1234

5678
Decálogo de
ciberseguridad
El camino hacia la
ciberseguridad
en su empresa
 Todo viaje, por largo que sea,
empieza por un solo paso
Lao-Tsé
Podríamos comenzar
este decálogo con esa frase tan manida:

“Hoy en día, los procesos de negocio de las

empresas dependen cada vez más de internet
y las nuevas tecnologías…”.

Pero no.
Vamos a
comenzarlo con unas
preguntas.
Intente responderlas sinceramente.
 ¿Cuáles son los servicios más críticos
de su empresa? ¿De qué depende su
funcionamiento?

Seguro que ha analizado los riesgos financieros

de su empresa. Pero, ¿ha analizado los riesgos
tecnológicos de sus servicios más críticos?

¿Qué pasaría si las aplicaciones que necesita para

prestar esos servicios dejaran de funcionar? ¿Tiene
un plan B si falla algo? ¿No? ¿Sus clientes lo
saben?
¿Se ha planteado alguna vez a quién le puede
interesar la información que maneja en su
empresa? ¿Está controlando bien quién puede
acceder a esa información confidencial? ¿Seguro?

¿Cumple la LOPD? ¿De verdad? ¿Informa

sobre la política de cookies de su página web?

¿Ofrece servicios online a través de su página

web? ¿Qué pasaría si dejaran de estar disponibles?

¿Sabe qué medidas de seguridad debería tener

implantadas? ¿Las tiene realmente? ¿Alguien se
encarga de comprobar si las que tiene son eficaces?
¿Alguna de estas preguntas
le ha hecho dudar?
No se alarme. Seguro que algunos de los asuntos que le
planteábamos en las preguntas los tiene contemplados ya en su
empresa.

Pero la gestión de la ciberseguridad requiere un planteamiento

global y coordinado. Todos los riesgos a los que se exponen los
procesos de la empresa y la información que tratan deben ser
conocidos y gestionados.

El mayor error que podemos cometer a la hora de analizar los riesgos

a los que estamos expuestos es subestimarlos. La sensación de
“eso no me va a pasar a mí” a veces es demasiado frecuente
en las organizaciones.

Porque las amenazas cambian y evolucionan. De nada sirve

ignorarlas. Por eso proponemos este decálogo.

Una hoja de ruta hacia la ciberseguridad de su empresa.

 10 pasos
para garantizar la 9. Monitorización
ciberseguridad en su De la red y de los sistemas
Logs de actividad 10. Seguridad
empresa gestionada
Evaluación de la seguridad
Mejora continua
7. Actualización
y parcheo
Inventario de activos
Vulnerabilidades 8. La seguridad
de la red
Segmentación
Redes wifi
5. Movilidad
con seguridad
Dispositivos móviles
Conexiones 6. Protección antimalware
Uso de la nube Solución corporativa
Software autorizado
3. Seguridad en
el puesto de trabajo
Concienciación del empleado 4. La protección
Políticas de seguridad de la información
Clasificación
Contraseñas
Copias de seguridad
1. Analizar
los riesgos
Procesos críticos
Dependencias entre activos
2. Los responsables
Amenazas de seguridad
Seguridad legal
Seguridad con terceros
Acuerdos de confidencialidad
1 Analizar los riesgos
a los que nos enfrentamos
No sólo las grandes empresas deben
preocuparse por su ciberseguridad. La
Identifique sus procesos críticos. Analice
de qué activos, aplicaciones o sistemas
información de su empresa también es dependen. Conozca qué proveedores son
importante. Es muy importante garantizar necesarios y qué empleados son clave en
su integridad y disponibilidad, y proteger la su funcionamiento.
información de sus clientes. No piense que
la información de su empresa no le interesa a Después piense en las amenazas que
nadie. Hay muchos casos de ciberespionaje podrían afectar a esos elementos y estudie
entre empresas o de robos de información qué pasaría si una de esas amenazas se
de clientes. materializase. Si lo que ha descubierto le
preocupa o ni siquiera se lo había planteado,
Su información y la de sus clientes también es el momento de ponerse manos a la obra. Si
es muy valiosa para los ciberdelincuentes. no lo hace, esto podría impactar gravemente
También simplemente pueden querer tomar en su negocio.
el control de sus equipos para luego utilizarlos
en actividades delictivas.

