactiva) no funciona bien.

Objetivos de la Preparación Forense

El objetivo principal es:

  • Anticiparse: Estar listo antes de que ocurra un problema.
  • Garantizar pruebas válidas: Que las evidencias digitales sirvan en un juicio o investigación.
  • Reducir costos: Hacerlo de forma eficiente para no gastar tanto en emergencias.

Definiciones Clave

  • CESG (Good Practice Guide No. 18): Define la preparación forense como la capacidad de una organización para recopilar, proteger y analizar evidencias digitales de manera que sean útiles en casos legales, laborales o disciplinarios.
  • Robert Rowlingson: La define como maximizar el uso de las evidencias digitales mientras se minimizan los costos.

Objetivos Principales de un Plan de Preparación Forense

Un plan de Preparación Forense tiene estos objetivos principales:

  • Preservar evidencias digitales que puedan usarse en un juicio sin molestar las operaciones normales de la empresa.
  • Tener pruebas listas para delitos o problemas que puedan dañar a la organización.
  • Realizar investigaciones que no cuesten más de lo necesario según el caso.
  • Evitar que las investigaciones detengan el trabajo diario.
  • Asegurar que las pruebas ayuden a ganar o defenderse en un caso legal.

Beneficios de la Preparación Forense

¿Qué beneficios trae?

  • Prepara a la empresa para tener pruebas electrónicas cuando las necesite.
  • Reduce los costos de las investigaciones.
  • Evita que alguien malintencionado borre sus huellas.
  • Reduce multas o sanciones por problemas legales.
  • Demuestra que la empresa es responsable y cumple las leyes.
  • Detecta problemas graves antes de que se hagan más grandes.

Pasos para Implementar un Plan de Preparación Forense

Para que funcione, todos los departamentos de la empresa deben trabajar juntos, pero el departamento jurídico es clave porque asegura que las pruebas sean válidas en un tribunal. Estos son los pasos:

  1. Identificar riesgos y fuentes de prueba:

    • Averiguar qué partes del negocio podrían necesitar evidencias digitales (por ejemplo, contratos, correos, sistemas de pago).
    • Definir qué amenazas legales existen (como demandas o delitos).
    • Buscar dónde están las posibles pruebas (correos, celulares, copias de seguridad, etc.) y clasificarlas.

  2. Cumplir con la ley y proteger las pruebas:

    • El departamento jurídico decide cómo guardar las evidencias para que sean lícitas (legales), auténticas (verdaderas) e íntegras (sin cambios).
    • Usar técnicas forenses para asegurar la cadena de custodia, es decir, que nadie altere las pruebas desde el principio.

  3. Monitorear y actuar:

    • Vigilar las evidencias para detectar problemas graves temprano.
    • Crear un protocolo que diga cuándo hacer una investigación forense y cuándo es algo menor.
    • El equipo legal decide qué hacer en casos serios.

  4. Formar al personal:

    • Enseñar a los empleados a reconocer incidentes importantes y seguir las reglas legales para recopilar pruebas.
    • Explicarles cómo escalar un problema (a quién avisar y cuándo).

  5. Documentar todo:

    Llevar un registro detallado de cada paso para que las pruebas sean válidas y confiables.

Protección de Activos de Información

Objetivo

Garantizar la confidencialidad, integridad y disponibilidad de los activos de información mediante políticas, estándares, procedimientos y controles. El director de seguridad debe ser capaz de asegurar que las políticas de seguridad, estándares, procedimientos y controles de la organización protegen adecuadamente los activos de información.

  • Establecer una gestión efectiva de la seguridad de la información.
  • Incremento de riesgos por digitalización y conectividad: proveedores, clientes, acceso remoto, teletrabajo, etc.

Amenazas Comunes

  • Virus, DoS (Denegación de Servicio), intrusiones, accesos no autorizados, robo de datos personales (e.g., tarjetas de crédito).

Objetivos de Seguridad (según Manual CISA, 2014)

  • Disponibilidad continua de sistemas.
  • Integridad de la información (en reposo y en tránsito).
  • Confidencialidad de datos sensibles.
  • Cumplimiento legal y normativo.
  • Protección de datos personales conforme a políticas y leyes de privacidad.

Protección del Acceso Lógico

La función de los controles de acceso lógico es reducir los riesgos a un nivel aceptable, protegiendo contra actividades no autorizadas que afecten datos, software o servicios.

Principales Amenazas

  • Fuga de datos, wire-tapping (intercepción de líneas), sabotaje, uso indebido del sistema.

El proceso de identificación y autenticación, entendido como el procedimiento para establecer y verificar la identidad de un usuario, se convierte en uno de los elementos más críticos de cualquier sistema de información. Las vulnerabilidades más comunes se encuentran relacionadas con:

  • Los métodos de autenticación son débiles.
  • La falta de confidencialidad e integridad de la información de autenticación que se almacena.
  • La ausencia de encriptación para la información de autenticación transmitida por la red.
  • La falta de conocimiento por parte de los usuarios sobre los riesgos asociados a compartir sus credenciales.

Seguridad de las Infraestructuras de Red

Las redes de comunicación, tanto las redes amplias como la red local, están compuestas por dispositivos conectados y programas o archivos que soportan su funcionamiento. El control de la red se realiza desde un terminal específico mediante software especializado en comunicaciones.

a) Seguridad de la LAN

Las LAN (redes de área local) permiten el almacenamiento y la recuperación de programas y datos utilizados por un grupo de personas. Sin embargo, la mayoría del software de LAN ofrece un nivel bajo de seguridad. Entre las problemáticas más destacadas se encuentran:

  • Pérdida de integridad de datos y programas por cambios no autorizados.
  • Infecciones por virus.
  • Acceso ilegal simulando ser un usuario legítimo de la LAN.
  • Rastreo o búsqueda de información por usuarios internos (sniffing).
  • Reconfiguración de usuarios internos (spoofing).
  • Destrucción de los datos de logging y auditoría.

