Logo Studenta

Programa de Cibersegurança NIST

User badge image

Aide Zambrano

¿Te gustó este material? ¡Compartir! 🧡
¡Este material tiene más páginas!

Vista previa del material en texto

1 
E 
 
 
 E
sc
u
el
a 
P
o
lit
éc
n
ic
a 
S
u
p
er
io
r 
d
e 
Ja
én
 
 
DISEÑO DE UN PROGRAMA DE 
CIBERSEGURIDAD DE UNA 
EMPRESA BASADO EN EL 
MARCO DE TRABAJO NIST 
Alumno/a: Gómez Suarez, Álvaro José 
 
Tutor/a: Prof. D. Joaquín Cañada Bago 
Dpto.: Ingeniería de Telecomunicación 
 
 
Julio, 2019 
Universidad de Jaén 
 
Escuela Politécnica Superior (Jaén) 
 
Trabajo fin de Master 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
2 
Escuela Politécnica Superior de Jaén 
 
 
 
 Universidad de Jaén 
 Escuela Politécnica Superior de Jaén 
Departamento de Informática 
 
 
 
Don Joaquin Cañada Bago , tutor del Proyecto Fin de Master titulado: Diseño de un 
programa de ciberseguridad de una empresa basado en el marco de trabajo del 
NIST, que presenta Álvaro José Gomez Suarez, autoriza su presentación para 
defensa y evaluación en la Escuela Politécnica Superior de Jaén. 
 
 
Jaén, Julio 10 de 2019 
 
El alumno: Los tutores: 
 
 
Alvaro Jose Gomez Suarez Joaquin Cañada Bago 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
3 
Escuela Politécnica Superior de Jaén 
 
Resumen 
En el area informatica y empresarial, se realiza una revision de los diferentes marcos 
de ciberseguridad actuales del mercado, enfocados en brindar seguridad y 
mitigacion de los activos informaticos mediante los metodos aplicados para la 
ciberseguridad de la organización empresarial. Se estipulan las diferentes 
caracteristicas de cada “framework”, mostando su utilizacion general y beneficios 
retribuidos gracias a la asignacion de dicho marco en la empresa. 
A su vez, se realiza una revision profunda y detallada de las caracteristicas, 
componenentes, modelos, medidas y controles que estipula el marco de 
ciberseguridad NIST, convirtiendolo en uno de los mas importantes y completos en 
lo que a ciberseguridad de la informacion y redes se refiere. En el cual se proyecta 
en diferentes areas de la organización, abarcando temas como personal, 
comunicación interna y externa y el control directo de cada zona de la organización 
en lo que a ciberseguridad se refiere. Se desgloza de manera detallada cada parte 
del marco NIST para brindar informacion completa de su implementacion. 
Basandose en las recomendaciones del modelo de red del fabricante CISCO, se 
estipula un diseño de red ideal, en el cual se debe asignar si la empresa desea 
adoptar el marco de ciberseguridad NIST, mostrando todos los activos fisicos y 
tecnologias desplegadas para brindar la seguridad adecuada y efectiva de la 
informacion. Este diseño, dependiendo del volumen de la empresa en que se desea 
aplicar, se gestionara en mayor o menor cantidades de dispostiivos; pero debe 
conservar la misma metodologia y elementos de gestion de red, brindando seguridad 
para conseervar el modelo ideal planteado teoricamente. 
Se establece mediante la fusion del modelo de red ideal y los controles del marco de 
ciberseguridad NIST, la estrategia de seguridad cibernetica para la organización que 
desee aplicarlo, ya que detalla las acciones especificas teoricas para cumplir cada 
control y gestionarlo de manera continua, en el cual se mantenga la seguridad de la 
informacion sin importar la escabilidad del modelo de negocio o infraestructura de 
red de la empresa. 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
4 
Escuela Politécnica Superior de Jaén 
 
