SESION 2 - TEMA 1 - 20211216.pdf

Master VIU - Cybersecurity Management – Gobierno de la Ciberseguridad (D. Cardona)
Domingo Cardona
Gobierno de la ciberseguridad
Sesión 2

SESIÓN 2
0. PresentaciónDCC
1. Buenasprácticasy modelosde gobierno de la ciberseguridad
1. Definiciónde gobierno de la ciberseguridad
2. Estándares y buenas prácticas
3. Impulsoresdelgobierno de la ciberseguridad
4. Principios rectores de un modelo de gobierno
5. Ejemplo de “Caracterización de un modelo de gobierno de ciberseguridad”
6. Estructuras organizativas
7. Monitorización del gobierno
8. Técnicas de comunicacióny reporting
Gobierno de la ciberseguridad

0.- PRESENTACIÓN DCC

0.- Presentación – Domingo Cardona
2001 2004 2006 2014 - ?

0.- Presentación – Domingo Cardona

Master VIU - Cybersecurity Management – Gobierno de la Ciberseguridad (D. Cardona / JJ.Pérez)
Web corporativa:
https://www.wsg127.com
https://www.cc3m.com/
Web soluciones propias:
https://www.wisenetalarm.com (NetAlarm suite)
https://www.drydor.com (Drydor suite)
https://warzone.wsg127.com (Dryd Warzone)
https://www.mee-thecybernotary.com/ (Mee)
https://www.haunt-keeper.com/ (Haunt Keeper)
https://www.linkedin.com/company/5378467/
https://twitter.com/WSG127

Master VIU - Cybersecurity Management – Gobierno de la Ciberseguridad (D. Cardona / JJ.Pérez)

1.- Definición de gobierno de la ciberseguridad
Buenas prácticas y modelos de gobierno de la
ciberseguridad

• Gobierno de una Organización:
• ISACA (Information Systems Audit and Control Association) dixit:
“conjunto de responsabilidades y prácticas ejercidas por el consejo de
administración (board) y la alta dirección con el objetivo de proporcionar
dirección estratégica, asegurar que se alcanzan los objetivos,
determinar que los riesgos se gestionan de manera adecuada y
verificar que los recursos de la empresa se utilizan de forma
responsable”

• Gobierno de la ciberseguridad:
• El gobierno de la ciberseguridad es la disciplina encargada de dirigir,
monitorizar y evaluar el rendimiento de las distintas iniciativas
puestas en marcha desde el área o función de la ciberseguridad para:
1. Velar por el cumplimiento del marco normativo y regulatorio
2. Maximizar las capacidades de detección de ataques e incidentes
3. Minimizar la probabilidad de ocurrencia y potencial impacto de
incidentes de ciberseguridad
4. Liderar y coordinar la gestión y resolución de incidentes de
ciberseguridad

• Gobierno de la ciberseguridad:
• El gobierno de la ciberseguridad también es hablar de modelos y
metodologías, de objetivos de negocio, de estrategia, de alineación de
objetivos de negocio con objetivos de ciberseguridad, de iniciativas o
actividades alineadas con objetivos de negocio y de priorizar dichas
iniciativas en términos de costos y beneficios (ej: tratamiento de
riesgos) asociados.

2.- Estándares y buenas prácticas de la industria
1. Buenas prácticas y modelos de gobierno de la
ciberseguridad

2.- Estándares y buenas prácticas de la industria
• Universo de marcos, estándares y buenas prácticas
• Prácticas: acción habitual implantada a partir de la aplicación del propio
conocimiento
• Estándar: requisito de carácter obligatorio; código de especificaciones
concretas, que son aprobadas por organizaciones de referencia (ej: ISO)
• Marco/framework: estructura orientada a negocio que establece un lenguaje
común y capacita la repetibilidad de procesos de negocio
• Ejemplos:
• Gobierno de las TI y de la Seguridad de la Información
• ISO/IEC 38500 (estándar): gobierno corporativo de las TI
• ISO/IEC 27014 (estándar): gobierno de la seguridad de la información
• COBIT 5 y COBIT 2019 (marcos): gobierno y gestión de las TI de una
empresa