Además, el uso extendido de redes inalámbricas (Wi-Fi) implica serios riesgos para la seguridad de la información de las organizaciones. Las amenazas más frecuentes asociadas a estas redes incluyen:

  • Errores y omisiones.
  • Fraude y robo cometidos por usuarios autorizados o no autorizados.
  • Sabotaje de empleados.
  • Pérdida de soporte físico e infraestructura.
  • Intrusos (hackers) maliciosos.
  • Espionaje industrial.
  • Código malicioso.
  • Espionaje de gobiernos extranjeros.
  • Amenazas a la privacidad personal.

b) Amenazas y Seguridad en Internet

Internet, como sistema global basado en el protocolo TCP/IP, permite la comunicación entre redes heterogéneas públicas y privadas. Su diseño prioriza la libertad y eficiencia en el enrutamiento y direccionamiento de la información, pero no está orientado a la seguridad.

Clasificación de Ataques en Internet

Los ataques en Internet se clasifican en activos y pasivos:

Ataques Activos:

  • Ataques de fuerza bruta.
  • Enmascaramiento.
  • Reenvío de paquetes.
  • Phishing.
  • Modificación de mensaje.
  • Acceso no autorizado a través de Internet o servicios web.
  • Denegación de servicio (DoS).
  • Ataques de penetración mediante llamada telefónica.
  • Bombardeo y correo basura en el correo electrónico (spamming).
  • Suplantación de correo electrónico (spoofing).

Ataques Pasivos:

  • Análisis de red.
  • Escuchas ilegales (eavesdropping).
  • Análisis de tráfico.

Un sistema de TI con múltiples funciones y dispositivos no estará seguro si no se implementa, gestiona, monitoriza y revisa correctamente. Es fundamental que todos los empleados, dirección y proveedores externos tengan conciencia y formación en seguridad.

La dirección debe comprometerse y apoyar el programa de gestión de la seguridad de la información. La dirección debe elaborar políticas y procedimientos que:

  • Declaren el valor de los activos de información.
  • Reconozcan la necesidad de seguridad.
  • Definan una jerarquía de activos confidenciales y críticos.

El programa de seguridad debe estar basado en estándares reconocidos que establezcan niveles de seguridad, criterios de medida y procedimientos específicos. Las responsabilidades para la protección de los activos individuales deben estar claramente definidas. La política de seguridad debe orientar la asignación de funciones y responsabilidades, con detalles específicos para cada puesto si es necesario.

Definición de Incidente de Seguridad Informática

Un incidente de seguridad informática se define como cualquier evento que afecte negativamente al uso o procesamiento en sistemas computacionales, incluyendo:

  • Pérdida de confidencialidad.
  • Inestabilidad en la integridad de la información.
  • Denegación de servicio.
  • Acceso no autorizado.
  • Uso indebido de los sistemas.
  • Robo o daño en los sistemas.
  • Ataques de virus e intrusiones internas o externas.

Controles y Aspectos Relacionados con la Gestión de la Seguridad de la Información

Inventario y Clasificación de los Activos de Información

Un control efectivo requiere un inventario detallado de los activos de información. Este registro es el primer paso para clasificar los activos y determinar el nivel de protección necesario para cada uno de ellos. Cabe destacar que los activos de información tienen distintos grados de sensibilidad y criticidad. Asignar clases o niveles a los activos sirve para reducir riesgos, así como para identificar las áreas donde es necesario invertir más y las donde no conviene generar sobrecostes. Estas clasificaciones deben ser sencillas y el número de categorías debe considerar el tamaño y la naturaleza de la organización.

Es recomendable que el registro de inventario de cada activo de información incluya:

  • Identificación específica del activo.
  • Valor relativo para la organización.
  • Localización.
  • Clasificación de seguridad/riesgo.
  • Grupo al que pertenece el activo.
  • Propietario.
  • Custodio designado.

Permisos de Acceso al Sistema

Es la prerrogativa para utilizar un recurso computacional o informático. Se trata de la capacidad de leer, crear, modificar o eliminar un archivo o dato, ejecutar un programa o abrir y utilizar una conexión externa. Es necesario plantearse las siguientes preguntas:

  • ¿Quién tiene derechos de acceso y a qué?
  • ¿Cuál es el nivel de acceso a otorgar?
  • ¿Quién es responsable de determinar los derechos y niveles de acceso?
  • ¿Qué aprobaciones son necesarias para obtener acceso?

Los controles de acceso se dividen en obligatorios y discrecionales. Los controles obligatorios hacen cumplir la política corporativa de seguridad y comparan la sensibilidad de los recursos de información. Los controles discrecionales hacen cumplir la definición del propietario de los datos para compartir recursos de información.

Desarrollo del Programa de Seguridad de la Información

Este tema se basa en el capítulo 3 de la certificación CISM de ISACA.

El responsable de seguridad de la información debe comprender los requerimientos y actividades necesarias para establecer y gestionar un programa de seguridad que esté alineado con la estrategia general de la organización. La estrategia de seguridad no debe desarrollarse de forma aislada, sino como una extensión directa de la estrategia empresarial. Para asegurar el éxito en el diseño, implementación y gestión del programa de seguridad, es esencial contar con una estrategia sólida, la cooperación de la alta dirección y partes interesadas clave, así como métricas efectivas para evaluar resultados. Un programa bien ejecutado permite convertir la estrategia en acciones concretas, cumplir con los objetivos de seguridad y adaptarse a los cambios en los requerimientos del entorno.

