un marco para el analisis de riesgos en´ ciberseguridad
TRANSCRIPT
TESIS DOCTORAL
Un Marco para el Analisis de Riesgos en
Ciberseguridad
Autor: Jose Antonio Rubio Blanco
Director: David Rıos Insua
Tutor: Enrique Cabello Pardos
Departamento de Ciencias de la Computacion, Arquitectura de Computadores,
Lenguajes y Sistemas Informaticos y Estadıstica e Investigacion Operativa
Universidad Rey Juan Carlos
Octubre de 2015
Dr. David Rıos Insua, AXA-ICMAT Chair en el Instituto de Ciencias Matematicas del
Consejo Superior de Investigaciones Cientıficas.
AUTORIZA:
La presentacion de la Tesis Doctoral titulada
UN MARCO PARA EL ANALISIS DE RIESGOS EN CIBERSEGURIDAD
Realizada por Don Jose Antonio Rubio Blanco bajo la direccion y supervision de Don David
Rıos Insua y Don Enrique Cabello Pardos y, que el Departamento de Ciencias de la Compu-
tacion, Arquitectura de Computadores, Lenguajes y Sistemas Informaticos y Estadıstica e
Investigacion Operativa, ha dado su conformidad para que sea presentada ante la Comision
de Doctorado.
En Madrid, a 23 de Octubre de 2015.
Fdo.: D. David Rıos Insua
Dr. Enrique Cabello Pardos, Profesor Titular del Departamento de Ciencias de la Compu-
tacion, Arquitectura de Computadores, Lenguajes y Sistemas Informaticos y Estadıstica e
Investigacion Operativa de la Universidad Rey Juan Carlos.
AUTORIZA:
La presentacion de la Tesis Doctoral titulada
UN MARCO PARA EL ANALISIS DE RIESGOS EN CIBERSEGURIDAD
Realizada por Don Jose Antonio Rubio Blanco bajo la direccion y supervision de Don David
Rıos Insua y Don Enrique Cabello Pardos y, que el Departamento de Ciencias de la Compu-
tacion, Arquitectura de Computadores, Lenguajes y Sistemas Informaticos y Estadıstica e
Investigacion Operativa, ha dado su conformidad para que sea presentada ante la Comision
de Doctorado.
En Madrid, a 23 de Octubre de 2015.
Fdo.: D. Enrique Cabello Pardos
Agradecimientos
A David por su esfuerzo desinteresado, ayuda continua y ejemplo de superacion durante
todos estos anos. Sin el esta tesis no serıa una realidad.
A Enrique por su amable ofrecimiento para tutorizar este trabajo.
Se agradece el apoyo de la Catedra AXA-ICMAT en Analisis de Riesgos Adversarios y del
proyecto MTM2014-56949-C3-1-R.
V
Indice general
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI
Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII
1. Introduccion y Objetivos 1
1.1. Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Seguridad de la Informacion y Ciberseguridad . . . . . . . . . . . . . . . . 2
1.3. Contexto actual de la ciberseguridad en el mundo empresarial . . . . . . . . 7
1.4. Contexto actual de la ciberseguridad en las administraciones publicas . . . 12
1.5. Contexto actual de la ciberseguridad en el mundo militar . . . . . . . . . . 16
1.6. Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.7. Objetivos de la Tesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2. Analisis Crıtico de Metodologıas, Marcos y Modelos en Ciberseguridad 27
2.1. Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
VII
VIII
2.2. Metodologıas para el Analisis de Riesgos en Ciberseguridad . . . . . . . . 33
2.3. Marcos de Control, Compliance y Evaluacion . . . . . . . . . . . . . . . . 60
2.4. Modelos de Ciberinteligencia . . . . . . . . . . . . . . . . . . . . . . . . . 93
2.5. Modelos de Ciberseguros . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
2.6. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
3. Un Marco Integrado para el Analisis de Riesgos en Ciberseguridad 109
3.1. Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
3.2. Evaluacion del comportamiento de un sistema . . . . . . . . . . . . . . . . 111
3.3. Evaluacion de riesgos en ciberseguridad . . . . . . . . . . . . . . . . . . . 114
3.4. Gestion de riesgos en ciberseguridad . . . . . . . . . . . . . . . . . . . . . 116
3.5. Ciberseguros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.6. Analisis de riesgos adversarios en ciberseguridad . . . . . . . . . . . . . . 120
3.7. Aspectos dinamicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
3.8. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
4. Un Caso de Gestion de Riesgos en Ciberseguridad 129
4.1. Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
4.2. Estructuracion del problema . . . . . . . . . . . . . . . . . . . . . . . . . 130
IX
4.3. Asignacion de las creencias y preferencias de la
organizacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
4.4. Asignacion de creencias sobre ataques intencionados . . . . . . . . . . . . 152
4.5. Calculo de la polıtica optima . . . . . . . . . . . . . . . . . . . . . . . . . 158
4.6. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
5. Conclusiones y Trabajo Futuro 161
5.1. Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
5.2. Trabajo Futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Bibliografıa 165
Anexos 173
A. Elementos de las Metodologıas para el Analisis de Riesgos 175
A.1. MAGERIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
B. Elementos de los Marcos de Control, Compliance y Evaluacion 185
B.1. ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
B.2. ISO 22301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
B.3. Ley Organica de Proteccion de Datos de Caracter Personal . . . . . . . . . 191
B.4. SANS Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
B.5. Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
B.6. UNE 71505 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Resumen
Las ciberamenazas afectan a todo tipo de organizaciones, desde empresas privadas a
administraciones publicas, incluyendo infraestructuras crıticas. Para abordar esta compleja
problematica, una herramienta imprescindible es el analisis de riesgos, gracias a la cual las
organizaciones pueden analizar las amenazas que les afectan, priorizar la defensa de sus
activos y decidir que contramedidas deben implantarse para reducir los riesgos.
Los metodos de analisis de riesgos estan presenten en multiples modelos de control,
marcos de evaluacion y compliance, ası como en normativas internacionales. En estos mar-
cos la parte relativa al analisis y tratamiento formal de los riesgos deja mucho que desear.
Por ello, una vez se analicen las principales propuestas existentes en este campo, se pro-
pondra un marco integral para el analisis de riesgos dinamicos en ciberseguridad.
En dicho marco se mostrara como estructurar un problema de analisis y gestion de
riesgos para ciberseguridad, ası como el proceso para identificar activos, amenazas y salva-
guardas. Se evaluaran los impactos que tienen lugar sobre los activos, ası como el valor de
los mismos y los costes de las salvaguardas, planteando la cartera de salvaguardas optimas,
en el sentido de maximizar la utilidad esperada.
En el proceso global de modelizacion tambien se evaluaran las amenazas no adversarias
y las preferencias de la organizacion. Para la modelizacion de las amenazas adversarias se
describira el problema de decision de atacante. Se mostrara un caso practico de implantacion
del marco propuesto, comentando finalmente conclusiones y lıneas futuras de investigacion.
XI
Abstract
Cyber threats affect all kinds of organizations, from private companies to public ad-
ministrations, including critical infrastructures. In order to address this complex problem,
risk analysis is an essential tool as it allows organizations to analyze the threats affecting
them, to prioritize the defence of their assets and to decide what countermeasures should be
implemented to reduce the risks.
The methods of risk analysis are present in multiple control models and assessment and
compliance frameworks, as well as in international regulations. Within these frameworks,
the part concerning the analysis and treatment of the risks is often less than satisfactory.
Therefore, after analyzing the main existing proposals in this field, a comprehensive frame-
work for the analysis of dynamic risks in cybersecurity will be proposed.
In such a framework, we will show how to structure a problem of risk analysis and
management. We will evaluate the impacts that take place on the assets, as well as their
value and the costs of the safeguards, suggesting the best portfolio of safeguards in order to
maximize the expected benefits.
In the overall process of modelling, also the non-adversarial threats and the preferences
of the organization will be assessed. For the modelling of adversarial threats, we will descri-
be the problem of the attacker’s decision. A case study of implementation of the proposed
framework will be displayed with final comments on a series of conclusions and future lines
of research.
XIII
Capıtulo 1
Introduccion y Objetivos
1.1. Introduccion
En este capıtulo se hara una revision de las principales cuestiones en relacion a la
Seguridad de la Informacion y a la Ciberseguridad, haciendo hincapie en como el llamado
Riesgo Digital afecta actualmente a las instituciones modernas de forma constante y notable.
Todo ello sucede a pesar de contar en numerosos casos con suficientes recursos y medidas
de control, de forma que la eliminacion del riesgo sigue siendo precaria, no existiendo en
verdad una gestion de riesgos digitales que haga que se encuadre dentro de los niveles de
apetito al riesgo acordes a los objetivos de negocio de la organizacion.
Por otro lado, analizaremos el contexto de las administraciones publicas en materia
de ciberseguridad a nivel mundial. Estas son un blanco muy jugoso para las organizacio-
nes criminales que se dedican a la extorsion y sabotaje por medios informaticos. Ası, con
cierta frecuencia podemos encontrar en los medios casos de ataques masivos o robos de
informacion a gran escala, incluyendo en muchas ocasiones datos de alta sensibilidad. En
el caso de Espana, estos ataques tambien estan presentes, habiendose desarrollado recien-
temente diversas iniciativas para que la administracion publica cuente de forma obligatoria
con modelos de control propios, hasta hace poco, de las empresas privadas.
1
2
Igual de importante es el contexto militar, dado el gran volumen de informacion clasi-
ficada que se maneja y el caracter estrategico de la misma. En este punto, hemos de hablar
de la llamada Ciberguerra, para la que multitud de paıses se han venido preparando en los
ultimos anos. Ası podemos hablar de estados como Estados Unidos, Reino Unido, China
o Israel, donde las capacidades de ciberdefensa y ciberataque cuentan con una sofistica-
cion muy elevada, siendo estos elementos usados en todo tipo de conflictos, e incluso con
prioridad frente a otra clase de medidas propias de la guerra convencional.
Por otro lado, describiremos la relevancia del compliance en el mundo de la gran em-
presa, donde siempre ha sido prioritario cumplir con todas aquellas regulaciones, leyes y
marcos de buenas practicas de aplicacion en su sector, siendo una condicion sine qua non
para el desarrollo de su negocio. Actualmente, este panorama no solo se ha recrudecido en
las grandes corporaciones, debido al considerable aumento de las normas a cumplir, sino
que ha empezado a afectar de forma notable a las PYMEs. Ası, en este ambito se empieza a
hablar del analisis y gestion de riesgos, viendo de nuevo una clara necesidad de formalizar
y robustecer tales tratamientos.
Finalmente, se plantearan los objetivos del presente trabajo, comentando las deficien-
cias existentes que se pretenden tratar, a fin de poder llegar a establecer un marco y meto-
dologıa de analisis y gestion de riesgos que cubra muchas mas facetas que las propuestas
hasta la fecha. De igual modo, se buscara incluir elementos que hasta ahora estan siendo
tratados de forma poco rigurosa y que, en los proximos anos, iran ganando en importancia
en el mundo de la ciberseguridad.
1.2. Seguridad de la Informacion y Ciberseguridad
El campo de seguridad de la informacion engloba la proteccion tanto de la informacion
manual como automatizada. Ha crecido considerablemente en los ultimos anos debido al
aumento de concienciacion entre usuarios domesticos y profesionales. El robo de informa-
cion confidencial no solo afecta a las grandes corporaciones, por motivos obvios, sino que
3
tambien puede incidir de forma gravosa en la vida de un ciudadano medio. Como ejemplo
de este caso, se pueden citar los reiterados accesos de forma ilıcita a contenido personal
almacenado en la nube, suponiendo desde la revelacion de material comprometido, chanta-
je, extorsion, hasta el borrado de informacion con el consiguiente perjuicio para el usuario.
Recuerdese, por ejemplo, el reciente caso de Ashley Madison (Cinco Dıas, 2015).
Derivado de este hecho, el usuario medio, consciente de las fallas de confidencialidad
a las que puede verse expuesto, ha trasladado esa inquietud en su entorno laboral. De esta
forma, ha ido creandose un clima de concienciacion y exigencia en esta materia. Por otro
lado, los niveles gerenciales son de igual modo muy conscientes de los riesgos a que pueden
verse expuestos sus activos, ası como la propia continuidad operativa del negocio, debido al
riesgo digital. Este implica el atentado contra la informacion desde el punto de vista de la
confidencialidad, integridad y disponibilidad, pudiendose considerar tambien otros factores
como la trazabilidad.
En relacion con lo anterior, importantes consultoras (Gartner, 2015) hablan de como
2015 sera el ano del Riesgo Digital: un gran porcentaje de las empresas pasaran a conside-
rar dicho riesgo como una de sus prioridades de negocio. Entre otros puntos, los Consejeros
Delegados requeriran la presencia en sus consejos directivos de la figura del DRO (Digi-
tal Risk Officer) o del CRO (Chief Risk Officer). Estos tendran que reducir los umbrales
de riesgo del negocio mediante el empleo, entre otros, de herramientas que aseguren las
diversas dimensiones de seguridad de la informacion y servicios.
Tambien cabe destacar que dichas figuras directivas, ası como el rol del CISO (Chief
Information Security Officer), deben lidiar con niveles de delincuencia digital cada vez
mas elevados. Esta motivacion se ve incrementada con la nueva derivada de la Inteligen-
cia Economica o Competitiva, mediante la que corporaciones medianas y grandes luchan
con todos sus medios por conseguir desbancar a sus rivales, incluyendo en ocasiones en
sus operativas acciones de robo de informacion digital. Tambien en esta lınea encontramos
la amenaza que suponen paıses como China, Rusia o Israel, sin olvidar, por supuesto, al
llamado Five Eyes (Estados Unidos, Reino Unido, Canada, Australia, Nueva Zelanda). Ası,
4
tenemos que desde medios gubernamentales se lanzan ataques que buscan robar informa-
cion empresarial confidencial, que, en muchas ocasiones, acaba llegando a las corporaciones
nacionales de dichos paıses en detrimento del tejido industrial europeo. Por ello, desde orga-
nismos como el Foro Economico Mundial se considera que riesgos como los ciberataques
tienen un impacto global similar a otros tipos de riesgos, como los ataques terroristas, el
cambio climatico o las crisis economicas (Foro Economico Mundial, 2015). De igual mo-
do, dentro de la estrategia Horizonte 2020 de la Union Europea se da especial relevancia a
esta tematica, por su gran impacto en la economıa europea (Parlamento Europeo, 2013).
Por todo ello, se hace patente la necesidad de contar con herramientas y soluciones
robustas en materia de seguridad de la informacion y, concretamente, en herramientas que
permitan asegurar la confidencialidad de la misma. Asimismo, y como dato interesante, la
Union Europea preve una gran demanda en los proximos anos de profesionales en el campo
de la seguridad de la informacion, ası como de nuevas empresas y soluciones que recojan
el testigo y den respuesta a la problematica existente. En este contexto, la Comision Eu-
ropea publico su Estrategia de Ciberseguridad (Comision Europea, 2013), donde factores
como la ciberresiliencia, la reduccion de la delincuencia en la red o el desarrollo de recur-
sos industriales y tecnologicos necesarios son algunas de las prioridades marcadas a nivel
polıtico.
Como uno de los conceptos fundamentales en materia de seguridad de la informacion,
debemos ver, en primer lugar, las dimensiones de aseguramiento tradicionales a tener en
cuenta. Estas dimensiones pueden resumirse sucintamente de la siguiente forma:
Confidencialidad: La informacion debe estar disponible unicamente para los usuarios
con acceso autorizado.
Integridad: La informacion no debe ser falseada o corrompida, debiendo, por tanto,
los usuarios legıtimos recibir o recuperar los datos que fueron enviados o almacena-
dos.
Disponibilidad: La informacion debe estar accesible a sus usuarios legıtimos cuando
5
estos lo deseen o requieran, produciendose una denegacion de servicio si tal informa-
cion no esta accesible.
Como complemento, aunque no todas las organizaciones se preocupan debidamente, se
encuentran ademas las siguientes dimensiones:
Autenticidad: Verificacion de la legitimidad de los puntos de origen y destino de la
informacion.
No repudio: Capacidad de demostrar el envıo, recepcion o tratamiento de informacion
por parte de cualquier entidad.
Todos estos conceptos debieran ser familiares para la capa directiva de la organizacion,
especialmente para los referidos roles de DRO y CRO, ası como para el CDO (Chief Di-
gital Officer) o CTO (Chief Technology Officer). Dicho profesional debe no solo velar por
disenar una estrategia eficiente de transformacion hacia lo digital, sino que debe tener en
consideracion todos los parametros relativos al ambito de la ciberseguridad en dichos pro-
yectos. Crear nuevos servicios y canales digitales que ayuden a la expansion corporativa,
captacion de nuevos clientes, mejora de la reputacion de marca, etc, es sin duda una labor
de gran importancia, que se vera con gran interes en el seno corporativo. Por ello, es muy
importante que estos profesionales conozcan los conceptos mas relevantes en materia de
seguridad, normativas existentes, como analizar y gestionar los riesgos, etc. Con dicho ba-
gaje, podran trasladar las inquietudes debidas cuando hablen con sus colegas dedicados a la
parte puramente tecnica en ciberseguridad, ası como plantear los requisitos imprescindibles
en esta materia. Nos referimos en este caso a roles concretos del area de Tecnologıas de la
Informacion, como el CIO (Chief Information Officer) o el CISO.
Por otro lado, debemos indicar que la relevancia de los neologismos incide especial-
mente en el ambito de las TIC y, en concreto, en el area de la seguridad. Por ello es importan-
te distinguir dos conceptos, muchas veces usados de forma indisriminada. Nos referimos a
Seguridad de la Informacion en contraposicion con Ciberseguridad. Ambos tienen el mismo
6
contexto, debiendo decir que el segundo de ellos ha tomado gran importancia en los ultimos
anos, fundamentalmente al usarse como un elemento marketiniano dentro de las consultoras
dedicadas a productos y servicios en este ambito. Siendo sucintos, diremos que el termino
Seguridad de la Informacion se refiere al conjunto de medidas y controles destinados a pro-
teger la informacion, ası como los sistemas de informacion que dan acceso a la misma. Nos
referimos a controles con aplicacion, tanto en el mundo fısico como en el digital, yendo
desde la seguridad de un CPD, las contrasenas de acceso a un sistema informatico, o un
conjunto de expedientes almacenados en un archivador. Por otra parte, cuando nos referi-
mos a Ciberseguridad, estamos considerando aquellas medidas y controles que se aplican
a los dispositivos conectados, los sistemas de comunicaciones, los servicios y aplicaciones
ofrecidas por canales digitales, y la informacion transmitida y almacenada de forma digital.
Ası, derivado de este termino, surgen otros relacionados como ciberdefensa, cibercrimen o
ciberterrorismo.
Dentro de este entorno debemos considerar el factor de las amenazas, que afecta indis-
tintamente tanto a la parte tradicional de la Seguridad de la Informacion, como a los sistemas
interconectados referidos en la Ciberseguridad. Dichas amenazas pueden catalogarse como
internas o externas, siendo las primeras causantes de entre el 70 y 80 % de las incidencias
en seguridad (Forrester, 2013). Por ello, podemos concluir que son las vıas internas las que
debemos controlar en primera instancia. Distinguiremos pues entre:
Amenazas internas: Tanto los usuarios normales, como el personal tecnico, tienen in-
formacion privilegiada que pueden usar para escalar un ataque desde dentro de una
organizacion. Aunque, en principio, su nivel de acceso a la red y sistemas sea bajo,
tienen conocimiento de los aplicativos, los datos de interes, quienes son las perso-
nas con acceso a la misma o que pueden proporcionarlo. Ademas, suelen conocer con
cierto grado de detalle las medidas de seguridad implantadas, con lo que pueden efec-
tuar ataques dirigidos con una mayor tasa de exito. Un ejemplo serıa el caso Falciani
dentro de HSBC (El Confidencial, 2015).
Amenazas externas: Estas amenazas tienen su origen en la red externa a la organiza-
7
cion, un ejemplo serıa los ataques de denegacion de servicio donde se busca desha-
bilitar el acceso a los servicios de una organizacion, como ocurrio en 2014 con los
servidores de Sony (Huffington Post, 2014). El caso mas habitual es el de atacan-
tes que desconocen los parametros tecnicos de la organizacion, por lo que deben, en
primer lugar, proceder a recopilar cuanta informacion les sea posible. Dicho factor
sera determinante para intentar detectar estos ataques en sus fases tempranas. Para
mitigarlos se debera llevar a cabo una serie de buenas practicas estandar, como preve-
nir el uso de redes inalambricas desprotegidas, contrasenas debiles o sin caducidad,
equipos sin vigilancia, etc.
1.3. Contexto actual de la ciberseguridad en el mundo
empresarial
La rapida evolucion tecnologica ha hecho que los modelos de negocio de la practica
totalidad de las empresas, independientemente de su tamano o sector de actividad, se apoye
de forma sustancial en las TIC. La necesidad de encontrar nuevos canales de comunicacion
con los clientes, el lanzamiento de servicios novedosos que faciliten su usabilidad o la nece-
sidad de reducir los modelos de costes no han ido de la mano del desarrollo de medidas de
seguridad robustas. Ası, encontramos que los esfuerzos llevados a cabo en el area de ciberse-
guridad no han sido tan profusos como cabrıa esperar, no existiendo verdaderas inversiones
en esta materia y no analizando de forma eficaz los riesgos digitales que introducen estos
canales y servicios digitales.
Por otro lado, se ha producido un considerable incremento del numero de cibercrimina-
les y actores que, de forma continua, buscan introducirse fraudulentamente en los sistemas.
En los anos setenta y ochenta, la generacion que inicio el movimiento hacker tenıa como fin
la investigacion principalmente, sin buscar un objetivo economico o danino en los sistemas.
Hoy en dıa, el panorama es muy distinto: individuos que buscan fama, ası como otros que
trabajan pagados por mafias o por las propias empresas de la competencia, buscan como
8
romper los sistemas para robar informacion crıtica, reducir los niveles de disponibilidad de
los servicios o provocar un dano reputacional, en muchas ocasiones irreparable, como ocu-
rrio en el robo de datos de cuarenta millones de tarjetas de creditos en la empresa Target
(CNN Expansion, 2013).
Ademas sigue existiendo cierto halo de incredulidad en torno a este tipo de ataques,
siendo este el principal motivo de que la mayorıa de las organizaciones sigan sin implantar
las medidas oportunas. Mientras que los incidentes y ataques fısicos, vayan desde un incen-
dio a un robo, son elementos claramente asimilados y tenidos en consideracion, los ataques
informaticos siguen sin ser entendidos en toda su magnitud. El caracter inmaterial de las
ciberamenazas hace que solo aquellas empresas que han sufrido sus consecuencias esten
realmente concienciadas sobre este escenario.
Entre los potenciales ataques que producen mas dano a las organizaciones encontramos
el robo de informacion sensible, como datos comerciales, estrategicos, o de propiedad inte-
lectual (Thomson Reuters, 2011). Precisamente son estos ataques los que se producen con
mayor frecuencia, buscando afectar negativamente los objetivos de negocio de las empresas
afectadas. Frente a este panorama, los esfuerzos de las companıas se han centrado en el
aseguramiento de sus servidores y bases de datos, dejando no obstante desprotegidos otros
activos de vital importancia. Nos referimos al factor humano, ya que los niveles de concien-
ciacion siguen siendo muy bajos, y, por muchas medidas de seguridad que existan, si las
personas no saben con exactitud que pueden y que no pueden hacer acabaran introduciendo
agujeros en el sistema. Como ejemplo, cabe destacar la navegacion por sitios web indebidos
o el uso de dispositivos personales como memorias USB en los sistemas corporativos. Di-
chas situaciones pueden producir que el usuario cree directamente un canal de exfiltracion
de datos en la red corporativa, pudiendo tardar el departamento de TI varios meses en ser
capaces de detectar esa anomalıa.
Asimismo, en los ultimos anos se ha extendido el fenomeno BYOD (Bring Your Own
Device), donde los empleados usan de forma extensiva sus propios dispositivos persona-
les (smartphones, portatiles, etc) para el trabajo diario. Este hecho impacta negativamente
9
en la seguridad de la informacion confidencial de la empresa, ya que pasan a acceder a la
misma dispositivos que no han sido debidamente asegurados, que pueden estar infectados y
propagar dicha infeccion a la red interna. Igualmente, puede ocurrir que quede almacenada
informacion sensible en dispositivos expuestos con mayor probabilidad a robos e intrusio-
nes. Por supuesto, el mercado cuenta con soluciones tecnologicas para tratar de evitar estos
escenarios, pero, de nuevo, en la gran mayorıa de las empresas se hace poco al respecto,
quitando tambien importancia a estas amenazas en los analisis de riesgos llevados a cabo.
Ademas, los ultimos avances tecnologicos, que ayudan a conseguir una ventaja com-
petitiva importante, introducen nuevos riesgos y amenazas. Hablamos de disciplinas como
Cloud Computing o Big Data, que estan muy en boga por los beneficios que introducen. Sin
embargo, si se implantan sin el debido nivel de madurez, pueden acarrear graves proble-
mas jurıdicos y de seguridad. Podemos pensar en la empresa que ha decidido externalizar
servicios crıticos para su negocio y, tras un ataque a la infraestructura cloud donde esta alo-
jado dicho servicio, pierde sus datos o tarda horas e incluso dıas en volver a estar operativa.
Como ejemplo, en 2014 un ataque contra Akamai Technologies afecto a sitios web de rele-
vancia como Google y Yahoo (Secure64, 2014), mientras que el propio Google ha sufrido
en multiples ocasiones ataques que han deshabilitado durante dıas algunos de sus servicios
(DNA India, 2014). Asimismo, ha de considerarse la externalizacion de servicios, con la
consecuente informacion, a infraestructuras cloud fuera de la Union Europea, entrando en
colision con normativas en materia de proteccion de datos (Rubio et al., 2006), (Rubio
et al., 2008). De nuevo, para solventar este problema existen marcos de control como Eu-
roCloud Star Audit o CSA STAR. Sin embargo, ademas de ser escasamente empleados,
adolecen de cierta simplicidad y, por tanto, no captan la verdadera problematica a que nos
enfrentamos. Sobre la correcta implantacion de mecanismos de control (Telstra, 2014) en-
contramos datos significativos en la Figura 1.1.
10
Figura 1.1: Implementacion de marcos de control (Telstra, 2014).
Por otro lado, y dentro de la sofisticacion cibercriminal que se comentaba al inicio, nos
encontramos con las llamadas APTs (Advanced Persistent Threat), que afectan principal-
mente a las organizaciones privadas. Nos encontramos ante ataques multi-fase que tienen
como fin ir introduciendose en la red del objetivo de forma sigilosa y ganando, poco a poco,
los privilegios necesarios (Tankard, 2011). Para las vıas de infeccion se pueden usar desde
ataques tradicionales que hacen uso de vulnerabilidades bien conocidas aun no debidamente
parcheadas en los sistemas, hasta las conocidas como vulnerabilidades de dıa cero, que son
las que en verdad dan cuerpo a las APTs. Estas vulnerabilidades son desconocidas por la
comunidad de seguridad en gran medida, dando, por tanto, la posibilidad de ser usadas de
forma intensiva hasta que los fabricantes afectados tengan constancia de las mismas, creen
soluciones oportunas y se distribuyan a las empresas afectadas.
En definitiva, el negocio desconoce las verdaderas implicaciones de las ciberamenazas,
no existiendo un alineamiento entre los objetivos de negocio y las necesidades en materia
de seguridad de la informacion (Telstra, 2014). Este escaso nivel de alineamiento se puede
11
observar en la Figura 1.2.
Figura 1.2: Alineamiento entre objetivos de negocio y SI (Telstra, 2014).
Ademas cabe destacar que la alta direccion no siempre participa en la toma decisiones
en materia de seguridad, como se observa en la Figura 1.3, siendo uno de los principales
motivos por los cuales no acaba de existir el debido alineamiento entre negocio y seguridad.
12
Figura 1.3: Involucracion en la toma de decisiones en seguridad (Telstra, 2014).
1.4. Contexto actual de la ciberseguridad en las adminis-
traciones publicas
En las administraciones publicas, el panorama concuerda en muchos aspectos con lo
que ocurre en el mundo empresarial. Los ataques e incidentes informaticos son cada vez
mas frecuentes, propiciando este hecho la falta de concienciacion existente y la falta de
modelos de control que permitan que los niveles de riesgo sean reducidos. Ademas, cabe
destacar la falta de recursos, o al menos la existencia en menor grado de los mismos, si
hacemos una comparacion con la empresa privada. De igual modo, la alta direccion no deja
de mirar con cierto escepticismo este tema, prefiriendo invertir en otras areas organizativas
13
y no en lo referente a la seguridad de la informacion.
En cuanto a las tipologıas de ataques que se dan en este contexto, podemos destacar
los conocimos como DDoS (Distributed Denial of Service), con los que se persigue dejar
inhabilitada a una organizacion, o al menos a varios de sus servicios (Lesk, 2007). Podemos
hablar desde la pagina web de una institucion, un servicio al ciudadano accesible a traves de
una sede electronica o, incluso, servicios crıticos de gobierno electronico (Rubio y Grima,
2006), (Rubio et al., 2008), (Rubio et al., 2013). Estos ataques en el caso de una empresa
privada derivan principalmente en perdidas economicas, mientras que en el caso de las
administraciones publicas originan danos reputacionales de altısimo impacto.
Por otro lado, encontramos en estos contextos una menor concienciacion, si cabe, que
en el entorno privado, haciendo ası que las incidencias en materia de seguridad de la infor-
macion se multipliquen o, lo que es peor, pasen totalmente desapercibidas. Tambien relacio-
nado con este punto encontramos significativo que en un porcentaje demasiado elevado de
situaciones, los aspectos de seguridad de la informacion se toman en consideracion en los
proyectos como respuesta a problemas surgidos, o una vez han finalizadas dichas iniciativas
(Telstra, 2014). En la Figura 1.4 se observan las situaciones en que las organizaciones usan
marcos de control, en particular en el sector publico.
14
Figura 1.4: Inclusion de marcos de control en las organizaciones (Telstra, 2014).
Un tipo de incidencia que empieza a ser cada vez mas habitual en las administraciones
publicas es el llamado ramsonware. Basicamente nos encontramos con informacion privada
de negocio que ha sido cifrada, no pudiendo los usuarios legıtimos acceder a la misma,
para lo cual los atacantes exigen el pago de una cantidad. En teorıa, cuando se produce
ese rescate los atacantes proporcionarıan las claves de cifrado a las vıctimas aunque, en la
mayor parte de ocasiones, sigue sin producirse, con lo que el impacto para la organizacion
15
es aun mayor. Por un lado, ha perdido el acceso a informacion sensible, que en caso de
que no este replicada se perdera definitivamente; por otro, han desembolsado una cantidad
economica que no les ha servido para nada.