3.- Impulsores del gobierno de la ciberseguridad
ciberseguridad

1. Puntos típicos de “dolor”
• Incidentes de ciberseguridad (incidentes con impacto en negocio)
• Expectativas desalineadas (lenguajes distintos en distintas capas)
• Frustración desde negocio con iniciativas de ciberseguridad fallidas que
han supuesto altos costos
• Costos ocultos (ej: Opex: gasto operativo)
• Outsourcing de servicios de ciberseguridad que no cumple con los
Acuerdos de Nivel de Servicio (SLA) acordados
• Hallazgos habituales de auditoría relacionados con incumplimientos del
marco normativo
• Incumplimientos de requisitos regulatorios o contractuales, y multas y
penalizaciones asociadas

2. Eventos de activación (ventanas de oportunidad)
• Fusión, adquisición o desinversión
• Cambios en el mercado, economía o posición competitiva
• Cambios en el modelo de negocio
• Nuevos requisitos de cumplimiento o regulatorios
• Enfoque de buen gobierno en toda la empresa
• Una nueva prioridad o estrategia de negocio
• Nuevo CEO, CIO, CTO, CSO, CISO…

4.- Principios rectores de un modelo de gobierno
ciberseguridad

4.- Definición de Modelo de ciberseguridad
• DEFINICIÓN:
Caracterización del sistema que emplearemos para ejercer la función de
ciberseguridad. Esta caracterización estará compuesta por variables de fácil
comprensión y su determinación definirá nuestro modelo en un lenguaje
comprensible y recordable para cualquiera, principalmente para las capas
de Negocio.
La determinación de estas variables hará que nuestro sistema, nuestro modelo,
proporcione el mínimo margen de dudas, y así no conlleve a errores por distinta
apreciacióno interpretación.
• No es único!
• Está vivo!

4.- Principios rectores de un modelo de gobierno
• ¿Qué variables principales debemos tener en cuenta al definir un modelo de
ciberseguridad?
Aproximación holística de COBIT 5 que tiene en cuenta varios
elementos que interactúan entre ellos.

5.- Ejemplo de “Modelo de gobierno de ciberseguridad”
ciberseguridad

5.- Modelos de ciberseguridad (ejemplo)
Principiostractores/rectores delModelo de Ciberseguridad:
1.Objeto de Protección:
¡¡¡HERRAMIENTA!!!

1.Objeto de Protección: Información, IT, OT e IoT

2.Ámbito de protección:

2.Ámbito de protección: protección integral
• Seguridad Lógica
• Seguridad Física (orientada a la seguridad física de los activos no persona que almacenen o procesen
información de la Organización; sí es competencia del área de ciberseguridad la capacitación de las
personas para evitar errores humanos en la manipulación de información, IT, OT e IoT, pero no la integridad
física de aquellas)

3.Orientación a la evaluación de

3.Orientación a la evaluación de las PRINCIPALES AMENAZAS y escenarios de riesgo que apliquen sobre los
principales procesos de la [ORGANIZACIÓN]
4.Responsabilidad

3.Orientación a la evaluación de las PRINCIPALES amenazas y escenarios de riesgo que apliquen sobre los
principales procesos de la [ORGANIZACIÓN]
4.Responsabilidad compartida por la estructura de Ciberseguridad (RACI cuando sea posible)
• Comité de Ciberseguridad
• CISO y estructura propia del área de Ciberseguridad
Pero también…
• Responsables de riesgo (Directores de área, propietarios de procesos, usuarios y proveedores
estratégicos)
• Personal interno y proveedores
• Aseguradoras (Pólizas de ciber riesgos)