Objetivos del Gobierno de la Seguridad de la Información

Los objetivos del gobierno de la seguridad de la información incluyen:

  • La alineación estratégica.
  • La gestión de riesgos.
  • El aporte de valor a la organización.
  • La administración eficiente de recursos.
  • La integración de mecanismos de aseguramiento.
  • La medición del rendimiento.

Además, busca maximizar el apoyo a las funciones de negocio y reducir las interrupciones operativas.

Estructura de un Programa de Seguridad

Un programa de seguridad se construye a partir de un conjunto estructurado de proyectos que deben generar valor claro para la organización. Para su implementación, se consideran:

  • Controles técnicos: como firewalls, IDS (Sistemas de Detección de Intrusiones), criptografía.
  • Controles procedimentales: como políticas y procedimientos.
  • Controles físicos: como medidas de protección de instalaciones.

El primer paso imprescindible para diseñar el programa es conocer profundamente la organización: sus objetivos, apetito y tolerancia al riesgo, políticas existentes, procesos de negocio, estructuras organizativas, cultura, servicios, infraestructuras, aplicaciones y las capacidades de su personal.

Generalmente, no se parte de cero; por eso se debe realizar una evaluación del nivel actual de seguridad en todos los ámbitos: datos, aplicaciones, sistemas e instalaciones. Esta evaluación se realiza a través de un análisis de brechas (gap analysis), que identifica la diferencia entre la situación actual y el nivel de seguridad deseado. Este análisis sirve para planificar proyectos específicos, priorizados, con objetivos medibles, plazos definidos y presupuestos adecuados, asegurando que no se generen nuevas debilidades en otras áreas.

Niveles Jerárquicos de Documentación

En cuanto a la documentación, existen cuatro niveles jerárquicos:

  • Políticas: nivel más alto.
  • Estándares.
  • Procedimientos.
  • Directrices.

A medida que se baja en la jerarquía, los documentos son más detallados, más frecuentes y deben estar alineados con los niveles superiores.

Un elemento vital del programa es contar con una matriz clara de roles y responsabilidades. Es importante también comprender marcos de referencia como COBIT, ITIL o ISO/IEC 27001, que ofrecen estructuras para desarrollar una arquitectura de seguridad robusta, desde aspectos contextuales hasta los físicos.

La gestión eficaz del programa también debe incluir un sistema de administración de incidentes de seguridad y de reducción de riesgos. Esto implica políticas de control de acceso, clasificación y etiquetado de la información, manejo adecuado de documentos, requisitos de reporte y normas sobre revelación de datos. Además, se debe tener un enfoque sistemático para la gestión de problemas:

  • Identificar el inconveniente.
  • Definirlo claramente.
  • Diseñar acciones correctivas.
  • Asignar responsables y plazos de resolución.

No todo debe girar en torno a la tecnología. También deben considerarse aspectos legales, regulatorios, físicos, ambientales, éticos, culturales y logísticos. La seguridad de la información es un tema integral, que abarca tanto lo técnico como lo humano y organizativo.

Categorías de Controles de Seguridad

Finalmente, las categorías de controles que deben contemplarse son:

  • Preventivos: para evitar incidentes.
  • Detectivos: para identificarlos.
  • Correctivos: para solucionarlos.
  • Compensatorios: para cubrir carencias.
  • Disuasivos: para desalentar ataques.

Entre los principales retos que enfrenta el responsable de seguridad se encuentran:

  • La falta de apoyo de la gerencia.
  • Limitaciones presupuestarias.
  • Dificultades para conformar y mantener un equipo de trabajo competente.

Gestión de Incidentes de Seguridad de la Información

Evento de Seguridad Informática

Un evento de seguridad informática es cualquier suceso identificado en un sistema, servicio o red que puede indicar una posible violación de la política de seguridad o la falla de una medida de protección. No siempre está asociado a acciones maliciosas; puede ser causado por errores humanos, negligencia, desastres naturales o accidentes fortuitos.

Incidente de Seguridad Informática

Un incidente de seguridad informática implica una violación confirmada o una amenaza inminente contra una política de seguridad explícita o implícita. También se considera incidente cualquier evento que afecte la confidencialidad, integridad o disponibilidad de un sistema de información. Los incidentes pueden ser reportados directamente o detectados a partir de uno o varios eventos acumulados. La existencia de incidentes muchas veces revela fallos en los controles y una gestión inadecuada de las vulnerabilidades. Por tanto, la respuesta a un incidente debe incluir el análisis de qué vulnerabilidades fueron tratadas y cuáles no, con el fin de mejorar políticas y procedimientos futuros.

La norma ISO/IEC 27035:2011 ofrece un enfoque estructurado para responder a incidentes cuando los controles de seguridad han fallado. Esta norma establece procesos para detectar, responder, gestionar y aprender de los incidentes, así como para tratar las vulnerabilidades que los originan. Este enfoque estructurado aplica a organizaciones de cualquier tamaño y también proporciona orientación para empresas que ofrecen servicios especializados en gestión de incidentes. ISO 27035 define cinco etapas clave:

  • Preparación.
  • Reconocimiento.
  • Evaluación y decisión.
  • Respuesta.
  • Identificación de lecciones aprendidas.

Fases de la Gestión de Incidentes (ISO 27035)

Fase 1: Planificación y Preparación

Aquí se establece la política de gestión de incidentes, el procedimiento correspondiente y el esquema de trabajo. También se conforma el ISIRT (Information Security Incident Response Team), un equipo encargado de gestionar los incidentes de forma estructurada. En el ámbito hispano, es común el uso del término CERT (Computer Emergency Response Team), mientras que CSIRT (Computer Security Incident Response Team) es más común a nivel internacional. Ambos desempeñan funciones similares de recepción, análisis y respuesta a incidentes.