 
Abstract 
 
In the IT and business area, a review of the different current cybersecurity 
frameworks of the market is carried out, focused on providing security and mitigation 
of IT assets through the methods applied for the cybersecurity of the business 
organization. The different characteristics of each framework are stipulated, showing 
its general use and benefits paid thanks to the assignment of this framework in the 
company. 
At the same time, a deep and detailed review of the characteristics, components, 
models, measures and controls stipulated by the NIST cybersecurity framework is 
carried out, making it one of the most important and complete in terms of 
cybersecurity of information and networks. In which it is projected in different areas of 
the organization, covering issues such as personnel, internal and external 
communication and direct control of each area of the organization as far as 
cybersecurity is concerned. Each part of the NIST framework is broken down in detail 
to provide complete information on its implementation. 
Based on the recommendations of the manufacturer's CISCO network model, an 
ideal network design is stipulated, which must be assigned if the company wishes to 
adopt the NIST cybersecurity framework, showing all the physical assets and 
technologies deployed to provide adequate and effective information security. This 
design, depending on the volume of the company in which it is desired to apply, will 
be managed in greater or lesser amounts of devices, but must retain the same 
methodology and network management elements, providing security to preserve the 
ideal model proposed theoretically. 
It is established by merging the ideal network model and the controls of the NIST 
cybersecurity framework, the cybersecurity strategy for the organization that wishes 
to apply it, as it details the specific theoretical actions to meet each control and 
manage it continuously, in which information security is maintained regardless of the 
scalability of the business model or network infrastructure of the company. 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
5 
Escuela Politécnica Superior de Jaén 
 
 
 
 
 
 
Agradecimientos 
 
 
Doy gracias al fondo de becas AUIP por la oportunidad brindada para establecer un 
logro académico más en mi planificación de vida. A las personas que me 
acompañaron en este intercambio cultural y social en España; a mi tutor, Joaquín 
Cañada Bago, quien se ha encargado de guiarme y enseñarme académicamente en 
el área de Redes y seguridad. 
Además, también doy gracias a mis padres, hermanos y a toda mi familia, que desde 
la distancia siempre confiaron en mí, para la ejecución y realización de este estudio 
tan importante en mi vida profesional; a mis amigos, que han estado a mi lado para 
brindarme una palabra de aliento en momentos difíciles. 
Una máquina puede hacer el trabajo de cincuenta hombres ordinarios. Ninguna 
máquina puede hacer el trabajo de un hombre extraordinario. 
Elbert Hubbard (Autor) 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
6 
Escuela Politécnica Superior de Jaén 
 