5.Organización: Gobierno, Gestión y Prestación de nuestro CATÁLOGO DE SERVICIOS desde:
• Gobierno de la Ciberseguridad: Prestación Interna: Comité de Ciberseguridad, CISO; capacitación continua de
RRHH
• Gestión de la Ciberseguridad: Prestación Interna: CISO y Gestores/Analistas especialistas; capacitación
continua de RRHH
• Operación/Delivery: Prestación Interna y/o externa; determinar, al menos, para con los siguiente 4 ámbitos
de actividad (capacitación continua de RRHH):
1. ACTIVIDAD RECURRENTE PROPIADEL ÁREA DE CIBERSEGURIDAD
– Ej: Análisis de vulnerabilidades, análisis de riesgos, monitorización de amenazas… ¿quién?
2. PROYECTOS DE CIBERSEGURIDAD
– Ej: Puesta en marcha de un sistema interno de descubrimiento de vulnerabilidades… ¿quién?
3. SERVICIOS RECURRENTES PRESTADOS AL ÁREA DE CIBERSEGURIDAD
– Ej: Servicio continuo de análisis de vulnerabilidades… ¿quién?
4. SERVICIOS DE CIBERSEGURIDAD HACIA TERCEROS
– Autorizaciones, excepciones, incidentes, consultas… ¿quién?
NOTA: cualquier actividad podrá ser relizada de forma interna siempre y cuando no suponga un conflicto de
interés.

6. Encuadre dentro del marco regulatorio

6. Encuadre dentro del marco regulatorio vigente en materia de ciberseguridad y/o seguridad de la información
– Protección de datos de carácter personal [es: LOPD en España, Directiva GDPR]]
– Comercio electrónico [ej: LSSICE en España]
– Medios de pago [ej: PCI-DSS, RSIM en México]
– Firma electrónica [ej LFE en España]
– Seguridad de las redes y los sistemas de información (Directiva europea NIS)
– Otras Sectoriales [ej: EBA, EIOPA, EU-DORA]
7.Alineación con los principios y valores de

– Protección de datos de carácter personal [es: LOPD en España, Directiva EUGDPR]]
7.Alineación con los principios y valores de la [ORGANIZACIÓN]
8.Alineación con el cuerpo normativo interno de

– Protección de datos de carácter personal [es: LOPD en España, Directiva EU-GDPR]
7.Alineación con los principios y valores de la [ORGANIZACIÓN]
8.Alineación con el cuerpo normativo interno de ciberseguridad, cuyo cumplimiento deberá ser evaluado de
forma continua
– Políticas de seguridad del GRUPO de empresas al que pertenece la [ORGANIZACIÓN]
– Serie ISO 27000 de seguridad de la información, sin menospreciar otras buenas prácticas y estándares (ex:
CSF del NIST)
– Business Continuity Plan (Incident Response Plan), ISO 22301
– Modelo de prevención de riesgos penales de la [ORGANIZACIÓN]

Visión:
Convertirseen el serviciode protección de la Información,las IT, las OT y las IoT, para dar garantías
de ciberseguridad suficientesa los serviciosprestadosporla [ORGANIZACIÓN].
Misión:
La misión del Serviciode Ciberseguridadde la [ORGANIZACIÓN]es la de supervisary velarpor la
protección de la información,las IT, las OT y/o las IoT, de la [ORGANIZACIÓN].Esta protección se
realizaráante cualesquieraamenazaso agresionesinternasy externasque se puedan dar
potencialmente,adoptandolas medidas preventivasy reactivascorrespondientes,fomentando una
robusta cultura de la ciberseguridad y promoviendo el desarrolloy aplicación de un marconormativo
específico de ciberseguridad.
RESULTADODEL EJERCICIO DE
FORMULACIÓNESTRATÉGICA

Motto de nuestro modelo
Vigilar y disuadir.
Construir

6.- Estructuras organizativas
ciberseguridad

• ¿Dónde suele estar ubicada la función de ciberseguridad?
• ¿Quién conforma el gobierno de ciberseguridad?
• ¿Quién conforma la función de ciberseguridad?