Fase 2: Detección y Reporte

En esta etapa se realiza el monitoreo constante de eventos potenciales y se recopila la información necesaria para identificar posibles incidentes. Es esencial gestionar también las vulnerabilidades detectadas, especialmente aquellas asociadas a la infraestructura tecnológica y a herramientas como el SIEM. Además, debe documentarse el evento mediante un formato estándar de reporte.

Fase 3: Evaluación y Decisión

El gestor de incidentes y el equipo CERT analizan la información disponible y determinan si el evento reportado constituye efectivamente un incidente de seguridad. Para ello, se pueden utilizar categorías definidas previamente y basadas en las alertas generadas por el SIEM. Esta categorización contribuye a construir una base de conocimiento que facilite decisiones más rápidas y acertadas en el futuro.

Fase 4: Respuesta

Una vez validado el incidente, el equipo ISIRT debe actuar rápidamente. Esto implica definir acciones inmediatas, implementar controles de emergencia y notificar a las partes interesadas sobre el incidente, sus consecuencias y los pasos a seguir. En los casos más graves, donde el incidente comprometa activos críticos, puede ser necesario activar una sala de crisis para coordinar la respuesta de forma prioritaria.

Lecciones Aprendidas

Esta última etapa busca identificar qué se aprendió del incidente, tanto en términos de fallos en los controles como de aspectos que funcionaron correctamente. Las lecciones aprendidas deben documentarse para reforzar el sistema de gestión de seguridad y reducir la probabilidad de ocurrencia futura de eventos similares.

Análisis de la ISO 27000 y la NIST 800-53

La serie de normas ISO/IEC 27000 está compuesta por estándares internacionales de seguridad de la información desarrollados por la ISO (Organización Internacional de Normalización) y la IEC (Comisión Electrotécnica Internacional). Su propósito es ofrecer buenas prácticas para el desarrollo, implementación y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI).

Normas Relevantes de la Familia ISO/IEC 27000

Las dos normas más relevantes de esta familia son:

  • ISO/IEC 27001: Establece los requisitos para implementar un SGSI. Es la única norma certificable de la serie y se basa en la gestión de riesgos, fomentando la mejora continua de los procesos de seguridad.
  • ISO/IEC 27002: Proporciona un código de buenas prácticas para la gestión de la seguridad de la información.

La norma ISO/IEC 27001 está estructurada en apartados que incluyen el contexto organizacional, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora. Además, incorpora objetivos de control divididos en áreas clave como la política de seguridad, la organización de la seguridad, gestión de activos, seguridad física, control de accesos, desarrollo de sistemas, gestión de incidentes, continuidad del negocio y cumplimiento normativo.

Un punto central de esta norma es su enfoque de gestión de riesgos, que busca adaptar las medidas de protección al valor de los activos y al nivel de riesgo que enfrentan. Es fundamental mantener un equilibrio entre medidas técnicas, organizativas y legales para tener un SGSI robusto.

El NIST (National Institute of Standards and Technology) de Estados Unidos proporciona guías y estándares de seguridad gratuitos. La Publicación Especial 800-53 es una de las más completas y ampliamente adoptadas, especialmente en el sector público estadounidense, pero también aplicable en entornos privados.

A diferencia de las normas ISO, la NIST 800-53 es de libre acceso y está enfocada en la protección de sistemas de información a través de una gestión multicapa del riesgo.

Estructura de la NIST 800-53

Esta norma está dividida en tres capítulos principales y varios anexos. Los capítulos cubren:

  • Propósito, aplicabilidad y responsabilidades.
  • Fundamentos de gestión de riesgos y estructura de control.
  • Proceso de selección, personalización y documentación de controles.

Apéndice F: Catálogo de Controles de Seguridad

El anexo más destacado es el Apéndice F, que incluye un extenso catálogo de controles de seguridad agrupados en familias. Entre las principales se encuentran:

  • AC (Access Control): Control de acceso a sistemas e información.
  • AU (Audit and Accountability): Registro de auditorías y trazabilidad.
  • AT (Awareness and Training): Concienciación y capacitación.
  • CM (Configuration Management): Gestión de configuraciones.
  • CP (Contingency Planning): Planes de contingencia y continuidad.
  • IA (Identification and Authentication): Verificación de identidad de los usuarios.
  • IR (Incident Response): Gestión de incidentes de seguridad.
  • MA (Maintenance): Mantenimiento seguro de sistemas.
  • MP (Media Protection): Protección de medios físicos y digitales.
  • PE (Physical and Environmental Protection): Seguridad física.
  • RA (Risk Assessment): Evaluación de riesgos.
  • SC (System and Communications Protection): Protección de comunicaciones.
  • SI (System and Information Integrity): Integridad de sistemas y datos.

Los controles que se aplican varían según el nivel de impacto (bajo, moderado o alto) de los riesgos asociados. A mayor impacto, mayor número y rigurosidad de controles a implementar.

Al igual que en ISO 27001, uno de los elementos clave es el control de acceso, que incluye procesos de identificación, autenticación y autorización. Estos pueden realizarse mediante algo que el usuario sabe (contraseña), algo que posee (tarjeta) o algo que es (biometría). Si se combinan dos o más métodos, se considera autenticación fuerte.