Índice 
 
 
1. INTRODUCCIÓN ............................................................................................................ 10 
1.1. Objetivos .................................................................................................................. 13 
2. MARCOS DE CIBERSEGURIDAD ................................................................................. 13 
2.1. PCI-DSS .................................................................................................................. 14 
2.1.1 Características ....................................................................................................... 15 
2.1.2 Alcance .................................................................................................................. 17 
2.1.3 Procesos habituales ............................................................................................... 18 
2.2. ISO/IEC27001 – ISO/IEC27002 ............................................................................... 19 
2.2.1Beneficios ............................................................................................................... 19 
2.2.2 Riesgos .................................................................................................................. 21 
2.2.3 Controles ................................................................................................................ 21 
2.3 CIS: Critical Security Controls .................................................................................. 23 
2.3.1 Principios fundamentales ....................................................................................... 24 
2.3.2 Controles ................................................................................................................ 25 
2.4 TC CYBER ............................................................................................................... 31 
2.4.1 Ventajas ................................................................................................................. 32 
2.4.1 Estándares ............................................................................................................. 33 
2.5 COBIT ...................................................................................................................... 34 
2.5.1 Ventajas ............................................................................................................ 36 
2.5.2 Implementación ................................................................................................ 37 
2.6 HITRUST CSF ......................................................................................................... 39 
2.6.1 Ventajas ............................................................................................................ 40 
2.6.2 Controles .......................................................................................................... 41 
2.4 Conclusiones ........................................................................................................... 42 
3 NIST FRAMEWORK ....................................................................................................... 44 
3.1 Nucleo – Framework Core ....................................................................................... 48 
3.2 Niveles de implementacion – Framework Implementation Tiers ............................ 52 
3.3 Perfiles del marco – Framework Profiles ................................................................. 55 
3.4 Implementación ........................................................................................................ 55 
3.5 Conclusiones ........................................................................................................... 57 
4 DISEÑO DE LA INFRAESTRUCTURA DE COMUNICACIÓN E INFORMATICA .......... 59 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
7 
Escuela Politécnica Superior de Jaén 
4.1 Modelo CISCO ......................................................................................................... 60 
4.2 Tecnologias de seguridad ........................................................................................ 62 
4.3 Diseño ...................................................................................................................... 67 
5 ESTRATEGIA DE SEGURIDAD PARA LA EMPRESA .................................................. 71 
5.1 Identificar ................................................................................................................. 71 
5.1.1 Gestión de activos ............................................................................................ 71 
5.1.2 Entorno empresarial ......................................................................................... 72 
5.1.3 Gobernanza ...................................................................................................... 73 
5.1.4 Evaluación de riesgos ....................................................................................... 73 
5.1.5 Estrategia de gestión de riesgos ...................................................................... 74 
5.1.6 Gestión del riesgo de la cadena de suministro ................................................. 74 
5.2 Proteger ................................................................................................................... 75 
5.2.1. Gestión de identidad y control de acceso ......................................................... 75 
5.2.2. Conciencia y capacitación ................................................................................ 78 
5.2.3. Seguridad de datos ........................................................................................... 80 
5.2.4. Procesos y procedimientos de protección de la información ............................ 83 
5.2.5. Mantenimiento .................................................................................................. 85 
5.2.6. Tecnología protectora ....................................................................................... 87 
5.3 Detectar ................................................................................................................... 88 
5.3.1. Anomalías y eventos ........................................................................................ 88 
5.3.2. Monitoreo continuo de la red ............................................................................ 89 
5.3.3. Procesos de detección ..................................................................................... 91 
5.4 Responder ............................................................................................................... 93 
5.4.1 Planificación de respuesta ................................................................................ 93 
5.4.2 Comunicaciones ............................................................................................... 93 
5.4.3 Análisis ............................................................................................................. 95 
5.4.4 Mitigación .......................................................................................................... 96 
5.4.5 Mejoras ............................................................................................................. 96 
5.5 Recuperar ................................................................................................................ 97 
5.5.1 Planificación de recuperación ........................................................................... 97 
5.5.2 Mejoras ............................................................................................................. 97 
5.5.3 Comunicaciones ............................................................................................... 98 
6 CONCLUSIONES ........................................................................................................... 99 
7 LINEAS A FUTURO ...................................................................................................... 100 
8 GLOSARIO ................................................................................................................... 101 
9 BIBLIOGRAFIA ............................................................................................................. 102 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
8 
Escuela Politécnica Superior de Jaén 
 
 
 
 
Tabla de Ilustraciones 
 
Ilustración 1. Requisitos PCI-DSS. Tomada de [11] ................................................. 15 
Ilustración 2. Beneficios ISO:27001. Tomada de [15] ............................................... 20 
Ilustración 3. Controles CIS. Tomada de [12] ........................................................... 26 
Ilustración 4. Relaciones de entidad de sistemas.Tomada de [12] .......................... 27 
Ilustración 5. Gobernanza y Gestión COBIT 5. Tomada de [19] ............................... 36 
Ilustración 6. Implementación COBIT 5. Tomada de [20] ......................................... 38 
Ilustración 7. CyberSeek NIST. Tomada de [23] ...................................................... 46 
Ilustración 8. Estructura del núcleo NIST. Tomada de [4] ........................................ 50 
Ilustración 9. Arquitectura NIST. Tomada de [25] ..................................................... 58 
Ilustración 10. Topología CISCO. Tomada de [27] ................................................... 61 
Ilustración 11. Diseño de red segura. Elaboración propia ........................................ 69 
 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
9 
Escuela Politécnica Superior de Jaén 
 
 
 
Lista de Tablas 
 
Tabla 1. Requisitos detallados PCI-DSS. Tomada de [11] ....................................... 16 
Tabla 2. Algunos estandares de TC CYBER. Tomado de [16] ................................. 33 
Tabla 3. Categorías en cada fase NIST. Tomada de [4] .......................................... 49 
Tabla 4. Núcleo del marco, ejemplo. Tomado de [4] ................................................ 52 
Tabla 5. Niveles de Implementación. Tomado de [4] ................................................ 54 
 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
10 
Escuela Politécnica Superior de Jaén 
 