IT (CIO, CTO)
CIBERSEGURIDAD
SEGURIDAD
CORPORATIVA
(CSO)
CIBERSEGURIDAD
COMITÉ DE
DIRECCIÓN
CIBERSEGURIDAD
A B
C

COMITÉS DE DIRECCIÓN Y DE
CIBERSEGURIDAD
CISO
PROPIETARIOS/ACCIONISTAS Y
OTRAS PARTES INTERESADAS
GESTORES/ANALISTAS
ESPECIALISTAS
COBIT 5, ISACA

7.- Monitorización del gobierno
ciberseguridad

• Importancia del gobierno del RENDIMIENTO (PERFORMANCE) de la ciberseguridad
• El Agujero Negro de la ciberseguridad
• “Invertimos en ciberseguridad, pero nada de valor parece salir de allí”
• Medir y gobernar el rendimiento debería poder responder:
1. ¿Cuál es mi estado de ciberseguridad? (De mis ciber riesgos
principales)
2. ¿Cuál es mi estado de ciberseguridad en relación con mis
competidores?
3. ¿Está mi ciberseguridad implementando su estrategia en línea con la
estrategia de negocio?
4. ¿Estoy consiguiendo las metas y objetivos propuestos?
5. Si gasto (invierto) más en ciberseguridad, ¿qué se me devuelve?
6. ¿Cómo puedo aprender de los resultados del pasado para optimizar mi
función?
• ES NECESARIOIDENTIFICAR,MONITORIZAR YEVALUAR EL GOBIERNO A PARTIR
DE MÉTRICAS Y KPIs DE OPERACIÓN, ACTIVIDAD,DESPLIEGUE/MADUREZ,
CONSECUCIÓNDE OBJETIVOS,AMENAZA, ALERTA, RIESGO, COSTO,COSTOVs
BENEFICIO,etc.

• BSC (Balanced Scorecard) y C-BSC (Cybersecurity Balanced Scorecard)

Ejemplo básico de C-BSC en una empresa de e-Commerce

• Metas parciales deciberseguridad (ej: KPIs parcialesde operacióny actividad)debendar
información sobrela consecución de objetivosde ciberseguridad
• Objetivos estratégicosde ciberseguridad,Iniciativas y proyectosdebenestar
consensuadosy alineadoscon objetivosde negocio
• Objetivos parciales (ej: interanuales/ Year-To-Date)de ciberseguridaddeben estar
alineados con objetivos estratégicosde ciberseguridad
• Métricas y KPIs (Key PerformaceIndicators)debenpermitir monitorizarla consecución de
objetivos parciales(ej: interanuales)y, por ende,el alineamientocon objetivosde negocio
Ejemplo básico de C-BSC en una empresa de e-Commerce

8.- Técnicas de comunicación y reporting
ciberseguridad

8.- Comunicación y reporting
• Importancia de la comunicación y el marketing
• La Ciberseguridad es transversal en cualquier Organización y, en
consecuencia, toda la Organización debe saber de la existencia de un
área encargada de ello y de su aportación de resultados… Ejemplos?
OUTPUTSEJEMPLO
• Respuestas en servicios ofrecidos (ej:autorizaciones, consultas)
• Circulares normativas
• Sesiones de concienciacióny simulacros
• Sesiones de formacióno capacitación específicas
• Gestiones de crisis (MOMENTODE VERDAD)
• Reporting a Dirección(MOMENTO DE VERDAD)

• Estrategia y plan de comunicación
• Alinear con objetivos de la estrategia (ej: dar a conocer el plan de
ciberseguridad; ej: dar a conocer los servicios del área con aportación de
resultados; ej: promocionar los planes de capacitación; ej: disuadir)
• Variables a tener en cuenta:
• Audiencias (ej: comité de ciberseguridad; ej: IT-comms./devels.,
usuarios)
• Mensaje clave por audiencia
• Medio o canal apropiado para cada audiencia
• Marco temporal para cada fase de la estrategia de comunicación
• De vital importancia la comunicación en momentos “de
verdad”, como el reporting a las partes interesadas, o la
gestión de crisis

• Cumplimiento de expectativas de las partes interesadas
• ¿Qué beneficio se obtiene, a qué nivel aceptable de riesgo y con qué
costos? Es decir, y a modo de ejemplo:
1. ¿En que estado están mis principales escenarios de ciber riesgo? (ej:
Web DDoS / Web intrusion)
2. ¿Cuál está siendo la evolución de las medidas implementadas? (ej:
histórico de métricas y KPIs)
3. ¿Estamos en la línea de conseguir la meta consensuada? (ej: Open
Ext. Critical 0-day = “0”)