Los mismos controles de seguridad no sirven

para todas las empresas. La seguridad es
un traje a medida.
2 Los responsables de la
seguridad en la empresa
Cada vez hay más amenazas que exceden el
ámbito puramente informático. Hace tiempo
Hay que acordar los niveles de servicio
(SLA1) que nos prestan los proveedores, por
que la seguridad no se reduce a tener un escrito y estableciendo penalizaciones si es
antivirus y a hacer copias de seguridad. necesario. Porque si ellos nos fallan nosotros
podemos fallar a nuestros clientes.
La seguridad legal, la regularización de
los servicios que nos prestan nuestros Debemos asegurar que nuestros empleados
proveedores, el uso adecuado de las y nuestros colaboradores externos
redes sociales en el ámbito empresarial, el mantienen la debida confidencialidad sobre
aseguramiento de la confidencialidad de la la información de nuestros proyectos y de
información de la empresa, la reputación nuestros clientes.
digital, son ejemplos de que la gestión de
la seguridad en las empresas ha cambiado. La seguridad no depende sólo de los
Porque los riesgos han cambiado. informáticos. Otros departamentos de nuestra
empresa tienen también la responsabilidad
Debemos garantizar que cumplimos todas de garantizarla.
las normativas y leyes que afectan a nuestros
sistemas de información y, en general a
nuestro negocio. No hacerlo nos expone a
posibles sanciones, a perjudicar la imagen
de la empresa, e incluso a perder clientes. 1. Service Level Agreement
3 La seguridad en el puesto
de trabajo
Como veremos, es necesario mantener
medidas de seguridad técnicas. Pero hay
engañar a un usuario que aprovechar una
vulnerabilidad técnica.
un escenario en el que hay que redoblar
esfuerzos: nuestros puestos de trabajo. Ataques de phishing, malware en
Los usuarios somos quizás el eslabón más ficheros adjuntos a correos electrónicos
importante de esta cadena. aparentemente normales… Debemos
conocer esos riesgos, detectarlos, saber
Se pueden implantar innumerables medidas cómo comportarnos ante ellos y reportarlos
de seguridad, pero si no formamos y al personal técnico.
concienciamos a los usuarios en el
rol que juegan en el mantenimiento de la Pero también tenemos que adoptar “hábitos
seguridad, el trabajo estará incompleto. saludables” en materia de seguridad:
acostumbrarnos a guardar nuestros
Los usuarios en muchos casos somos la documentos en los servidores de ficheros
primera línea de defensa de la información corporativos, utilizar contraseñas robustas,
de nuestra empresa. Los ciberdelincuentes mantener políticas de mesas limpias,
diseñan ataques de ingeniería social dirigidos bloquear nuestro equipo al ausentarnos, o
a los usuarios, porque saben que somos una proteger adecuadamente los dispositivos
vía de entrada a la información. Por eso cada USB que utilicemos, son algunos ejemplos.
vez hay más ciberamenazas relacionadas
con las personas. A veces es más fácil
4 La protección de la
información
Porque la información que tratamos es el
activo más importante de la empresa. Y por
Para proteger su confidencialidad se
deben implantar sistemas de autenticación
eso en primer lugar hay que clasificarla. seguros, políticas de contraseñas robustas
Un folleto publicitario o nuestra política de y, en su caso, mecanismos de cifrado de la
calidad es información pública. Pero un información, tanto en su almacenamiento
procedimiento de trabajo, por ejemplo, ya no como en su transmisión o transporte en
lo es. Es información interna. Y la nómina de soportes.
los empleados, o un acuerdo de colaboración
firmado con otra empresa es información Además hay que garantizar su integridad,
confidencial. impidiendo su alteración o modificación no
autorizada, y su disponibilidad, implantando
Y en función de esa clasificación, definiremos políticas de copia de seguridad, replicación o
las medidas de seguridad a aplicar. sistemas de redundancia o alta disponibilidad.