 
1. INTRODUCCIÓN 
 
La seguridad informática o ciberseguridad como se le conoce actualmente, son las 
técnicas y medidas de protección en el ámbito de la informática junto con telemática, 
las cuales combinadas generan un valor importante de defensa para la 
infraestructura tecnológica en cualquier campo de acción tanto en la vida social, 
corporativo y económica de las personas y/o empresas. Esta área se encarga de la 
protección del marco global de la información y sus agregados, para generar 
seguridad en el ámbito tecnológico. Teniendo en cuenta que se puede basar en 
percepciones como: estándares, tecnologías, dispositivos electrónicos, software, 
redes y computación, la seguridad informática nace para consolidar la transmisión, 
divulgación y exposición de la información de forma efectiva y segura mediante 
procesos informáticos protegidos. [1] 
De esta forma la ciberseguridad se basa en la prevención de acciones maliciosas 
tanto software como protocolos de comunicación utilizados de forma indebida para 
obtener el control o acceder a un dispositivo, tecnología o información relevante para 
la víctima, basándose en objetivos como: análisis y revisión de herramientas 
tecnológicas de malware, defender los activos tecnológicos de ataques cibernéticos 
indebidos y establecer políticas de seguridad para mitigar las vulnerabilidades 
informáticas. [2] 
Cabe destacar que la ciberseguridad solo cuenta con el 99% de permanencia o 
aplicabilidad en cualquier ámbito, ya que un sistema, dispositivo o tecnología nunca 
será totalmente segura, de esta forma y en la brecha de vulnerabilidad del 1%, 
existe la ciberdelincuencia, siendo uno de los delitos con mayor rentabilidad en el 
ámbito económico de robo de activos, tal y como se presenta en el libro 
Cybersecurity : Managing systems, conducting testing, and investigating intrusions 
[1] en el cual establece que esta cifra ha generado rentabilidades alrededor de $1 
billón de dólares USD, yendo en aumento la acción de esta metodología de robo. 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
11 
Escuela Politécnica Superior de Jaén 
Por otra parte, y retomando la inseguridad parcial de las tecnologías y aplicativos, 
algunos son utilizados para la gestión de ciber espionaje por parte de gobiernos 
aplicados a la sociedad civil, como ciberdelincuentes destinando técnicas de 
espionaje informático a empresas gubernamentales y del sector privado, 
aprovechándose de las vulnerabilidades encontradas en sistemas financieros, tráfico 
aéreo y sistemas de telecomunicaciones, entre otros. De esta manera las empresas 
de cualquier ámbito económico deben implementar medidas de seguridad 
adecuadas, tanto políticas, estándares y tecnologías que permitan la protección de 
la información y sus activos informáticos, evitando así el robo o caída de su 
infraestructura especializada. Siendo un pilar importante (ciberseguridad) en la 
infraestructura de cualquier empresa, esta se debe gestionar de manera adecuada, 
transformándose en uno de los énfasis vitales para cualquier organización, ya que 
cualquier dispositivo o información conectado a internet o redes de comunicación 
tanto interna como externa, son un activo vigente de ataque informático previsto 
para cualquier eventualidad. [1] 
En los últimos tiempos la empresa han sido obligadas a realizar una renovación de 
métricas y objetivos de seguridad cibernética a consta de las vulnerabilidades que la 
misma representa, aplicando medidas de post-defensa informática, ya que no se 
estipula esta rama de la informática como una prioridad para un ente económico o 
empresarial, siendo repercusivo por culpa de terrorismo, organizaciones criminales, 
o acciones hostiles de un individuo, teniendo en cuenta que la masificación de 
tecnologías TICS se ha desplegado de forma acelerada, sumando vulnerabilidades 
posibles en cada factor de una organización [3] 
Por consiguiente, en cualquier tipo de organización empresarial se debe estipular un 
modelo de seguridad informática basado en un marco de seguridad de calidad 
elegido dependiendo su naturaleza y plan de acción, ya que contamos con 
diferentes tipos de marcos o “framework” de traducción al idioma inglés. Siendo los 
riesgos de seguridad informática aplicables a cualquier empresa afectando los 
costos e ingresos económicos de la misma. De esta forma el instituto “National 
Institute of Standards and Tecnology (NIST) genero un marco de ciberseguridad el 
cual se basa en la mitigación y demás políticas anti riesgo para la organización, con 
pie en las vulnerabilidades de la informática, siendo este mismo voluntario para su 
implementación, en el cual se debe captar los índices prioritarios de enfoque y 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
12 
Escuela Politécnica Superior de Jaén 
personalización del “framework” en cada empresa, a pesar que contiene una 
estructura global, este puede ser modificado según el mapa de negocio e 
infraestructura tecnológica de la empresa, gestionando los riesgos de 
ciberseguridad. De allí parte la importancia de establecer una metodología de 
prevención de riesgos basados en enfoques informáticos, ya que la modalidad de 
negocio ha evolucionado de tal forma que para cualquier tipo de empresa, su mayor 
activo es la información y su infraestructura tecnológica, siendo la base de múltiples 
procesos sin importar el tipo de negocio de la organización, su tamaño o 
dependencia, los principios del marco de seguridad son aplicables en todo sentido 
para mejorar la resiliencia de riesgos. 
El marco de ciberseguridad proporciona modelos, normas y lineamientos para 
gestionar la seguridad informática, ya que es un marco global, sirve de ayuda para 
brindar un modelo de protección a todas las empresas en cualquier zona del planeta 
aplicándose a factores humanos, cibernéticos y físicos. Su implementación se basa 
en empresas dependientes de la informática, que, para nuestro énfasis actual, es 
casi todas las organizaciones que utilicen tecnologías de información (TI), sistemas 
ciber físicos (IOT), sistemas de control industrial (SCP) o dispositivos de conexión 
general a la red.Uno de sus mayores ámbitos es ayudar a la gestión de la 
privacidad de clientes, empleados y terceros que hagan parte de la organización que 
decida abordar este framework. Gracias a su personalización y división de zonas del 
marco, las empresas pueden aplicar el marco de ciberseguridad NIST para estipular: 
manejo de riesgos, análisis de vulnerabilidades, entre otros. [4] 
Las ventajas que ofrece implementar un marco de ciberseguridad en la empresa, 
son totalmente confiables y asertivas, ya que, al ser un enfoque global, se cumplen 
con los requisitos y medidas que traen superioridades en el nivel de protección de la 
información y el ámbito tecnológico de la organización. 
 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
13 
Escuela Politécnica Superior de Jaén 
1.1. Objetivos 
 