Otra variedad de ataques que tienen como destinatarios a empleados de las adminis-
traciones publicas, aunque tambien se efectua contra directivos de nivel medio y alto en
organizaciones privadas, son los ataques dirigidos vıa redes sociales y medios de comu-
nicacion. En este caso, los atacantes estudian concienzudamente la vıctima, rastreando su
presencia en redes sociales, foros, etc, de cara a conocer sus gustos, aficiones, condicion
social, etc. Con dicha informacion pasan a construir un ataque dirigido, enviando un correo
electronico malicioso hacia el blanco, cuyas caracterısticas sean tan atractivas para dicha
persona que con un alto grado de probabilidad cliquee en un enlace malicioso. O, por ejem-
plo, haciendo que por casualidad esa persona se encuentre una memoria USB infectada,
que acabara usando en su ordenador de trabajo o personal, punto desde el que empezara la
escalada de privilegios hasta llegar a la informacion deseada. El ataque Stuxnet, de gran
relevancia en el sector de la seguridad, tuvo su origen mediante esta accion de ingenierıa
social (Langner, 2011).
Tal es el nivel de sofisticacion alcanzado por los atacantes que la industria habla ya del
Crimeware as a Service (Cisco, 2014), existiendo alrededor de los atacantes profesionales
gestores de servicio y revendedores, al igual que ocurre en la industria tradicional. Para
contrarrestar esta situacion se han lanzado nuevos paradigmas de defensa, siendo uno de los
mas destacados la llamada Inteligencia de Amenazas. En la misma, se hace un analisis de
grandes volumenes de datos, tratanto de identificar los patrones de ataque de los atacantes,
contra una infraestructura determinada o incluso contra un sector especıfico. En este sentido,
si se detecta un determinado tipo de ataque contra un hospital, hay grandes posibilidades
de que ese mismo tipo de ataque tenga lugar en un perıodo breve de tiempo contra otros
hospitales.
Ademas, cabe destacar el hecho de que en las administraciones publicas en raras oca-
siones se ha contado con marcos de control, que ayuden a organizar la gestion y gobierno de
16
la seguridad de la informacion. No obstante, en Espana este hecho cambio con la introduc-
cion de la Ley 11/2007 de Acceso Electronico de los Ciudadanos a los Servicios Publicos.
A partir de ese momento, se posibilitaba el que los ciudadanos se relacionasen con las ad-
ministraciones publicas mediante canales digitales, desde cualquier lugar y en cualquier
momento. Para que esta practica pudiese tener lugar, era patente la necesidad de contar con
esquemas de seguridad que garantizasen que dichos servicios electronicos fuesen seguros y,
por tanto, los ciudadanos pudiesen usarlos con todas las garantıas. Derivado de este hecho,
se diseno el Real Decreto 3/2010, por el que se regulaba el Esquema Nacional de Seguridad
en el ambito de la Administracion Electronica. De esta forma, se extendıa a todas las ad-
ministraciones publicas la obligacion de contar con sistemas de gestion de la seguridad de
la informacion, de forma equivalente a como venıa sucediendo en el sector privado, donde
las empresas debıan contar con dichos esquemas para transmitir confianza a sus clientes, al
mercado y poder concurrir en numerosas licitaciones.
Por ultimo, y centrandonos en el contexto de la administracion electronica, tenemos co-
mo ejemplo importante el caso ocurrido en Holanda en 2013. Diez millones de holandeses
se quedaron sin firma digital, no pudiendo acceder a la declaracion de la renta, ante lo que
las autoridades de dicho paıs quedaron impotentes al no haber desarrollado previamente las
medidas de control oportunas (El Paıs, 2013). De nuevo, esta situacion se podrıa haber pre-
venido o solucionado de forma eficaz, si en su momento se hubiera realizado un analisis de
riesgos adecuado y que tomase en cuenta la verdadera complejidad del escenario sucedido.
1.5. Contexto actual de la ciberseguridad en el mundo mi-
litar
El ambito de la ciberseguridad y la seguridad de la informacion no podıa ser indiferente
al mundo militar, donde, de hecho, la sofisticacion de los ataques sufridos es notable. Desde
hace una serie de anos se habla de la existencia del quinto entorno operativo, siendo dicho
entorno el relativo al ciberespacio. Ası, el mundo digital en el ambito militar pasa a tener la
17
misma relevancia que hasta ahora tenıan los entornos de tierra, mar, aire y espacio (United
States Government Accountability Office, 2013): los ejercitos actuales saben que puede
ser mas facil derrotar a un enemigo atacando sus infraestructuras tecnologicas, que sus
campamentos y enclaves militares. De este modo, los virus informaticos, troyanos y otras
ciberarmas pasan a tener igual o mayor importancia que los misiles o los tanques.
Siguiendo esta lınea, un numeroso grupo de paıses han creado sus propios departamen-
tos de ciberguerra, donde se estudia y opera tanto en el ambito defensivo como ofensivo.
Cabe decir que en el primero, el defensivo, es donde se estan posicionando la totalidad de
paıses. En el ambito ofensivo, el grupo de paıses capaces de operar es mucho mas reducido,
ya que las necesidades en materia de expertos, investigacion y recursos crece exponencial-
mente. En este contexto, podrıamos hablar de una guerra de guerrillas en la que, a pesar
de no haber una guerra tal cual declarada, numerosas partes estan realizando movimientos
activos de forma constante. A tal punto llega este caso que hay estudios que destacan la
existencia de troyanos, aun no descubiertos, en las conocidas como infraestructuras crıti-
cas de numerosos paıses. Es decir, en prevision de un conflicto, ciertos paıses de forma
preventiva han vulnerado instalaciones crıticas de otros estados, siendo el objetivo activar
inmediatamente dichos elementos en el momento en que las hostilidades crezcan (Andress
y Winterfeld, 2013).
Sobre las infraestructuras crıticas, hemos de decir que han abierto un nuevo campo en la
parte defensiva y ofensiva de la ciberseguridad (Rubio et al., 2013), (Johnson, 2015), siendo
uno de los precursores de la escalada de ciberamenazas en este ambito Stuxnet (Zetter,
2014). Dicho troyano infecto infraestructuras nucleares iranıes en 2011, teniendo como fin
parar o ralentizar el programa nuclear de Iran. Numerosos expertos atribuyeron tal ataque,
una vez analizado el material encontrado, a Estados Unidos e Israel. Pero este no fue el
ultimo caso, ya que en un intervalo muy reducido de tiempo se tuvo noticia de otros ataques
similares, como Duqu, Flame y Gauss (Shakarian, Shakarian y Ruef, 2013).
En Espana instituciones como CNPIC (Centro Nacional de Proteccion de Infraestruc-
turas Crıticas), INCIBE (Instituto Nacional de Ciberseguridad) y el Mando Conjunto de
18
Ciberdefensa se encargan de velar por la seguridad de dichas infraestructuras, que, en caso
de ser afectadas, podrıan provocar consecuencias inciertas y clasificadas como de seguridad
nacional, vease (Bernardes, 2013) o (Macauly, 2008). Ası, contamos con la Ley 8/2011,
de Proteccion de Infraestructuras Crıticas (LPIC), en la que se recoge todo el marco de
actuacion a llevar a cabo sobre los siguientes sectores:
Administracion.
Agua.
Alimentacion.
Energıa.
Espacio.
Industria Quımica.
Industria Nuclear.
Instalaciones de Investigacion.
Salud.
Sistema Financiero y Tributario.
Tecnologıas de la Informacion y las Comunicaciones.
Transporte.
Dado el caracter estrategico de estos elementos, y su elevada criticidad, los consideramos
dentro del ambito militar y no de las administraciones publicas ordinarias por motivos ob-
vios. No obstante, los enfoques de analisis de riesgos empleados siguen siendo los tradicio-
nales, sin importar la mayor complejidad y criticidad de este contexto. Por tanto, un punto
de estudio es como sofisticar los esquemas de analisis y gestion de riesgos empleados en
19
el entorno de infraestructuras crıticas, buscando marcos de trabajo capaces de analizar y
gestionar la creciente amenaza de los ciberatacantes (Rubio y Rıos Insua, 2014).
Tambien cabe destacar que estos movimientos de ciberguerra no son unicamente ex-
clusivos de paıses como Estados Unidos, China e Israel, sino que incluso paıses europeos
ya han lanzado operaciones. Un caso concreto es el de Francia, con el desarrollo del gusano
Babar que tenıa como uno de sus objetivos el gobierno espanol, a fin de saber cuales eran
las medidas que iba a tomar el ex-presidente Zapatero en plena crisis economica. Ası el
servicio secreto frances, en concreto la Direccion General de Seguridad Exterior, lanzo una
ofensiva digital simplemente para recoger informacion de interes, saliendo este hecho a la
luz vıa filtraciones de Snowden (Leak Source, 2014). Cabe destacar aquı el sigilo, alta efi-
cacia y reducidos costes de este tipo de ataques. En principio, Francia diseno esta ciber arma
para infiltrarse en el programa nuclear iranı. Sin embargo, una vez comprobo su eficacia,
decidio usarlo tambien para espiar a diversos paıses amigos, entre ellos Espana.
Hay otros casos curiosos como es el de Marruecos, paıs que hasta la fecha ha decidido
externalizar este tipo de ciber armas en vez de confiarlas a sus servicios de inteligencia.
Para ello decidieron encargar esta tecnologıa a equipos de hackers italianos, lıderes en la
venta de virus, junto con otras empresas similares de Alemania. En esta misma lınea, Es-
pana diseno el troyano conocido como Careto, que se infiltro en diversos sistemas de la
administracion marroquı. De igual modo, se identificaron trazas de este gusano en Brasil,
el paıs extranjero con mayor presencia de inversion espanola, y en el operador vasco de
telecomunicaciones Euskaltel. Dicho troyano contaba con sofisticadas funcionalidades, co-
mo escuchar las conversaciones vıa Skype, grabar las pulsaciones del teclado y capturar
ficheros buscando claves criptograficas militares y gubernamentales (El Mundo, 2015).
Ante este panorama, algunos paıses como Estados Unidos han decidido ir un paso mas
alla, creando un ”kill switch”que permitirıa desactivar Internet en todo Estados Unidos en
caso de que el paıs sufriera un ataque digital severo. Para ello se consideraron diversos
escenarios, como ataques contra la red electrica, oleoductos, gaseoductos, turbinas eolicas,
plantas nucleares y sistemas de distribucion de agua. En definitiva, procesos industriales
20
que, en caso de verse afectados, pondrıan en grave riesgo la economıa del paıs, la salud de
sus ciudadanos, ası como la propia conservacion del medioambiente.
1.6. Compliance
En el contexto del compliance, que va mas alla del mero cumplimiento de normativas
al recoger tanto obligaciones exigidas por terceros como compromisos asumidos volunta-
riamente, nos encontramos con la reciente modificacion en Espana del Codigo Penal. En
ella encontramos la introduccion de la responsabilidad penal de la persona jurıdica, con un
catalogo especıfico de delitos sobre los que dicha figura debe responder. De igual modo,
se explicitan los distintos tipos de penas a establecer, que pueden suponer desde multas
economicas hasta la propia disolucion de la persona jurıdica. Por tanto, nos encontramos
ante un tema de gran impacto para las organizaciones, que requiere que la Alta Direccion
y los niveles gerenciales sean si cabe mas precavidos con el cumplimiento de todas sus
obligaciones y normativas de aplicacion.
Por otro lado, debemos prestar especial atencion al ambito de la Continuidad de Ne-
gocio, ya que nuestros activos, canales digitales e infraestructura pueden verse afectados
por diversas modalidades de riesgos e incidentes. Si estos no han sido estudiados de forma
previa pueden conllevar la perdida total de las operaciones de la organizacion. Ante este
panorama, contamos a nivel internacional con buenas practicas y normativas, como puede
ser la ISO 22301, que marca las pautas, planes de accion y tareas a realizar para mitigar,
dentro de lo posible, esos escenarios de riesgo que pueden incidir tan gravosamente en la
supervivencia de una organizacion.
Con un impacto quiza menor, aunque con una frecuencia potencial de ocurrencia mu-
cho mas elevada, nos encontramos con el ambito de la proteccion de datos de caracter
personal (Rubio et al., 2006), (Rubio et al., 2007), (Rubio et al., 2008). Dentro de nuestras
estrategias digitales podremos llevar a cabo recogidas y tratamientos de datos personales
que, de no estar alineadas con la normativa vigente en esta materia, supondran un dano
21
reputacional y economico importante. Ası, veremos pronto una herramienta que viene da-
da por el futuro Reglamento Europeo de Proteccion de Datos, conocida como analisis o
evaluacion de impacto en privacidad. Por ultimo, se considerara el ambito de la reputacion
online y la ciber inteligencia, que pueden incidir tambien de forma clara y notoria en las
organizaciones.
En este contexto, figuras como el CDO, CRO o DRO deben tener un conocimiento
suficientemente profundo como para identificar aquellos riesgos que pueden darse en la
estrategia digital a plantear. Por supuesto, se necesitara un asesoramiento experto, debiendo,
de hecho, existir otro rol tambien en el nivel de direccion con el que se trabaje codo a
codo, siendo el mismo la figura del Compliance Officer. De hecho, dentro de los marcos de
Buen Gobierno Corporativo, las entidades cotizadas deberan contar con una comision de
auditorıa, que debera supervisar la eficacia de los Sistemas de Gestion de Compliance, tarea
que, no obstante, tambien podrıa encuadrarse en otras comisiones como pudiera ser la de
responsabilidad social corporativa.
A nivel nacional, debe indicarse que para recoger toda la riqueza y trasfondo semantico
la industria ha preferido mantener el anglicismo Compliance. De este modo, se va mas
alla del puro cumplimiento normativo o regulatorio, dando cabida tambien a las buenas
practicas que las organizaciones deciden implantar (Rubio et al., 2009). Este punto tambien
recoge el hecho de que debemos velar y respetar los valores adoptados por la organizacion.
Por ultimo, se debe indicar que la necesidad de contar con marcos de compliance vie-
ne motivado tambien por los altos niveles de corrupcion existentes, el contexto de crisis
economica y la necesidad de mostrar a la ciudadanıa el empleo de una etica hasta ahora
defenestrada, vease por ejemplo (El Paıs, 2014). En defintiva, debemos contar, respetar
y proteger la cultura corporativa, integrar en la operativa diaria los compromisos asumi-
dos publicamente y hacer valer los mismos ante nuestros clientes y ciudadanıa para ganar
su confianza. Para ello, en los modelos de control y riesgos empleados se deben hilvanar
nuevos elementos, dando paso a marcos con un nivel de sofisticacion acorde a los requeri-
mientos exigidos (Rubio y Rıos Insua, 2008).
22
1.7. Objetivos de la Tesis
En la actualidad, todo tipo de organizaciones se ven impactadas de forma crıtica por las
ciberamenazas, desde las corporaciones privadas, pasando por las administraciones publi-
cas, hasta las infraestructuras crıticas. De igual modo, en el ambito militar se habla de
un quinto espacio de operacion, el ciberespacio donde, constantemente, se producen mo-
vimientos operativos por parte de un gran numero de paıses. Para tratar de resolver este
problema, una herramienta fundamental es el analisis de riesgos, con el que las organiza-
ciones pueden analizar el mapa de riesgos que les afectan, priorizar sus activos, ver que tipo
de amenazas y vulnerabilidades estan presentes en los mismos, y que salvaguardas deben
implantar para reducir la materializacion de incidencias en este sentido.
Asimismo, y como elemento indispensable que se conjuga con las metodologıas de
analisis de riesgos, encontramos diversos modelos de control. En los mismos, se definen y
detallan conjuntos de medidas de seguridad que deben implantarse en las organizaciones, en
funcion de los activos y riesgos a que estan expuestos. Al igual que ocurre con los marcos
de analisis de riesgos, en funcion del contexto en que nos encontremos, sera preceptivo usar
uno u otro marco. A pesar de que estas propuestas cuentan con ciertas virtudes, como, por
ejemplo, categorizaciones de amenazas y activos muy detalladas, dejan mucho que desear
en lo concerniente al analisis y tratamiento de los riesgos. Es por ello que, una vez vistas las
principales propuestas existentes en la actualidad, se propondran enfoques complementarios
que, entendemos, alcanzan el necesario nivel de sofisticacion y eficacia que requieren los
niveles de amenaza existentes.
Por otro lado, y como otro de los principales puntos de batalla en el campo de la segu-
ridad de la informacion, encontramos los marcos de evaluacion y certificacion de la segu-
ridad. Estos elementos han ido adquiriendo mayor relevancia en los ultimos anos, dada la
necesidad de contar con unas garantıas mınimas en materia de seguridad de los servicios y
productos que emplean las organizaciones. Ası el mercado no solo cuenta con factores ob-
jetivos en cuanto a la usabilidad, coste, etc de los productos TIC, sino que tambien cuenta
con parametros sobre el nivel de integracion de la seguridad en los procesos de desarrollo
23
de los productos.
A pesar de la enorme importancia de estos marcos de evaluacion, dado que se usan
como referente a nivel internacional por la practica totalidad de fabricantes y consumido-
res, siguen optando por aproximaciones muy simplistas que no atienden a la complejidad
del mundo real. En definitiva, nos encontramos con acuerdos internacionales entre paıses,
como es el caso de Common Criteria que se expondra en el siguiente capıtulo, donde vein-
tidos paıses reconocen dichos certificados, o incluso esquemas nacionales, como es el caso
del Esquema Nacional de Evaluacion y Certificacion de la Seguridad de las Tecnologıas de
la Informacion en Espana. En uno y otro caso, las aproximaciones empleadas para el tra-
tamiento del riesgo son manifiestamente mejorables, sirviendo las propuestas comentadas
tambien para este ambito.
Ademas, se analizaran los esquemas de analisis de riesgos empleados en propuestas tan
importantes como el futuro Reglamento Europeo de Proteccion de Datos, de gran impacto
para todo el mercado economico europeo. De nuevo, veremos la necesidad de actualizar
dicho esquema, mejorando su planteamiento y tratamiento de riesgos. En un panorama muy
similar, se analizaran las propuestas existentes para evaluar riesgos en los marcos de com-
pliance, que tendran gran trascendencia, dado el impulso que se esta dando a nivel interna-
cional en todo lo referente a la lucha contra el fraude y la corrupcion (OCDE, 2011), (G20
y OCDE, 2012), (Transparencia Internacional, 2011), (Transparencia Internacional, 2013).
De igual modo, se analizaran las propuestas existentes en el ambito de la ciberinteli-
gencia, y los modelos relacionados con la llamada inteligencia economica o competitiva.
En este contexto, existen problemas sin resolver, como la falta de indicadores y modelos
organizativos que consigan dotar a las organizaciones de verdaderos marcos de gobierno,
gestion y evaluacion de la ciberinteligencia. Sobre este punto, tambien propondremos me-
joras significativas.
Asimismo en los ultimos anos se ha empezado a hablar con fuerza de los llamados
ciberseguros, donde algunas grandes companıas del sector han lazando productos en este
24
sentido al mercado, no sin dificultades. Basicamente, las organizaciones son cada vez mas
conscientes de su dependencias de las nuevas tecnologıas, como la informacion es uno de
sus mayores activos, como su modelo de generacion de valor depende de los servicios di-
gitales que ofrecen a los usuarios y, en definitiva, la necesidad de que dichos activos esten
debidamente asegurados para no incurrir en perdidas de clientes, danos reputacionales y en
sanciones economicas y administrativas por los reguladores. Ası, las empresas trasladaron
a las companıas aseguradoras la necesidad de contar con ciberseguros que cubriesen dichos
escenarios. Ante ello, las aseguradoras empezaron a construir modelos para calcular las pri-
mas y posibles coberturas a ofrecer (Black Enterprise, 2015). Dichos enfoques resultan
insatisfactorios en la actualidad al no contar el sector asegurador con el conocimiento nece-
sario de este campo, ademas de no disponer de datos historicos que les permitan construir
modelos robustos. Todo ello redunda en el hecho de que no todas las aseguradoras esten
ofreciendo este tipo de servicios y que las que lo hacen impongan lımites rigurosos que
hacen que estos servicios no acaben de despegar. Sobre este contexto, propondremos ele-
mentos de mejora sobre los enfoques actuales, entendiendo, de nuevo, que los ciberseguros
requieren un planteamiento mas riguroso en lo relativo a los modelos de control usados y el
tratamiento de los riesgos.
En resumen, el principal problema que debe resolverse en el ambito de la seguridad de
la informacion es la inexistencia de modelos de control y analisis de riesgos sofisticados,
que esten a la altura de las circunstancias. Para ello, la metodologıa de trabajo llevada a cabo
ha constado de una fase de observacion y analisis de los marcos y metodologıas existentes
en la actualidad, ası como su implantacion y uso en entidades privadas y administraciones
publicas. Posteriormente, se analizaron los resultados observados, viendo las deficiencias
encontradas en dichas implantaciones en casos reales y las sugerencias trasladadas por los
propios afectados. Siguiendo a esta fase hubo una labor de documentacion y trabajo de cam-
po, a fin de encontrar posibles soluciones a las carencias actuales, disenando las propuestas
que en este trabajo se desarrollan. Finalmente dichas propuestas se implantaron en casos
reales, analizando sus ventajas sobre los anteriores modelos usados.
En cuanto a la estructura de este documento, en el capıtulo 2 se detallaran las prin-
25
cipales metodologıas de analisis de riesgos usadas en la actualidad, para posteriormente
hacer una comparativa crıtica sobre las mismas. De igual modo, se describen los marcos
de control mas conocidos, ası como los marcos de evaluacion y compliance, y modelos
existentes en torno a la ciberinteligencia y ciberseguros. En el capıtulo 3, se detallaran los
diversos modelos y elementos propuestos. Posteriormente, en el capıtulo 4 se muestra un
caso practico, donde por motivos de confidencialidad no se aportaran nombres reales de
organismos donde han sido implantados ni detalles numericos. En el capıtulo 5 se resumen
las principales conclusiones de este trabajo, ası como las lıneas futuras de investigacion mas
interesantes. Finalmente se incorporan anexos donde se detallaran los elementos usados en
los principales marcos analizados en el capıtulo 2.
26
Capıtulo 2
Analisis Crıtico de Metodologıas,
Marcos y Modelos en
Ciberseguridad
2.1. Introduccion
Desde tiempos recientes, se viene dando gran importancia al analisis de riesgos en
general y, en particular, en el campo de las TIC. Gracias al mismo se pueden estructurar y
cuantificar los riesgos asociados a los activos de una infraestructura tecnologica dada. Con
estas bases, se puede realizar una toma de decisiones hasta cierto punto eficaz en lo relativo
al ciclo de vida de estos sistemas (Rubio et al., 2005a), (Rubio et al., 2005b). Por otro lado,
se puede establecer la idea de que los riesgos TI no solo dependen de la seguridad per se de
los propios sistemas informaticos, ya que otros factores pueden producir un suceso anomalo
en un sistema.
Si tuvieramos que segmentar las amenazas que pueden tener cierto impacto en una
infraestructura TI, podrıamos establecer los siguientes grupos de incidentes:
27
28
Amenazas internas y externas realizadas por atacantes (Seguridad).
Polıticas de TI (Cumplimiento de normativas).
Desastres naturales y fallos del sistema (Disponibilidad).
Rendimiento de las aplicaciones y rendimiento TI (Eficacia).
Ante tal variedad de elementos complejos a considerar, teniendo en cuenta la necesidad
de dichos estudios explıcitamente para sistemas TI crıticos (ej. sistemas de abastecimien-
to electrico, control nuclear, gobierno electronico, etc), se vienen usando metodologıas o
procesos en cierta manera burdos. Esto se debe a que los mismos, aun considerando de for-
ma muy aguda cuestiones como la identificacion de activos, amenazas o contramedidas, se
plantean desde una optica estatica, que deja de lado cuestiones importantes como el caracter
dinamico de los sistemas o la necesidad de mejorar los modelos de cuantificacion del riesgo.
De igual modo, es un hecho constatado que la seguridad presente en la mayorıa de las
organizacione privadas e instituciones publicas adolece de debilidades considerables, que
dejan en entredicho la supuesta profesionalidad de los correspondientes equipos de trabajo.
Ası, nos encontramos con un panorama en el que numerosos sistemas crıticos no cuentan
siquiera con unos riesgos residuales, acordes al posible impacto que tendrıa lugar en caso
de que tales activos se vieran afectados: dichas entidades no han procedido a dimensionar
adecuadamente sus parametros de seguridad, con lo que la supervivencia de su negocio
podrıa peligrar en cualquier momento.
Para intentar paliar esta problematica en el campo de la informatica surgio la Ingenierıa
del Software, que no ha sabido dar una respuesta suficientemente sofisticada respecto a los
retos tecnologicos que se dan en el dıa a dıa. Ante este hecho, algunos expertos indican
que la informatica es una ciencia aun demasiado joven, no pudiendose comparar con otras
de mayor tradicion como la ingenierıa civil, por lo que se achaca a dicha inexperiencia
el origen de esta situacion. Ademas, nos encontramos con que en multitud de empresas y
proyectos profesionales la seguridad se deja claramente a un lado, dando preponderancia a
las funcionalidades y plazos a cumplir, con lo que el problema se arrastra una y otra vez.
29
Por otro lado, el campo de la seguridad y del analisis de riegos no cuenta en muchos
casos con el reconocimiento que merece, encontrando que hallar profesionales debidamente
cualificados es una tarea realmente complicada. Ante esta situacion, solo una debida con-
cienciacion y especializacion hara posible afrontar los retos existentes.
Tambien hemos de tener en cuenta que la mayorıa de los sistemas de seguridad existen-
tes en el mercado no son capaces de dar una respuesta eficaz e integral a todos los riesgos
que se dan en los entornos profesionales (Parlamento Europeo, 2013). Ejemplo de ello son
las probadas ineficacias de elementos como los firewalls, que requieren en muchos casos
una labor de diseno sumamente ardua, pues el conjunto de reglas que ha de estar presente
en su nucleo requiere una constante actualizacion, lo que no suele ser la norma de muchas
instituciones. Asimismo, los Sistemas de Deteccion de Intrusos (IDS) pueden quedar so-
brepasados si nuestro perımetro ya ha sido contaminado por elementos tales como paginas
web maliciosas o redes inalambricas desprotegidas. Por ello, podemos incluso tener una
enganosa imagen de seguridad cuando, en verdad, ”nuestras puertas no estan debidamente
cerradas”. A su vez, factores limitantes como el alto coste de estas herramientas en su des-
pliegue corporativo, la posible carga que pueden acarrear en las infraestructuras existentes,
los falsos positivos o, incluso, la inexistencia de un presupuesto acorde a las necesidades
de seguridad reales hacen de la gestion de este dominio un problema de control complejo
(Rubio et al., 2012).
Ası, queda patente la necesidad de contar con una vision introspectiva, gracias a la
cual se pueda determinar con certeza la informacion concerniente a nuestros activos, los
posibles riesgos a los que se pueden ver sometidos, ası como a las salvaguardas existentes
para mitigar dichas incidencias (Anderson, 2001). En definitiva, un paradigma capaz de
producir elementos de control claros y eficaces para gestionar correctamente la seguridad
de nuestras TIC. Aun ası, el presente campo del analisis de riegos no ha sabido sacar todo el
potencial a los diversos dominios de conocimiento existentes por lo que, en muchos casos,
nos encontramos ante meros estudios cualitativos, en los que las valoraciones extraıdas son
poco tangibles, justamente por el caracter poco concreto de las observaciones y estudios
llevados a cabo.
30
Por eso, de cara a proporcionar mayor credibilidad y sofisticacion a este campo nos
proponemos renovar y mejorar las actuales tecnicas y metodos de analisis de riesgos me-
diante el uso de tecnicas probabilısticas, pudiendo ası medir de forma mucho mas veraz y
eficaz las dimensiones del riesgo en nuestros activos y procesos de negocio (Rubio y Rıos
Insua, 2008), (Rubio y Rıos Insua, 2014). De igual modo, al realizar un analisis cuantita-
tivo estaremos en condiciones de medir con exactitud las posibles perdidas a que estamos
sometidos, ası como evaluar el mejor uso de nuestro presupuesto en funcion de las salva-
guardas a considerar. Todo un reto que puede arrojar luz en areas poco desarrolladas, como
los planes directores de seguridad o las directrices de monitorizacion, evaluacion y mejora
de los sistemas TIC.
En terminos de negocio, buscando cuantificar las perdidas por incidentes y optimizando
el presupuesto existente, se deben considerar argumentos adicionales como:
1. Las perspectivas de negocio.
2. La inconveniencia de una publicidad negativa o la conveniencia de una publicidad
positiva.
3. La perdida de una posicion ventajosa frente a la competencia.
4. El cumplimiento de compromisos con clientes, proveedores, partners, empleados, etc.
5. La necesidad de satisfacer otros requisitos, no necesariamente de sistemas de infor-
macion, etc.
Tambien son muy importantes, dentro de estas metodologıas, los conceptos de actua-
cion respecto al riesgo, ya que estos se pueden afrontar desde distintas perspectivas:
Evitandolo: no siempre es posible ya que la actividad de una organizacion consiste
en asumir ciertos riesgos a cambio de abrir expectativas.
31
Reduciendolo: se decide convivir con el riesgo, pero cambiando su perfil. Se adopta
una serie de salvaguardas que reducen el impacto posible, o que directamente impo-
sibiliten o hagan menos probable tales incidentes.
Transfiriendolo: se convive con los incidentes pero se traspasan las consecuencias a
otra organizacion. De este modo, se externalizan servicios, como la propia gestion
de la seguridad, o se contratan seguros que nos resarzan de eventuales perdidas. Esta
transferencia no es gratis, por lo que siempre hay que cotejar el riesgo residual con el
incremento de coste derivado de la transferencia.
Asumiendolo: en ultima instancia, el riesgo puede que parezca proporcionado a los
beneficios que se esperan, con lo que se pasa tal riesgo al capıtulo de costes operativos
de la organizacion.
Otro factor que se repite en todas las metodologıas de analisis y gestion de riesgos
existentes es la compartimentacion del problema en sucesivas fases que se retroalimentan.
Cada una conlleva la puesta en practica de ciertas actividades, gracias a las que se ira pro-
fundizando cada vez mas en la naturaleza de los riesgos a tratar, ası como en las tareas mas
granulares a desempenar. Estas fases son:
1. Planificar. En esta fase encaja el analisis de riesgos ya que se realiza la identificacion y
estimacion, ası como la calificacion en terminos de negocio. De esta fase se concluye
un plan que ha de incluir siempre las operaciones a desempenar.
2. Implantar y operar. En esta fase seguimos el plan de seguridad, con sus actividades
de mejora de la seguridad, siempre alineado con el plan rutinario de operacion, man-
tenimiento y gestion de incidencias.
3. Monitorizar y evaluar. No basta con desplegar las salvaguardas. Es necesario cer-
ciorarse de que cumplen su mision eficaz y eficientemente: que mitigue el riesgo
asociado, que no resulte mas gravosa economicamente que el riesgo sobre el cual va
a actuar y que, realmente, sirva y se corresponda con el contexto bajo estudio.
32
4. Mantenimiento y mejora: la experiencia propia y la experiencia de otras organizacio-
nes similares a la nuestra nos deben llevar a repensar lo que estamos haciendo.