En cualquier caso es necesario establecer Y no olvidemos que la información también

políticas de control de acceso, gestionar los se almacena y gestiona en soporte papel.
privilegios , autorizar los permisos en cada
caso, verificar su vigencia periódicamente.
Además hay que monitorizar el acceso a
la información de los usuarios, y revisar los
registros y logs existentes.
5 Movilidad con seguridad
Poder trabajar con el portátil en casa, en el
hotel o en el aeropuerto nos permite acceder
¿Sus empleados utilizan servicios en la nube?
¿Han establecido una política corporativa
a la información desde cualquier sitio y ser al respecto? ¿Qué tipo de información se
más productivos. Pero las ventajas que puede subir a la nube?
presenta la movilidad traen también una
serie de riesgos que hay que gestionar. ¿Sabe lo que es el BYOD2 ? ¿Conoce sus
características y sus riesgos?
¿Los portátiles y las tablets de su empresa
están cifrados? ¿Qué pasaría si se extravía
o roban un portátil?

¿Desde dónde conectan los usuarios?

¿Conocen los riesgos de las WiFis de los
hoteles y lugares públicos? ¿Disponen de la
posibilidad de acceder por VPN1?

Hay que definir una política al respecto y

formar a los empleados para que la cumplan,
y para que protejan adecuadamente sus 1 VPN: Virtual Private Network
dispositivos y la información que contienen. 2 BYOD: Bring Your Own Device
6 Protección antimalware
La protección contra el malware en la
empresa debe basarse en una solución
Porque igual que la tecnología ha
evolucionado, los ciberdelincuentes también
corporativa, estándar y presente en cualquier lo han hecho. Ya no se trata de vándalos o
dispositivo que pertenezca o se conecte a la “curiosos”, sino de grupos criminales que se
red corporativa. han dado cuenta de lo importante que es la
información y de lo valiosa que puede llegar
En muchos casos un dispositivo USB o un a ser.
correo electrónico con un fichero adjunto
contaminado, o el acceso a una página web Muchas veces incluso su objetivo no es
maliciosa es el origen de muchos problemas sólo la información a la que pueden tener
en las empresas. acceso, sino que también buscan tomar el
control de equipos de la empresa atacada,
La existencia de software dedicado a la para después utilizarlos en ataques dirigidos
detección de código malicioso puede en a otras compañías.
algunos casos prevenir y en otros limitar el
daño que puede causar el malware en una Ha surgido la industria del cibercrimen
empresa. organizado, y hay que estar preparado para
defenderse de ella.
También es necesario determinar cuál
es el software autorizado en la empresa,
y filtrar el acceso por internet a sitios web
potencialmente maliciosos.
7 Actualización y parcheo
En seguridad, estar al día es fundamental.
En todos los sentidos, y desde el punto de
La gran mayoría de los ciberataques explotan
vulnerabilidades conocidas que afectan a
vista técnico más si cabe. las aplicaciones o a las plataformas que las
alojan. Aprovechando esas vulnerabilidades
Como primer paso, es imprescindible los ciberdelincuentes pueden tomar el control
disponer de un inventario de todos los activos de los sistemas. Con ese objetivo rastrean la
y dispositivos informáticos de la empresa, web buscando equipos desactualizados, para
y mantenerlo continuamente actualizado. poder atacarlos utilizando vulnerabilidades
Este inventario debe contemplar las conocidas.
características técnicas de los equipos, sus
sistemas operativos, versiones, licencias Por ese motivo, los sistemas operativos y las
y aplicaciones instaladas, con todas sus aplicaciones deben disponer de las últimas
características. versiones y parches.