Infraestructuras Críticas

En España se promulgó la Ley 8/2011, de 28 de abril, que establece medidas para la protección de las infraestructuras críticas. Esta ley introduce varios conceptos fundamentales:

  • Un servicio esencial es aquel necesario para mantener funciones sociales básicas, como la salud, la seguridad o el bienestar económico de los ciudadanos.
  • Los sectores estratégicos son las áreas económicas o institucionales que prestan dichos servicios, y están definidos en un anexo de la propia norma.
  • Las infraestructuras estratégicas son los sistemas, redes, instalaciones y equipos que sustentan estos servicios esenciales.
  • Entre estas, se consideran infraestructuras críticas aquellas cuya operación es indispensable y para las que no existen soluciones alternativas. Su perturbación o destrucción tendría un impacto grave en la prestación de los servicios esenciales.

Sectores Comprendidos

Los sectores comprendidos incluyen:

  • La Administración.
  • El sector energético.
  • Salud.
  • Agua.
  • Transporte.
  • Alimentación.
  • TIC.
  • Industria química.
  • Industria nuclear.
  • Espacio.
  • Instalaciones de investigación.
  • El sistema financiero y tributario.

El organismo responsable de coordinar y supervisar estas actividades es el Ministerio del Interior, a través de la Secretaría de Estado de Seguridad. Este ministerio gestiona el Catálogo Nacional de Infraestructuras Estratégicas, que contiene información sobre todas las infraestructuras estratégicas del país, incluidas las clasificadas como críticas.

También se creó el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), un órgano ministerial encargado de promover y coordinar las acciones necesarias para proteger dichas infraestructuras.

La ley refuerza el principio básico de que el nivel de protección debe ser proporcional a la criticidad del activo. Es decir, cuanto más importante y más expuesto esté un activo, mayor debe ser el esfuerzo en su protección.

Plan de Continuidad de Negocio (BCP)

El plan de continuidad de negocio, conocido en inglés como Business Continuity Plan (BCP), es un documento estratégico que permite a una organización prepararse para responder y recuperarse de interrupciones significativas. Su objetivo es restaurar las funciones críticas del negocio en un tiempo previamente establecido tras un incidente grave.

El BCP no solo contempla la preparación ante incidentes, sino también la reducción de su probabilidad y de su impacto en caso de que ocurran. Estos incidentes pueden ser muy variados, como incendios, terremotos, inundaciones, pandemias o ciberataques.

Dentro del BCP, se incluye el plan de recuperación ante desastres o Disaster Recovery Plan (DRP), que se centra en la restauración de los sistemas tecnológicos. Por otro lado, el plan de restablecimiento del negocio abarca procesos críticos como los recursos humanos o la disponibilidad de espacios de trabajo. En este ámbito también se consideran los planes de gestión de crisis y de gestión de incidentes.

El DRP se encarga de establecer los procedimientos y recursos necesarios para restablecer la infraestructura tecnológica en caso de una disrupción severa. Es parte esencial del BCP, ya que muchas organizaciones dependen de la tecnología para operar.

Antes de elaborar un BCP, se debe realizar un Análisis de Impacto en el Negocio (BIA). Este análisis identifica los procesos más críticos y evalúa el impacto de su interrupción, determinando qué procesos deben ser recuperados primero. Esta evaluación debe ser liderada por la alta dirección, que también determinará los recursos que se destinarán a cada proceso según su criticidad.

Para cada proceso y sus activos asociados, se establecen dos métricas clave: el RTO (Recovery Time Objective) y el RPO (Recovery Point Objective). El RTO indica cuánto tiempo puede estar un servicio inactivo sin causar daño a la organización. Por ejemplo, en una central nuclear, el RTO de los sistemas de control debe ser cero. El RPO determina cuánto tiempo de información puede perderse sin un impacto grave; por ejemplo, si las copias de seguridad se hacen una vez al día, podríamos perder hasta 24 horas de información si hay un fallo.

Elementos a Contemplar en el DRP

El DRP debe contemplar elementos como:

  • Personal crítico.
  • Ubicaciones alternativas de trabajo.
  • Copias de seguridad.
  • Aplicaciones esenciales.
  • Relaciones con terceros y usuarios finales, entre otros.

La norma de referencia en esta materia es la UNE-ISO 22301:2013, que establece los requisitos para un Sistema de Gestión de la Continuidad del Negocio (SGCN). Esta norma ayuda a las organizaciones a protegerse, reducir la probabilidad de interrupciones y garantizar su capacidad de recuperación.

Según la última actualización de la norma, la documentación obligatoria debe incluir aspectos como:

  • El alcance del SGCN.
  • La política y objetivos de continuidad.
  • El análisis de impacto.
  • La evaluación de riesgos.
  • Los planes de recuperación y continuidad.
  • Los resultados de auditorías y revisiones de la dirección.

Además, la norma enfatiza el papel de la alta dirección, que debe asegurar la integración del SGCN en los procesos de negocio, su alineación con la estrategia de la organización, y comunicar a los empleados su importancia.

La continuidad del negocio, aunque pueda tratarse como una disciplina independiente, está estrechamente relacionada con la ciberseguridad. La disponibilidad de la información, junto con la confidencialidad y la integridad, constituye uno de los tres pilares fundamentales de la seguridad de la información.

Tendencias en Seguridad Digital: Cloud Computing, BYOD, Big Data, Movilidad, Redes Sociales e Internet de las Cosas

Computación en la Nube (Cloud Computing)

Es un modelo de prestación de servicios que permite a los usuarios acceder a un catálogo estandarizado, adaptándose de forma flexible a sus necesidades, incluso ante picos de trabajo o demandas imprevistas. El pago se realiza únicamente por el consumo efectuado, o puede ser gratuito en algunos casos, como ocurre con servicios financiados por publicidad o por organizaciones sin ánimo de lucro.