Segun se entiende en la actualidad, el analisis de riesgos TIC cuenta con un ciclo de
vida propio, en el que, primero, encontramos una fase de analisis en la que se identificaran
todos los activos presentes en la organizacion bajo estudio. Posteriormente, se elaborara el
mapa de dependencias entre todos estos activos, de cara a saber con exactitud las posibles
relaciones que se pudieran producir en las operaciones de negocio. Por otro lado, se proce-
derıa a identificar las posibles vulnerabilidades a que pueden estar expuestos tales activos,
teniendo ası una clara vision de los posibles incidentes a los que nos podemos enfrentar.
Una vez realizado dicho estudio, pasarıamos a realizar la fase de evaluacion de riesgos en la
que, con ayuda de los interesados, se verıa la ponderacion exacta de cada uno de los activos
y procesos. Por otro lado, se estudiaran las salvaguardas que ofrece el mercado, con las que
construir adecuadamente un plan de contingencia capaz de preservar la supervivencia de
nuestra organizacion. Finalmente, una vez que contamos con todos estos elementos, esta-
remos en condiciones de decidir que plan director de seguridad hemos de seguir, ya que,
en funcion de nuestro presupuesto y de las valoraciones extraıdas anteriormente, se implan-
taran unas u otras medidas. En esta ultima fase se procedera a implantar dichas medidas,
procediendo a su monitorizacion y evaluacion continua, con la que mantener un ciclo de
mejora continuo.
Asimismo, las metodologıas actuales de analisis y gestion de riesgos tienen en cuenta
las interdependencias existentes entre los diversos activos de un sistema, ya que, debido
a la creciente complejidad de las infraestructuras TIC, existen flujos de informacion com-
partidos con amenazas comunes (Kunreuther y Heal, 2003). Por el mismo motivo, los
componentes puramente tangibles, como instalaciones fısicas, personal humano o equipa-
miento electronico, tambien han de considerarse con sumo cuidado, ya que las operaciones
de infinidad de servicios dependen directa o indirectamente de ellos.
En ENISA (European Network and Information Security Agency) podemos encontrar
la informacion concerniente a diversas metodologıas existentes de analisis y gestion de ries-
33
gos en TIC (ENISA, 2015). Algunos ejemplos son EBIOS, de uso en Francia; CRAMM,
procedente de la administracion publica britanica; o MAGERIT, que fue disenado para el
Ministerio de Administraciones Publicas de Espana. Todas ellas poseen, en mayor o menor
medida, metodos y tecnicas para identificar y clasificar los activos pertenecientes a cual-
quier tipo de organizacion, ası como para valorar sus interdependencias y la importancia de
estos para el correcto funcionamiento de los sistemas informaticos involucrados. Una vez
identificados dichos elementos, se nos dan indicaciones para calcular parametros como el
impacto y el riesgo acumulados.
En este capıtulo se mostraran muchas de los principales enfoques seguidos en materia
de analisis y gestion de riesgos, viendo una comparativa entre dichos enfoques con sus pros
y contras. De igual modo, se mostraran los principales marcos de control y de compliance
existentes, donde, de nuevo, los conceptos y elementos usados en materia de riesgos dejan
mucho que desear, necesitando por tanto sofisticarse y actualizarse en funcion de las amena-
zas reales que existen. Finalmente, se revisaran otros campos de gran interes y actualidad,
como son la ciberinteligencia y los ciberseguros en los que, nuevamente, son muchas las
mejoras que pueden implantarse.
2.2. Metodologıas para el Analisis de Riesgos en Ciber-
seguridad
En esta seccion hacemos una introduccion a algunas de las principales metodologıas de
analisis de riesgos para las TIC. Ponemos el enfasis en MAGERIT, dado que sus principios
generales aplican a la mayorıa de las restantes metodologıas existentes en este campo. Asi-
mismo, su relevancia en Espana es notoria, siendo la metodologıa oficial de la administacion
publica ademas de contar con un empleo creciente en ambitos internacionales.
34
2.2.1. MAGERIT
La Administracion espanola (Ministerio de Hacienda y Administraciones Publicas,
2012) viendo que los sistemas de informacion son parte esencial de nuestra forma rutinaria
de trabajar, decidio disenar una metodologıa que facilitara controlar la explotacion de es-
tos sistemas. Por otro lado, se ha visto como dichos elementos han pasado de estar bajo la
amenaza de unos pocos ataques a ser el blanco de infinidad de ellos, aumentando paulati-
namente los posibles actores, malintencionados o no. Ası, la faceta de seguridad ha pasado
de ser un aspecto mas a controlar, a convertirse en un parametro crıtico sin el que el dıa a
dıa de los servicios TIC no podrıa desempenarse en la forma esperada. Para controlar esta
amalgama de componentes, como aplicaciones, sistemas operativos o instalaciones fısicas,
se vio claramente la necesidad de contar con una metodologıa capaz de gestionar de forma
integral toda la dimension relativa a la seguridad. Ası nacio la primera version de MAGE-
RIT (Metodologıa de Analisis y GEstion de Riesgos de los Sistemas de Informacion de las
adminisTraciones publicas) en 1997.
En primer lugar, y de cara a introducir conceptos que aplicaran sobre el resto de me-
todologıas expuestas en este capıtulo, se llego al parametro de riesgo siguiendo las pautas
y buenas practicas que ya existıan en el sector, concluyendo que requerıa ser definido con
mayor precision. Se entendio que este venıa motivado por la aparicion de incidentes que
degeneraban en consecuencias negativas. Se introdujo el termino de impacto, que indica la
perdida sobre el valor o el nivel de degradacion de un activo de informacion o del sistema
cuando un hecho no esperado ocurre en las operaciones TIC. Entre este riesgo y el impacto
mediaba un factor de incertidumbre, que vendrıa a indicarnos si un suceso puede ocurrir
con cierta probabilidad. Si el impacto causado podıa llegar a ser importante, se convertıa
en un riesgo de cierta criticidad. En cambio, si la probabilidad de aparicion era baja y el
impacto mınimo, dicho riesgo seguirıa existiendo, pero sus consecuencias vendrıan a ser
consideradas de baja importancia. Asimismo, estos activos pueden estar mas o menos ex-
puestos a todo el espectro de amenazas existentes: no es lo mismo hablar de un sistema que
tiene lugar bajo un entorno protegido, que de otro que no dispone en absoluto de medidas
35
disuasorias.
Por otro lado, esta metodologıa incluye en su nucleo el concepto de valor: segun la cri-
ticidad de los activos, estos tendran un valor mas o menos elevado, siendo esta informacion
vital para poder hacer una correcta planificacion de la seguridad en nuestros sistemas. Si
no supieramos con exactitud cuales son los activos mas importantes de las infraestructuras
TIC no podrıamos centrar nuestros esfuerzos en su proteccion, con lo que, seguramente,
no serıamos capaces de reducir las potenciales vulnerabilidades. Una incorrecta vision que
harıa que estuvieramos constantemente en situaciones de alto riesgo, al no tener verdadera
consciencia de la situacion real de nuestras infraestructuras TIC.
Por todo ello, el riesgo, en caso de no ser tratado, puede considerarse como un cos-
te potencial que requiere ser minimizado de forma dinamica, no siendo nunca superior al
posible beneficio de los activos a los que se refiere. Para llevar a cabo tal proceso de mi-
nimizacion, deberemos desplegar toda una serie de salvaguardas que transformen nuestro
escenario actual en un entorno mas seguro y controlado, ya sea mediante la reduccion de
las vulnerabilidades o bien limitando el impacto, en caso de que ocurrieran. Dentro de este
panorama podrıamos, por fin, hablar de un riesgo reducido o riesgo residual, que sera uno
de los principales objetivos a conseguir por medio de MAGERIT.
Teniendo en cuenta todos estos elementos, la Administracion espanola entendio que
conseguirıa una herramienta acorde a estas necesidades para lo cual sumo de igual mo-
do a esta metodologıa los conceptos tıpicos, y ya descritos, de disponibilidad, integridad,
confidencialidad y autenticidad.
Tambien merece un apartado especial la forma de realizar las valoraciones sobre los ac-
tivos y amenazas, ya que no se ha de realizar a la ligera. Por ejemplo, se cometerıa un grave
error si directamente se pensara que un sistema costoso ha de merecer mayor consideracion
que otro barato, ya que el coste de interrupcion de este ultimo podrıa llegar a superar el per-
juicio economico que si el activo afectado fuese el primero. Por ello, en MAGERIT, al igual
que en el resto de las principales metodologıas de analisis de riesgos TIC usadas de forma
36
generalizada, se hace una valoracion pseudocuantitativa respecto a los siguientes tipos de
costes: de reposicion de equipamiento, instalaciones y personas; por perdida de producti-
vidad; por tareas de recuperacion como horas extra, contratacion adicional, etc; por lucro
cesante como perdida de negocio, y por incumplimiento legal, regulatorio o contractual.
Asimismo, se consideran otros valores mas intangibles asociados a la perdida de competi-
tividad, la credibilidad frente a usuarios, clientes y la sociedad, ası como la capacidad de
perseguir el fraude o el abuso de los medios.
Una vez tenidas en cuenta estas valoraciones, habra que compararlas con el coste de las
salvaguardas, viendo si son proporcionadas al riesgo que intentan mitigar. Ası, cuando se
obtiene esta informacion, se esta en disposicion de comparar dichos costes economicos con
la valoracion cuantitativa de dicho sistema o componente dentro de los servicios finales
existentes.
De igual modo, los incidentes de seguridad ocurren sobre los componentes del sistema:
los equipos se rompen, las cuentas se asaltan, las lıneas de comunicacion se interceptan, los
locales se queman, las personas no estan disponibles, etc. Por ello, hemos de analizar nues-
tro despliegue de activos para determinar las vulnerabilidades existentes para cada tipo de
amenaza y como estas tienen un impacto y riesgo global sobre los servicios TIC en su con-
junto. Algunas ecuaciones que usa MAGERIT, en los que se considera el valor acumulado
sobre los activos, son:
Impacto = Valor acumulado x Degradacion resultante
Riesgo = Impacto x Probabilidad del incidente
Ası, sabremos que un activo esta sometido a cierto riesgo porque:
Sobre el reside una parte importante del valor exterior del sistema.
La degradacion causada por un incidente serıa grande.
37
La probabilidad de que el incidente ocurra es elevada.
Conociendo el riesgo acumulado en los activos, podremos tomar decisiones para salva-
guardarlos. Es mas, si la valoracion fuese cuantitativa, se podrıa comparar el coste de las
salvaguardas y justificar su necesidad.
Como estas valoraciones en algunos momentos pueden llegar a resultar demasiado
tecnicas, MAGERIT intenta bajar hasta cierto punto al nivel de negocio, para poder comu-
nicarse de forma mas eficaz con la Direccion. En este caso, se entiende que los incidentes se
producen sobre cierto activo, que, a su vez, soporta servicios exteriores conocidos, teniendo
ası que proceder a calcular el impacto y el riesgo sobre el valor de los activos indirectamente
afectados:
Impacto repercutido = Valor propio x Degradacion consecuencia del incidente
Riesgo repercutido = Impacto repercutido x Probabilidad del incidente
De este modo, serıa mas facil interpretar los resultados en terminos de negocio, con una
clara perspectiva de organizacion. Ası esta podrıa considerar que un riesgo elevado es asu-
mible si en verdad no afecta a la supervivencia de la institucion, mientras que incidentes
tecnicamente residuales pueden suponer un grave perjuicio, no debiendo ser admitidos.
Para este conjunto de cuestiones, MAGERIT ofrece una guıa metodica y estructurada
para concienciar a los responsables de sistemas TIC de la existencia de riesgos y de la nece-
sidad de atajarlos a tiempo, ası como para analizar dichos riesgos de forma sistematica. Con
ello, se ayuda a descubrir y planificar las medidas convenientes para mantener tales amena-
zas bajo control, preparando a la organizacion para cualquier tipo de proceso de evaluacion,
auditorıa, certificacion o acreditacion.
Entre los productos resultantes se encuentra un modelo de valoracion que indica los
activos existentes, las dependencias entre ellos y los valores asociados. Un mapa de riesgos
38
que relaciona las diversas amenazas con los activos involucrados, junto a una evaluacion
de las salvaguardas, donde se muestra la eficacia de las mismas respecto a las amenazas
que han de afrontar. Tambien se proporciona un cuadro de mando sobre el estado de riesgo,
indicando los correspondientes riesgos residuales, ası como un informe sobre las debili-
dades encontradas en la configuracion actual, y un plan de seguridad para materializar las
decisiones de gestion de riesgos.
A nivel tecnico, los metodos mas sofisticados que usa MAGERIT son analisis mediante
tablas y arboles de ataque. Por otro lado, se ofrecen analisis de coste-beneficio, diagramas
de flujos de datos, tecnicas de planificacion de procesos o valoraciones Delphi. En cual-
quier caso, esta metodologıa, como la mayorıa de las existentes en la actualidad, solo busca
ofrecer una imagen del estado actual, sin profundizar demasiado. Es en este punto donde
se requiere la introduccion de metodos mas sofisticados y robustos, que sean capaces de
afrontar el caracter dinamico del problema.
De forma sucinta el marco general de MAGERIT se describre en la Figura 2.1, en
la que vemos como se parte de los activos que se valoran segun su nivel de importancia,
detallando asimismo las amenazas a que estan sujetos. Estas, segun MAGERIT, crearıan
un grado potencial de degradacion que darıa lugar a un impacto medible. Finalmente, en
la figura se aprecia como, en funcion de la frecuencia de dichos incidentes y del impacto
citado, se obtendrıa el riesgo posible para cada activo del sistema bajo estudio.
39
Figura 2.1: Marco de MAGERIT (Ministerio de Hacienda y Administraciones Publicas,
2012).
En cuanto a contribuciones positivas de MAGERIT, nos encontramos con que suministra
un catalogo muy detallado de posibles activos y amenazas, que ahorra una gran cantidad
de tiempo a los responsables TIC encargados de elaborar el analisis y la gestion de riesgos.
Dichos elementos se indican en el Anexo A.
A continuacion en las Figura 2.2 se muestra un ejemplo de activo, segun se describen
en MAGERIT:
Figura 2.2: Ejemplo activo redes de comunicaciones (Ministerio de Hacienda y Adminis-
traciones Publicas, 2012).
40
Respecto a las amenazas, MAGERIT cuenta con un profuso catalogo donde se contemplan
numerosos ataques que pueden sufrir todo tipo de activos. Dichos elementos tambien se
detallan en el Anexo A.
Un ejemplo de amenaza, segun se describen en MAGERIT, se muestra en la Figura 2.3:
Figura 2.3: Ejemplo amenaza acceso no autorizado (Ministerio de Hacienda y Administra-
ciones Publicas, 2012).
En cuanto a la inclusion de salvaguardas en MAGERIT, estas introducen un nuevo ele-
mento de sumo interes: gracias a ellas podremos dar un tratamiento adecuado a todas las
contingencias que pudieran tener lugar en nuestras infraestructuras. Segun la solvencia de
dichas contramedidas, el impacto y los riesgos procedentes de ciertas amenazas se veran
mitigados o totalmente contrarestados. Ası, en funcion de las salvaguardas implantadas,
pasarıamos a hablar de una degradacion y una frecuencia residual de las amenazas contem-
pladas con lo que, en principio, las consecuencias de estas amenazas decrecerıan, lo cual se
reflejarıa de igual modo en el impacto y riesgo residual. En el Anexo A se describen todas
las clases de salvaguardas que contempla MAGERIT.
41
2.2.2. CRAMM
La metodologıa CRAMM (CCTA Risk Analysis and Management Method) fue desa-
rrollada en 1985 por la antigua CCTA (Central Computer and Telecommunications Agency)
de Reino Unido, ahora renombrada OGC (Office of Government Commerce). Al igual que
el resto de metodologıas de analisis de riesgos tiene como fin proteger la confidencialidad,
integridad y disponibilidad de los sistemas y activos (Barber y Davey, 1992). Para ello
contempla los siguientes puntos:
Dependencias entre activos.
Evaluacion del impacto en la organizacion.
Identificacion y evaluacion de amenazas y vulnerabilidades.
Evaluacion de los niveles de riesgo.
Identificacion de las contramedidas necesarias.
Asismismo, puede usarse en todas las etapas del ciclo de vida de los sistemas. En
terminos generales, CRAMM es aplicable en los siguientes escenarios:
Durante la planificacion de la estrategia de seguridad, haciendo un analisis de riesgos
de alto nivel para identificar los requisitos de seguridad general o de emergencia para
la organizacion, los costos y las implicaciones de su implementacion.
En la etapa de estudio de factibilidad, donde un alto nivel de riesgo puede requerir
la identificacion temprana de las necesidades de seguridad general, la contingencia y
los costes asociados a las distintas opciones.
Durante el analisis del negocio detallado y de entornos tecnicos en los que los proble-
mas de seguridad o contingencia asociados con la opcion tomada pueden investigarse
o refinarse.
42
Antes de la ejecucion de los sistemas, para garantizar que todos los requisitos fısicos,
el personal, tecnicas y contramedidas de seguridad se han identificado e implementa-
do.
En cualquier momento durante la operacion de los sistemas, cuando existe preocupa-
cion por los problemas de seguridad o contingencia, por ejemplo en respuesta a una
amenaza nueva o despues de un fallo de seguridad.
Por otro lado, cabe destacar el rico catalogo de elementos utilizado en CRAMM, donde se
establecen mas de 400 tipos de activos, 25 tipos de impacto, 28 tipos de amenazas y 3500
contramedidas. En el Anexo A se encuentran detalladas algunas de ellas.
Las principales fases llevadas a cabo en CRAMM se muestran en la Figura 2.4.
Figura 2.4: Actividades de CRAMM (Insight Consulting, 2005).
Se pueden apreciar similitudes notorias con MAGERIT, existiendo en ambos marcos fases
para la identificacion y evaluacion del riesgo, ası como para la implantacion de contrame-
didas. No obstante, en CRAMM se introducen elementos como la necesidad de identificar
a los propietarios de los riegos y auditar la efectividad de las medidas implantadas.
43
Respecto a la evaluacion de riesgos usada, cada grupo de activos en relacion a las
amenazas a las que son vulnerables se evalua en una escala de 1 a 7 utilizando una matriz de
riesgos. En dichas matrices hay valores predefinidos en funcion de los valores de los activos
y las amenazas y niveles de vulnerabilidad asociados. Por ejemplo, la escala 1 significa
una lınea base con un bajo nivel de exigencia en seguridad, mientras que la escala 7 indica
requisitos de nivel muy alto.
Cabe destacar que esta metodologıa se usa ampliamente en diversos paıses de la OTAN,
requiriendo para su uso la herramienta de gestion CRAMM Manager, comercializada por la
firma Insight Consulting de Reino Unido (Insight Consulting, 2005), paıs donde su uso es
habitual.
2.2.3. EBIOS
La metodologıa EBIOS (Expression des Besoins et Identification des Objectifs de
Securite - Expression of Needs and Identification of Security Objectives) incluye un con-
junto de guıas para la gestion de riesgos TIC desarrollada por el gobierno de Francia desde
1995. En dicho paıs se usa ampliamente en el sector publico y privado, contando tambien
con cierta difusion internacional.
Al igual que en el resto de metodologıas, se sigue un proceso estructurado donde se
identifican los elementos constitutivos de riesgo (Secretariat General de la Defense Na-
tionale - Francia, 1995): los activos, vulnerabilidades y metodos de ataque. Ademas, sirve
como ayuda para justificar la toma de decisiones en materia de seguridad, utilizandose con
frecuencia para elaborar esquemas directivos, de polıticas de seguridad y planes de accion.
En la Figura 2.5 se muestra el procedimiento general de EBIOS: primero se anali-
za el contexto de la organizacion para conocer sus objetivos y sistemas, y posteriormente
se identifican los riesgos que pueden actuar sobre tales activos. Asimismo, se formalizan
los impactos y las necesidades de seguridad en terminos de disponibilidad, integridad y
confidencialidad. Para la evaluacion de los riesgos se confrontan las amenazas con las ne-
44
cesidades de seguridad, llegando finalmente al tratamiento de riesgos con la seleccion de
contramedidas.
Figura 2.5: Procedimiento de EBIOS (Secretariat General de la Defense Nationale - Francia,
1995).
La version 2 de EBIOS, y ultima hasta el momento, se lanzo en 2004, no contando con
mejoras significativas respecto a la version original mas alla de los listados de activos, reglas
de seguridad o amenazas. En lo relativo a la clasificacion de probabilidades de las amenazas
e impactos de los incidentes, se usan escalas de uno a cuatro que valoran dichos elementos
como desdenables, limitados, significativos y maximos. De nuevo estos son los parametros
considerados para la evaluacion de riesgos, no empleando ningun otro mecanismo de mayor
sofisticacion.
Por otro lado, en la Figura 2.6 se observa el procedimiento de evaluacion de riesgos
45
en funcion del impacto y probabilidad, y en la Figura 2.7 el establecimiento de los riesgos
residuales.
Figura 2.6: Evaluacion de riesgos en EBIOS (Secretariat General de la Defense Nationale -
Francia, 1995).
46
Figura 2.7: Riesgos residuales en EBIOS (Secretariat General de la Defense Nationale -
Francia, 1995).
2.2.4. ISO 27005
La norma ISO 27005 (ISO, 2011) ayuda a definir un proceso para la evaluacion eficaz
de los riesgos relativos a la seguridad de los activos de informacion. Para ello, se emplean
los elementos de trabajo ya definidos en anteriores metodologıas: activos, riesgos, amenazas
y vulnerabilidades.
47
Para efectuar dicho analisis y gestion de riesgos, se siguen estos pasos que aglutinan
las mejores practicas del sector y que son comunes a la mayorıa de metodologıas expuestas:
1. Definicion de criterios de aceptacion del riesgo: En funcion de las metas y objeti-
vos de la organizacion, se debe determinar cuales son los riesgos que la organizacion
asume y no tratara de mitigar. Por supuesto, esta no sera una foto fija, sino que de-
bera actualizarse con cierta periodicidad, dependiendo del propio negocio y cambios
estructurales de la organizacion. Para ello, deben tomar parte en dicho proceso los
principales agentes implicados, ponderando el ratio entre el beneficio y el riesgo esti-
mado. De igual modo, habra riesgos que no puedan soslayarse, como los concernien-
tes a cuestiones legales. Asimismo, un riesgo puede ser asumido, considerando, sin
embargo, un plan de accion para reducirlo a un nivel aceptable en un plazo de tiempo.
Se deberan atender criterios de negocio, aspectos legales y regulatorios, considera-
ciones operacionales, aspectos tecnologicos, consideraciones funcionales y factores
sociales y humanos.
2. Identificacion de activos. Esta fase es crıtica, debiendo identificarse correctamente to-
dos los activos bajo consideracion en una evaluacion de riesgos especıfica. Asimismo,
se deben identificar todas las amenazas que pueden afectar a cada activo: amenazas
internas a traves de empleados, amenazas externas debidas a ladrones, competidores,
etc. De igual modo, se debe describir la frecuencia con la que cada amenaza puede
entrar en contacto con el activo como se observa en la Figura 2.8.
48
Figura 2.8: Frecuencia de las amenazas (ISO, 2011).
3. Identificacion de impactos: Cada amenaza que afecta a cada activo puede tener sobre
el mismo un impacto determinado. Dicha definicion puede ser difıcil de cuantificar si
no se cuenta con datos concretos, por lo que en muchas ocasiones se usa un enfoque
cualitativo para ello, como se observa en la Figura 2.9.
Figura 2.9: Impacto de las amenazas (ISO, 2011).
4. Calculo de riesgos. Tras haber calculado las probabilidades o frecuencias de ocurren-
cia de una amenaza sobre un activo, y el impacto ocasionado por el mismo, calcula-
mos el riesgo como factor de ambos parametros, como se observa en la Figura 2.10.
49
Figura 2.10: Calculo de riesgos (ISO, 2011).
Cada nivel de riesgo indica la urgencia para su tratamiento y gestion: crıtico, alto,
moderado, y bajo.
2.2.5. MEHARI
Esta metodologıa permite la evaluacion cualitativa y cuantitativa de riesgos, usando pa-
ra ello una base de conocimiento para todo lo relacionado con el diagnostico de las medidas
de seguridad. MEHARI fue desarrollada en 1995 por la CLUSIF (CLUb de la Securite de
l’Information Francais), evaluando los riesgos segun criterios de disponibilidad, confiden-
cialidad e integridad.
Ademas procesa de forma automatica los controles necesarios a implantar, en funcion
de los riesgos evaluados. Ası, se puede definir a MEHARI como un conjunto de guıas
y herramientas modularizadas, contando con modulos independientes para las amenazas,
riesgos y vulnerabilidades (CLUSIF, 2010). En la Figura 2.11 se puede ver el esquema
usado.
50
Figura 2.11: Esquema de MEHARI (CLUSIF, 2010).
En la Figura 2.12 observamos el procedimiento de evaluacion de riesgos, que no difiere
substancialmente de las metodologıas ya vistas. Indicar en este punto que las probabilidades
toman una escala de 1 a 4 como se ve en la Figura 2.13.
51
Figura 2.12: Evaluacion de riesgos MEHARI (CLUSIF, 2010).
Figura 2.13: Escalas de probabilidad en MEHARI (CLUSIF, 2010).
52
Asimismo, los factores de reduccion del riesgo de las contramedidas tambien siguen una
escala de valores similar a como se observa en la Figura 2.14.
Figura 2.14: Escala de factores de reduccion del riesgo en MEHARI - Medidas disuasorias
(CLUSIF, 2010).
En este sentido, ademas de medidas disuasorias tambien se contemplan medidas pre-
ventivas, protectoras y paliativas. Por otro lado, respecto a los calculos realizados por MEHA-
RI, hablamos de formulas basicas codificadas en Excel, donde las operaciones mas sofisti-
cadas corresponden a estructuras de control logicas. Asimismo, cuando se define cada tipo
de informacion y activos implicados, y por cada criterio de disponibilidad, confidencialidad
e integridad, MEHARI representa la gravedad de impacto o perdida de la informacion o
activo con valores discretos asignados informalmente.
Tambien es oportuno destacar la gran interrelacion de MEHARI con los marcos di-
senados por ISO, en concreto con las normas ISO 27001, 27002 y 27005, aunque es nece-
53
sario identificar las siguientes diferencias:
MEHARI tiene como objetivo proporcionar herramientas y metodos que se pueden
utilizar para seleccionar las medidas de seguridad mas adecuadas para una organiza-
cion y para evaluar los riesgos residuales una vez que estas medidas estan implanta-
das. Este no es el objetivo primordial de las normas ISO, centradas en los requisitos
organizativos y procedimentales, ası como en proporcionar catalogos de controles
genericos.
Las normas ISO proporcionan un conjunto de mejores practicas que, sin duda, son
muy utiles, pero no necesariamente apropiadas para el total de las organizaciones,
aunque sı para cubrir aspectos de madurez en seguridad, planificacion e independen-
cia de las unidades internas y socios.
Los puntos que sı serıan comunes con la ISO 27005 son:
Los procesos de analisis, evaluacion y tratamiento de riesgos.
La identificacion de los activos principales y de soporte, ası como su priorizacion en
funcion del analisis de amenazas.
La identificacion de amenazas, incluyendo su nivel, para el que MEHARI es muy
preciso en la descripcion de los escenarios de riesgo.
La identificacion y cuantificacion de la eficacia de las medidas de seguridad en la
reduccion de vulnerabilidades.
La combinacion de estos elementos para la evaluacion del nivel de impacto de los
escenarios de riegos.
La capacidad de seleccionar directamente las medidas de seguridad requeridas para
los planes de reduccion de riesgos.
54
2.2.6. Otras Metodologıas para el Analisis de Riesgos
En las anteriores secciones se han descrito algunas de las metodologıas de analisis de
riesgos mas representativas. No obstante, no son las unicas que cuentan con cierto recono-
cimiento en el sector de las TIC. A continuacion se listan otras metodologıas que merece la
pena destacar.
NIST 800-30 - Guide for Conducting Risks Assessments.
NIST Risk Management Framework.
TARA - Threat Agent Risk Assessment.
IRAM - Information Risk Analysis Methodologies.
CORAS - COnstruct a platform for Risk Analysis of Security critical systems.
SOMAP - Security Officers Management and Analysis Project.
FAIR - Factor Analysis of Information Risk.
2.2.7. Analisis crıtico de las metodologıas para el Analisis de Riesgos
en Ciberseguridad
En relacion al uso de metodologıas de analisis y gestion de riesgos, pondremos como
ejemplo MAGERIT por su amplio uso a nivel nacional y su positiva consideracion a nivel
europeo, ademas de que los elementos que analizaremos son comunes con la mayorıa de
metodologıas expuestas. De extendido uso en la administracion electronica en Espana, se
hace uso de metodos cualitativos y algunas tecnicas analıticas ad-hoc que dejan mucho que
desear para el correcto tratamiento del riesgo como luego veremos, por lo que el estado del
arte en este campo requerirıa de una completa revision. Es por ello que la vision frecuentista
de MAGERIT ha de dejar paso a enfoques mas sofisticados que pongan en practica tecnicas
55
mas avanzadas como aquellas que hacen uso de metodos probabilısticos con los que medir
el desarrollo de los sistemas y sus amenazas.
En cuanto al enfoque usado para calcular los costes de activos, estos se tratan de una
forma muy vaga, con lo que esta metodologıa proporciona una confianza muy baja de cara
a usarse para una cuantificacion real en entornos de trabajo. En la Figura 2.15 se mues-
tra como MAGERIT cuantifica los costes segun el tiempo de interrupcion del servicio de
los distintos activos mediante escalones, que aun pudiendo guardar cierta similitud con la
realidad, son muy burdos y generales.
Figura 2.15: Coste de interrupcion de la disponibilidad (Ministerio de Hacienda y Adminis-
traciones Publicas, 2012).
El tratamiento de la probabilidad de ocurrencia de las amenazas tampoco es demasiado
fino, dado que no se va mas alla de un planteamiento cualitativo, como se observa en la Fi-
gura 2.16. Ası, por ejemplo se da un valor de diez a un incidente que se considere frecuente,
lo que se asimila a que ocurra mensualmente. Por un lado, esta vision no es util para medir
el panorama actual de la seguridad; por otro, queda claro el hecho de que disponiendo, como
ası sucede, de conocimientos extensos y rigurosos para gestionar riesgos, esta propuesta de
MAGERIT parece a todas luces poco detallada.
56
Figura 2.16: Vision cualitativa de las amenazas en MAGERIT (Ministerio de Hacienda y
Administraciones Publicas, 2012).
Con los impactos asociados a las amenazas pasa algo parecido, como se aprecia en la Figura
2.17, ya que el uso de valores cualitativos no deja paso a una vision profunda de la situacion
que se quiere medir. Ası, por ejemplo, si el valor del activo es medio (M) y la degradacion
producida por el incidente es del 10 %, se considera que el impacto es medio (M).
Figura 2.17: Establecimiento de impactos en MAGERIT (Ministerio de Hacienda y Admi-
nistraciones Publicas, 2012).