En el actual Trabajo fin de Master se estipularon los siguientes objetivos de 
proyecto basados en la acción de consulta para el framework NIST de 
ciberseguridad: 
 Realizar un estado del arte de los diferentes marcos de trabajo de 
ciberseguridad. 
 Estudiar a profundidad el marco del NIST, enfocándose en el marco básico 
(Framework Core), niveles de implementación (Framework Implementation 
Tiers) y perfiles del marco (Framework Profiles) 
 Diseñar una infraestructura de comunicaciones e informática basado en las 
recomendaciones del fabricante Cisco, incorporando tecnologías de 
seguridad. 
 Diseñar la estrategia de seguridad para la empresa, basada en el marco de 
trabajo NIST. 
 
2. MARCOS DE CIBERSEGURIDAD 
 
Teniendo en cuenta que el marco de ciberseguridad se utiliza de manera voluntaria y según 
lo asemeja la empresa que lo aplicara, correspondiente a su política de negocio o 
conveniencia empresarial, en el mercado actual se encuentran diferentes tipos de marco de 
ciberseguridad, según se adapte a las necesidades de la organización, en la cual una 
empresa puede adoptar diferentes marcos ya que algunos se centran en la protección de la 
información como tal y otros en los procesos que conlleva manejar estos datos. Existe 
también algunos casos que se aplican directamente a un solo país como es el marco de 
seguridad informática de Nueva Zelanda, como este país le llama, aunque realmente no es 
un marco global sino una serie de estrategias cibernéticas para ese país, llamado el “New 
Zeland 2011 Cyber Security Strategy” implementado por el gobierno de este país desde el 
año 2011 hasta su fecha. [5] 
A continuación, se detallará de manera general la estructura básica, ventajas y el enfoque 
de los marcos de ciberseguridad más utilizados e importantes en la industria actualmente. 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
14 
Escuela Politécnica Superior de Jaén 
 