Este modelo se denomina “nube” porque los datos y servicios no están alojados físicamente en la organización del usuario, sino que se encuentran en servidores externos accesibles desde cualquier lugar con conexión a Internet. De este modo, las empresas no necesitan invertir en infraestructura propia, lo que supone una ventaja financiera.

Modelos Principales de Servicio en la Nube

Los principales modelos de servicio son tres:

  • IaaS (Infrastructure as a Service): el usuario accede a recursos de hardware virtualizados.
  • PaaS (Platform as a Service): se proporcionan entornos de desarrollo para crear y probar aplicaciones.
  • SaaS (Software as a Service): se ofrecen aplicaciones listas para usar, como el correo electrónico o servicios de almacenamiento en la nube.

Estos servicios se regulan mediante acuerdos de nivel de servicio (SLA), que definen aspectos como disponibilidad, tiempos de respuesta y compensaciones. No obstante, el uso de la nube plantea retos en materia de privacidad y protección de datos, especialmente por la ubicación física de los servidores. El cifrado de la información y el cumplimiento de normativas como el RGPD son fundamentales para garantizar la confidencialidad.

Movilidad

Impulsada por los dispositivos móviles, sigue en expansión. Smartphones y tablets ofrecen cada vez más funcionalidades, pero su seguridad es menor en comparación con los ordenadores tradicionales. Muchos usuarios no instalan antivirus y descargan aplicaciones sin evaluar los riesgos, lo que facilita la presencia de software malicioso.

Además, estos dispositivos recopilan gran cantidad de información personal, incluyendo la geolocalización. Con frecuencia, el usuario desconoce que sus datos están siendo recolectados, ya que acepta las condiciones de uso sin leerlas. Algunas aplicaciones incluso se comunican con sitios web peligrosos o de dudosa reputación, lo que aumenta el riesgo.

La recomendación es clara: instalar solo las aplicaciones necesarias y tener conciencia de la seguridad.

Redes Sociales

Se han convertido en plataformas globales de comunicación, comunidad y cooperación. A través de ellas, los usuarios interactúan, comparten intereses y colaboran en proyectos. Su uso es casi universal, especialmente entre los más jóvenes.

Existen redes sociales horizontales, como Facebook, orientadas al público general, y verticales, como LinkedIn o YouTube, centradas en grupos específicos o tipos de contenido.

Aunque el usuario decide qué compartir, muchas veces no es consciente de los riesgos. Una imagen o información personal subida a la red puede volverse pública, incluso si se aplican restricciones de privacidad. Por ello, es fundamental tener cuidado con la información que se publica, ya que puede afectar tanto al ámbito personal como profesional. En definitiva, cada persona construye su identidad digital, y es importante gestionarla con responsabilidad.

Dispositivos Wearables

Los dispositivos wearables o “ponibles” son tecnologías que se llevan encima (como relojes inteligentes, pulseras de actividad o gafas inteligentes) y que están siempre encendidas. Recogen datos continuamente, especialmente en áreas como salud, deporte, entretenimiento, industria y defensa. El problema es que esta información personal puede llegar a terceros sin que el usuario sea plenamente consciente. Por ello, al igual que con los móviles, es esencial proteger la privacidad.

Big Data

El concepto de Big Data hace referencia al tratamiento de grandes volúmenes de datos para extraer patrones, comportamientos o tendencias. Gracias al uso de algoritmos y potentes ordenadores, se pueden analizar datos procedentes de múltiples fuentes: navegación web, redes sociales, uso del GPS, correos electrónicos, compras en línea, entre otros.

Aunque tiene muchas aplicaciones útiles, especialmente en seguridad, marketing, sanidad o inteligencia militar, también implica importantes riesgos para la intimidad. La normativa debe garantizar que la recogida y tratamiento de datos se haga con el consentimiento del usuario y bajo principios éticos y legales.

En el ámbito de la seguridad, Big Data permite detectar fraudes, planificar respuestas ante incidentes, vigilar fronteras o combatir el terrorismo.

BYOD (Bring Your Own Device)

El paradigma BYOD se refiere a la práctica de permitir que los empleados utilicen sus propios dispositivos personales (como portátiles, móviles o tablets) para acceder a recursos corporativos.

Aunque esto supone un ahorro en costes para la empresa, también conlleva riesgos, ya que la organización no tiene un control total sobre estos dispositivos. Al estar fuera del sistema corporativo, las medidas de seguridad aplicadas pueden ser insuficientes, facilitando la entrada de malware o la pérdida de información sensible. Además, refleja la creciente fusión entre los entornos profesional y personal, lo que complica aún más la protección de los datos.

Internet de las Cosas (IoT)

Es el paradigma que permite que objetos cotidianos estén conectados a la red y puedan intercambiar datos. Se espera que pronto haya más “cosas” conectadas que personas.

Esto se logra gracias a tecnologías como la identificación por radiofrecuencia (RFID) y los sensores, que permiten identificar, monitorear y gestionar objetos a distancia. Uno de los ejemplos más representativos es el de las smart cities, o ciudades inteligentes, que utilizan estos dispositivos para optimizar servicios como el transporte, el consumo energético, la gestión de residuos o la seguridad ciudadana. Barcelona es una de las ciudades europeas pioneras en el desarrollo de este tipo de iniciativas.

Diferencias y Alcance de la Ciberseguridad y la Seguridad de la Información. Planes Nacionales de Ciberseguridad

La seguridad informática tiene un enfoque principalmente técnico, centrado en proteger los sistemas y dispositivos tecnológicos. Por su parte, la seguridad de la información amplía ese enfoque e incorpora aspectos organizativos y estratégicos, considerando la información como un activo valioso que debe protegerse no solo desde un punto de vista técnico, sino también desde la perspectiva de la gestión del riesgo.