57
Respecto a la modelizacion de dependencias entre activos se usan funciones de redon-
deo triviales que olvidan, y dan por supuesto, mucho conocimiento, lo cual no es sino un
fallo en el proceso de modelizacion como se observa en la Figura 2.18. Ası, se ve como
se emplean impactos repercutidos de forma generica, sin analizar de forma real lo que su-
ponen las amenazas para cada uno de los activos. En el mundo real, la degradacion de los
activos es mucho mas complejo y las dependencias entre activos han de modelizarse me-
diante tecnicas de redes probabilısticas, capaces de recoger la esencia de esta tipologıa de
problemas.
Figura 2.18: Ejemplo de calculo del impacto acumulado en MAGERIT (Ministerio de Ha-
cienda y Administraciones Publicas, 2012).
Con los riesgos, nucleo ultimo del analisis buscado, nos encontramos en la misma situa-
cion, vease la Figura 2.19. MAGERIT arroja resultados poco concretos, ademas de utilizar
una matriz de riesgos y, como indica (Cox, 2008), estos metodos adolecen de numerosos
defectos, incluyendo una pobre resolucion para comparar amenazas seleccionadas al azar,
la introduccion de errores en la asignacion de valores cualitativos, o la asignacion de recur-
sos suboptima entre otros. Ası, los responsables TIC obtienen resultados poco satisfactorios
sobre las medidas que deben tomar y la correcta priorizacion de los riesgos, que son preci-
samente los resultados de mayor trascendencia en este tipo de analisis.
58
Figura 2.19: Establecimiento de riesgos en MAGERIT (Ministerio de Hacienda y Adminis-
traciones Publicas, 2012).
En cuanto a la inclusion de salvaguardas, de forma positiva en MAGERIT se considera
la existencia del riesgo residual que sigue presente a pesar de la implantacion de controles
para mitigarlo. No obstante, el planteamiento utilizado resulta mejorable ya que, de nuevo,
el enfoque empleado es estatico, perdiendo ası el caracter dinamico de este escenario.
En resumen, las tareas que requieren labores de ingenierıa, que se tratan adecuadamente
en MAGERIT, serıan las siguientes:
Identificacion de amenazas: fuego, virus, etc.
Identificacion de activos: equipos y suministros; edificios e inmobiliario; ordenadores
y aplicaciones; comunicaciones, etc.
Identificacion de los criterios de valoracion: costes de reemplazamiento; adquisicion
e instalacion; costes laborales invertidos en la recuperacion de los activos; perdidas
de ingresos durante dichos plazos; perdida de capacidad de operacion; penalizaciones
debidas a incumplimientos con leyes y regulaciones; danos a personas o al medioam-
biente, etc.
59
Identificacion de salvaguardas: firewalls, seguridad fısica, extintores de incendios,
etc.
Se ofrecen para estas cuatro actividades catalogos que facilitan las cuatro etapas de
identificacion (Ministerio de Hacienda y Administraciones Publicas, 2012). Sin embargo,
en todas aquellas actividades relativas al comportamiento dinamico de los activos, amenazas
y salvaguardas, este marco es claramente deficitario. De hecho, este problema se replica en
la inmensa mayorıa de las metodologıas existentes de evaluacion de riesgos y de su gestion,
entre ellas las antes mencionadas.
Aplicando lo anteriormente comentado a las metodologıas resenadas, cabe destacar
sucintamente algunos puntos sobre otras metodologıas de importancia a nivel internacional.
Respecto a CRAMM, podemos observar que usa matrices de riesgo para llevar a cabo sus
evaluaciones, metodo que ha sido probado ineficaz (Cox, 2008). Ademas requiere para
su uso de una herramienta comercial, lo cual tampoco resulta un factor positivo para su
expansion.
Por otro lado, encontramos que EBIOS, desde 1995, no ha experimentado cambios
notables, siendo esta falta de actualizacion y sofisticacion un problema muy comun entre
muchas de las metodologıas analizadas. No escapa tampoco al analisis crıtico su enfoque
cualitativo y sin el debido rigor en lo concerniente a los procedimientos de clasificacion de
impactos, calculo de probabilidades y agregacion de las mismas.
Asimismo, MEHARI utiliza tablas y formulas Excel sustentadas por conceptos y plan-
teamientos que rozan lo trivial. La fase de evaluacion de riesgos se calcula de forma pre-
cocinada, a partir de formulaciones internas segun los activos y amenazas seleccionadas.
Todo ello sin considerar las dependencias entre activos, ası como el impacto de las contra-
medidas y, de nuevo, su interdependencia. Por ultimo, se vuelve a observar el uso de escalas
cualitativas de probabilidades, que distan mucho de ser optimas.
60
2.3. Marcos de Control, Compliance y Evaluacion
Reconocidos a nivel internacional existen diversos marcos de control que tienen como
fin recoger aquellas buenas practicas que han sido contrastadas para mitigar el riesgo digital.
Estas normativas se aprueban tras pasar por rigurosos sistemas de evaluacion y correccion,
partiendo ademas de que los conceptos recogidos han sido probados en la industria por
expertos durante una cantidad considerable de anos.
Particularmente, debemos prestar atencion a aquellas normativas derivadas de organis-
mos como ISO y AENOR, siendo esta ultima la organizacion que representa y traslada el
parecer y voto espanol a la hora de aprobar las normativas internacionales. Aunque la in-
mensa mayorıa de las normativas proceden directamente de ISO, hemos de recordar que
tambien podemos contar con normativas UNE, acronimo que significa “Una Norma Es-
panola”, que no cuentan con su homologa en ISO.
Ademas de ser excelentes herramientas para implantar en nuestra organizacion un nivel
de seguridad adecuado, tienen un gran impacto en mercado, ya que el uso y la implantacion
eficiente de dichas normativas traslada un compromiso interno con la excelencia y la se-
guridad de la informacion. Por otro lado, pueden resultar un elemento de marketing y de
barrera en mercado importante, ya que, ademas de distinguirnos de la competencia, pueden
tornar la balanza a nuestro favor a la hora de conseguir clientes. En resumen, las normativas
proporcionan polıticas, procedimientos, practicas y medidas organizativas y tecnicas que
nos ayudaran a:
Proteger la informacion y gestionar la seguridad de los sistemas respondiendo a las
amenazas existentes.
Garantizar las dimensiones esenciales de la seguridad como la confidencialidad, la
integridad, la disponibilidad, la autenticidad y la trazabilidad.
Satisfacer la confianza depositada en los productos y sistemas, en la informacion
necesaria para la toma de decisiones y en las posibles expectativas en cuanto a opor-
61
tunidades de innovacion y adaptacion.
Satisfacer los posibles requisitos legales, sean estos de caracter horizontal o vertical.
De igual modo, existen marcos de control con una gran aceptacion e importancia, que
han sido creados independientemente de las organizaciones de estandarizacion y certifica-
cion. En definitiva hablamos de marcos creados por la propia industria, o por actores de gran
relevancia dentro de la misma, habiendose convertido con el paso de los anos en elementos
con gran peso y reputacion en el mundo de la seguridad de la informacion.
2.3.1. ISO 27001
La norma ISO 27001 ayuda a cualquier tipo de organizacion, independientemente de su
tamano y sector de actividad, a gestionar la seguridad de la informacion corporativa de for-
ma eficiente. En el ano 2013, se lanzo la ultima edicion de dicha norma,que fue contrastada
por numerosos expertos internacionales, pudiendo decir que recoge buenas practicas que
se han demostrado exitosas en multitud de organismos y contextos. Tambien cabe destacar
que esta norma es certificable, por lo que aquellas organizaciones que quieran distinguirse
en el mercado, o bien poder acceder a proyectos donde sea una exigencia, deben tenerla en
consideracion.
De forma sucinta, los beneficios de su implantacion son los siguientes:
Cumplimiento de requerimientos legales: dentro de la metodologıa y esquema de
trabajo de la ISO 27001 se contempla el cumplimiento de todas las leyes, normativas
y requerimientos contractuales que sea necesario atender.
Ventaja comercial: como se ha comentado, la implantacion y certificacion en dicha
norma aportara un valor anadido ante aquellos clientes que sean recelosos en lo que
concierne a la seguridad de su informacion.
62
Reduccion de costes: dentro de la filosofıa de la ISO 27001 esta la mitigacion y re-
duccion del numero de incidencias, las cuales suelen llevar aparejados costes directos
e indirectos. Desde la perdida de informacion, sanciones administrativas o contrac-
tuales, o perdida de horas por trabajador.
Mejora organizativa: como pivote central en la ISO 27001 esta el desarrollo de polıti-
cas, procesos y procedimientos, que ayuden a saber que debe hacerse en cada situa-
cion, motivando ası una gestion eficiente y la reduccion de malentendidos y situacio-
nes caoticas.
Todo el engranaje de ISO 27001 pivota alrededor del analisis y gestion de riesgos, ya
que solo tras conocer la situacion exacta de nuestra organizacion, proceso a asegurar, etc,
podremos proponer unas u otras medias o controles a implantar. Dichos controles cubren
una amplısima gama de amenazas, desde la implantacion de antivirus o cortafuegos, hasta
medidas de seguridad jurıdica o fısica, pasando por procesos de recursos humanos.
Tambien es importante destacar la definicion de las responsabilidades de la direccion,
debiendo establecerse formalmente los roles y responsabilidades, ası como quienes son los
propietarios del riesgo. Este concepto de Risk Owner, que substituye al anterior rol de Asset
Owner, da prueba de la importancia que entrana la debida gestion de los riesgos a que
esta expuesta una organizacion.
Por ultimo, la ISO 27001 tambien contempla como parte fundamental la evaluacion del
desempeno, mediante la monitorizacion, analisis, evaluacion, auditorıa interna y revision
por parte de la direccion, del Sistema de Gestion de Seguridad de la Informacion. Todo ello
como motor de un proceso de mejora continua, que tiene como fin alcanzar la excelencia en
materia de seguridad de la informacion.
Entre los principales elementos que deben estar presentes para implantar de forma efi-
caz la ISO 27001, estan la obtencion del apoyo de la direccion, el uso de una metodologıa
para la gestion de proyectos o una definicion precisa del alcance del sistema. En el Anexo
B se describen con mas detalle tales elementos.
63
Por otro lado, la norma describe los llamados Dominios y Objetivos de Control, dentro
de los cuales se encuadran los diversos controles que contempla la edicion 2013 de la ISO
27001. En concreto, son 114 controles que contemplan un gran numero de las casuısticas
de seguridad que pueden darse en una organizacion. En el Anexo B se describen estos
elementos.
2.3.2. SANS Security Controls
Dado que hay esquemas, como la ISO 27001, que contemplan un conjunto muy com-
pleto de medidas de seguridad, pero quiza demasiado exigente para empresas con escasos
recursos, SANS Institute lanzo su propuesta de controles crıticos a implantar en toda orga-
nizacion (SANS, 2013). Este enfoque vino propiciado por consejos de la NSA (National
Security Agency), sobre la necesidad de tener controles que contrarrestasen el impacto de
las amenazas que se dan en la actualidad.
Los controles seleccionados han mostrado efectividad para la mitigacion de riesgos,
lo que indica que deberıa realizarse primero, dentro de una lista relativamente pequena de
acciones. Este hecho se debe a que se trata de un subconjunto del catalogo definido por
National Institute of Standards and Technology (NIST) SP 800-53, por lo que los elementos
recomendados han sido probados con anterioridad.
De esta forma SANS Institute, organizacion de reputada experiencia en el sector, di-
seno su conjunto de controles crıticos que priorizan y se centran en aquellas acciones que
tienen un retorno mas alto y rapido. Ademas, la informacion aportada va mas alla de un
mero listado, ya que cada control es detallado para que las organizaciones sepan como lle-
var a cabo su implantacion de forma correcta. En el Anexo B se encuentra dicho listado de
controles.
Dentro de la lista de controles de seguridad crıticos se encuentran cuatro categorıas que
permiten tener una mejor descripcion de los mismos, con base en las caracterısticas que se
muestran a continuacion:
64
Triunfos rapidos: Son los tipos de controles que proporcionan una reduccion signi-
ficativa de los riesgos sin la necesidad de llevar a cabo importantes cambios en as-
pectos financieros, de procedimientos, en arquitecturas o tecnicos. Tambien pueden
proporcionar dicha reduccion de manera sustancial o inmediata sobre los ataques mas
comunes en las organizaciones.
Medidas de visibilidad y de atribucion: Estos controles buscan mejorar los procesos,
arquitectura y capacidades tecnicas de las organizaciones para monitorear sus redes
y sistemas informaticos, para detectar intentos de ataques, localizar los puntos de
acceso, identificar equipos comprometidos, actividades de infiltracion de atacantes u
obtener informacion sobre los orıgenes de un ataque.
Configuracion de seguridad de la informacion mejorada e higiene: Tienen como ob-
jetivo reducir el numero y la magnitud de las vulnerabilidades de seguridad, ası como
mejorar el funcionamiento de los sistemas informaticos en la red, a traves de un enfo-
que hacia las practicas de seguridad deficientes que podrıan dar ventaja a un atacante.
Subcontroles avanzados: Utilizan nuevas tecnologıas o procedimientos que propor-
cionan mayor seguridad, pero representan mayor dificultad para su implementacion,
mayor costo o requieren mas recursos, como personal altamente calificado.
Por ejemplo, para el control de Inventario de Dispositivos Autorizados y no Autoriza-
dos vemos en la Figura 2.20 informacion sobre lo que se persigue con dicha medida.
65
Figura 2.20: Informacion de Controles en SANS Security Controls.
Por otro lado, en la Figura 2.21 se observa informacion sobre los procedimientos y
herramientas requeridas por este control.
66
Figura 2.21: Procedimientos y herramientas en SANS Security Controls.
Ademas, dichos controles se enlazan con el ranking de la NSA sobre prioridad de los
controles de seguridad como se observa en la Figura 2.22.
67
Figura 2.22: Prioridad de controles en SANS Security Controls respecto a ranking de la
NSA.
2.3.3. PCI-DSS
La norma PCI-DSS (Payment Card Industry - Data Security Standards) contempla una
serie de requerimientos de seguridad para evitar riesgos derivados de ataques fraudulentos
y uso ilıcito de la identidad, en todo lo relativo a las transacciones de tarjetas de pago. PCI
68
esta formado por las organizaciones Visa Internacional, MasterCard Worldwide, American
Express, JCB y Discover Financial Services, siendo sus directrices de obligado cumplimien-
to en los comercios y proveedores de servicios que guarden, procesen o transmitan datos de
tarjetas de pago.
Su adopcion es obligatoria desde 2007 siendo la version actual la 3.1 (PCI, 2015),
pudiendo imponerse sanciones por parte de las principales marcas de tarjetas sobre aquellas
entidades que no realicen las auditorıas requeridas y no cumplen con los requisitos debidos
para proteger las tarjetas bancarias y sus titulares.
En cuanto a los controles de seguridad indicados en esta norma, son un conjunto de
buenas practicas del sector cuya eficacia ha sido debidamente probada a lo largo de los
anos. En la Figura 2.23 se observa una breve descripcion de algunos controles.
Figura 2.23: Controles en PCI-DSS.
Asimismo, cada control consta de ciertos subcontroles de seguridad lo cual se observa
en la Figura 2.24.
69
Figura 2.24: Controles y subcontroles en PCI-DSS.
70
2.3.4. Common Criteria
Esta norma tiene como fin verificar que un producto cumple un determinado nivel de
requisitos de seguridad, siendo una garantıa con reconocimiento internacional gracias al
conocido como CCRA (Common Criteria Recognition Agreement). Segun el nivel de eva-
luacion (EAL) los requisitos van aumentando, al igual que la capacidad de los supuestos
atacantes que pretenden vulnerar el producto. En Espana el organismo de certificacion de-
pende del Centro Criptologico Nacional, organismo del Centro Nacional de Inteligencia,
incorporandose en el ano 2000 como consumidor de Common Criteria y en 2006 como
productor de certificados.
Aunque es mas conocida como Common Criteria esta norma oficialmente es la ISO
15408, sirviendo para realizar la certificacion de productos como los siguientes:
Chips.
Smart cards..
e-Passports
Hardware Secure Modules (HSM).
Equipos de telecomunicaciones (routers, switches y gateways, entre otros).
Soluciones de identificacion (DNI electronico, accesos, identificacion mediante RFID
y NFC).
Software comercial.
Dispositivos moviles.
Plataformas software SaaS (Software as a Service).
Plataformas cloud computing.
Como principales beneficios del uso de esta norma se encuentran los siguientes:
71
Los usuarios pueden comparar sus requerimientos especıficos frente a los estandares
Common Criteria, para determinar si un producto tiene las caracterısticas de seguri-
dad que necesitan.
La cetificacion Common Criteria es usada cada vez con mas frecuencia como requi-
sito en concursos publicos.
La independencia esta garantiza ya que las evaluaciones son realizadas exclusivamen-
te por laboratorios independientes.
Es un estandar internacional y el reconocimiento mutuo permite traspasar las fronte-
ras entre paıses.
Ası, las evaluaciones llevadas a cabo requieren un profundo estudio tecnico de la tecno-
logıa para encontrar vulnerabilidades, y en caso de que se permita el acceso fısico tambien
se realizan evaluaciones en ese sentido (analisis de emanaciones, ataques fısicos, taladros,
sondas, etc). Los niveles de evaluacion van de EAL1 (el menos exigente) hasta EAL7 (el
mas exigente), encontrando una descripcion de los mismos en el Anexo B.
En Common Criteria se usan los terminos clasicos de riesgos, amenazas y activos como
se ve en las Figuras 2.25 y 2.26.
72
Figura 2.25: Conceptos de seguridad en Common Criteria.
73
Figura 2.26: Conceptos de evaluacion en Common Criteria.
En la Figura 2.27 se muestra el resumen de clases de verificacion y niveles de evalua-
cion, y en la Figura 2.28 se observa un ejemplo de tabla de evaluacion, donde se indican los
potenciales de ataque especıficos por cada escenario de ataque para romper la seguridad de
un componente.
74
Figura 2.27: Clases de verificacion y niveles de evaluacion en Common Criteria.
75
Figura 2.28: Rangos de potenciales de ataque en Common Criteria.
2.3.5. Codigo Penal Espanol
La reforma del Codigo Penal mediante la Ley Organica 5/2010, de 23 de junio, in-
troduce la responsabilidad penal a la persona jurıdica respecto a delitos tanto de ındole
economica como tecnologica. Si bien los delitos mas comunes son los relativos a cuestio-
nes economicas, hemos de comprender que hay una derivada tecnologica que puede hacer
76
que una organizacion y su direccion incurran en esta responsabilidad penal. En concreto nos
referimos a los siguientes delitos:
Descubrimiento y revelacion de secretos (art. 197), cuando no existan las medidas
tecnicas y organizativas necesarias para contar con los debidos niveles de seguridad
de la informacion.
Danos informaticos (art. 264), cuando por la falta de controles en materia de seguri-
dad de la informacion desde una entidad se puedan llevar a cabo ataques contra otra,
derivando en graves danos contra la misma.
Delitos contra la propiedad intelectual e industrial, al mercado y a los consumidores
(arts. 270 a 288), pudiendose producir cuando la confidencialidad debida sea rota,
produciendose un acceso no autorizado sobre datos de caracter personal de consumi-
dores, datos de patentes, etc.
Blanqueo de capitales (art. 302), cuando no existan los debidos controles sobre los
sistemas de informacion que controlan las cuentas corporativas.
Delitos contra los recursos naturales y el medio ambiente (art. 325, 327), cuando una
infraestructura crıtica, como puedan ser centrales nucleares o empresas quımicas, sea
atacada y debido a la falta de los controles oportunos ese ataque derive en el erroneo
funcionamiento de los sistemas, y en vertidos incontrolados de sustancias toxicas.
Delitos relativos a la energıa nuclear y a las radiaciones ionizantes (art. 343), dandose
el mismo caso que en el ejemplo anterior.
Corrupcion en las transacciones comerciales e internacionales (art. 445), cuando los
sistemas informaticos no cuenten con los debidos controles.
A su vez hay que considerar la existencia de elementos o circunstancias que haran que
se produzca una disminucion o un aumento de la pena.
Respecto a posibles atenuantes, consideramos los siguientes:
77
Confesion de la infraccion
Colaboracion con la investigacion
Reparacion o disminucion del dano causado
Establecimiento de medidas eficaces para prevenir y descubrir delitos
Como podemos observar es este ultimo punto el que alude claramente a la existencia de
sistemas de cumplimiento normativo. Concretamente la existencia formal del mismo podrıa
llevar a evitar la comision del delito o al menos servir como atenuante.
En cuanto a las penas graves a imponer sobre la persona jurıdica, y que motivan total-
mente la necesidad de contar con los necesarios marcos de control, se establece desde la
disolucion de la propia persona jurıdica hasta la clausura de los locales y establecimientos.
En este caso la pena de multa se preve para la totalidad de los delitos, aplicando el resto para
todos los delitos con caracter potestativo, una vez ponderadas las circunstancias siguientes:
Medidas ejercitadas para prevenir la continuidad de la actividad delictiva o de sus
efectos
Las consecuencias economicas y sociales, y especialmente los efectos para los traba-
jadores
El puesto que ocupa la persona fısica o el organo que incumplio el deber de control
dentro de la estructura de la persona jurıdica
Es aquı donde toma carta mayor el analisis de riesgos efectuado en la organizacion,
y la consecuente gestion de los riesgos detectados. De esta forma se estara demostrando
la debida diligencia, llegando a servir como eximente en este contexto. En esta lınea, los
sistemas o programas de cumplimiento deberan contar con los siguientes puntos generales:
Existencia de un codigo de conducta
78
Supervision de los esfuerzos de cumplimiento por parte del personal altamente cuali-
ficado
La no delegacion de poderes discrecionales de las autoridades administrativas en per-
sonal con posible tendencia delictiva
Comunicacion efectiva de los estandares y procedimientos contenidos en los codigos
de conducta
Reforzamiento mediante sistemas efectivos de control y auditorıa
Reforzamiento mediante procedimientos disciplinarios
Adopcion de medidas adecuadas tras la deteccion de la infraccion
2.3.6. ISO 37001
En el contexto de las nuevas normativas en materia de anticorrupcion se ha de indicar
que Espana ha seguido la pauta marcada a nivel internacional, abriendose un panorama
tremendamente complejo en lo que se refiere al dano reputacional de las organizaciones. Es
sabido que el mero anuncio de investigaciones penales influye directamente en la cotizacion
de las acciones de las empresas cotizadas, sin hablar de la publicidad negativa generada.
Ademas por supuesto del impacto producido en clientes y proveedores.
En este marco de autorresponsabilidad penal empresarial hay que tener en especial
consideracion a las personas fısicas, como desencadenantes de la responsabilidad de las per-
sonas jurıdicas, siguiendo el modelo anglosajon del “alter-ego”. Basicamente, se determina
que ciertas personas fısicas son el alter-ego de la persona jurıdica, por lo que las acciones de
las primeras resultan en las acciones de las segundas. Ası la mera actuacion de determina-
dos empleados, que no tienen enlace alguno con quienes ostentan el poder y representacion
de la persona jurıdica, no generarıa responsabilidad para la persona jurıdica. Si el contexto
fuese el contrario, y el acto delictivo lo llevasen a cabo los organos y representantes de las
personas jurıdicas por cuenta y en provecho de estas, sı estarıamos en el caso contemplado.
79
Dentro de este contexto ISO decidio lanzar una norma que recogiese todas las buenas
practicas que deben contemplarse en el seno de las organizaciones para evitar practicas
de fraude y anticorrupcion. Ası dio origen al proyecto de la ISO 37001, permitiendo a las
organizaciones no solo contar con un marco de referencia en esta materia, sino tambien
formular todo bajo un sistema de gestion donde haya polıticas, procedimientos, controles
tecnicos, indicadores, etc, para mejorar el desempeno de las medidas y controles bajo un
marco de mejora continua.
Cabe indicar que esta norma aun esta en proceso de preparacion y sera certificable,
al contrario que la ISO 19600. Por tanto, estamos ante una norma que debiera contar con
mecanismos suficientemente robustos, para garantizar que aquellas organizaciones que con-
siguen el sello de certificacion cumplen con todo lo dispuesto en la norma. Dentro de esta se
contemplan todos los activos de corrupcion que pueden darse, en funcion de las actividades
de la organizacion, negocios asociados y personal.
A nivel internacional existe mucha preocupacion por este tema, dados los grandes
escandalos de corrupcion y quiebras economicas que han tenido lugar, por lo que esta norma
ha despertado grandes expectativas. De igual modo, en Espana es un tema de gran impor-
tancia, siendo la corrupcion uno de los temas que mas preocupa a la ciudadanıa, teniendo
como dato en descenso de Espana al nivel de paıses como Cabo Verde y Dominica en el
Corruption Perceptions Index que elabora Transparencia Internacional (Transparencia In-
ternacional, 2014).
Como principales impactos que se pretenden evitar con esta norma encontramos los
siguientes:
1. Disminucion del crecimiento economico.
2. Desaliento de la inversion.
3. Restriccion de los mercados globales.
4. Erosion del apoyo y ayuda economica.
80
5. Pesada carga economica sobre los pobres.
6. Reduccion del nivel de vida de las personas.
Una de las medidas mas importantes de la ISO 37001 son las evaluaciones de riesgos,
estando alineadas en su enfoque con propuestas marcadas por organismos como la OCDE
(OCDE, 2014), ONU (ONU, 2013) y Transparencia Internacional (Transparencia Interna-
cional, 2013). Ademas se debe indicar que esta norma tomo como base el marco britanico
BS 10500, donde para realizar el analisis de riesgos simplemente se llevan acciones como
las siguientes:
1. Identificacion de conductas penales de riesgo y comportamientos no aceptables.
2. Priorizacion de los delitos en funcion de su impacto.
3. Determinacion del riesgo de comision de cada uno de los delitos.
4. Establecimiento de procesos para prevenir las conductas corruptas.
5. Implantacion de controles como segregacion de funciones, duplicidad de firmas, me-
canismos tecnologicos, etc, en funcion de la probabilidad de ocurrencia y consen-
cuencia de los delitos.
Ası, el esquema de tratamiento de riesgos sigue patrones cuantitativos como los vistos
en anteriores marcos, como se observa en la Figura 2.29.
81
Figura 2.29: Tratamiento de riesgos.
Asimismo, en la Figura 2.30 se ve el planteamiento respecto a la probabilidad de ocu-
rrencia de los delitos.
Figura 2.30: Probabilidad de ocurrencia de los delitos.
2.3.7. ISO 19600
Recientemente tuvo lugar la publicacion de la norma ISO 19600 sobre Sistemas de
Gestion de Compliance, con la que las organizaciones cuentan con una herramienta para
82
analizar y gestionar todos los riegos derivados de los incumplimientos de sus obligaciones.
De esta forma las organizaciones podran demostrar una gestion eficaz de su compromiso
con los requisitos legales que las aplican, ası como con otros requisitos que voluntariamente
han decido adquirir. Dicha norma despliega todos aquellos elementos para configurar una
cultura de integridad y cumplimiento en toda la organizacion, tocando todas las areas de la
misma. Desde la parte financiera, legal o comercial, hasta el propio gobierno corporativo.
Como todo sistema de gestion no se limita a un mero compendio de buenas practicas,
sino que define directrices para establecer, desarrollar, ejecutar, evaluar, mantener y mejorar
en un proceso continuo el sistema de cumplimiento. Por supuesto la implantacion depen-
dera de los parametros especıficos de cada organizacion, y especialmente en lo relativo a su
tamano, estructura, naturaleza y complejidad.
Cabe destacar de igual modo que esta norma recoge directrices y no requisitos de obli-
gado cumplimiento, por lo que estamos hablando de una norma no certificable. A pesar de
ello los elementos que contiene establecen claramente las estructuras de cumplimiento a de-
finir, y una sistematica y consistencia para la gestion del cumplimiento. Tambien destaca su
aproximacion basada en el riesgo, lo cual se traduce en que el acento debe situarse en aque-
llos riesgos de cumplimiento que afecten de una forma mas clara y crıtica a la organizacion,
siguiendo esa priorizacion en toda la cadena de gestion.
Por otro lado, se acentua igualmente la necesidad de contar con el apoyo de la direccion,
siendo esta la que lidere el proyecto y haga que aterrice en todas las capas de la organizacion.
Este liderazgo y supervision quedara reflejado en hechos y documentos, quedando como
registros validos de esa etica empresarial. En cuanto a las estructuras de cumplimiento,
y como se ha comentado anteriormente, deben aglutinar y coordinar todas las areas de
cumplimiento, como pueden ser la fiscal, regulatorio, privacidad y proteccion de datos, etc.
En cuanto a las polıticas organizativas, deben ser distribuidas entre todos los miembros de
la organizacion para que sus actos se adecuen a los objetivos de cumplimiento marcados
internamente.
83
A continuacion se muestra el esquema global perseguido por la ISO 19600, ası como
la estructura y puntos que trata, en las Figuras 2.31 y 2.32:
Figura 2.31: Aspectos considerados en la ISO 19600.
84
Figura 2.32: Esquema de la ISO 19600.
En relacion a la gestion de riesgos, esta norma sigue las directrices de la ISO 31000
como se observa en la Figura 2.33. En este caso la evaluacion de riesgos prioriza las ame-
nazas que ponen en mayor peligro el cumplimiento de las obligaciones de la organizacion,
considerando el impacto de ese no cumplimiento y la probabilidad de ocurrencia.
85
Figura 2.33: Tratamiento de riesgos de la ISO 19600.
2.3.8. ISO 22301
La Norma 22301 sobre Sistemas de Gestion de la Continuidad de Negocio proporciona
herramientas para garantizar la supervivencia de nuestros activos y canales crıticos, y por
ende de nuestra organizacion. Son muchos los incidentes que pueden tumbar nuestro nego-
cio, y si estamos preparamos para afrontar esas situaciones seremos capaces de reducir de
forma drastica el impacto causado.
Dentro de esta norma trataremos con los siguientes conceptos centrales:
86
Objetivo de tiempo de recuperacion (RTO): tiempo predeterminado que indica cuando
se debe reanudar una actividad o se deben recuperar recursos.
Objetivo de punto de recuperacion (RPO): la perdida maxima de datos que se puede
asumir.
Analisis de impacto en el negocio (BIA): analisis de los procesos crıticos, sus inter-
dependencias y recursos requeridos para operar en un nivel mınimamente aceptable.
En cuanto a los puntos obligatorios con que debe contar la implantacion de esta norma,
encontramos la definicion de una polıtica de continuidad de negocio, los procedimientos de
recuperacion o la realizacion de un analisis de impacto en el negocio. En el Anexo B se
describen la totalidad de estos puntos.
Asimismo, como principales beneficios de la implantacion tenemos la preservacion de
los interes de los accionistas, la reduccion de riesgos y tiempos de inactividad, ası como la
proteccion de los bienes naturales. De igual modo en el Anexo B se completan estos puntos.