2.1. PCI-DSS 
 
El estándar de seguridad de datos para la industria de tarjeta de pago (Payment 
Card Industry Data Security Standard) fue fundado en por las principales compañías 
de tarjetas de crédito (American Express, Discover, JCB International, MasterCard y 
Visa Inc) siendo el marco que se encarga de regular todas las transacciones 
financieras que sean transportadas por un medio informático, basados en el 
documento “Matchmaking between PCI-DSS and Security” del autor Andre Marien 
publicado en la revista “Information Security Technical Report” en la cual se estipula 
que el alcance de la implementación de PCI-DSS puede ser más efectivo que solo 
proteger los productos financieros de tarjetas de crédito o debido para evitar su 
fraude. Este marco de ciberseguridad abarca tanto a cualquier tipo de empresa sin 
importar tu tamaño, ya que brinda seguridad antes las violaciones de derechos 
financieros. 
El framework PCI-DSS cuenta con un nivel de certificación para personas, 
convirtiéndolas en asesores de calidad calificados o como lo indica sus siglas en 
ingles “PCI Qualified Security Assessor” [10] el cual se debe encargar de las 
vulnerabilidades a tratar mediante este marco para definir un alcance forense y la 
causa del mismo. Además se cuenta con diferentes documentos publicados para la 
gestión del framework tal y como : “From Auditor e centric to Architecture-centric: 
SDLC for PCI DSS” [7] y “Incident response and compilance: a case study of the 
recent attacks” [8], en el cual el primero trata sobre las métricas que un auditor del 
framework PCI-DSS debe centrarse para su cumplimiento, siendo una media para 
su revisión y el segundo estudia casos de incidencias reales en el marco de 
ciberseguridad, viéndolo como un enfoque más realista. Además, se encuentra el 
documento “Compliance Complacency” de Andew Valentine [9], donde muestra 
casos reales con estadísticas en las que sitúa los tipos de ataques y 
vulnerabilidades que puede acarrear no tener este framework, este enfoque se 
realiza para concienciar a las empresas sobre una actuación premeditada a la 
explotación de vulnerabilidades y no un acto “después de” (post) a este tipo de 
incidencias, identificando como mayor vulnerabilidad al activo de pagos con tarjetas 
financieras. Estableciendo las soluciones que ofrece el framework se obtienen 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
15 
Escuela Politécnica Superior de Jaén 
medidas como las estipuladas en el documento “How tokenization and encryption 
can enable” de Branden Williams [10], el cuales estipula por medio de métodos de 
encriptación y protección de datos, la ocultación o cifrado de la información cuando 
sea transmitida, almacenada y usadas. [6] 
2.1.1 Características 
 
Este estándar definió la nueva versión 3.2.1 en mayo 2018, estableciendo los 
requisitos generales mostrados a continuación en la ilustración 1: 
 
Ilustración 1. Requisitos PCI-DSS. Tomada de [11] 
 
De acuerdo a su traducción al español y sus doce (12) fases internas descritas a 
continuación, se establecen los requisitos detallados para el marco PCI-DSS, 
mostrados en la tabla 1: 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
16 
Escuela Politécnica Superior de Jaén 
 
Tabla 1. Requisitos detallados PCI-DSS. Tomada de [11] 
 
Según el aval del marco de seguridad, se deben cumplir estos requisitos mostrados 
anteriormente para establecer cobertura por el framework, contando además con 
procedimientos de pruebas, en los cuales el asesor de revisión debe confirmar la 
elaboración de estos procesos basado en los requisitos del marco de 
ciberseguridad. 
El marco PCI-DSS establece además unos requisitos adicionales, estipulados en 
tres (3) anexos en la norma: 
 Requisitos de la PCI-DSS para proveedores de hosting compartido: establece 
normas para la protección de datos si el hosting de la organización es 
administrado por un tercero. 
 Requisitos para las entidades que utilizan SSL/TLS para conexiones POS PI 
de tarjeta: estipula utilizar las últimas versiones de seguridad para conexión, 
basados en los requisitos de seguridad predeterminada por equipos. La idea 
es brindar un rango cero de vulnerabilidades posibles. 
 Validación suplementaria de entidades designadas: aplica para las empresas 
que administran el “big data” del negocio relacionado con la información de 
tarjetas debito/crédito. [11] 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
17 
Escuela Politécnica Superior de Jaén 
 