4. ¿Qué deberíamos hacer para conseguir la meta consensuada? (ej: No
subir nuevas versiones de la Web con vulnerabilidades críticas, o
no subir nuevas versiones de la Web con vulnerabilidades críticas
que no puedan ser resueltas en menos de 3 días)
5. ¿Qué riesgo supone no implementar estas nuevas medidas? (ej: que
una amenaza que actualmente se encuentra examinando nuestra
web desde diferentes partes del mundo podría encontrar un fallo
de seguridad y comprometer nuestra web, es decir, tirárnosla o
bien robarnos datos de nuestros clientes)
6. ¿Qué riesgos y costos supone implementar estas nuevas medidas?
7. ¿Requieren estas nuevas medidas desviación de presupuesto?
¿Cuánto en Capex? ¿Cuánto en Opex?
8. ¿Cómo estamos ayudando a que la Organización sea confiable?

Nivel de madurez de Seguridad objetivo
Recuperación
Respuesta
Detección
Protección
Identificación
Gobierno
Entorno de
Negocio
Gobierno de
la función de
Seguridad
Estrategia de
Gestión de
Riesgos
Gestión de
Activos
Evaluación
del riesgo
Controles de
acceso
Seguridad de
datos
Mantenimiento
Procesos y
procedimient
os de
protección de
información
Concienciació
n y formación
Tecnología de
protección
Anomalías y
Eventos
Procesos de
Detección
Monitorización
continua de
seguridad
Comunicación
Mejora
Planificación de
la recuperación
Análisis
Comunicación
Mejoras
Planificación
de la
respuesta
Mitigaciones
Framework de capacidades de Seguridad
Recuperación
Respuesta
Detección
Protección
Identificación
Gobierno
Entorno de
Negocio
Gobierno de
la función de
Seguridad
Estrategia de
Gestión de
Riesgos
Gestión de
Activos
Evaluación
del riesgo
Controles de
acceso
Seguridad de
datos
Mantenimiento
Procesos y
procedimient
os de
protección de
información
Concienciació
n y formación
Tecnología de
protección
Anomalías y
Eventos
Procesos de
Detección
Monitorización
continua de
seguridad
Comunicación
Mejora
Planificación de
la recuperación
Análisis
Comunicación
Mejoras
Planificación
de la
respuesta
Mitigaciones
Framework de capacidades de Seguridad
Nivel inicial de madurez de Seguridad
3.0 - 3.2
1.63
Inicial (0.5-1.4) Repetible (1.5-2.4)
Nulo (0-0.4)
Fix the basics Construcción cimientos Establecimiento sistémico
PDS como
elemento
habilitador y
roadmap de
implantación

L1: SIC (Sistemas de información críticos)

Estado de despliegue del programa de Seguridad: Niveles de Protección
N3
–
Completo
N2
–
Avanzado
N1
-
Básico
N1-
N1
N1+
N2-
N2
N2+
N3-
N3
N0
N0
N1-
N1
N1+
N2-
N2
N2+
N3-
N3
N3+
+
-
Nivel
de
protección
N1
N0 N1 N1 N3+
CULTURA GRC PERSONAS SIC CROSS/NO-
SIC
2021
2020
2021
2020
2021
2021
2020 2020
N1-
2020
N1 N2 N3
62%
75%
15%
25%
15%
10%
2019
2019
2019
2019
N1 N2 N3
32%
75%
40%
25%
8%
10%
2021
N1 N2 N3
65%
75%
60%
60%
10%
10%
2019
N1 N2 N3
20%
35%
34%
45%
33%
10%
Valores a fecha DD/MM/AAAA
N1 N2 N3
64%
75%
12%
25%
15%
15%

SESION 2 - TEMA 1 - 20211216.pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a SESION 2 - TEMA 1 - 20211216.pdf

Similar a SESION 2 - TEMA 1 - 20211216.pdf (20)

Último

Último (7)

SESION 2 - TEMA 1 - 20211216.pdf