2.3.9. Ley Organica de Proteccion de Datos de Caracter Personal
La Ley Organica 15/1999, de 13 de diciembre, de Proteccion de Datos vela por el
derecho fundamental de todos los ciudadanos sobre el control de sus datos personales. Ası se
protege su intimidad y honor, exigiendo una serie de medidas a todas las organizaciones,
tanto publicas como privadas, que tratan y almacenan datos de caracter personal. A la hora
de plantear estrategias digitales es muy comun disponer de canales donde efectivamente
se lleva a cabo esa recogida y tratamiento de datos, con lo que obligatoriamente hemos de
cumplir con lo exigido por la normativa.
A grandes rasgos, los elementos a cumplir son los siguientes:
Declaracion de los Ficheros en la Agencia Espanola de Proteccion de Datos.
87
Elaboracion y mantenimiento actualizado del Documento de Seguridad.
Obtener legıtimamente el consentimiento de los afectados.
En caso de incumplimiento nuestra organizacion se enfrentara a duras sanciones economi-
cas, ası como un dano reputacional apreciable. En el Anexo B se detallan estos puntos.
Tambien es importante clarificar que es un dato personal, siendo este la unidad de me-
dida de la normativa. Hablamos de cualquier informacion numerica, alfabetica, fotografica,
acustica o de cualquier otro tipo concerniente a personas fısicas identificadas o identifica-
bles, tanto la relativa a su identidad (nombre y apellidos, domicilio, fotografıa, etc) como la
relativa a sus circunstancias y ocupaciones (estudios, trabajo, enfermedades, etc). Por tanto,
si en algun momento estamos recogiendo nombres y apellidos de clientes, sus direcciones
de correo electronico, etc, estamos recogiendo los datos a los que hace alusion la LOPD.
Por otro lado, nuestra organizacion debe pasar obligatoriamente cada dos anos por una
auditorıa en dicha materia, en la cual debieran revisarse los canales, infraestructura y medios
informaticos que estan soportando el tratamiento de datos personales. Todos estos puntos
dejan claro que en la genesis de nuestras estrategias digitales debemos tener presente la nor-
mativa en materia de proteccion de datos, tanto en su vertiente puramente jurıdica como en
su vertiente tecnica relacionada con la seguridad de los ficheros manuales y automatizados.
En relacion a este ultimo punto, contamos con el Real Decreto 1720/2007, de 21 de
diciembre, que desarrolla la LOPD y explicita las medidas de seguridad que deben implan-
tarse en funcion de los datos que se traten. Dichos niveles de seguridad son los siguientes:
Nivel Basico: todos los ficheros que contengan datos de personas fısicas identificadas
o identificables deben cumplir con las medidas requeridas para este nivel.
Nivel Medio: ademas de las medidas del nivel basico, se aplican las medidas del
nivel medio en los ficheros relativos a comisiones de infracciones administrativas o
penales, a la solvencia patrimonial o de credito, a los ficheros de las Administraciones
88
tributarias, de las entidades financieras para la prestacion de sus servicios y a las
mutuas de accidentes de trabajo y enfermedades profesionales. De igual modo, aplica
este nivel cuando se recojan datos que puedan llegar a definir las caracterısticas o
la personalidad de los ciudadanos, permitiendo evaluar determinados aspectos de su
personalidad o comportamiento.
Nivel Alto: ademas de las medidas de nivel basico y medio, se aplican las medidas de
nivel alto cuando se traten datos de ideologıa, afiliacion sindical, religion, creencias,
origen racial, salud, vida sexual, datos para fines policiales sin consentimiento de las
personas afectadas, y datos derivados de actos de violencia de genero.
Las medidas de seguridad indicadas en tal Real Decreto se describen de igual modo en
el Anexo B.
2.3.10. Analisis de Impacto en Privacidad
Pendiente de su definitiva aprobacion tenemos a las puertas el futuro Reglamento Eu-
ropeo de Proteccion de Datos, en donde se define una nueva herramienta para asegurar la
privacidad desde el diseno de los servicios y productos, ası como durante todo el ciclo de
vida del dato. Derivado de este hecho la Agencia Espanola de Proteccion de Datos ya ha
dado su visto bueno a dicha herramienta, desarrollando una guıa para llevar a cabo dichos
analisis o evaluaciones de impacto de privacidad. Cabe decir que este tipo de herramientas
ya eran conocidas y usadas en el mundo anglosajon, siendo por tanto el momento de que en
Espana tambien pasen a ponerse en practica.
Si nos remitimos al artıculo 33 del mencionado Reglamento Europeo de Proteccion de
Datos nos encontramos con lo siguiente: “sı sera de caracter imperativo el llevar a cabo un
ejercicio de analisis de los riesgos que un determinado sistema de informacion, producto o
servicio puede entranar para el derecho fundamental a la proteccion de los datos”. Por tan-
to, se estan definiendo claramente las reglas del juego, indicando que es necesario realizar
dicho analisis en las fases tempranas de los proyectos, pudiendo ası identificar los poten-
89
ciales riesgos y corregirlos. De este modo se evitarıan los costes de descubrir dichos puntos
debiles a posteriori, ası como los derivados del dano reputacional en caso de sanciones y
demandas de usuarios.
Por ello se ve la necesidad de realizar estos analisis en las fases de diseno de los ca-
nales digitales que establezcamos, ası como en cualquier servicio o producto donde vaya a
producirse una recogida y tratamiento de datos de caracter personal. Las acciones a llevar a
cabo en dichas evaluaciones son las siguientes:
1. Analisis de necesidad: valorar si nuestro proyecto necesita la realizacion de un anali-
sis de impacto de privacidad, identificando de igual modo la profusion del mismo en
funcion de como el proyecto afecte a la privacidad de los usuarios.
2. Constitucion del equipo de trabajo y definicion de sus terminos de referencia: se debe
determinar quienes seran las personas que llevaran a cabo el analisis, formando un
equipo de trabajo que al menos debiera contar con el representante legal de la empre-
sa, el asesor en materia de proteccion de datos, el responsable de seguridad, ası como
los representantes del departamento de Tecnologıas de la Informacion implicados en
el proyecto. Ademas, se debe determinar con exactitud el proyecto y puntos a revisar.
3. Descripcion del proyecto y de los flujos de datos personales: se debe establecer en
que consiste el producto o servicio y que datos personales se van a recoger, como se
van a tratar, con que finalidad, si son necesario o no, etc.
4. Identificacion y evaluacion de riesgos para la proteccion de datos: una vez se ha reco-
pilado toda la informacion sobre el proyecto, hay que evaluar cuales son los riesgos
en materia de privacidad y que medidas se han previsto para eliminar o minimizar
dichos riesgos.
5. Gestion de los riesgos identificados: una vez conocidos los riesgos se deben gestio-
nar oportunamente, teniendo claro que cuando los mismos vulneren la normativa en
materia de proteccion de datos deben ser eliminados o evitados sin ningun paliativo.
90
6. Analisis del cumplimiento normativo: se debe evaluar en que medida el proyecto
cumple con la normativa en materia de proteccion de datos, ası como con otras nor-
mativas sectoriales como puedan ser las referidas a sanidad, telecomunicaciones o
sociedad de la informacion. Todo ello dependera del tipo de proyecto a que nos en-
frentemos y su finalidad.
7. Redaccion, publicacion e integracion del informe final: el equipo de trabajo debera emi-
tir un informe final con sus conclusiones, donde en un lenguaje no tecnico ni jurıdico,
que permite su comprension a cualquier persona sobre los analisis efectuados.
8. Implantacion de las recomendaciones: el informe final debe recoger las recomen-
daciones necesarias a nivel organizativo, tecnico y jurıdico, para que el proyecto se
adecue a la normativa, velando para que dichas recomendaciones se implanten de
forma eficaz por la organizacion.
9. Revision de los resultados y realimentacion de la evaluacion de impacto: una vez
implantadas las recomendaciones, debe comprobarse que dicha implantacion ha sido
correcta.
En la Figura 2.34 se muestra el flujograma de las acciones indicadas.
91
Figura 2.34: Flujograma de Analisis de Impacto en Privacidad.
92
2.3.11. Analisis de los Marcos de Control, Compliance y Evaluacion
Respecto a los marcos de control, compliance y evaluacion, en las anteriores secciones
se ha visto como el cumplimiento normativo se torna vital en el panorama actual, donde los
riesgos derivados del incumplimiento de las obligaciones legales, ası como las relacionadas
con las distintas regulaciones que afectan a cada organizacion, pueden causar graves con-
secuencias. Por tanto, gestionar de forma eficaz el cumplimiento de las normas internas y
externas que aplican debe ser prioritario para la alta direccion, no solo teniendo en cuenta el
coste economico, sino tambien el reputacional. De igual modo, la observacion e implanta-
cion de los marcos de control y evaluacion son de una gran ayuda para las organizaciones,
a la hora de preservar la seguridad de sus activos y continuidad de operaciones.
Por ello, los marcos expuestos son una pieza fundamental dentro del Buen Gobierno
Corporativo, determinando la necesidad de una gestion adecuada, transparencia e identifi-
cando la cadena de responsabilidad. De esta forma, mitigarıamos los riesgos asociados a los
cargos penales contra la persona jurıdica, y las acciones civiles y criminales contra las per-
sonas fısicas que han participado en los incumplimientos. No obstante, es importate resaltar
que si dichos roles corporativos no cuentan con marcos y metodologıas robustas en materia
de analisis y gestion de riesgos, sus conclusiones y medidas implantadas seran difıcilmente
eficaces.
Por tanto, cada miembro de la alta direccion debera gestionar su area de responsabilidad
de forma coherente con los valores de la organizacion, analizando desde una perspectiva
mas rica todos los planteamientos estrategicos y tacticos a llevar a cabo. Aquı de nuevo nos
encontramos actualmente con visiones y enfoques muy rudimentarios, donde rara vez los
riesgos se calculan de forma efectiva, dejando por tanto al negocio en un precario estado de
seguridad.
De forma muy sucinta, las principales debilidades de los marcos de control existentes,
que pretenden superarse en el planteamiento expuesto en el capıtulo 3, son las siguientes:
93
1. Se limitan a ser meros listados de activos, amenazas y controles de seguridad.
2. Se prioriza la efectividad de los controles de forma gratuita, sin tener en cuenta los
contextos de las organizaciones, activos implicados, e interdependencias con otros
controles que pudiera existir.
3. Uso de escalas cualitativas, donde parametros como impactos o probabilidades se
asignan sin el debido rigor.
4. No se considera la interrelacion entre contramedidas.
5. Se da un tratamiento estatico del riesgo, incluso en los niveles de evaluacion mas
elevados que son usados en entornos crıticos como el militar.
6. Uso de paradigmas desarrollados hace decadas que han quedado obsoletos.
2.4. Modelos de Ciberinteligencia
Una vez tengamos establecidos nuestros canales digitales debemos ser conscientes que
los mismos estaran sujetos a todo tipo de ataques. Incluso la misma competencia hara uso
de la informacion que facilitemos, de cara a tratar de sacar una ventaja competitiva y ana-
lizar nuestros movimientos. Esta deriva es la conocida como Inteligencia Competitiva, la
cual en funcion del area geografica en que nos encontremos puede ser mas o menos causti-
ca. Ası mismo, la ciberinteligencia tambien tiene una vertiente defensiva, ya que podemos
monitorizar la red en busqueda de ataques contra nuestra marca.
Este ultimo punto es el mas util para aquellos roles que tienen competencias en materia
de seguridad de la informacion, ya que saber con antelacion la llegada de ataques con-
tra nuestra organizacion nos otorga una ventana de tiempo sumamente valiosa. Con dicho
margen podremos activar planes defensivos adicionales, verificar que todos los controles
de seguridad estan en orden, o incluso contratar servicios adicionales en dicha materia pa-
ra bajar los umbrales de riesgo. En este sentido, siempre que se cuenten con los recursos
94
oportunos, podremos sondear que es lo que hablan los atacantes o hackers sobre nuestra
organizacion en la Deep Web, o incluso detectar IPs de la organizacion que estan siendo
usadas para algun acto delictivo.
Por otro lado, la ciberinteligencia tambien tiene un componente muy ligado a la repu-
tacion online. Podremos sondear las redes sociales para saber que es lo que se habla sobre
nuestra marca, o bien sobre algun servicio o producto en particular. Hoy en dıa es muy
obvio el fenomeno de las redes sociales, donde del dıa a la manana podemos sufrir un im-
pacto reputacional severo si no somos capaces de detectar a tiempo el sentir de los usuarios,
y de ejecutar acciones correctivas. Incluso tambien se puede hacer un seguimiento sobre
personas fısicas, en concreto sobre los miembros de la Alta Direccion, yendo en muchas
ocasiones ligada su reputacion a la de la persona jurıdica que representan.
En caso de querer usar la ciberinteligencia con fines de inteligencia competitiva, el
llamado Ciclo de Inteligencia a usar es el mostrado en la Figura 2.35:
Figura 2.35: Ciclo de Inteligencia.
Las fases indicadas se describen del siguiente modo:
95
1. Analisis de las necesidades: en primer lugar debemos identificar que informacion
estrategica necesitamos saber para mejorar nuestra ventaja competitiva. Sea saber
que productos pretende lanzar la competencia, capital humano de valor que puede
estar disponible en mercado dentro de poco, posibles lobistas que nos ayudarıan a
entrar en un mercado extranjero, etc.
2. Consulta de fuentes secundarias: procedemos a buscar informacion en fuentes abier-
tas, con acceso publico sin restricciones, donde la fiabilidad de la informacion no
siempre es certera.
3. Consulta de fuentes primarias: consulta de fuentes de gran calidad, aunque con una
mayor complejidad para su acceso.
4. Analisis: una vez recopilada la informacion debemos hacer la labor de inteligencia,
extrayendo y construyendo los patrones que buscamos.
5. Distribucion: la informacion debe hacerse llegar a las personas que deben tomar deci-
siones informadas, siendo muy precavidos en cuanto al uso de canales fiables donde
la informacion guarde su integridad y confidencialidad.
6. Utilizacion y evaluacion: dentro de este ciclo continuo, y una vez tomadas las deci-
siones oportunas en base a la informacion elaborada, se debe valorar la eficacia de
la accion tomada, sirviendo esta fase de igual modo para depurar la fiabilidad de los
canales de informacion.
2.4.1. Analisis de los Modelos de Ciberinteligencia
El enfoque usado actualmente en este campo sigue un esquema similar al de cualquier
proceso de gestion del conocimiento, donde se identifican los objetivos que requiere la or-
ganizacion y las fuentes que deben ser consultadas. Posteriormente, se analizan los datos y
la informacion o inteligencia obtenida se difunde a la Alta Direccion para la toma de deci-
siones. En definitiva, no se sigue ninguna metodologıa que busque una toma de decisiones
optima, ni se introducen elementos de analisis para sofisticar el Ciclo de Inteligencia.
96
Ası, se hace patente la necesidad de contar con un marco de trabajo que garantice unas
capacidades mınimas en ciberinteligencia, y que superen las limitaciones de los esquemas
clasicos. Nuestro aporte teorico contempla el desarrollo de acciones ofensivas, defensivas y
de inteligencia, con la siguiente descripcion.
1. Acciones Ofensivas: enfocadas a interrumpir, degradar o destruir los recursos de los
adversarios.
2. Acciones Defensivas: destinadas a defender los recursos propios, preservando sus ca-
racterısticas de disponibilidad, integridad y disponibilidad. Consideramos medidas
como la fortificacion de los sistemas de la organizacion o la ejecucion de acciones pa-
ra identificar y prevenir posibles amenazas, empleando un horizonte temporal acorde
a los requisitos de la organizacion.
3. Acciones de Inteligencia: focalizadas en la obtencion de informacion sobre los adver-
sarios y competidores, realizando tambien contrainteligencia con acciones de desin-
formacion y engano.
Ademas, se ha de tener especial cuidado a la hora de identificar y priorizar los blancos
en el ciberespacio, ya que los recursos y capacidades de las organizaciones son limitados
y deben emplearse de forma optima. Ası deben tenerse en consideracion factores como
el interes de cada objetivo, el grado de amenaza que puede derivarse del mismo, o los
posibles efectos colaterales que ocurrirıan en caso de actuar. Para analizar estos problemas
de decision se trasladarıa a este campo el enfoque del Analisis de Riesgos Adversarios
(Rıos Insua et al., 2009), ayudando ası a las organizaciones en la seleccion optima de sus
objetivos y acciones.
En dicho proceso se deberan analizar a nivel organizacional parametros como los si-
guientes:
Contexto geopolıtico.
97
Situacion de mercado.
Relaciones internas y externas.
Conflictos activos con organizaciones externas.
Medios diplomaticos y legales.
Objetivos estrategicos a alcanzar.
Blancos potenciales de interes.
Capacidades organizativas.
De igual modo, se deben considerar las operaciones que pueden realizar los adversarios,
identificando sus parametros ofensivos, blancos preferidos y, entre otros, su comportamien-
to a largo plazo. Con esta informacion se evaluarıan las estrategias de actuacion optimas,
incluyendo la parte relativa a la ciberseguridad ofensiva. En este punto se buscarıan tam-
bien aquellas operaciones que maximicen la utilidad esperada del defensor, observando en
la Figura 2.36 ejemplos de combinaciones de elementos que podrıan ser empleados en las
diversas fases del ciclo de ciberseguridad defensiva y ofensiva.
Figura 2.36: Matriz de operaciones.
Con este esquema se enriquecerıa el campo actual de la ciberinteligencia, donde se
adolece de una metodologıa robusta para la seleccion de objetivos, la gestion de riesgos
y la evaluacion de resultados. Ademas, se forzara a que los adversarios cambien su forma
de actuar en un contexto mucho menos comodo para ellos, derivando en mayores tiempos
98
y costos que pueden desaconsejar sus acciones ofensivas. Ası, el defensor interferirıa en
la toma de decisiones de los adversarios, buscando obtener ventajas sobre el atacante al
contrario de lo que ocurre en los esquemas clasicos de defensa.
2.5. Modelos de Ciberseguros
El seguro funciona como un mecanismo de transferencia del riesgo, siendo el asegu-
rador quien lo cubre a cambio de una prima como se define en la Ley 50/1980, de 8 de
octubre, de Contrato de Seguro. En el ambito de las TIC ocurre exactamente lo mismo,
asegurandose el riesgo de perdida, alteracion o falta transitoria de acceso a la informacion,
dado que dicha perdida de acceso o perdida total o parcial supondrıa un grave perjuicio
para la organizacion afectada. Es en este punto donde se encuentra el primer problema en
exte contexto, ya que las organizaciones a priori no son capaces de valorar de forma exacta
el valor de su informacion, pudiendolo hacer solo a posteriori en base al dano sufrido en
terminos de dano emergente, lucro cesante, dano moral y reputacional (ENISA, 2012).
En la reciente aparicion de los ciberseguros no se han disenado modelos que hagan
un analisis formal de estos parametros, basandose simplemente en el calculo de una prima
general para cubrir el riesgo detectado, y sin entrar en muchas ocasiones en coberturas del
lucro cesante y dano reputacional. Ası, el interes asegurable, definido como la medicion
de la relacion lıcita de valor economico sobre un bien amenazado por un riesgo, se suele
determinar a posteriori mediante una tasacion pericial. No obstante, como se ha indicado
esta valoracion del dano real se hace a posteriori, mientras que en el momento de la for-
malizacion del contrato simplemente se fija por parte del asegurado la cantidad que estima
suficiente para reparar el dano en caso de siniestro, el llamado capital asegurado. Esta can-
tidad sera el maximo que se reciba en caso de siniestro, siendo una valoracion a priori del
dano con la que ademas se calculara la prima.
Por ello, idealmente serıa conveniente que hubiera una coincidencia entre el valor del
interes y la suma asegurada, cuestion que rara vez ocurre en las TIC al no usarse los costes
99
reales de los incidentes. Esta dificultad de valorar los incidentes de seguridad mediante los
elementos clasicos de definicion del interes asegurable a la informacion TIC, viene propi-
ciado por los siguientes elementos:
Existe un problema inicial de valoracion, dado que la informacion es intangible y
esta almacenada en soportes fısicos de valor muy inferior a la propia informacion.
El bien asegurado debe existir en el inicio del contrato, cuando la informacion es un
bien en movimiento y cambio continuo.
El bien debe ser tasable en dinero, no estando normalizado si se ha de valorar el dano
consecuencia de los incidentes en relacion con la perdida de informacion mas que su
valor.
Por otro lado, los riesgos mas tıpicos a que esta expuesta la informacion son los si-
guientes:
Perdida de datos de los que se es titular o responsable, o de aquellos que se tengan en
posesion por algun otro motivo como por ejemplo en los casos de subcontratacion.
Reclamaciones judiciales por danos a sus sistemas informaticos, o por perdidas economi-
cas debidas a la imposibilidad de acceder a la informacion o perdida de la misma.
Danos y perdida de equipos y soportes por negligencia o actos malintencionados,
como puedan ser el robo, caıda, impacto y cualquier otro dano fısico.
Asimismo, los ciberseguros que actualmente se han planteado cubren danos de forma
limitada:
Gastos en la recuperacion de datos, perdidas de beneficios y multas contractuales de-
rivadas de terceros o empleados, como ciber sabotaje, hacking, virus informaticos,
100
errores humanos, fallos del sistema, del suministro de electricidad o telecomunica-
ciones, equipos informaticos y/o en las lıneas de transmision.
Idemnizaciones y gastos de defensa por danos a sistemas informaticos.
Gastos de reposicion de los equipos por cualquier causa no dolosa.
Gastos de gestion de la crisis, y de notificacion a clientes.
Monitorizacion de tarjetas de credito o abuso de identidad.
En cuanto a las condiciones que aplican las aseguradoras para medir la posibilidad
de asegurar la informacion y sus procesos, no se ha avanzado practicamente nada en los
ultimos anos ya que no se han estudiado en profundidad los calculos actuariales en el ambito
TIC. Por tanto, se desconoce como hacer una gestion de riesgos eficaz, considerando la
interdependencia existente entre activos, y se tiende a aplicar polizas caras que preservan
el riesgo que toman las aseguradoras. Ası, nos encontramos ante un problema de difıcil
solucion, debido a que por un lado las aseguradoras no realizan analisis actuariales para
calcular las primas con mas precision, y ante los precios de las polizas el mercado no acaba
de aumentar dado que las organizaciones no invierten en este tipo de servicios.
2.5.1. Analisis de los Modelos de Ciberseguros
Para calcular el riesgo de aseguramiento respecto a los riesgos relativos a seguridad de
la informacion, las aseguradoras estan usando checklists donde se pregunta a la organiza-
cion sobre las medidas de seguridad que tienen implantadas en ese momento. Asimismo,
se consultan cuestiones concerniente a la existencia de certificaciones sobre sistemas de
gestion, y especialmente en la ISO 27001 y la ISO 22301. De este modo las asegurado-
ras tratan de medir el grado de madurez en ciberseguridad de esa organizacion, prestando
especial atencion a los controles, procedimientos y polıticas de seguridad implantadas.
Ademas de lo rudimentario de este enfoque se dejan de lado cuestiones tan importantes
101
como la evaluacion del diseno, implementacion y eficacia operativa de los controles implan-
tados. De este modo se echan por tierra posibles comparaciones entre elementos como, por
ejemplo, una puerta blindada y un cortafuegos. A priori el paralelismo parece claro, pero en
terminos de gestion de riesgos en el segundo elemento entran en juego factores fundamen-
tales, como los referidos al diseno e implantacion del cortafuegos ası como la operacion y
gestion del mismo. Por tanto, estos factores humanos y operacionales acentuan aun mas la
ineficacia del uso de checklist para la evaluacion del riesgo. En las figuras 2.37, 2.38 y 2.39
se puede observar ejemplos de este metodo de checklist.
Figura 2.37: Checklist sobre dependencia de los sistemas de informacion.
Figura 2.38: Checklist sobre polıtica de seguridad.
102
Figura 2.39: Checklist sobre proteccion de datos.
Por el contrario, y como se expondra en el Capıtulo 3, nosotros abogamos por el uso
de metodos mas sofisticados, empleando analisis de riesgos probabilısticos donde en fun-
cion de los activos a asegurar, las amenazas existentes y las contramedidas implantadas se
calculan los niveles de riesgo de cada organizacion.
Asimismo, vemos necesario formalizar en este ambito el papel de las evidencias electroni-
cas, ya que gracias a ellas se podra probar de forma robusta los sucesos acontenidos, espe-
cialmente en el caso de los siniestros. Ademas se ha de considerar la aparicion de leyes que
obligan a notificar las fugas de informacion, siendo una de las primeras leyes en este sentido
la que aparecio en 2003 en el estado de California y mas recientemente en el espacio eu-
ropeo el futuro Reglamento Europeo de Proteccion de Datos. Ası, al contar con evidencias
que prueban lo ocurrido, el papel desempenado por la organizacion y sus controles internos,
la organizacion podrıa demostrar su correcto comportamiento en lo relativo a la generacion
y tratamiento del incidente.
De igual modo, gracias a estas pruebas la organizacion podra ir un paso mas alla y
demostrar las caracterısticas asociadas a la implantacion y operacion de los controles de
seguridad. Ası se podran conseguir reducciones importantes de las primas de aseguramiento,
ayudando a la aseguradora a reducir su margen de incertidumbre. Tambien cabe destacar
que gracias a la identificacion real de los siniestros sufridos y su alcance, las organizaciones
103
podran demostrar el dano sufrido pudiendo ası reclamar la cantidad correspondiente a la
aseguradora.
Para el correcto uso de las evidencias electronicas se propone el uso de la norma UNE
71505 de Sistemas de Gestion de Evidencias Electronicas, y de la UNE 71506 de Meto-
dologıa para el analisis forense de las evidencias electronicas. Para la seguridad de dichos
elementos se aplican mecanismos como los siguientes, encontrandose en el Anexo B el total
de los controles aplicables, mientras que en la figura 2.40 la relacion entre longitud en bits
de las claves y la clasificacion de la informacion:
Firma electronica.
Sello de tiempo.
Criptografıa simetrica.
Polıtica de conservacion a largo plazo.
104
Figura 2.40: Longitud en bits de la clave y clasificacion de la informacion.
Asimismo, se deben establecer las incompatibilidades existentes entre las distintas
funciones organizativas y los roles a desempenar en el sistema de gestion de evidencias
electronicas, lo cual se muestra en la figura 2.41.
105
Figura 2.41: Matriz de incompatibilidades.
De igual modo, y tambien para garantizar la generacion y tratamiento de evidencias
robustas que sirven para los fines comentados, se deben establecer las actividades a desem-
penar y sus responsables. En la figura 2.42 se indican tales actividades, siendo las funciones
las siguientes:
106
Figura 2.42: Matriz de actividades y roles.
107
2.6. Conclusiones
En este capıtulo se han mostrado algunas de las metodologıas de analisis y gestion
de riesgos en ciberseguridad mas representativas, poniendo especial enfasis en MAGERIT.
En estas propuestas se ha observado el empleo de metodos cualitativos y tecnicas ad-hoc
para el tratamiento del riesgo que dejan mucho que desear, considerando que el enfoque
frecuentista empleado dista mucho de la sofisticacion que requiere este campo.
Asimismo, la mayorıa de los marcos de control, compliance y evaluacion proponen
un tratamiento del riesgo muy rudimentario, no acorde con las exigencias y la complejidad
relativa al Buen Gobierno Corporativo. Estos marcos se limitan a ser, en la mayorıa de
ocasiones, meros listados de activos, amenazas y controles de seguridad, empleando ademas
escalas cualitativas que carecen de rigor. Por otro lado, no se consideran factores como la
interdependencia entre controles o el empleo de metodos robustos para asignar parametros
como impactos y probabilidades.
En relacion a los modelos de ciberinteligencia, los esquemas empleados actualmente
no difieren de los planteamientos usados desde hace decadas en los procesos de gestion del
conocimiento, cuando este campo cuenta con requisitos y retos muy especıficos que no son
debidamente abordados. Para paliar este problema se introduce un marco de trabajo que
intenta superar la vision clasica actual.
Finalmente, se muestra como el planteamiento actual en el ambito de los ciberseguros
no consigue alcanzar sus objetivos de forma efectiva. Ası, los metodos empleados para cal-
cular los niveles de riesgo en las organizaciones no pasan de usar simples checklists, con los
que es difıcil medir realmente el grado de madurez en ciberseguridad de las organizaciones.
108
Capıtulo 3
Un Marco Integrado para el
Analisis de Riesgos en
Ciberseguridad
3.1. Introduccion
Ante el panorama descrito en el capıtulo anterior, nuestro objetivo en este es introducir
un marco integrado para el analisis de riesgos en ciberseguridad que facilite la toma de deci-
siones respecto a la seguridad de los sistemas considerados. Ası, mejorarıamos claramente
los algo anticuados marcos de analisis y gestion de riesgos en este campo, para pasar a tra-
bajar con esquemas dinamicos que contemplen todos los parametros relevantes, incluidas
las preferencias y actitudes frente al riesgo de los decisores (Clemen y Reilly, 2004). Una
vez identificados los sucesos que pueden interrumpir un servicio, para lo que podemos tener
en cuenta, por ejemplo, la base de datos propuesta por MAGERIT, u otros esquemas simi-
lares, asignarıamos la probabilidad de ocurrencia a cada uno de ellos. Ademas, se indicarıa
su impacto en los costes de operacion descritos por la organizacion.
En cuanto a la gestion de riesgos, identificarıamos aquellas acciones que mitigasen el
109
110
efecto nocivo de las amenazas que se pudieran dar sobre los activos considerados que, tıpica-
mente, entranaran un coste. Ası, con un presupuesto dado, calcularıamos que salvaguardas
serıan optimas, cumpliendo a su vez con las restricciones presupuestarias existentes, ası co-
mo otras de tipo legal, contractual o polıtico. Observese que entre las salvaguardas puede
incluirse la adopcion de un ciberseguro, campo en el que las propuestas existentes carecen
de la necesaria madurez y donde se espera un nivel de crecimiento exponencial dado el cre-
ciente impacto y numero de ciberataques. Ademas, tendremos en cuenta amenazas de tipo
adversario, enmarcando el problema dentro del analisis de riesgos adversarios (Banks et
al., 2015). Esta aproximacion se corresponde con la realidad en la que los atacantes llevan
a cabo sus acciones, una vez conocen las medidas de seguridad con que cuenta el defensor,
intentando maximizar la eficacia de sus ataques.
Para la introduccion del modelo procedemos por pasos, analizando los elementos im-
plicados progresivamente. Para ello, describimos los modelos con diagramas de influencia,
detallando los elementos que forman el problema de decision: los activos, las amenazas, las
salvaguardas, los costes y las utilidades. Ademas, se hara una breve descripcion verbal y
una formulacion matematica generica en cada uno de los pasos.
En primer lugar, planteamos el comportamiento de un sistema bajo condiciones nor-
males para, posteriormente, evaluar los riesgos con la introduccion de diversas amenazas.
A continuacion, analizamos el esquema de gestion de riesgos considerando de forma es-
pecıfica la salvaguarda de ciberseguros. Finalmente, se plantea un escenario de analisis de
riesgos adversarios, con comportamiento inteligente de atacantes, considerando asimismo
los aspectos dinamicos relativos a la planificacion de la ciberseguridad. La formulacion
planteada es eminentemente conceptual y teorica, inlustrandose con un caso practico en
el capıtulo 4. Empleamos diagramas de influencia que vienen descritos, por ejemplo, en
French y Rıos Insua (2000). Para la version multiagente vease (Banks et al., 2015).