 
2.1.2 Alcance 
 
Los requisitos anteriormente mencionados se aplican a todos los componentes del 
sistema de la empresa que abarquen el entorno de datos del titular de la tarjeta 
CDE, el cual se encarga de administrar, almacenar y operar toda la información que 
concierne al clientede la tarjeta financiera. Para el caso tecnológico, se refiere a los 
componentes del sistema como los siguientes énfasis informáticos: 
 Servicios de seguridad que facilitan la operación del CDE, tales como 
firewalls, servidores DNS y web. 
 Componentes de virtualización, tales como “virtual machines”, routers, 
dispositivos y aplicaciones virtuales, adicionando hipervisores. 
 Componentes de red, tales como routers (físicos), firewalls, puntos de acceso 
AP, dispositivos de red, y aplicaciones de seguridad. 
 Servidores, tales como, web, DNS, aplicación, base de datos, correo 
electrónico, proxy, entre otros. 
 Aplicaciones, internas y externas que sean base de a prestación del servicio 
financiero del CDE, entre estos internet. 
 Dispositivos adicionales físicos, virtuales y de red que estén conectados al 
funcionamiento debido del CDE. 
Para establecer un buen camino hacia la practica e implementación de PCI-DSS, se 
debe crear una segmentación de red para los datos del CDE, haciendo 
recomendación y mejora en el costo de la evaluación, dificultad de 
implementación, controles y riesgos del marco, estipulando una infraestructura de 
red adecuada mediante equipos como firewalls y routers para asignar listas de 
acceso ACL y permisos de administración de datos según los perfiles en la 
organización. Esto se estipula para evitar que una vulnerabilidad afecte todo el 
sistema y a toda su información. 
En el caso de las empresas terceras que prestan los servicios tecnológicos para el 
procesamiento, almacenamiento y transmisión de datos d la organización 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
18 
Escuela Politécnica Superior de Jaén 
correspondientes al CDE, estas dos partes deben definir los activos que están en 
juego ante posibles vulnerabilidades, realizando revisiones periódicas de estado de 
los servicios que presta la empresa tercera a la organización que implementa el 
marco de ciberseguridad PCI-DSS, en la cual el externo debe demostrar la fiabilidad 
y seguridad de los datos mediante el cumplimiento del marco, estas revisiones se 
deben realizar anuales o múltiples bajo demanda, en donde la primera se estipula 
por cuenta propia del tercero proporcionando evidencia a la organización que lo 
contrata, y la segunda el cliente solicita al externo una revisión detallada del manejo 
de sus datos, en la cual el cliente puede participar e involucrarse.[11] 
2.1.3 Procesos habituales 
 
La norma establece algunos procesos concurrentes aplicables a la organización que 
pueden mejorar la segmentación, red y manejo de la información, descritos a 
continuación, tales como: 
 Monitorear los controles de seguridad, firewalls, IDS, sistemas de intrusión, 
integridad de archivos, antivirus, controles de acceso, comprobando su 
funcionalidad. 
 Detección total de fallas, donde establece los procesos de protección y 
corrección en caso de una vulnerabilidad, restaurando el servicio el control de 
seguridad e identificando la falla y sus detalles. 
 Comprobación de cambios, dado el caso que se adquiera nuevos sistemas o 
dispositivos informáticos, se debe revisar su ingreso en la red, evidenciando 
su impacto. 
 Comunicados y revisiones periódicas, en las cuales se revisa la 
implementación y cumplimiento tanto de los equipos informáticos como del 
equipo humano para dar continuidad al cumplimiento del marco de 
ciberseguridad. Realizando una revisión completa del sistema. 
 Tecnologías de hardware y software, por lo menos anualmente para 
comprobar su funcionamiento y veracidad de operatividad. Se realiza con más 
periodicidad si los servicios informáticos los presta un externo. [11] 
 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
19 
Escuela Politécnica Superior de Jaén 
 
 
 