La ciberseguridad, en cambio, se ha convertido en un término más global y actual. Abarca la protección del conjunto del ciberespacio, incluyendo los servicios digitales esenciales para el funcionamiento de la sociedad. Este concepto va más allá de la empresa o el ámbito personal: considera los riesgos que afectan al transporte, la energía, la salud o la economía. Los ataques informáticos no solo generan pérdidas económicas, sino que pueden comprometer incluso la vida de las personas si afectan a infraestructuras críticas.

Iniciativas Europeas en Ciberseguridad

La Unión Europea ha desarrollado diferentes iniciativas para afrontar este reto. Entre ellas destaca la creación de ENISA (Agencia Europea de Ciberseguridad), la Estrategia para una Sociedad de la Información Segura y el Plan de Ciberseguridad de la Unión Europea. Dentro de este último se propuso en 2013 la Directiva SRI, destinada a mejorar la seguridad de redes y sistemas de información en los Estados miembros.

Prioridades de la Estrategia Europea de Ciberseguridad

La estrategia europea de ciberseguridad se estructura en cinco prioridades:

  • Reforzar la ciberresiliencia.
  • Reducir la delincuencia en la red.
  • Desarrollar una política y capacidades de ciberdefensa dentro de la Política Común de Seguridad y Defensa.
  • Potenciar la industria y la tecnología europea en el ámbito de la ciberseguridad.
  • Establecer una política internacional coherente que defienda los valores fundamentales de la Unión.

En 2016, el Foro Económico Mundial identificó como uno de los principales riesgos globales de carácter tecnológico los incidentes masivos de fraude y robo de datos. Este tipo de amenazas, muy probables, afectan directamente a la confianza de los ciudadanos en el uso de servicios digitales y ralentizan la transformación digital.

España también ha desarrollado su propia Estrategia Nacional de Ciberseguridad, aprobada en 2013. Este documento sirve como marco para implantar políticas de protección del ciberespacio dentro de la Estrategia de Seguridad Nacional.

Objetivos de la Estrategia Nacional de Ciberseguridad de España

Entre sus objetivos se encuentran:

  • Garantizar la seguridad de los sistemas de las administraciones públicas.
  • Mejorar la resiliencia del sector empresarial, especialmente el de infraestructuras críticas.
  • Fortalecer las capacidades frente a actividades terroristas o delictivas en la red.
  • Fomentar la concienciación de la población.
  • Asegurar que el país cuente con los conocimientos y recursos necesarios para hacer frente a estos retos.

Además, apuesta por la cooperación internacional en este ámbito. Las líneas de acción de esta estrategia se centran en aspectos clave como la prevención, detección, respuesta y recuperación ante amenazas cibernéticas, la protección de sistemas de información tanto públicos como privados, la persecución del ciberterrorismo y la ciberdelincuencia, el fomento del conocimiento y la I+D+i, el desarrollo de una cultura de ciberseguridad y la colaboración a nivel internacional.

Un punto esencial es la necesidad de anticiparse a los ataques. La prevención y la detección temprana son fundamentales, ya que muchas veces los equipos están comprometidos sin que sus usuarios lo sepan. Por ello, se promueven sistemas de alerta temprana y el intercambio de información sobre amenazas. La capacidad de reacción debe ser adecuada a la gravedad del incidente y se requiere un equipo humano capacitado, ya sea interno o externo, pero siempre con planes establecidos y sin improvisación. Es esencial también la fase de análisis posterior a cada incidente, que permita aprender y mejorar los mecanismos de protección.

La ciberseguridad es una responsabilidad compartida entre el sector público y el privado. En un entorno interconectado, los fallos de seguridad en una organización pueden afectar rápidamente a muchas otras. Aunque compartir información sobre vulnerabilidades no es una práctica común en algunas culturas organizativas, se considera fundamental en este campo. Por ello, las legislaciones nacionales e internacionales han comenzado a introducir la obligatoriedad de declarar incidentes de seguridad.

La cooperación internacional se vuelve imprescindible ante un fenómeno global como la ciberseguridad. Las amenazas pueden surgir desde cualquier parte del mundo, y las respuestas deben coordinarse entre Estados. El concepto de ciberguerra y la necesidad de una ciberdefensa están ya plenamente reconocidos, aunque lograr una estrategia global es un reto complejo. Aun así, la estrategia común europea supone un importante avance.

Otro aspecto clave es la sensibilización de la ciudadanía. El usuario es a menudo el eslabón más débil de la cadena de seguridad. Aunque las nuevas generaciones están completamente inmersas en el mundo digital, no siempre lo hacen con conciencia de los riesgos. Por ello, es fundamental educar en el uso seguro de las tecnologías desde edades tempranas y en todas las etapas del sistema educativo. También debe reforzarse esta concienciación en los empleados de las organizaciones, ya que el límite entre lo personal y lo profesional está cada vez más difuminado.

Además, existe una creciente necesidad de profesionales especializados en ciberseguridad. Este perfil es muy demandado y escaso en el mercado laboral. Las organizaciones necesitan expertos capaces de diseñar, implantar y mantener sistemas de seguridad robustos. En el caso de los Estados, esta necesidad es aún más crítica, ya que no se puede depender únicamente de proveedores externos. Se observa también una convergencia entre la seguridad física y la digital, lo que obliga a los profesionales de ambos ámbitos a ampliar sus conocimientos.