111
3.2. Evaluacion del comportamiento de un sistema
El esquema basico del que partimos se describe en la Figura 3.1. En el se indican los
costes asociados a la operacion del sistema en la organizacion bajo estudio, en el periodo
relevante de planificacion. Tales costes seran tıpicamente inciertos y vendran descritos por
una distribucion de probabilidad p(c). Asociaremos una funcion de utilidad u(c) sobre los
costes c.
Figura 3.1: Diagrama de infuencia para el comportamiento en ciberseguridad.
Entonces, la evaluacion del rendimiento del sistema bajo condiciones normales, i.e. en au-
sencia de incidentes relevantes, viene dado por la utilidad esperada del mismo, vease por
ejemplo French y Rıos Insua (2000),
ψn =
∫u(c)p(c)dc.
ψn servira de punto de referencia para la discusion posterior.
El esquema basico presentado en el que hemos supuesto un sistema ya existente puede
sofisticarse en, al menos, dos direcciones:
1. Si el sistema es disenable (o redisenable), como se describe en la Figura 3.2, donde
d representa el diseno seleccionado, y p(c|d) el coste asociado a dicho diseno, el
objetivo es encontrar el diseno de maxima utilidad esperada, vease (French y Rıos
112
Insua, 2000).
Figura 3.2: Sistema disenable o redisenable.
Para ello asociamos a cada diseno su utilidad esperada
ψn(d) =
∫u(c)p(c|d)dc
y despues resolverıamos el problema
maxd∈D
ψn(d)
donde D representa el conjunto de disenos o decisiones factibles.
2. Puede haber mas de una funcion de evaluacion. Por ejemplo, en ciberseguridad, como
indicamos en el capıtulo 1, se suelen considerar las dimensiones de disponibilidad (a),
integridad (i) y confidencialidad (s), que es el caso que ilustramos en la Figura 3.3.
113
Figura 3.3: Diversas funciones de coste.
En este caso, p(a, i, s) es la distribucion de probabilidad que modeliza la incertidum-
bre sobre los costes relacionados con la disponibilidad, integridad y confidencialidad
del sistema. Ası, u(a, i, s) representarıa la utilidad multiatributo y la utilidad esperada
serıa
ψn =
∫ ∫ ∫p(a, i, s)u(a, i, s) da di ds.
Observese que empleamos el modelo p(a, i, s) si se esperan interrelaciones entre
los atributos. Si no fuera ası, en el caso de independencia describirıamos graficamente
el modelo como se refleja en la Figura 3.2 y resultarıa
p(a, i, s) = p(a) p(i) p(s).
Sin embargo, en lo que sigue nos centraremos en el caso basico para simplificar la
exposicion.
114
3.3. Evaluacion de riesgos en ciberseguridad
Una vez descrito el esquema basico, consideramos el problema de evaluacion de ries-
gos en ciberseguridad, descrito en la Figura 3.4. Para simplificar se supondran dos ame-
nazas, una fısica (por ejemplo, fuego) y otra representativa de los modelos de amenazas
tecnologicas (por ejemplo, DDoS). Las denominamos t1 y t2, respectivamente. El esquema
se extiende de manera inmediata a mas de dos amenazas.
Ademas, consideramos dos tipos de activos, siendo, de igual modo, uno tradicional
(por ejemplo, instalaciones) y otro ciber (por ejemplo, equipos informaticos). Los impactos
sobre los activos son ct y cc, y seran inciertos. De nuevo, las ideas se extienden de forma
sencilla al caso de mas de dos activos. En caso de que haya alguna relacion bien entre los
costes dadas las amenazas, bien entre las amenazas, el correspondiente modelo probabilısto
serıa de la forma
p(ct, cc|t1, t2) p(t1, t2).
Si no hubiese relaciones entre las amenazas, y, por ejemplo, la amenaza t1 solo influyese
sobre el coste cc, el modelo probabilıstico pasarıa a ser
p(ct|t1, t2) p(cc|t1) p(t1) p(t2)
Los costes se agregan en el nodo coste total CT , que incluye los costes bajo condiciones
normales, junto con los costes asociados a ambos tipos de incidentes.
115
Figura 3.4: Evaluacion de riesgos en ciberseguridad.
Entonces, la utilidad esperada si se tienen en cuenta los riesgos es
ψr =
∫ ∫ ∫ ∫ ∫u(c+ ct + cc) p(c) p(ct, cc|t1, t2) p(t1, t2) dt1 dt2 dct dcc dc
Aquı estamos suponiendo que las consecuencias c, cc y ct son aditivas. Mas generalmente,
tendrıamos una funcion de utilidad u(c, cc, ct).
Cuando ψn − ψr sea muy grande, la perdida en utilidad esperada por tener en cuenta las
amenazas es considerable. Ası, los incidentes pueden potencialmente perjudicar nuestros
resultados considerablemente, por lo que debemos intentar gestionar tales riesgos, tal vez
como describimos en la Seccion 3.4.
116
3.4. Gestion de riesgos en ciberseguridad
En este caso, introducimos una cartera de contramedidas, con coste, para reducir la
probabilidad de las amenazas y/o reducir su impacto, como se describe en la Figura 3.5.
Algunos ejemplos de contramedidas serıan firewalls, formacion a los empleados, o la reali-
zacion de copias de seguridad. Un catalogo representativo, procedente de MAGERIT, puede
verse en el Apendice A. En la seccion 3.5 este esquema se ampliara, introduciendo como
contramedida los ciberseguros.
En el diagrama de influencia de la Figura 3.5, suponemos que todas las medidas actuan
sobre todas las probabilidades e impactos. No siempre es ası. Por ejemplo, un detector de
fuego hace menos danino un incendio, pero no menos probable; un firewall hace menos
probable un DDoS, pero no lo hace menos danino en caso de ocurrir.
El nodo e describe la cartera de contramedidas, derivandose un coste p(ce|e). Asimis-
mo, las contramedidas impactan sobre las amenazas p(t1|e) y p(t2|e), ası como en los im-
pactos sobre los activos p(ct|t1, t2, e) y p(cc|t1, t2, e). Todos los costes descritos se agregan
en el nodo coste total CT .
117
Figura 3.5: Gestion de riesgos en ciberseguridad.
En este caso, la utilidad esperada cuando se implanta la cartera e es
ψ(e) =
∫...
∫u(ce +ct +c+cc) p(c) p(ce|e)p(t1|e) p(t2|e) p(ct|t1, t2, e) p(cc|t1, t2, e)
dt1 dt2 dct dcc dce dc,
donde, de nuevo, suponemos aditividad en los costes.
Despues, buscarıamos la cartera de maxima utilidad esperada, resolviendo el problema
118
ψ∗e = maxe∈E
ψ(e)
donde E representa el conjunto de carteras de contramedidas factibles. Tıpicamente, par-
tiendo del conjunto de contramedidas individuales definiremos carteras que satisfagan dis-
tintas restricciones. Estas limitaciones pueden ser de tipo economico (por ejemplo, no su-
perar cierto presupuesto) motivacion que esta presente en la practica totalidad de las or-
ganizaciones dado que, internamente, suele ser complejo justificar inversiones fuertes en
seguridad de la informacion, dado el escaso interes que la alta direccion suele mostrar en
este tema (CNN Expansion, 2015). Asimismo, tales restricciones pueden ser de tipo legal,
como por ejemplo en el cumplimiento de la ley de proteccion de datos de caracter personal,
cuando una organizacion no puede permitirse un dano reputacional por incumplimiento.
Puede haber tambien restricciones de tipo logıstico, polıtico o fısico.
3.5. Ciberseguros
Como contramedida de creciente interes podemos introducir la adopcion de un ciber-
seguro, cuyo valor dependera, tıpicamente, de las otras contramedidas implantadas, como
se refleja en la Figura 3.6. Con esto indicamos que cuanto mayores o mejores son las con-
tramedidas, menor sera la prima que, igualmente, dependera de los activos y arquitectura
a proteger. Observese que podrıamos incluir el ciberseguro dentro de las contramedidas.
Sin embargo, preferimos separarlo, puesto que las primas dependeran de las contramedidas
incluidas.
El nodo s de decision describe la contramedida ciberseguro, derivandose un coste
p(cs|s, e), aunque habitualmente este sera determinıstico. Asimismo, el seguro y las contra-
medidas inciden en los impactos sobre los activos que se modelizan mediante p(ct|t1, t2, e, s)
y p(cc|t1, t2, e, s). Todos los costes descritos se agregan en el nodo coste total CT . La uti-
lidad esperada, si se implanta el portfolio e y el seguro s, es:
119
ψ(e, s) =
∫...
∫u(cs + ce + c+ ct + cc) p(c) p(ce|e) p(t1|e) p(t2|e)
p(ct|t1, t2, e, s) p(cc|t1, t2, e, s) p(cs|s, e) dt1 dt2 dct dcc dce dc ds
Figura 3.6: Ciberseguros en gestion de riesgos.
Buscamos, entonces, la cartera-seguro de maxima utilidad esperada bajo las restricciones
correspondientes, esto es,
maxe,s
ψ(e, s)
120
Observese que el problema podrıa resolverse en dos etapas, aplicando las etapas estandar
del algoritmo de reduccion de diagrama de influencia, vease Shachter (1988) o, equivalen-
temente, mediante programacion dinamica.
Finalmente, observemos que en nuestra formulacion hemos adoptado el punto de vista
de un asegurado, no el de una aseguradora.
3.6. Analisis de riesgos adversarios en ciberseguridad
Para simplificar la discusion que sigue, volvemos al problema planteado en la seccion
3.4. Suponemos ahora que el parametro t2 se refiere a amenazas adversarias (Rıos Insua et
al., 2009), (Banks et al., 2015). Ası, se supone que hay un atacante que, de forma intencio-
nada, puede desarrollar tales amenazas, una vez observadas las contramedidas del defensor.
En concreto, esto se corresponde al denominado modelo secuencial de defensa-ataque. Di-
cho atacante tiene su propio nodo de utilidad u(a), buscando maximizar la eficacia de su
ataque, como se describe en la Figura 3.7 que incluye un diagrama de influencia bi-agente.
La amenaza t1 sigue siendo no intencionada. El ejemplo original, en el que t1 se referıa a
fuego y t2 a un ataque DDoS, sigue siendo valido.
121
Figura 3.7: Analisis de riesgos adversarios en ciberseguridad. Modelo secuencial defensa-
ataque.
El problema al que se enfrenta el defensor esta descrito en la Figura 3.5 y su resolucion
se completa en la Seccion 3.4. Sin embargo, modelizar p(t2|e), que describe las probabilida-
des que la organizacion otorga a que el atacante implemente el ataque t2 si se ha introducido
la defensa e es difıcil. Para facilitar su asignacion, pensamos en el problema del atacante,
como se observa en la Figura 3.8. mediante un diagrama de influencia.
122
Figura 3.8: Problema del atacante.
Para cada cartera e, el atacante, supuesto que maximiza su utilidad esperada, puede calcular
para cada ataque t2 la correspondiente utilidad esperada
ψa(t2|e) =
∫ ∫ ∫uA(t2, ct, cc)pA(t1|e)pA(ct|t1, t2, e)pA(cc|t1, t2, e)dt1dctdcc
Luego, debe encontrar el ataque t∗2 de maxima utilidad esperada, definido por
maxt2
ψ(t2|e)
que le proporcionarıa su mejor ataque t2, dada la defensa e.
123
Sin embargo, puesto que no conocemos uA y pA, usamos utilidades UA y probabi-
lidades PA aleatorias. Definimos, despues, el ataque optimo aleatorio, dada la defensa e
mediante
T ∗2 (e) = arg maxt2
∫ ∫ ∫UA(t2, ct, cc)PA(t1|e)PA(ct|t1, t2, e)PA(cc|t1, t2, e)dt1dctdcc
Se tiene entonces la distribucion requerida, que satisface
p(t2|e) = P (T ∗2 = t2(e))
supuesto que T2 es discreta y, analogamente, si T2 fuera continua (por ejemplo, cuando se
refiere a un esfuerzo de ataque).
Tal distribucion podrıa estimarse mediante simulacion como sigue. SiF = (UA, PA(t1|e), PA(ct|t1, t2, e), PA(cc|t1, t2, e))
designa a la distribucion de utilidades y probabilidades aleatorias, serıa
Para cada e
Desde i = 1 hasta K
Generar
(U iA, P i
A (t1 | e), P iA (ct | t1, t2 e), P i
A (cc | t1, t2 e)
)∼ F
Calcular
ti2 = arg maxt2
∫ ∫ ∫U iA(t2, ct, cc)P
iA(t1|e)P i
A(ct|t1, t2, e)P iA(cc|t1, t2, e)dt1 dct dcc
Despues harıamos
pA(t2|e) =#{ti2 = t2}
K
y, analogamente, en el caso continuo.
124
3.7. Aspectos dinamicos
Para concluir, hacemos una referencia a los aspectos dinamicos de estos problemas,
lo que conlleva una planificacion en el tiempo de las contramedidas a adoptar. Tambien
podemos diferenciar entre aspectos relativos a planificacion estrategica y operativa dentro
de este esquema. Para ello consideramos una version simplificada del modelo, en concreto
con un activo y una amenaza, analizando durante un par de periodos de operaciones la
evolucion del sistema, como se observa en la figura 3.9.
El nodo P de planificacion representa la decision estrategica realizada en materia de
seguridad, influyendo en los nodos e y e′
que representan las contramedidas seleccionadas
durante los dos periodos de operaciones. Igualmente, la decision en el nodo D2 viene in-
fluida por las decisiones tomadas en el periodo anterior de operaciones y por las amenazas
y costes que se produjeron.
Las decisiones a tomar serıan de la forma (l, e, e′). Asimismo, hay un nodo de utilidad
que engloba los costes asociados a las tres decisiones, y sus consecuencias, de forma que su
utilidad esperada serıa
ψ(p, e, e′) =
∫ ∫...
∫u(l, ct, ct′) p(ct|d1) p(ct|d2) p(ct′ |d1) p(ct′ |d2) ... dct dct′
Finalmente, tendrıamos que calcular la estrategia y el plan de operaciones de maxima utili-
dad esperada, resolviendo el problema
max ψ(l, e, e′).
Para concluir, observemos, de nuevo, que podrıamos emplear programacion dinamica para
resolver el problema de planificacion y operaciones, suponiendo que u es monotona y se-
parable. Alternativamente, podrıa introducirse un esquema de reduccion de diagramas de
125
influencia.
126
Figura 3.9: Aspectos dinamicos.
127
3.8. Conclusiones
A lo largo de este capıtulo, se han planteado los elementos que formarıan un marco
integrado para el analisis de riesgos dinamicos en ciberseguridad. Un esquema que atiende
a las necesidades reales de la industria, ya que los marcos estaticos usados hasta ahora no
tienen en cuenta el caracter dinamico y posiblemente intencional de las amenazas.
Asimismo, como una contramedida que ira ganando en difusion en los proximos anos
encontramos los ciberseguros, elemento que tambien se considera en este esquema. En este
punto cabe destacar que grandes aseguradoras emplean en este campo metodos de calcu-
lo del riesgo poco sofisticados, dada la falta de datos historicos y el desconocimiento de
este sector sobre riesgos tan novedosos como los relacionados con las tecnologıas de la
informacion.
Por ultimo, se ha considerar el factor intencionado de los ataques, donde los atacantes
actuan de forma inteligente, analizando las contramedidas que tiene una organizacion a fin
de causar el maximo dano, o el ataque planificado, con los medios de que disponen. Para
contrarrestar su planteamiento recurrimos al analisis de riesgos adversarios, analizando el
problema de decision del atacante.
El esquema mostrado se usara para desarrollar un caso practico en el siguiente capıtu-
lo, donde para simplificar el modelo se usara un numero limitado de activos, amenazas y
contramedidas.
128
Capıtulo 4
Un Caso de Gestion de Riesgos
en Ciberseguridad
4.1. Introduccion
En este capıtulo ilustraremos en la practica el marco para el analisis y gestion de riesgos
para ciberseguridad introducido en el Capıtulo 3. La organizacion estudiada es una mediana
empresa dedicada al sector de la gestion documental, que cuenta con 60 empleados y 90
equipos informaticos. Su principal area de negocio potencialmente afectada por ciberata-
ques es la relativa a servicios al cliente.
En las siguientes secciones se mostraran los principales elementos que intervienen en
el problema real simplificado planteado, desarrollando de forma secuencial el caso practi-
co. En esencia, primero estructuramos el problema, identificando los activos, amenazas y
salvaguardas a considerar. Tales salvaguardas tendran un coste de implantacion, a cambio
de reducir el impacto de las amenazas y/o la probabilidad de que se materialicen. Posterior-
mente, evaluamos los impactos que pueden tener lugar sobre el valor de los activos para, a
continuacion, plantear la gestion optima de riesgos en dicho escenario. En concreto, busca-
remos las carteras optimas de salvaguardas, en el sentido de maximizar la utilidad esperada,
129
130
como se indico en el Capıtulo 3. Asimismo, en caso de que se incluyan amenazas adversa-
rias, modelizamos el problema de decision del Atacante. Despues, simulamos su problema
para obtener sus probabilidades de ataque, que retroalimentaran el problema del Defensor,
pudiendo ası obtenerse la defensa optima. Consideramos un horizonte de planificacion de
un ano.
Este problema, en el que se simplificara el numero de elementos a considerar, puede
servir de plantilla para problemas mas complejos. Ası, se ilustraran mejor los conceptos
clave de modelizacion y el proceso global y esquema computacional a seguir. Observemos
que puesto que GeNIe, la herramienta que emplearemos para calcular alternativas optimas,
solo trata con problemas de decision discretos, tendremos que discretizar las distribuciones
que vayan apareciendo.
4.2. Estructuracion del problema
Empezamos estructurando el problema planteado a traves de un diagrama de influencia
bi-agente que puede observarse en la Figura 4.1. Comenzamos identificando los activos del
problema; despues las amenazas relevantes y, finalmente, las contramedidas de interes.
131
Figura 4.1: Estructura del problema.
4.2.1. Activos en el problema
En primer lugar, identificamos los activos de la organizacion. Tıpicamente, podrıamos
partir de la lista de activos de alguna de las metodologıas presentadas en el Capıtulo 2,
como, por ejemplo, MAGERIT. En este ejemplo consideramos:
Instalaciones: Oficinas de la organizacion bajo estudio que pueden verse afectadas
por las amenazas. Son un ejemplo de activo no informatico que ha de tenerse en
cuenta. Sin el, esta organizacion no podrıa continuar con su operativa.
Equipos informaticos: El CPD y los puestos de trabajo de las oficinas suponen un
activo realmente importante para esta organizacion. Si dichos activos se viesen afec-
tados por una amenaza, los costes podrıan llegar a ser muy cuantiosos, dando lugar a
contratiempos como la necesidad de sustituir los activos afectados o la paralizacion
de las actividades de la organizacion.
132
Informacion de negocio: Este activo es esencial para la organizacion. En el se inclu-
yen bases de datos de clientes, informacion sobre la operativa de proyectos, elementos
de propiedad intelectual, datos internos de recursos humanos, etc.
Algunos otros posibles activos serıan el software de desarrollo propio, elementos de in-
formatica movil o el personal de la organizacion, pero no los consideraremos aquı.
Asociamos a cada uno de los activos un nodo de azar que representa el coste asociado
al impacto sobre los mismos de las amenazas que, seguidamente, reflejamos.
4.2.2. Amenazas relevantes
Consideramos ahora las amenazas que pueden producirse sobre los activos identifica-
dos. Para ello, empleamos una simplificacion de la lista recogida en MAGERIT, aunque
podrıa optarse por listas similares de otras metodologıas:
Fuego: Inicio de un fuego en los inmuebles de la organizacion bajo estudio. Pondra en
peligro dichas instalaciones, junto con los sistemas informaticos que en ellas se alber-
guen. Estos activos se verıan degradados segun el tiempo de exposicion y la crudeza
del mismo. El impacto sobre el activo informacion de negocio no se contempla, dado
que la organizacion cuenta con un sistema de respaldo. En nuestro caso, considera-
remos que un fuego puede producirse unicamente de forma accidental, i.e. no con-
templamos la posibilidad de un sabotaje por incendio, debido al sistema de control de
accesos en la organizacion.
Denegacion de servicio: Ataque informatico que podrıa lanzarse por un intruso ex-
terno que quiera socavar la disponibilidad de los sistemas informaticos de la organi-
zacion, tratandose, por tanto, de una amenaza informatica intencionada. Ademas, la
parada de un sistema debido a este tipo de ataque puede hacer que otras partes de la
infraestructura TIC se vean igualmente comprometidas. Supondremos que solo afec-
133
ta a los activos equipos informaticos y a la informacion de negocio. Se identifica un
unico competidor como posible causante del ataque DDoS.
Virus Informatico: Software malintencionado que tiene por objeto alterar el funcio-
namiento normal de los sistemas informaticos. Los virus pueden afectar de diversas
maneras a los sistemas. Podrıan, por ejemplo, degradar directamente los datos alma-
cenados, destruyendolos, o bien, unicamente, reducir el rendimiento de los servicios
ofrecidos. En cuanto a su propagacion, existen dos vıas principales. En la primera,
el usuario ejecuta o acepta de forma inadvertida la instalacion del virus; en la se-
gunda, el programa malicioso actua replicandose a traves de redes. Consideraremos
la aparicion de esta amenaza con caracter accidental, dada su ubicuidad por la gran
capacidad de difusion de que disponen en todo tipo de medios informaticos. Ademas,
podra afectar a los activos informacion de negocio y equipos informaticos.
Algunas otras amenazas podrıan ser danos por agua, cortes del suministro electrico, abuso
de privilegios de acceso o una amenaza persistente avanzada, aunque no las consideraremos
aquı.
Asociamos un nodo de azar a las amenazas fuego y virus, y un nodo de decision de
distinto color, correspondiente a un atacante, a la amenaza de denegacion de servicio. Ası,
consideramos solo un competidor que puede estar interesado en realizar tal ataque.
4.2.3. Salvaguardas relevantes
Finalmente, se identifican las salvaguardas relevantes para las amenazas consideradas.
De nuevo, puede recurrirse a listados de metodologıas como MAGERIT. En nuestro caso
consideramos:
Salvaguardas: Este nodo de decision se refiere a las carteras de contramedidas que
puede implantar la organizacion para protegerse. Como contramedidas basicas inclui-
mos un sistema anti-incendios, un firewall para protegerse de ataques informaticos
134
externos (como pudieran ser los ataques de denegacion de servicio); y, finalmente,
procedimientos para la adquisicion, desarrollo y mantenimiento de sistemas, como
estipula la ISO 27001. Ası, el nodo inicial de Salvaguardas incluirıa las siguientes
alternativas:
• Ninguna salvaguarda (d0).
• Instalar solo un Anti-incendios (d1).
• Instalar solo un Firewall (d2).
• Implantar solo un procedimiento para la adquisicion, desarrollo y mantenimien-
to de sistemas (d3).
• Restantes carteras que surgen de combinar los elementos d1, d2 y d3.
Ademas, como caso especial de salvaguarda, consideramos la posibilidad de contratar un
seguro, tal vez incluyendo cobertura en la parte de ciberseguridad.
Seguro: Tendra un coste dependiente de las demas contramedidas que hayan sido
implantadas en la organizacion, motivo por el que lo separamos de las anteriores. De
igual modo, la prima asociada dependera de los activos a proteger y otros factores
contextuales de la organizacion. Las posibles alternativas son:
• Ninguno.
• Seguro tradicional: cobertura contra incendios.
• Ciberseguro: cobertura contra violaciones de datos, perdidas por amenazas y
extorsion, ası como limpiezas de virus informaticos, procedimientos LOPD y
fraude informatico.
• Seguro integral: todas las coberturas anteriores.
Otras posibles contramedidas serıan introducir un control de acceso logico, la proteccion
criptografica de los datos o la proteccion del cableado, que no consideraremos aquı.
135
Asociamos un nodo de decision a las salvaguardas y un segundo nodo de decision
relativo a los seguros a contratar.
4.2.4. Impactos
Una vez identificados los anteriores elementos, se analizan los impactos derivados de
ellos, algunos de los cuales se han mencionado previamente. En este caso, solo considera-
mos impactos monetarios o costes. Tambien se podrıan considerar impactos menos tangi-
bles, como pudiera ser la imagen corporativa o la perdida de clientes por un fallo puntual.
Especıficamente, consideramos:
1. Coste de salvaguardas: Las salvaguardas elegidas conllevaran cierto gasto, que vendra res-
tringido por el presupuesto con que se cuente. Entre los costes se incluyen los referi-
dos al ciberseguro.
2. Costes de impactos sobre los activos: Los impactos derivados sobre los activos (ins-
talaciones, equipos informaticos, informacion de negocio) pueden suponer su degra-
dacion total o parcial, que implicarıa costes muy diversos asociados a factores como
incumplimiento de contratos con las consecuentes penalizaciones, sanciones admi-
nistrativas, etc.
3. Coste total: Engloba todos los elementos de coste anteriores.
Se asocian nodos determinısticos a los costes de tipo 1 y 3, y nodos de azar a los costes de
tipo 2 relacionados con impactos.
4.2.5. Modelos de preferencias
Se incluyen tambien los modelos de preferencias de las partes implicadas.
136
1. Utilidad del defensor: Modeliza las preferencias y actitudes frente al riesgo del de-
fensor, la organizacion a la que apoyamos en su gestion de riesgos.
2. Utilidad del atacante: Analogamente, modelizarıa las preferencias y actitudes frente
al riesgo del atacante.
Se incluye un nodo de valor para el defensor. Asimismo, se incluye un nodo de valor por
atacante, que, en este caso, como hemos dicho, se limita a uno.
4.2.6. Arcos
El unico arco no estandar serıa el que une el nodo salvaguardas con el nodo DDoS,
dado que el atacante realizara su accion una vez identifique y conozca las salvaguardas
implantadas en la organizacion. El resto de arcos modelizan las relaciones de dependencia
habitualmente consideradas entre los nodos de decision, azar y utilidad, vease Shachter
(1988).
4.3. Asignacion de las creencias y preferencias de la
organizacion
Incluimos ahora la evaluacion cuantitativa de todos los elementos de creencias y pre-
ferencias de la organizacion que no requieren analisis estrategico, i.e. no requieren pensar
sobre el comportamiento de los adversarios. Comenzamos por las variables determinısticas,
despues las incertidumbres no estrategicas y, finalmente, las preferencias de la organizacion
137
4.3.1. Valor de los activos
A continuacion se indica el valor de los activos considerados en la organizacion. Para
ello, solo se reflejan los costes de adquisicion de los activos instalaciones y equipos in-
formaticos, sin tener en cuenta factores como la depreciacion de los mismos, el valor del
contenido u otros elementos de analisis. Asimismo, el valor del activo informacion de ne-
gocio se corresponde con el beneficio a obtener de los proyectos en curso que se sustentan
en dicha informacion, menos el coste interno necesario para su produccion. Tales valores se
estiman en:
Instalaciones: 5.000.000 e.
Equipos informaticos: 200.000 e.
Informacion de negocio: 600.000 e.
4.3.2. Costes de las salvaguardas
Las salvaguardas conllevan un coste que debe considerarse minuciosamente en nuestro
estudio, ya que habra restricciones de presupuesto a cumplir. En nuestro caso, veremos que
dichas limitaciones no permiten la seleccion de las tres salvaguardas consideradas, puesto
que el presupuesto para mejora de la seguridad disponible sera de 11.000 e. Los costes de
las salvaguardas basicas son:
Nada: 0 e.
Anti-incendios: 5000 e.
Firewall: 4500 e.
Procedimiento para adquisicion, desarrollo y mantenimiento de sistemas: 3000 e.
138
Las restantes carteras tienen los costes del Cuadro 4.1., obtenidos de la suma de los costes
de sus componentes.
Anti-incendios Firewall Procedimiento
Anti-incendios - 9500 e 8000 e
Firewall - 7500 e
Cuadro 4.1: Costes de salvaguardas
Como hemos dicho, observemos que el coste de la cartera con las tres contramedidas serıa
de 12500 e, superando el presupuesto disponible. Por ello, resulta no factible.
4.3.3. Costes del seguro
Ademas, consideramos los costes de seguros disponibles por parte de cierto proveedor,
segun se refleja en la Figura 4.2. Se incluye un seguro tradicional anti-incendio, un ciberse-
guro y un seguro integral que cubre, en parte, ambas amenazas. Para cada uno de ellos se
proporciona el coste, que dependera de las contramedidas implantadas, y una descripcion
de su cobertura.
139
Figura 4.2: Caracterısticas de seguros disponibles.
Los costes del seguro van en presupuesto diferente del destinado a las medidas de seguri-
dad. En cualquier caso, observese que el presupuesto disponible de seguridad podrıa incluir
tambien el seguro.
4.3.4. Modelizacion de la amenaza fuego
Estudiaremos los aspectos relevantes en relacion con la amenaza fuego. Para ello, nos
basaremos en datos recogidos en varios estudios realizados en diferentes partes del mun-
do, como el World Fire Statistics Centre (The Geneva Association, 2010), en el que se
recogen datos estadısticos anuales de costes, danos, numero y tiempo de las intervenciones,
perdidas humanas y materiales, etc., en distintos paıses. Estudiaremos, sucesivamente, la
probabilidad de que se produzca un incendio; los efectos de este que, esencialmente, depen-
deran de la duracion del mismo; y, finalmente, los efectos de las contramedidas sobre tales
probabilidades y/o impactos.
140
Probabilidad de incendio
Para la extrapolacion a nuestro caso particular, por cercanıa a un modelo espanol, nos
centraremos en un informe realizado por el cuerpo de bomberos del Ayuntamiento de Vitoria
(2009). A partir de el, hemos obtenido los datos de intervenciones realizadas sobre edificios
industriales en el periodo (2005-2009), como se refleja en el Cuadro 4.2, en el que se incluye
el numero de edificios industriales, las intervenciones realizadas y la tasa anual de siniestros.
Ano Edif. Ind. Fue. Ind. Tasa
2005 1220 32 2.62 %
2006 1266 29 2.29 %
2007 1320 30 2.27 %
2008 1347 28 2.07 %
2009 1314 28 2.13 %
Cuadro 4.2: Informacion incendios en Vitoria (2005 - 2009)
Como la tasa de incendios permanece razonablemente estable, estimamos la probabilidad
de que una organizacion sufra un incendio un ano mediante un modelo beta-binomial, con
distribucion a priori no informativa
β(1, 1).