Para poder llevar a cabo un mantenimiento

adecuado de los niveles de seguridad de los
sistemas, es necesario estar informados de
la aparición de las últimas versiones de las
aplicaciones que tenemos instaladas, y de
las vulnerabilidades que pueden afectarles.
8 La seguridad de la red
de la empresa
La red que interconecta todos nuestros
sistemas de información es crítica. Debe ser
nos permita protegerla tanto de manera
preventiva como reactiva.
segura y estar protegida frente a ataques,
externos e internos. Lo que ocurre en nuestra Definir una adecuada segmentación de la
red debe estar monitorizado, para proteger la red permite controlar la visibilidad entre
información de nuestros sistemas y nuestras los diferentes sistemas de la red de la
aplicaciones. empresa, e impedirá que un posible ataque
o un malware pueda propagarse por la red
Por ese motivo, la conectividad a la red de la o hacer más daño. La división en dominios
empresa debe estar restringida por defecto. de red puede realizarse de manera física
o lógica, pero en cualquier caso hay que
Se deben definir responsabilidades y definir adecuadamente sus perímetros
procedimientos de trabajo para la gestión de seguridad, y las posibilidades de
del equipamiento de red. Si es posible, interconexión controlada entre ellos.
las funciones de administración de la red
deben estar separadas de las funciones de Y no olvidemos las redes WiFi. Con
operación. demasiada frecuencia están desprotegidas
o mal configuradas, lo que puede permitir el
Es necesario implantar sistemas de acceso a nuestros sistemas desde el exterior.
monitorización del tráfico de nuestra red,
que registre lo que está ocurriendo, y que
9 Monitorización
Nuestros activos deben estar actualizados,
y nuestra red adecuadamente segmentada.
El acceso a los logs de actividad de
nuestra red y nuestros sistemas debe estar
Pero además es necesario que sepamos lo controlado, para evitar su deshabilitación y
que ocurre, que monitoricemos lo que ocurre su manipulación.
en nuestra red y en nuestros sistemas.
Periódicamente debemos realizar también
Los accesos autorizados o rechazados a los un análisis de capacidad de los servidores
sistemas o a las aplicaciones, los cambios y dispositivos de nuestra organización, para
en la configuración de los sistemas, el uso de detectar consumos excesivos de recursos
privilegios especiales, las alarmas o avisos que pueden identificar problemas de
que se puedan generar en los sistemas que seguridad, rendimiento o funcionalidad.
integran nuestra red son ejemplos del tipo de
información que se debe registrar y analizar También es necesario monitorizar y filtrar
para poder detectar de manera preventiva el tráfico de la red para detectar posibles
situaciones anómalas. situaciones sospechosas.

Toda esta información nos servirá también

para, en caso de sufrir un incidente de
seguridad, poder analizar qué es lo que ha
ocurrido y para identificar posibles fallos de
seguridad.
10 Ciberseguridad gestionada
Como la calidad, como la prevención
de riesgos laborales, la ciberseguridad
Hay que reevaluar los riesgos de manera
periódica, revisar la adecuación de las
de la empresa debe ser gestionada de medidas de seguridad implantadas . Nuestros
una manera eficiente y organizada. Es procesos cambian, y las amenazas cambian.
necesario supervisar y controlar la validez Las medidas de seguridad que sirven hoy no
de las medidas de seguridad implantadas. tienen por qué servir mañana y las de ayer
Para ello se deberán definir indicadores quizá no nos sirvan hoy.
que nos permitan medir su eficacia y que
nos permitan comprobar que los controles Hay que estar atentos. El objetivo es, como
definidos realmente han mejorado el nivel de siempre, mejorar.
seguridad de la empresa.

La gestión de la seguridad contempla desde

aspectos organizativos, como la definición
de roles y disponibilidades y la definición de
políticas y normativas de seguridad, hasta
aspectos técnicos como la gestión de los
incidentes de seguridad (desde su detección,
notificación y registro hasta su resolución) o
la gestión de las vulnerabilidades técnicas
de los sistemas y aplicaciones corporativas.
Este decálogo es un punto de partida, una buena parte de las empresas proveedoras
hoja de ruta útil para emprender el camino de soluciones de seguridad TIC presentes
hacia la gestión de la ciberseguridad de su en el mercado español.
empresa.
Esperamos que todos estos servicios le
En la web de INCIBE (www.incibe.es) resulten de utilidad.
dispone de un amplio abanico de servicios
orientados a ampliar la información con
los temas que aquí se han expuesto. Allí
encontrará contenidos audiovisuales,
material de descarga y mucha información
de gran ayuda para guiar a su empresa en el
camino de la ciberseguridad.

Si su empresa no tiene los medios o el

personal necesario para llevar a cabo
las iniciativas propuestas por si misma,
le ofrecemos también el Catálogo de
empresas y Soluciones de Seguridad
TIC de INCIBE (http://incibe.es/icdemoest/
empresas/Catalogo_STIC/) , que recoge una