El mundo académico, junto con entidades profesionales internacionales del ámbito de las tecnologías de la información, desempeña un papel clave en la formación de estos expertos. Existen certificaciones reconocidas como CISM, CSX, CISA o CISSP, que garantizan que sus titulares poseen los conocimientos y experiencia necesarios. Dado el ritmo de evolución de las amenazas y las tecnologías, estos profesionales deben comprometerse con una formación continua durante toda su carrera.

Recomendaciones y Buenas Prácticas en la Gestión de la Seguridad de la Información en el Ámbito Empresarial y Particular

La figura del profesional de la seguridad de la información desempeña un papel fundamental como referente en el uso responsable de los servicios digitales. Sus actitudes y orientaciones pueden influir directamente en la concienciación del resto de usuarios. Dado que los entornos físico y digital tienden a converger, ambos perfiles profesionales deben coincidir en una conducta ejemplar y coherente en materia de seguridad.

En el ámbito empresarial, uno de los pilares fundamentales es la política de seguridad. Esta no es una descripción técnica ni un documento legal con sanciones, sino una declaración de alto nivel que define lo que se desea proteger, quiénes son los responsables y qué objetivos se persiguen. Tiene un carácter estable y constituye el marco en el que se desarrollan el resto de normativas y procedimientos más detallados.

Objetivos de una Política de Seguridad

Los principales objetivos de una política de seguridad son:

  • Reducir los riesgos a niveles aceptables.
  • Garantizar la confidencialidad, integridad y disponibilidad de la información.
  • Proteger la privacidad.
  • Asegurar el cumplimiento de la legislación vigente.

Para que estas políticas sean eficaces, es esencial una amplia concienciación entre todo el personal. No se espera que todos los empleados sean expertos en seguridad, pero sí que comprendan su importancia y actúen con responsabilidad. Una organización es tan segura como su eslabón más débil, por lo que un solo usuario mal informado puede comprometer la seguridad general. Además, esta política también debe aplicarse a personal externo, como empleados de empresas subcontratadas.

La implicación de la alta dirección es clave en la definición de la estrategia de seguridad. Si los líderes de la organización no muestran un compromiso claro, difícilmente lo harán los demás empleados. La seguridad de la información no debe verse como una responsabilidad exclusiva del departamento TIC, sino como un asunto que afecta a todas las áreas de la empresa, ya que son estas quienes conocen los procesos críticos y los posibles impactos de los riesgos sobre el negocio.

Existen múltiples recomendaciones y buenas prácticas disponibles públicamente, muchas de las cuales pueden adaptarse a las características específicas de cada organización. El primer paso es siempre conocer bien la propia empresa y el tipo de información que maneja. A partir de ahí, se priorizan aquellas medidas que más valor aporten en términos de protección.

El Instituto Nacional de Ciberseguridad (INCIBE) ofrece una serie de medidas básicas de seguridad que pueden aplicarse en cualquier organización.

Medidas Básicas de Seguridad (INCIBE)

Entre ellas destacan:

  • Realizar copias de seguridad.
  • Mantener actualizados los sistemas y aplicaciones.
  • Controlar el estado del antivirus y asegurarse de que todos los dispositivos estén correctamente protegidos.
  • Implementar un control de accesos a las aplicaciones críticas y zonas restringidas.
  • Gestionar las claves y contraseñas de forma segura.
  • Analizar periódicamente la capacidad de los servidores.
  • Gestionar adecuadamente las incidencias de seguridad y la configuración de los activos.
  • Organizar correctamente la gestión de usuarios y funciones.
  • Monitorizar la actividad del sistema.
  • Formar a los empleados en seguridad.
  • Documentar todas las tareas técnicas.
  • Contar con un plan de recuperación ante desastres.

Una medida crítica es la implementación de un buen sistema de copias de seguridad. Esto garantiza que los datos pueden recuperarse en caso de pérdida, ataque o fallo del sistema, asegurando la continuidad del negocio. Igualmente importante es la gestión de actualizaciones de seguridad. Mantener los sistemas parcheados evita que las vulnerabilidades conocidas puedan ser explotadas por atacantes.

La correcta gestión de incidentes de seguridad permite identificar, contener y resolver rápidamente cualquier situación que comprometa los sistemas o datos. Esta gestión se apoya, además, en una adecuada organización de los activos de la empresa. Es necesario contar con un inventario actualizado y clasificado que permita conocer qué dispositivos, aplicaciones y servicios están en uso y cómo se relacionan entre sí.

Otro elemento clave es la gestión de usuarios. No todos los empleados necesitan acceso a toda la información. Establecer claramente quién puede acceder a qué, según su función o departamento, es esencial. Herramientas como las matrices de acceso permiten organizar esto de forma clara y eficiente.

Como ya se ha mencionado, los límites entre la vida profesional y la personal son cada vez más difusos. Por ello, es importante promover hábitos seguros en ambos contextos. Aunque los comportamientos en el entorno privado pueden diferir, es responsabilidad de las organizaciones dedicar los recursos necesarios para fomentar una cultura de seguridad en todos los ámbitos.

En el ámbito particular, el uso consciente y responsable de la tecnología también es fundamental. Muchas de las recomendaciones empresariales pueden aplicarse en el entorno doméstico. A medida que el mundo digital ocupa más espacio en nuestras vidas, los posibles impactos de los incidentes de seguridad son también mayores.

Pautas Básicas de Seguridad Personal

Algunas pautas básicas incluyen:

  • Evitar instalar aplicaciones de fuentes no confiables.
  • No abrir correos de origen dudoso.
  • Evitar páginas web inseguras.
  • Ser cauteloso al proporcionar información personal o financiera.
  • Es aconsejable bloquear el ordenador durante ausencias breves y apagarlo cuando no se utiliza.

Etiquetas: , , , , ,

Deja un comentario