En tal caso, la distribucion a posteriori serıa
p | datos ∼ β(
1 +∑5
i=1 xi, 1 +∑5
i=1 (ni - xi))≡ β(1 + 147, 1 + 6320 ,)
donde xi serıan los fuegos que solo afectaron a edificios industriales y ni serıa el numero
de edificios industriales, en el ano i-esimo, i = 1, .., 5. En caso necesario, tal distribucion
puede resumirse mediante su esperanza a posteriori que es
p =1 +
∑xi
2 +∑ni
=148
6469= 0, 022,
141
siendo la varianza a posteriori
V ar (p|datos) =αβ
(α+ β + 1)(α+ β)2=
148 . 6321
(148 + 6321 + 1)(148 + 6321)2' 34x10−7, .
p representara nuestra estimacion de la probabilidad de que en un ano, en un edificio indus-
trial como el que nos atane, se produzca un incendio. Entonces, el numero de fuegos por
ano sigue una distribucion de Poisson de parametro λ, donde λ se deduce de la probabilidad
de que haya cero incendios, esto es,
p(0) = 1− p = 1− 0, 022 = 0, 978.
Despejando λ, tenemos λ ' 0.022. La distribucion del numero de fuegos en nuestra insta-
lacion en un ano sera entonces:
P(k fuegos en un ano | datos) ' e−0,022 −0,022k
k! , k = 0, 1, 2, ...
Como consecuencia, consideraremos solo la probabilidad de que se produzca un unico fue-
go, ya que, a partir de ese valor, la probabilidad es muy pequena.
Duracion de un incendio
Una vez estimada la probabilidad de ocurrencia de la amenaza fuego, nos centramos en
la duracion del mismo, pues se trata de un precursor del impacto de un incendio (Bagchi et
al., 2013). Tıpicamente, cuanto mas dure el incendio, mas danino resultara. Para el estudio
de la duracion de un fuego, empleamos de nuevo datos provenientes del Ayuntamiento de
Vitoria (2009). La Figura 4.3 presenta el histograma de las duraciones de los incendios
industriales en esa ciudad. En el mismo, queda reflejado que la duracion modal de los fuegos
industriales esta entre 30 minutos y una hora.
142
Figura 4.3: Histograma incendios industriales en Vitoria (2005 - 2009).
Supondremos que la duracion de los incendios viene modelizada mediante una distri-
bucion Gamma(a, p), con densidad
g(x|a, p) ∝ exp(−ax) ap xp−1.
Aplicando el metodo de momentos tenemos, para la media y la varianza, respectivamente
a
p= m,
a
p2= σ2.
De ahı, deducimos que
p =m
σ2,
a =m2
σ2.
143
A partir de los valores empıricos, m = 78 min y σ2 = 7127,27 min2, obtenemos
p = 0, 011,
a = 0, 853.
Impacto de la duracion de un incendio
A continuacion, estudiamos los impactos asociados a un incendio. Consideramos que
la fraccion de activos afectados (inmuebles, equipos informaticos) guarda relacion con la
duracion del incedio: cuanto mas se prolongue el fuego, mayor sera la incidencia sobre los
activos. De hecho, numerosos estudios muestran la conducta del fuego y de los materiales
mas comunes ante su presencia, considerando factores como las cantidades de combustible
o de oxıgeno (Milke, 2002). Como ejemplo, en la Figura 4.4 puede observarse la liberacion
de calor del fuego, en funcion de la duracion de un incendio frente a materiales comunes
como madera y plasticos.
Figura 4.4: Tasa de liberacion de calor en incendios (Milke, 2002).
144
Tras consultar con expertos, consideramos el impacto del fuego en funcion de su dura-
cion sobre los activos contemplados:
Instalaciones: Un incendio con una duracion de 120 minutos degradarıa este activo
en el 100 % de su valor.
Equipos informaticos: Un incendio con una duracion de 10 minutos degradarıa este
activo en el 100 % de su valor.
Para simplificar el analisis, supondremos que el efecto de la duracion del fuego sobre la
perdida de valor es lineal.
Impacto de las contramedidas
Observemos que la unica contramedida que tiene efecto sobre la amenaza fuego es la
referida a la inclusion de un sistema anti-incendios. Tal sistema permitira una deteccion
mucho mas rapida del siniestro, con lo que su duracion serıa menor. En concreto, esta de-
teccion en fase temprana tiene lugar gracias al empleo de sensores de humo, termicos y
termovelocımetros. Estos ultimos operan al producirse un rapido aumento de la temperatu-
ra por minuto, independientemente de la temperatura inicial. Asimismo, para la deteccion
precoz del fuego, el sistema contarıa con un sistema de deteccion de incendios por aspira-
cion, consiguiendo una mayor rapidez, ya que no debe esperarse a que el humo llegue al
sensor.
Con ayuda del juicio de expertos en esta area, hemos determinado los umbrales de
duracion del incendio bajo un sistema anti-incendios. En concreto, el sistema empleado
usarıa agentes gaseosos limpios, que se complementa con alarmas acusticas y opticas. Las
valoraciones de los expertos aportan los siguientes datos:
Duracion mınima: 1 minuto.
Duracion modal: 10 minutos.
145
Duracion maxima: 60 minutos.
Para mitigar la posible sobreconfianza de los expertos, vease Galway (2007), consideramos,
de hecho, una distribucion triangular con cuartiles 0.05 en 1 minuto y 0.95 en 60 minutos,
resultando una distribucion Tri (0.8, 10, 63).
Ası, con todos estos datos planteamos los siguientes escenarios provenientes de discre-
tizar los modelos anteriores, teniendo en cuenta los valores de los activos. En concreto, en la
Figura 4.5 observamos los datos cuando no hay presencia de contramedidas y en la Figura
4.6, cuando sı las hay.
Figura 4.5: Costes y probabilidades de la amenaza Fuego sin presencia de contramedidas.
Figura 4.6: Costes y probabilidades de la amenaza Fuego con presencia de contramedidas.
146
4.3.5. Modelizacion de la amenaza virus informatico
En relacion a la amenaza virus informaticos, existen diversos modelos que tratan de
explicar su comportamiento y dinamica. Ası, encontramos modelos de difusion en redes
sociales (Jackson y Yariv, 2006), modelos estocasticos (Jiang, 2010), o modelos de grafos
usados en epidemiologıa (Draief et al., 2008), (Draief y Ganesh, 2011). Diversas estadısti-
cas sugieren que la tasa de infeccion por virus a nivel mundial es del 33,21 % (Panda
Security, 2015), de forma que adoptamos como p = 0,33 la probabilidad de que un equipo
se infecte en el periodo considerado que, como veremos, es un mes.
En nuestro modelo, supondremos que la organizacion tiene m ordenadores que pu-
dieramos considerar tienen la misma probabilidad de ser infectados, ya que las medidas de
seguridad aplican por igual a todos los activos 1. Como puede ser un problema recurrente,
consideramos mes a mes la infeccion de equipos informaticos ya que, tras dicho periodo, se
realiza un analisis exhaustivo eliminando cualquier posible infeccion. Entonces, la probabi-
lidad de que haya k infecciones en el mes i-esimo es
Pr(Xi = k) =
(m
k
)pk(1− p)m−k, k = 0, ..,m
En relacion al tiempo de duracion de la infeccion, consideramos que el virus permanece
activo de forma continua hasta que es detectado por los controles de seguridad oportunos.
En ese momento, pasa a ser erradicado del sistema.
Si ahora consideramos la probabilidad de que haya k infecciones en un ano serıa
Pr
(∑X12
i=1 = k
)=
∑∑
ki=k
[(m
k1
)pk1(1− p)m−k1 ...
(m
k12
)pk12(1− p)m−k12
]=
1Simplificamos el analisis suponiendo que todos los ordenadores son igualmente valiosos y faciles de acce-
der.
147
( ∑∑
ki=k
(m
k1
)...
(m
k12
))pk(1− p)nm−k =
(nm
k
)pk(1− p)nm−k, k = 0, 1, .., nm
que se puede aproximar, usando el Teorema Central del Lımite, mediante la distribucion
normal (Ash, 1972).
Los impactos que consideraremos son:
La reparacion de un equipo informatico infectado por un virus tiene un coste interno
de 31,25 e (asociados a dos horas de un tecnico con un sueldo bruto es de 2500 e
mensuales).
En relacion al activo informacion de negocio, en caso de sufrir una infeccion, con-
siderando que dicha amenaza se ha materializado vıa malware basado en email, se
tardarıa en media cinco dıas en detectar el problema. Asimismo, se considera que, en
media, el malware afecta por igual las dimensiones de seguridad de la informacion:
confidencialidad, integridad y disponibilidad. Se considera que el impacto sobre la
integridad y disponibilidad es el mismo, dado que la informacion se corrompe y deja
de estar disponible para sus usuarios legıtimos. El impacto sobre la confidencialidad
sı es variable, dado que, cuanto mas tiempo pase desde la infeccion, mayor sera la
probabilidad de que el activo sea accedido por entes no autorizados. Los costes de-
rivados de estas infecciones se establecen de media en 2683 e (Solutionary, 2013).
Ası, el impacto sobre este activo seguirıa un modelo Valor − (Impacto x Numero de
dıas de exposicion) que se traducirıa en 600000 e - (2683 e x 5) = 286585 e, siendo
ası el coste de 13415 e.
En este caso, el activo inmueble no se verıa afectado por una infeccion, con lo que el
impacto serıa de 0 e.
Si hay x equipos infectados
148
El coste sobre los activos equipos informaticos serıa x × 31,25 e.
El coste sobre el activo informacion de negocio se considera independiente del nume-
ro de equipos infectados, dado que la informacion de negocio esta en carpetas com-
partidas desde las que se puede acceder por igual desde todos los equipos informati-
cos. Por tanto, el impacto sigue siendo de 13415 e.
El coste sobre el activo inmueble seguirıa siendo cero.
Asimismo, se consideran los siguientes factores
1. Si se implanta un firewall, que cuenta con funcionalidad de antivirus, la probabilidad
de infeccion p se considera que se reduce a cero. Entendemos que este es un caso
ideal, ya que la aparicion de nuevas variantes de virus es casi constante. No obstante,
consideramos que esta salvaguarda cuenta con un sistema de actualizacion continua,
recogiendo las ultimas firmas de virus para su deteccion.
2. Si se instala un sistema anti-incendios, la probabilidad p de infeccion se mantiene.
3. Si se implanta un procedimiento para la adquisicion, desarrollo y mantenimiento de
sistemas se considera que la probabilidad p de infeccion se reduce al 50 %. Esta con-
sideracion se debe a que esta salvaguarda conlleva puntos de mejora en la organiza-
cion como la imposicion de requisitos de seguridad en todos los sistemas adquiridos,
mantenidos por terceros y en los desarrollos internos. De este modo, la probabilidad
de que un virus puede materializarse, al explotar una vulnerabilidad presente en los
sistemas, se ve reducida considerablemente.
4.3.6. Funcion de utilidad de la organizacion
La organizacion tiene aversion al riesgo, por lo que usaremos como modelo de sus prefe-
rencias una funcion estrategicamente equivalente a
149
u(c) = − exp(k (−c)), k > 0
donde c serıan los costes de la organizacion.
Para ajustarla procedemos como sigue. Determinamos el peor coste c∗ de seguridad
razonable y el mejor coste c∗ en la organizacion. Les asignamos, sin perdida de generalidad,
utilidades 0 y 1, respectivamente. Esto es
u(c∗) = 0,
u(c∗) = 1.
Para un coste c1 de seguridad intermedio, encontramos su equivalente α en probabilidad:
el nivel α de probabilidad que hace que incurrir seguro en unos costes c1 de seguridad le
resulten a la organizacion equivalentes a una situacion de riesgo en la que con probabilidad
α obtiene costes de seguridad c∗ y, con probabilidad (1 - α), obtiene c∗. Entonces, resulta
(1
c1
)∼(
1− α α
c∗ c∗
)
y, por igualdad de utilidades esperadas,
u(c1) = α.
Para la calibracion, hacemos
u(c) = a− b exp(−k c),
con b, k > 0. Tıpicamente, c∗ = 0 (los mejores costes de seguridad son 0) y tenemos el
sistema
a− b = 1,
a− b exp(−k c∗) = 0,
150
a− b exp(−k c1) = α.
Resolviendo el sistema, obtenemos
a = b+ 1,
b (1− exp(−k c∗)) = −1,
b (1− exp(−k c1)) = α− 1,
1− exp(−k c∗)1− exp(−k c1)
= − 1
1− α,
cuya solucion numerica proporciona a, b y k.
En nuestro caso, c∗ = 6.000.000 e y, preguntando a un experto, para c1 = 1.000.000 e
nos da α = 0.9, con lo que, si consideramos los costes en millones de euros,
1− exp(−6 k)
1− exp(− k)=
1
1− 0,9= 10
Si hacemos z = exp (- k), resulta1− z6
1− z= 10
Con ello, k = 0.18, a = 3.32 y b = 2.32.
4.3.7. Modelizacion de la amenaza DDoS
Para modelizar la amenaza DDoS, se procede a evaluar el impacto causado sobre los
activos afectados, que dependera de las salvaguardas presentes en la organizacion. En la
Figura 4.7 se observan los impactos c1 sobre el activo equipos informaticos cuando tiene
lugar el ataque DDoS.
151
Figura 4.7: Probabilidad de impacto de amenaza DDoS sobre los equipos informaticos.
De igual modo, en la Figura 4.8 se muestran los impactos sobre el activo informacion
de negocio cuando se materializa el ataque DDoS.
152
Figura 4.8: Probabilidad de impacto de amenaza DDoS sobre la informacion de negocio.
Como consideramos que este tipo de ataques siempre es realizado de forma intencionada,
procedemos a modelizarlo mediante un analisis de riesgos adversarios, como en la seccion
siguiente.
4.4. Asignacion de creencias sobre ataques intenciona-
dos
En esta fase, modelizamos las creencias del defensor sobre las amenazas de tipo inten-
cionado que, en este ejemplo, se refieren a la ejecucion de un DDoS. Como hemos dicho,
consideramos un solo adversario que pueda estar interesado en lanzar un ataque, corres-
pondiente a la competencia. El problema de decision del atacante, en este caso, serıa el
mostrado en la Figura 4.9.
153
Figura 4.9: Problema de decision del atacante.
Entonces, para cada salvaguarda s, el atacante deberıa resolver el problema
a∗(s) = arg maxa
∫ ∫uA(c1, c2, a) pA(c1|a, s) pA(c2|a, s) dc1 dc2,
que le proporciona la alternativa de maxima utilidad esperada, dada la defensa s adoptada
por la organizacion. Sin embargo, no disponemos de
uA, pA(c1|a, s), pA(c2|a, s),
pues describen aspectos del atacante. Entonces, si modelizamos nuestras creencias sobre las
mismas mediante utilidades y probabilidades aleatorias como
F =
(UA(c1, c2, a), PA(c1|a, s), PA(c2|a, s)
),
154
podemos calcular la alternativa optima aleatoria, dada la defensa s, que sera
A∗(s) = arg maxa
∫ ∫UA(c1, c2, a)PA(c1|a, s)PA(c2|a, s)dc1dc2.
A partir de ella, como a toma valores discretos, podemos hacer
pD(a|s) = Pr(A∗ = a|s)
para obtener la distribucion que nos falta.
Como en la teorıa introducida en el Capıtulo 3, podemos proporcionar un esquema de
simulacion para estimar pD (a | s). Ası, si F = (UA, PA(c1|a, s), PA(c2|a, s)) designa a la
distribucion, serıa
Para cada s
Desde i = 1 hasta K
Generar
(U iA, P i
A (c1 | a, s), P iA (c2 | a, s)
)∼ F
Calcular
ai(s) = arg maxa
∫ ∫U iA(c1, c2, a)P i
A(c1|a, s)P iA(c2|a, s)dc1 dc2
Despues harıamos
pD(a|s) =#{ai(s) = a}
K.
Describimos ahora la asignacion de los elementos de F . Para empezar, suponemos que
PA (c1 | a, s) se distribuye en torno a pD (c1 | a, s), descrita en la seccion 4.3.7. Podemos
entonces suponer que
PD(c1 = 0|a, s) = δ1
155
i.e. la distribucion degenerada en 1. Suponemos, ademas,
PD(c1|a = ataque, s = nada) ∼ Dir(α1, α2, α3)
de forma queα1
α1 + α2 + α3= 0,1,
α2
α1 + α2 + α3= 0,7,
α3
α1 + α2 + α3= 0,2.
Ası,
α1 = 0,1 (α1 + α2 + α3),
α2 = 0,7 (α1 + α2 + α3),
α3 = 0,2 (α1 + α2 + α3),
con lo que
α1 = 0,1 t,
α2 = 0,7 t,
α3 = 0,2 t.
Para fijar definitivamente la distribucion de Dirichlet, empleamos que la varianza V de la
primera componente serıa0, 1 t 0,9 t
0,9 t2 (t+ 1)= V.
De aquı obtenemos
t =0, 1
V− 1.
Para, por ejemplo, V = 0.05, resulta t = 1 y
α1 = 0,1,
α2 = 0,7,
156
α3 = 0,2.
En general, para las restantes columnas de la Figura 4.7 se tendrıa
PD(c1|a, s) ∼ Dir(αas1 , α
as2 , α
as3 )
conαas1
αas1 + αas
2 + αas3
= p,
αas2
αas1 + αas
2 + αas3
= q,
αas3
αas1 + αas
2 + αas3
= r,
con lo que
αas1 = p t ,
αas2 = q t,
αas3 = r t.
Para determinar la constante t, usamos el hecho de que la varianza V de la primera compo-
nente esp t2 (1− p)t2 (t+ 1)
= V,
t+ 1 =p (1− p)
V,
t =p (1− p)− V
V.
Sustituyendo t, obtendrıamos entonces los valores de αas1 , αas
2 y αas3 . Analogamente mode-
lizamos PA (c2 | a, s).
Respecto de UA, identificamos primero los objetivos del adversario. En este caso, la
razon fundamental sera interrumpir las operaciones de nuestra organizacion para causar un
dano reputacional con la consiguiente perdida de clientes que se dirigirıan a la competencia,
157
ademas de hacer incurrir en penalizaciones contractuales que pueden afectar su continuidad
en el mercado.
En cuanto a los costes del adversario, el empleo de una botnet para lanzar el ataque
DDoS estarıa en torno a 33 e por hora (Incapsula, 2015). Para que el adversario danase la
imagen corporativa del defensor, y este incurriese en graves penalizaciones contractuales,
tendrıamos
Coste de lanzamiento del ataque: 24 horas x 33 e por hora = 792 e.
Asimismo, el atacante ha de considerar la posibilidad de ser descubierto. Al ser una empresa
de la competencia, si se descubriese la autorıa del ataque supondrıa un descredito grave,
sumado a las indemnizaciones y costes legales a soportar. En este sentido, el propio organo
regulador podrıa suspender las actividades de la empresa, incurriendo ademas sus directivos
en responsabilidad penal. En concreto, tendrıamos los siguientes costes
Costes reputacionales: 750.000 e.
Costes legales: 30.000 e, incluyendo las costas de defensa jurıdica del defensor y los
trabajos de investigacion y analisis forense efectuados.
Cotes por indemnizaciones: 150.000 e.
Ası, podemos considerar que los costes del atacante en caso de no ser descubierto C∗ serıan
792 e. En caso de ser descubierto los costes C∗ serıan 930.792 e.
En relacion a los beneficios que obtendrıa el atacante, consideramos los siguientes
Captacion de clientes: durante el ataque DDoS la empresa defensora perderıa clientes,
de los cuales se considera que el 50 % serıan captados por la empresa atacante. Ası,
obtendrıa unos ingresos de 500.000 e.
158
En funcion de la plataforma usada por el atacante para lanzar el DDoS la probabilidad de
ser identificado variara. En este caso, se considera el empleo de plataformas rusas con los
siguientes datos
Pr(identificacion del atacante|plataformas rusas DDoS) = 0, 1
Una vez descritos los componentes del coste cA, podemos suponer que la organizacion
adversaria tiene aficion al riesgo, con lo que su funcion de utilidad sera estrategicamente
equivalente a
u(cA) = exp(kA cA),
con kA > 0. Para inducir incertidumbre, suponemos kA ∼ U [0, 10].
Con esta asignacion, aplicando el esquema de simulacion propuesto, estimamos que
pD(ataque DDoS|nada) = 0, 29 = pD(ataque DDoS|anti-incendios),
pD(ataque DDoS|firewall) = 0,02 = pD(ataque DDoS|anti-incendios, firewall),
pD(ataque DDoS|procedimiento) = 0,12 = pD(ataque DDoS|anti-incendios, procedimiento),
pD(ataque DDoS|firewall, procedimiento) = 0,01.
4.5. Calculo de la polıtica optima
Una vez descrita la estructura y modelizados los elementos del problema del defensor,
procedemos a resolverlo. El problema se representa en el diagrama de influencia de la Figura
4.8, que serıa el problema del Defensor asociado al diagrama bi-agente de la Figura 4.10.
159
Figura 4.10: Problema de decision del defensor.
Usando los valores estimados en el desarrollo del problema veremos que la solucion deter-
minada con GeNIe serıa la seleccion de las salvaguardas sistema anti-incendios y firewall.
4.6. Conclusiones
En este capıtulo hemos ilustrado nuestro marco para la gestion de riesgos en cibersegu-
ridad. El ejemplo es simplificado, pero sirve como plantilla para otros casos, que seguirıan
los pasos indicados:
Estructuracion del problema
160
• Identificacion de los activos.
• Identificacion de las amenazas relevantes, incluyendo las adversarias.
• Identificacion de las salvaguardas relevantes, incluyendo seguros.
• Identificacion de los impactos.
• Modelos de preferencia.
• Estructuracion del problema como un diagrama de influencia multi-agente.
Asignacion de las creencias (no estrategicas) y preferencias del defensor
• Valoracion de los activos.
• Costes de las salvaguardas.
• Modelizacion de las amenazas no adversarias (probabilidad, distribucion de im-
pactos y afeccion de las salvaguardas).
• Modelizacion de las preferencias de la organizacion.
Asignacion de las creencias sobre amenazas adversarias.
• Modelizacion del problema del atacante.
• Asignacion de utilidades y probabilidades aleatorias.
• Estimacion de las probabilidades de amenazas adversarias, mediante simula-
cion.
Calculo de las decisiones optimas de asignacion de recursos de defensa.
Analisis de sensibilidad.
Capıtulo 5
Conclusiones y Trabajo Futuro
5.1. Conclusiones
El panorama actual de las metodologıas de analisis y gestion de riesgos en la ciberse-
guridad cuenta con virtudes de gran valor, como una adecuada catalogacion de los activos,
amenazas y salvaguardas a considerar para plantear el analisis inicial del aseguramiento
de cualquier infraestructura empresarial. Gracias a estos elementos, los responsables de se-
guridad pueden recoger hasta cierto punto una fotografıa fija de sus recursos, con lo que
cualquier decision que quisiera tomar estarıa sustentada con una base de cierta solidez.
No obstante, si pretendemos formalizar este campo con la seriedad que merece, hemos de
estudiar detenidamente como tratar adecuadamente el caracter dinamico inherente a todo
riesgo.
Para tratar este objetivo, se ha mostrado la necesidad de contar con un marco proba-
bilıstico que pueda ayudarnos a estructurar una metodologıa robusta y sofisticada, a fin de
dar un nuevo giro de tuerca al estado del arte en este campo. Un analisis cuantitativo mas
fino, un tratamiento real de las dependencias entre activos y el calculo de utilidades son
algunas de las mejoras que son posibles gracias a este enfoque. Asimismo se ha mostrado
como se puede optimizar la inversion en salvaguardas de seguridad, siendo este punto de
161
162
gran importancia para cualquier organizacion que desee conseguir un estado de seguridad
optimo de acuerdo con unas restricciones presupuestarias especıficas.
En relacion a este ultimo punto, en todas las organizaciones hay un presupuesto de-
terminado para el ambito de las tecnologıas de la informacion y, en concreto, para el area
de seguridad. En consecuencia, las organizaciones deben implantar aquellas contramedidas
que cumplan con sus requisitos presupuestarios y maximicen los niveles de proteccion. Ası,
con el esquema planteado se ofrece una herramienta para seleccionar la cartera de contra-
medidas mas oportuna para el contexto de cada organizacion.
De igual modo, el esquema propuesto puede usarse en conjuncion con los principales
modelos de control, marcos de evaluacion y certificacion existentes. Estos elementos cuen-
tan con numerosas virtudes como, por ejemplo, el detalle alcanzado en la categorizacion de
activos y amenazas, pero en lo relativo al analisis y tratamiento de los riesgos dejan mucho
que desear. Ası, se aportarıan al mercado herramientas que ayudasen realmente a las or-
ganizaciones a alcanzar unas garantıas mınimas en materia de seguridad de los servicios y
productos. En la misma lınea, estas propuestas servirıan para sofisticar normativas de gran
impacto para el mercado economico europeo, como por ejemplo el futuro Reglamento Eu-
ropeo de Proteccion de Datos donde, de nuevo, el planteamiento y tratamiento de riesgos es
mejorable.
En el marco propuesto para el analisis de riesgos dinamicos en ciberseguridad se ha
considerado el factor intencionado de los ataques, donde los atacantes actuan de forma in-
teligente, analizando las salvaguardas existentes en las organizaciones para alcanzar sus
objetivos con los medios a su alcance. Tales objetivos pueden ir desde el robo de informa-
cion confidencial, la caıda de servicios crıticos para una organizacion o el desprestigio de la
misma ante sus clientes. Para contrarrestar el planteamiento de los atacantes recurrimos al
analisis de riesgos adversarios, analizando el problema de decision del atacante y, por tan-
to, encontrando la estrategia de prevencion mas eficaz que debe implantar la organizacion
afectada.
163
De esta forma se plantea un marco integral donde se recogen todos los pasos que deben
ser llevados a cabo por una organizacion. En concreto, la fase de estructuracion del pro-
blema, la asignacion de creencias y preferencias del defensor, la asignacion de creencias
sobre amenazas adversarias, el calculo de las decisiones optimas de asignacion de recursos
de defensa y, por ultimo, el analisis de sensibilidad.
Asimismo, se han mostrado esquemas novedosos en el uso de ciberseguros, campo
que se espera crezca exponencialmente en los proximos anos, y donde hasta la fecha las
aproximaciones que se han realizado carecen del rigor necesario. Por ultimo, se plantean
mejoras en los marcos de ciberinteligencia, campo en el que se trabaja con modelos muy
limitados y que no recogen la complejidad real de estos contextos.
5.2. Trabajo Futuro
En cuanto al trabajo futuro a realizar, se avanzara en la inclusion de los conceptos
propios de la economıa de la seguridad de la informacion, campo este que esta en pleno
crecimiento en la actualidad. De igual modo, se seguira trabajando en el campo del analisis
de riesgos adversarios, pudiendo ası modelizar la conducta que mostrarıa un atacante real
ante unos activos especıficos. Estos modelos de defensa-ataque, defensa-ataque-defensa y
defensa-ataque simultaneo proveeran de modelos de seguridad ciertamente sofisticados, ca-
paces de aumentar en gran medida los niveles de confianza en la industria TIC.
Asimismo, sera importante considerar la presencia de varios atacantes. En el caso de
que hubiera pocos se seguirıa trabajando de forma analoga a la mostrada, empleando un no-
do por atacante. En caso de exitir muchos atacantes se pasarıa a trabajar con un unico nodo
de azar. Respecto al posible conjunto de ataques a lanzar por cada atacante, seguirıamos un
esquema similar. En caso de que un atacante pudiera efectuar pocos ataques se emplearıa un
nodo por cada ataque, mientras que si pudiera realizar muchos ataques se usarıa un unico
nodo por atacante.
164
Ademas, se trabajara en la creacion de un catalogo de modelos de adversarios que pueda
complementar otros tipos de catalogos como, por ejemplo, los existentes en MAGERIT.
En esta misma lınea se definira un catalogo de objetivos, describiendo las posibles metas
perseguidas por los adversarios. De este modo, se irıa un paso mas alla de los catalogos
tradicionales, donde solo se suelen recoger los elementos relativos a los activos, amenazas
y salvaguardas.
Otra lınea de trabajo sera la traduccion de la propuesta planteada al esquema conven-
cional de trabajo, donde se emplean principalmente matrices de riesgos. Por otro lado, se
disenara un sistema informatico para implantar el modelo de trabajo, dado que programas
como GeNIe se ven superados por la complejidad de los escenarios planteados.
De igual modo, se propondran nuevos esquemas en el uso de ciberseguros, buscando
calcular las primas de forma rigurosa en funcion de las contramedidas con que cuenta cada
organizacion. Elemento de vital importancia para el crecimiento de este sector, y que hace
que las organizaciones y aseguradoras todavıa sean reticentes en el empleo de estos pro-
ductos. Ası, se disenaran propuestas para el campo de los ciberseguros desde el punto de
vista de una aseguradora. Por ultimo, se seguira trabajando en la mejora de los modelos de
ciberinteligencia, introduciendo en los mismos elementos probabilısticos para modelizar la
complejidad existente en los entornos de inteligencia economica e inteligencia competitiva.
Bibliografıa
Anderson, R. 2001. Security Engineering. Wiley.
Anderson, R., Moore, T. 2006. The Economics of Information Security. Science, vol. 314.
Andress, J., Winterfeld, S. 2013. Cyber Warfare: Techniques, Tactics and Tools for Security
Practitioners. Syngress.
Ash, R.B. 1972 Real Analysis and Probability. Academic Press.
Ayuntamiento de Vitoria 2009. Memoria 09, Servicio de Prevencion y Extincion de Incen-
dios.
Ayuntamiento de Vitoria 2009. Sistema de Informacion de Indicadores Urbanos.
Bagchi, A., Sprintson, A. y Singh, C. 2013. Modeling the impact of fire spread on an elec-
trical distribution network. Electric Power Systems Research, Vol. 100.
Banks, D., Rıos Insua, D. y Rıos, J. 2015. Modeling Opponents in Adversarial Risk Analysis.
Risk Analysis.
Barber, B., Davey, J. 1992. The use of the CCTA Risk Analysis and Management Methodo-
logy CRAMM. Proc. MEDINFO 1992. North Holland.
Bernardes, W. A. 2013. Critical Infrastructure (Defense, Security and Strategies). Nova
Science Publishers Inc.
165
166
Black Enterprise 2015. Cyber Insurance is a necessity for minority and woman-owned bu-
siness.
Bohme, R. 2006. A Comparision of Market Approaches to Software Vulnerability Disclosu-
re. ETRICS 2006 Springer LNCS Vol. 2995, pp. 298-311.
Cinco Dıas 2015. Ashley Madison, 37 millones de infidelidades al descubierto.
Cisco 2014. Cisco 2014 Annual Security Report.
CNN Expansion 2013. Target reporta robo masivo de datos.
CNN Expansion 2015. El costo oculto de no invertir en ciberseguridad.
Clemen, R. T. 1997. Making Hard Decisions: An Introduction to Decision Analysis. Dux-
bury Press.
Clemen, R. T., Reilly, T. 2004. Making Hard Decisions with Decision Tools. Cengage Lear-
ning.
Club de la Securite de l’Information Francais 2010. MEHARI. CLUSIF..
Comision Europea 2013. Cybersecurity Strategy of the European Union: An Open, Safe and
Secure Cyberspace.
Cox, L. A. 2008. What’s Wrong with Risk Matrices?. Risk Analysis, volume 28.
CTIF 2008. World Fire Statistics.
DNA India 2014. Google Reels under DDoS Attack.
Draief, M., Ganesh, A., Massoulie, L. 2008. Thresholds for Virus Spread on Networks. The
Annals of Applied Probability, Vol. 18, No 2.
Draief, M., Ganesh, A., 2011. A Random Walk Model for Infection on Graphs: spread of epi-
demics & rumours with mobile agents. Discrete Event Dynamic Systems, no 21. Springer
Verlag. The Annals of Applied Probability, Vol. 18, No 2.
167
El Confidencial 2015. Los espanoles de la Lista Falciani tenıan 1.800 millones de euros
opacos en Suiza.
El Mundo 2015. Un troyano espanol espiaba en Marruecos.
ENISA 2012. Incentives and Barriers of the Cyber Insurance Market in Europe.
ENISA 2015. Risk Management.
El Paıs 2013. Holanda sufre un cibertaque contra los sitios de Internet del Gobierno.
El Paıs 2014. Las tarjetas opacas de Caja Madrid, al detalle.
French, S. y Rıos Insua, D. 2000. Statistical Decision Theory. Arnold.
Foro Economico Mundial 2015. Global Risks.
Forrester 2013. Understand the State of Data Security and Privacy.
Galway, L.A. 2007. Subjective Probability Distribution Elicitation in Cost Risk Analysis: A
Review. RAND Corporation.
G20 y OCDE 2012. G20/OECD Methodological Framework on Disaster Risk Assessment
and Risk Financing. Organizacion para la Cooperacion y el Desarrollo Economicos.
Gartner 2015. Innovation Insight: Digital Business Innovation Risk – The Rise of the Digital
Risk Officer.
Huffington Post 2014. Hackers vs. Sony: Lizard Squad reivindica un ataque DDoS a PSN y
desvıa el vuelo del presidente John Smedley.
Imperva 2015. DDoS Downtime Cost Calculator.
Incapsula 2015. Global DDoS Threat Landscape Report: Attacks Resemble Advanced Per-
sistent Threats.
Insight Consulting 2005. CRAMM v5.1 Information Security Toolkit.
ISO 2011. ISO/IEC 27005: Gestion de Riegos de la Seguridad de la Informacion.
168
Jackson, M.O., Yariv, L. 2006. Diffusion on Social Networks. Economie Publique, no 16.
IDEP.
Jiang, Y., 2010. Network Virus Transmission Probability Model of Random. Second World
Congress on Software Engineering (WCSE). IEEE.
Johnson, T.A. 2015. Cybersecurity: Protecting Critical Infrastructures from Cyber Attack
and Cyber Warfare. Syngress.
Kunreuther, H., Heal, G. 2003. Interdependent Security. Journal of Risk and Uncertainty,
no 2-3.
Langner, R. 2011. Stuxnet: Dissecting a Cyberwarfare Weapon. Security and Privacy, IEEE.
Leak Source 2014. CSEC Document Reveals Suspected France Intelligence Spyware “Ba-
bar”.
Lesk, M. 2007. The New Front Line: Estonia under Cyberassault. Security and Privacy,
IEEE.
Macauly, T. 2008. Critical Infrastructure: Understanding Its Component Parts, Vulnerabi-
lities, Operating Risks, and Interdependencies. Syngress.
Ministerio de Hacienda y Administraciones Publicas 2012. Metodologıa de Analisis y Ges-
tion de Riesgos de los Sistemas de Informacion. MAGERIT version 3.
Milke, J. A. 2002. An overview of fire protection in buildings. World Trade Center Building
Perfomance Study. FEMA (Federal Emergency Management Agency).
OCDE 2011. Convention on Combating Bribery of Foreign Public Officials in Internatio-
nals Business Transactions. Organizacion para la Cooperacion y el Desarrollo Economi-
cos.
OCDE 2014. Risk Management and Corporate Governance. Organizacion para la Coope-
racion y el Desarrollo Economicos.
ONU 2013. A Guide for Anti-Corruption Risk Assessment. Naciones Unidas.
169
Panda Security 2015. Informe PandaLabs Q2 2015. Panda Security.
Palo Alto Networks 2013. The Modern Malware Review.
Parlamento Europeo 2013. Directiva 2013/40/UE relativa a los ataques contra los sistemas
de informacion.
Parlamento Europeo 2013. Horizon 2020 - Framework Programme for Research and Inno-
vation.
Payment Card Industry 2015. PCI-DSS v3.1.
Rıos Insua, D., Rıos, J., Banks, D. 2009. Adversarial Risk Analysis. Journal of the American
Statistical Association, 104.
Rubio, J. A., Rıos Insua, D., Rıos, J., Fernandez, E. 2005 QUIXOTE: Supporting group
decisions through the web. E-Government: Towards Electronic Democracy. LNAI 3416.
Springer.
Rubio, J. A., Rıos Insua, D., Rıos, J., Grima, C. 2005 Some experiences in designing
web-based group decision support systems to facilitate citizen participation. Human-
Computer Interface Issues in e-Democracy Workshop 2005. Manchester (Reino Unido).
Rubio, J. A., Arevalo, G., Fernandez, E., Messıa de la Cerda, J. A. 2006 Data protection in
e-Government in European Regions and Cities. Dykinson.
Rubio, J. A., Grima, C. 2006. A general Architecture for e-Government support. Towards
e-Democracy: Participation, Deliberation, Communities Conference 2006. Mantova (Ita-
lia).
Rubio, J. A., Fernandez, E., Messıa de la Cerda, J. A. 2007. La Proteccion de Datos de
Caracter Personal en el ambito universitario: Hacia un modelo integrado de gestion.
XVI International AEDEM Conference 2007. Cracovia (Polonia).
Rubio, J. A., Fernandez, E., Messıa de la Cerda, J. A. 2008. La Gestion de la Seguridad
en el ambito de la Proteccion de Datos de Caracter Personal. CollECTeR Iberoamerica
Conference 2008. Madrid (Espana).
170
Rubio, J. A., Rıos Insua, D. 2008. Probabilistic Risk Analysis For ICT Industry. Joint Sta-
tistical Meetings 2008. Denver (Estados Unidos).
Rubio, J. A., Rıos Insua, D., Rıos, J., Fernandez, E., Vera, J. M. 2008 Hacia la Democracia
Electronica. LID Editorial.
Rubio, J. A., Rıos Insua, D., Fernandez, E. 2009. ITIL y la Economıa de la Seguridad de la
Informacion. CIAWI Conference 2009. Madrid (Espana).
Rubio, J. A., Rıos Insua, D., Fernandez, E. 2012. Optimizacion de la Economıa de la Segu-
ridad de la Informacion. CISTI Conference 2012. Madrid (Espana).
Rubio, J. A., Baquerizo, M. M., Garcıa Villalba, L. J., Al-Dahoud, A. 2013. E-Government:
Benefits, Risks and a Proposal to Asssessment incluiding Cloud Computing and Critical
Infrastructure. ICIT Conference 2013. Amman (Jordania).
Rubio, J. A., Rıos Insua, D. 2014. Cibersecurity Decision and Risk Management Process.
IFORS Conference 2014. Barcelona (Espana).
SANS Institute 2013. Critical Security Controls for Effective Cyber Defense.
SGDN 1995. EBIOS. Secretariat General de la Defense Nationale - Direction Centrale de
la Securite des Systemes d´Information.
Shachter, R. D. 1988. Probabilistic Influence and Influence Diagrams. Operations Research,
36.
Shakarian, P., Shakarian, J., Ruef, A. 2013. Introduction to Cyber Warfare: A Multidiscipli-
nary Approach. Syngress.
Solomon, A. 1990. Epidemiology and Computer Viruses. Secure Computing Lab, S & S
International.
Solutionary 2013. Global Threat Intelligence Report.
Tankard, C. 2011. Advanced Persistent Threats and how to monitor and deter them. Network
Security, Elsevier.
171
Telstra 2014. Telstra Cyber Security Report.
The Geneva Association 2010. World Fire Statistics, Information Bulletin of the World Sta-
tistics Center.
Thomson Reuters 2011. Cyber Attacks Timeline.
Transparencia Internacional 2011. Corruption Risk Assessment Topic Guide. Transparencia
Internacional.
Transparencia Internacional 2013. Diagnosing Bribery Risk. Transparencia Internacional.
Transparencia Internacional 2014. Corruption Perceptions Index. Transparencia Internacio-
nal.
Secure64 2014. Akamai Service Blocked for Apple, Google, Microsoft and Yahoo.
United States Government Accountability Office 2013. Cybersecurity: National Strategy,
Roles and Responsibilities Need to Be Better Defined and More Effectively Implemented.
GAO.
Zetter, K. 2014. Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital
Weapon. Crown.
172
Anexos
173
174
Anexo A
Elementos de las Metodologıas
para el Analisis de Riesgos
A.1. MAGERIT
En el catalogo de elementos de MAGERIT los activos que estan tipificados de forma
jerarquica son:
1. Servicios
Servicios anonimos.
Servicios al publico en general.
Servicios a usuarios externos.
Servicios internos.
Servicios contratados a terceros.
World Wide Web.
Acceso remoto a cuenta local.
Correo electronico.
175
176
Almacenamiento de ficheros.
Transferencia de ficheros.
Intercambio electronico de datos.
Servicio de directorio.
Gestion de identidades.
Gestion de privilegios.
Infraestructura de clave publica.
2. Datos
Datos vitales.
Datos de interes comercial.
Datos de interes para la administracion publica.
Datos de gestion interna.
Voz.
Multimedia.
Codigo fuente.
Codigo ejecutable.
Datos de configuracion.
Logs.
Datos de prueba.
Datos de caracter personal de nivel basico, medio o alto.
Datos clasificados.
3. Aplicaciones
Desarrollo propio.
Desarrollo a medida.
177
Desarrollo estandar.
Navegador web.
Servidor de presentacion.
Servidor de aplicaciones.
Cliente de correo.
Servidor de ficheros.
Sistema de gestion de bases de datos.
Monitor transaccional.
Ofimatica.
Antivirus.
Sistema operativo.
Servidor de terminales.
Sistema de backup.
4. Equipos informaticos
Ordenadores.
Informatica movil.
Agendas electronicas.
Perifericos.
Medios de impresion.
Escaneres.
Dispositivos criptograficos.
Dispositivos de red.
Cortafuegos.
Centralita telefonica.
178
5. Redes de comunicaciones
Red telefonica.
ADSL.
Red inalambrica.
Red privada virtual.
6. Soportes de informacion
Discos.
Almacenamiento en red.
Dispositivos USB.
CDs y DVDs.
Cintas magneticas.
Tarjetas de memoria.
Material impreso.
7. Equipamiento auxiliar
Fuentes de alimentacion.
Sistemas de alimentacion ininterrumpida.
Generadores electricos.
Equipos de climatizacion.
Cableado.
Robots de cintas y discos.
Equipos de destruccion de soportes de informacion.
Mobiliario.
Cajas fuertes.
179
8. Instalaciones
Emplazamiento.
Edificio.
Local.
Plataformas moviles.
9. Personal
Usuarios externos.
Usuarios internos.
Operadores.
Administradores de sistemas.
Administradores de comunicaciones.
Administradores de BBDD.
Desarrolladores.
Subcontratas.
Proveedores.
En cuanto a las amenazas mas usuales, MAGERIT describe las siguientes:
1. Desastres naturales
Fuego.
Danos por agua.
Tormentas electricas.
Terremotos.
Ciclones.
180
Otros desastres naturales.
2. De origen industrial
Desastres industriales (explosiones, derrumbes, contaminacion quımica, etc).
Contaminacion mecanica.
Contaminacion electromagnetica.
Averıa de origen fısico o logico.
Corte del suministro electrico.
Condiciones inadecuadas de temperatura y/o humedad.
Fallo de servicios de comunicaciones.
Interrupcion de otros servicios y suministros esenciales.
Degradacion de los soportes de almacenamiento de la informacion.
Emanaciones electromagneticas
3. Errores y fallos no intencionados
Errores de los usuarios.
Errores del administrador.
Errores de monitorizacion.
Errores de configuracion.
Deficiencias en la organizacion.
Difusion de software danino.
Errores de encaminamiento.
Errores de secuencia.
Escapes de informacion.
Alteracion de la informacion.
Introduccion de informacion incorrecta.
181
Degradacion de la informacion.
Destruccion de informacion.
Divulgacion de informacion.
Vulnerabilidades de los programas.
Errores de mantenimiento y actualizacion de programas.
Errores de mantenimiento y actualizacion de equipos.
Caıda del sistema por agotamiento de recursos.
Indisponibilidad del personal.
4. Ataques intencionados
Manipulacion de la configuracion.
Suplantacion de identidad de usuarios.
Abuso de privilegios de acceso.
Uso no previsto.
Re-encaminamiento de mensajes.
Alteracion de secuencia.
Acceso no autorizado.
Analisis de trafico.
Repudio.
Interceptacion de informacion.
Modificacion de la informacion.
Introduccion de falsa informacion.
Corrupcion de la informacion.
Destruccion de la informacion.
Manipulacion de programas.
Denegacion de servicio.
182
Robo.
Ataque destructivo.
Ocupacion enemiga.
Indisponibilidad del personal.
Extorsion.
Ingenierıa social.
Sobre las salvaguaras, MAGERIT describe las siguientes clases:
1. Salvaguardas de tipo general
Organizacion de la seguridad: roles, comites, etc.
Polıtica corporativa de seguridad de la informacion.
Gestion de privilegios: adjudicacion, revision y terminacion.
Procedimientos de escalado y gestion de incidencias.
Procedimientos de continuidad de operaciones: emergencia y recuperacion.
Auditorıa, registro (certificacion) y acreditacion del sistema.
2. Salvaguardas para la proteccion de los servicios.
Control de acceso.
Registro de actuaciones.
Registro de incidencias.
Plan de continuidad.
3. Salvaguardas para la proteccion de los datos
Control de acceso.
Firma electronica.
183
Registro de actuaciones.
Registro de incidencias.
Copias de respaldo.
Deteccion y recuperacion.
Cifrado.
4. Salvaguardas para la proteccion de las aplicaciones
Proteccion frente a codigo danino.
Control de acceso.
Registro de actuaciones.
5. Salvaguardas para la proteccion de los equipos
Configuracion de seguridad.
Deteccion de intrusiones.
Registro de actuaciones.
Gestion de privilegios.
Control de acceso.
6. Salvaguardas para la proteccion de las comunicaciones
Plan de continuidad.
Garantıas de integridad.
Cifrado.
Control de acceso.
Registro de actuaciones.
7. Seguridad fısica
Proteccion frente a accidentes naturales.
184
Proteccion frente a accidentes industriales.
Proteccion frente a emanaciones electromagneticas.
Proteccion del recinto: edificios, locales y areas de trabajo.
Control de acceso: entrada y salida de personas, equipos, soportes de informa-
cion, etc.
8. Salvaguardas relativas al personal
Responsabilidades en seguridad.
9. Externalizacion
SLAs.
NDAs.
Identificacion y calificacion del personal encargado.
Procedimientos de escalado y resolucion de incidencias.
Procedimiento de terminacion.
Asuncion de responsabilidades y penalizaciones por incumplimiento.
Anexo B
Elementos de los Marcos de
Control, Compliance y
Evaluacion
B.1. ISO 27001
A continuacion se describen de forma sucinta los pasos que deben llevarse a cabo, para
implantar de forma eficaz la ISO 27001:
Obtener el apoyo de la direccion. Si este punto no se cumple el proyecto sera un
rotundo fracaso, ya que no se tomara suficientemente en serio en el seno corporativo,
ademas de que no se destinaran los recursos necesarios.
Utilizar una metodologıa para gestion de proyectos. Son muchas las actividades a
realizar, ası como las personas a gestionar, por lo que difıcilmente llegara a termino
el proyecto si no se sigue una metodologıa formal para su gestion.
Definir el alcance del SGSI. Cuanto mas ambicioso sea el alcance definido, mas com-
plejo y costoso sera el proyecto. Lo ideal es ir abordando de forma paulatina diversas
185
186
areas de la organizacion, empezando por aquellas que tienen un mayor impacto en
negocio.
Redactar una polıtica de alto nivel sobre seguridad de la informacion. Este documento
delineara la estrategia corporativa en materia de seguridad de la informacion, no de-
biendo caer en tecnicismos ni en una excesiva profusion, que conllevara mayor recelo
para su aprobacion.
Definir la metodologıa de evaluacion de riesgos. Esta parte del proyecto es la que
mas tiempo requiere, debiendo seguir unas pautas claras a la hora de identificar los
activos, vulnerabilidades, amenazas y riesgos, ası como los controles a implantar para
mitigarlos.
Realizar la evaluacion y el tratamiento de riesgos. Dicha evaluacion debera ser apro-
bada por la Direccion, siendo su objetivo reducir los riesgos al nivel que sea coherente
con los intereses de la organizacion.
Redactar la declaracion de aplicabilidad. En este documento se explicitaran cuales
son los controles que deben implantarse en la organizacion. Para ello se recurrira a la
ISO 27002, donde se encuentran 114 controles de diversa ındole.
Redactar el plan de tratamiento de riesgos. En este punto se debe definir como se
implantaran dichos controles, quien lo llevara a cabo, plazos, recursos para ello, etc.
Definir la forma de medir la efectividad de sus controles y de su SGSI. Se debe ser
capaz de medir la eficacia de los controles implantados, ası como de la consecucion
de los objetivos de seguridad aprobados por la Direccion.
Implementar todos los controles y procedimientos necesarios. En este punto debemos
aterrizar lo que hasta ahora solo constaba en papel. En muchas ocasiones se necesi-
tara implantar tecnologıa y modificar procesos de negocio, lo cual puede requerir
cierto espacio de tiempo dado su impacto organizativo.
Implementar programas de capacitacion y concienciacion. Si el factor humano no
esta concienciado, y ha sido capacitado para operar el Sistema de Gestion de Seguri-
187
dad de la Informacion, el proyecto sera un fracaso y el dıa a dıa correra por un espacio
paralelo donde la seguridad no este presente.
Realizar todas las operaciones diarias establecidas en la documentacion de su SGSI.
Si optamos a certificarnos en la ISO 27001 se nos pedira que demostremos su uso en
el dıa a dıa, lo cual quiere decir que debemos contar con registros que demuestren
dicho uso.
Monitorizar y medir su SGSI. Para verificar si se estan cumpliendo los objetivos de-
bemos evaluar los incidentes que se estan produciendo, si se han adoptado los proce-
dimientos oportunos, etc. En definitiva, medir el dıa a dıa de nuestro SGSI.
Realizar la auditorıa interna. Para hacer aflorar problemas existentes o potenciales se
debe llevar a cabo una auditorıa interna, de la que se elevaran medidas correctivas y
preventivas que deben ser implantadas.
Realizar la revision por parte de la Direccion. Es obvio que la Direccion no tiene que
conocer los detalles tecnicos del SGSI, pero sı tiene que tener constancia de como
esta funcionando y en funcion de ello tomar las decisiones oportunas.
Implementar medidas correctivas. Dentro del necesario proceso de mejora continua,
se deben identificar no conformidades y adoptar las soluciones necesarias para su
resolucion.
A continuacion se describen los Dominios y Objetivos de Control considerados en la
edicion 2013 de la ISO 27001.
Polıticas de Seguridad
• Directrices de la Direccion en seguridad de la informacion.
Aspectos Organizativos de la Seguridad de la Informacion
• Organizacion interna.
188
• Dispositivos para movilidad y teletrabajo.
Seguridad ligada a los Recursos Humanos
• Antes de la contratacion.
• Durante la contratacion.
• Cese o cambio de puesto de trabajo.
Gestion de Activos
• Responsabilidad sobre los activos.
• Clasificacion de la informacion.
• Manejo de los soportes de almacenamiento.
Control de Accesos
• Requisitos de negocio para el control de accesos.
• Gestion de acceso de usuario.
• Responsabilidades del usuario.
• Control de acceso a sistemas y aplicaciones.
Cifrado
• Controles criptograficos.
Seguridad Fısica y Ambiental
• Areas seguras.
• Seguridad de los equipos.
Seguridad en la Operativa
• Responsabilidades y procedimientos de operacion.
• Proteccion contra codigo malicioso.
• Copias de seguridad.
189
• Requisito de actividad y supervision.
• Control del software en explotacion.
• Gestion de la vulnerabilidad tecnica.
• Consideraciones de las auditorıas de los sistemas de informacion.
Seguridad en las Telecomunicaciones
• Gestion de la seguridad en las redes.
• Intercambio de informacion con partes externas.
Adquision, Desarrollo y Mantenimiento de los Sistemas de Informacion
• Requisitos de seguridad de los sistemas de informacion.
• Seguridad de los procesos de desarrollo y soporte.
• Datos de prueba.
Relaciones con los Suministradores
• Seguridad de la informacion en las relaciones con suministradores.
• Gestion de la prestacion del servicio por suministradores.
Gestion de Incidentes en la Seguridad de la Informacion
• Gestion de incidentes de seguridad de la informacion y mejoras.
Aspectos de Seguridad de la Informacion en la Gestion de la Continuidad de Negocio
• Continuidad de la seguridad de la informacion.
• Redundancias.
Cumplimiento
• Cumplimiento de los requisitos legales y contractuales.
• Revisiones de la seguridad de la informacion.
190
B.2. ISO 22301
Los puntos obligatorios con que debe contar la implantacion de esta norma son los
siguientes:
Alcance del Sistema de Gestion de la Continuidad de Negocio.
Polıtica de la Continuidad de Negocio.
Objetivos de la Continuidad de Negocio.
Evidencias de competencias del personal.
Registros de comunicacion con las partes interesadas.
Analisis del impacto en el negocio.
Evaluacion de riesgos, obteniendo un perfil de riesgo de la organizacion.
Estructura de respuesta a incidentes.
Planes de Continuidad de Negocio.
Procedimientos de recuperacion.
Resultados de acciones preventivas.
Resultados de supervision y medicion.
Resultados de la auditorıa interna.
Resultados de la revision por parte de la direccion.
Resultados de acciones correctivas.
Entre los principales beneficios de la implantacion estarıan:
191
Preservacion de los intereses de los accionistas.
Mejorar el resultado operacional de la organizacion.
Reduccion de riesgos, costes y tiempos de inactividad.
Mejora en la competitividad.
Reingenierıa de negocios y operaciones.
Proteccion de los bienes materiales y conocimiento de la organizacion.
Mejora de la seguridad global y del cumplimiento de la legislacion aplicable.
Excelencia y compromiso empresarial con la calidad y seguridad.
B.3. Ley Organica de Proteccion de Datos de Caracter
Personal
Las sanciones definidas en la LOPD son las siguientes:
Infracciones leves de 601 e a 60.101 e
• No solicitar la inscripcion de los ficheros en la Agencia Espanola de Proteccion
de Datos (AEPD).
• Recopilar datos personales sin informar previamente de ello a los afectados.
• No atender las solicitudes de rectificacion o cancelacion.
• No atender las consultas dirigidas por parte de la AEPD.
Infracciones graves de 60.101 e a 300.506 e
• No inscribir los ficheros en la AEPD.
• Utilizar los ficheros con distinta finalidad con la que se crearon.
192
• No tener el consentimiento del interesado para recabar sus datos personales.
• No permitir el acceso a los ficheros.
• Mantener datos inexactos o no efectuar las modificaciones solicitadas.
• No seguir los principios y garantıas establecidas en la LOPD.
• Tratar datos especialmente protegidos sin la autorizacion del afectado.
• No remitir a la AEPD las notificaciones previstas en la LOPD.
• Mantener los ficheros sin las debidas condiciones de seguridad.
Infracciones muy graves de 300.506 e a 601.012 e
• Crear ficheros para almacenar datos que revelen datos especialmente protegidos.
• Recogida de datos de manera enganosa o fraudulenta.
• Recabar datos especialmente protegidos sin la autorizacion del afectado.
• No atender u obstaculizar de forma sistematica las solicitudes de cancelacion o
rectificacion.
• Vulnerar el secreto sobre datos especialmente protegidos.
• La comunicacion o cesion de datos cuando no estuviera permitido.
• No cesar en el uso ilegıtimo a peticion de la AEPD.
• Tratar los datos de forma ilegıtima o con menosprecio de principios y garantıas
que le sean de aplicacion.
• No atender de forma sistematica los requerimientos de la AEPD.
• La transferencia temporal o definitiva de datos de caracter personal con destino
a paıses sin nivel de proteccion equiparable o sin autorizacion.
Las medidas de seguridad explicitadas en el Real Decreto 1720/2007, de 21 de diciem-
bre, que desarrolla la LOPD son las siguientes:
1. Nivel Basico
193
Funciones y obligaciones del personal.
Registro de incidencias.
Control de acceso.
Gestion de soportes y documentos.
Identificacion y autenticacion.
Copias de respaldo y recuperacion.
2. Nivel Medio
Responsable de seguridad.
Auditorıa.
Gestion de soportes y documentos.
Identificacion y autenticacion.
Control de acceso fısico.
Registro de incidencias.
3. Nivel Alto
Gestion y distribucion de soportes.
Copias de respaldo y recuperacion.
Registro de accesos.
Telecomunicaciones.
B.4. SANS Security Controls
El listado de controles expuestos en la propuesta de SANS Institute es la siguiente:
1. Inventario de dispositivos autorizados y no autorizados.
194
2. Inventario de software autorizado y no autorizado.
3. Configuracion segura para hardware y software en dispositivos moviles, laptops y
servidores.
4. Evaluacion continua de vulnerabilidades y remediaciones.
5. Defensas contra malware.
6. Seguridad de aplicaciones.
7. Control de acceso de redes wi-fi.
8. Capacidad de recuperacion de datos.
9. Evaluacion de las competencias de seguridad y capacitacion adecuada.
10. Configuracion segura de dispositivos de redes.
11. Controles y limitaciones sobre puertos, protocolos y servicios de red.
12. Controlar el uso de privilegios de administrador.
13. Defensa perimetral.
14. Mantener, monitorizar y analizar registros de auditoria (logs).
15. Acceso controlado en funcion de la necesidad de saber.
16. Monitorizacion y control de cuentas.
17. Proteccion de datos.
18. Gestion y respuesta de incidentes.
19. Ingenierıa de redes seguras.
20. Pruebas de penetracion y ejercicios de equipo de seguridad
195
B.5. Common Criteria
Los niveles de evaluacion (Evaluation Assurance Level) contemplados en Common
Criteria son los siguientes:
EAL1 (funcionalidad probada): es aplicable donde se requiere tener cierta confianza
de la operacion correcta y donde, ademas, las amenazas a la seguridad no son vistas
como serias. Una evaluacion en este nivel debe proporcionar evidencia de que las
funciones del objeto de evaluacion son consistentes con su documentacion, y que
proporcionan proteccion util contra amenazas identificadas.
EAL2 (estructuralmente probado): requiere la cooperacion del desarrollador en termi-
nos de la distribucion de la informacion del diseno, los resultados de las pruebas y
proporciona confianza a traves de un analisis de las funciones de seguridad, usando
una especificacion funcional y de interfaz, ası como manuales y diseno de alto nivel
del producto para entender el comportamiento de seguridad. Ademas, en este nivel
se verifica que el desarrollador realizo un analisis de vulnerabilidades a traves de la
ejecucion de pruebas de caja negra.
EAL3 (probado y verificado metodicamente): permite a un desarrollador alcanzar una
maxima garantıa de ingenierıa de seguridad positiva en el estado de diseno, sin la al-
teracion substancial de practicas de desarrollo validas existentes. El analisis en este
nivel se apoya en las pruebas de caja gris, la confirmacion selectiva independiente
de los resultados de las pruebas del desarrollador y la evidencia de busqueda de vul-
nerabilidades obvias del desarrollador. Ademas, se realizan controles del entorno de
desarrollo y de gestion de configuracion del producto.
EAL4 (disenado, probado y revisado metodicamente): este nivel le permite a un desa-
rrollador alcanzar maxima garantıa de ingenierıa de seguridad positiva basada en bue-
nas practicas de desarrollo comercial, las cuales, aunque rigurosas, no requieren del
conocimiento especializado substancial, destreza, ni otros recursos. En este caso, el
196
analisis se apoya en el diseno de bajo nivel de los modulos del producto y se reali-
za una busqueda de vulnerabilidades independiente de las pruebas realizadas por el
desarrollador. Los controles de desarrollo se apoyan en un modelo de ciclo de vida
de desarrollo, identificacion de las herramientas utilizadas y gestion de configuracion
automatizada.
EAL5 (disenado y probado semiformalmente): permite a un desarrollador alcanzar
maxima garantıa de ingenierıa de seguridad positiva mediante la aplicacion moderada
de tecnicas de ingenierıa de seguridad. La confianza se apoya, en este caso, en un
modelo formal y una presentacion semiformal de la especificacion funcional y el
diseno de alto nivel. La busqueda de vulnerabilidades debe asegurar la resistencia
relativa a los ataques de penetracion.
EAL6 (diseno verificado y probado semiformalmente): permite a los desarrolladores
alcanzar una alta garantıa en la aplicacion de tecnicas de ingenierıa de seguridad para
un entorno de desarrollo riguroso, donde el objeto de evaluacion es considerado de
gran valor para la proteccion del alto costo o estimacion de esos bienes contra riesgos
significativos. Ademas, es aplicable para el desarrollo de objetos de evaluacion, des-
tinados a salvaguardar la seguridad informatica en situaciones de alto riesgo donde el
valor de los bienes protegidos justifica los costos adicionales. El analisis en este nivel
se apoya en un diseno modular y en una presentacion estructurada de la implementa-
cion del producto. La busqueda de vulnerabilidades debe mostrar una alta resistencia
a los ataques de penetracion.
EAL7 (diseno verificado y probado formalmente): es aplicable al desarrollo de obje-
tos de evaluacion de seguridad, para su aplicacion en situaciones de muy alto riesgo
o donde el alto valor de los bienes justifica los mas altos costos. La aplicacion practi-
ca del nivel EAL7 esta limitada actualmente a objetos de evaluacion con seguridad
estrechamente enfocada a la funcionalidad, y que es sensible al analisis formal y ex-
tenso. Este EAL representa un incremento significativo respecto a la garantıa de nivel
EAL6 a traves del requisito de analisis de gran amplitud, mediante representaciones
formales y correspondencia formal y pruebas de gran amplitud. Ademas, el evaluador
197
confirmara de forma independiente y completa los resultados de las pruebas de caja
blanca realizadas por el desarrollador.
B.6. UNE 71505
Los controles de seguridad a considerar son los siguientes:
Gestion de la identidad.
Trazabilidad.
Almacenamiento y custodia segura.
Acuerdos de confidencialidad.
Identificacion de riesgos por el acceso de terceros.
Auditorıa log-in.
Monitorizacion del uso del sistema.
Proteccion de la informacion log.
Logs de administrador y operador.
Registro de fallos.
Sincronizacion de fallos.
Analisis y especificacion de los requisitos de seguridad.
Control del proceso interno.
Integridad de mensajes.
Polıtica de uso de los controles criptograficos.
198
Control del software operacional.
Control de acceso a la librerıa de programa fuente.
Recogida de evidencias.
Proteccion de los registros de la organizacion.