2.2. ISO/IEC27001 – ISO/IEC27002 
 
Este marco de seguridad informática, creado, implementado y auditado globalmente 
por la ISO (International Organization for Standardization) o como se refiere en 
español a la Organización Internacional de Estandarización con referencia en el año 
2017, en el cual se estipulo una serie de medidas generales y detalladas para 
establecer, implementar y mantener en mejora continua un sistema de gestión de 
seguridad de la información, siendo este un conjunto de normas y parámetros para 
proteger de manera eficiente toda los datos con su naturaleza en imagen, papel, 
digital, proyectada, enviada por email, fax, etc. Sus parámetros generales se basan 
en brindar total integridad, confidencialidad y disponibilidad de la información tanto 
los sistemas implicados en la organización, con base en la gestión de riesgos. 
Este marco o sistema de seguridad, debe formar parte de los procesos de la 
compañía, estipulando seguridad adicionada para todas las tareas que asemeje la 
compañía, sin necesidad de ser netamente digital. Este marco habilita la gestión de 
la información de manera más global, siendo influyente en cualquier área de la 
organización. Su implementación se realiza para cumplir un estándar global y 
comprobar el manejo adecuado de la información por parte de la compañía que 
aplico dicho marco de ciberseguridad. Este framework se puede apoyar en normas 
ISO como: ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27002, e ISO/IEC/27005. [14] 
2.2.1 Beneficios 
 
La implementación correcta de este framework de ciberseguridad, genera ciertos 
beneficios, no solo informáticos sino también de procesos globales en la 
organización, teniendo como pilar el factor digital o cibernético, a continuación, 
algunas ventajas: [13] 
 Establece una política de seguridad de la información clara y detallada. 
 Reducción de riesgos o robo de información. 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
20 
Escuela Politécnica Superior de Jaén 
 Revisión continua de los controles. 
 Confianza ante proveedores y clientes mediante la certificación obtenida al 
implementar esta norma en la organización. 
 Se puede integrar son sistemas de gestión de calidad (ISO:9001) o Seguridad 
laboral (OHSAS:18001). 
 Mejoramiento de procesos, ahorrando tiempo y dinero. 
 Aumento de seguridad de la información y procesos estipulados que la 
enmarcan. 
A continuación, se muestra en la ilustración 2 los beneficios de manera más grafica 
mediante el siguiente diagrama: [15]: 
 
Ilustración 2. Beneficios ISO:27001. Tomada de [15] 
 
Detallando sus ventajas, tenemos las instancias mostradas en la ilustración anterior, 
como: 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
21 
Escuela Politécnica Superior de Jaén 
 Control de riesgos de tecnología 
 Sistema de detección de vulnerabilidades 
 Método estructurado de requerimientos. 
 Genera competitividad al certificarse con este framework. 
 Mitigación y mejora de riesgos de tecnología, relacionado en daños y costos. 
 Reducción de brechas de seguridad informática. 
2.2.2 Riesgos 
 
Implementar este framework de seguridad, conlleva a múltiples procesos externos al 
área de IT (tecnología) por lo cual puede generar trastornos en algunas modalidades 
del negocio de la empresa o la costumbre con que se operaba antiguamente, siendo 
relevante para el cambio a la certificación ISO:27001, ya que su naturaleza es 
implementar la mejor gestión posible de información y seguridad informática en la 
empresa. Denotando lo anterior, se pueden encontrar riesgos de implementación 
como: [13] 
 Tiempos de implantación extensos, generados por gestión errónea de los 
procesos de seguridad de la información. 
 Temor al cambio en los procesos o políticas de seguridad. 
 Negar la seguridad informática como un activo fundamental de la empresa. 
 Revisionesde auditoria extenuantes y muy constantes. 
 Abundancia de medidas innecesarias en la seguridad de la información. 
 Comunicación errónea entre el personal para los progresos de los procesos 
de seguridad de la información. 
Cabe destacar que la norma estipula los controles y subcontroles muy 
específicamente, detallando lo que se debe realizar tanto en documentación 
soportada por evidencias físicas y métricas de revisión que constate su periodicidad 
de uso y seguridad en cada proceso. [13] 
 
2.2.3 Controles 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
22 
Escuela Politécnica Superior de Jaén 
Los controles de seguridad de la información se dividen en trece (13) según lo 
estipulado por el framework ISO:27001 e ISO:27002, además implementa 
subcontroles, los cuales no se detallarán debido a su extenso contenido. Estos 
controles deben ser cumplidos estrictamente por la organización que desee 
implementar el framework. A continuación, se mostrará su detalle básico por 
sección, enumerados según lo enmarca la ISO:27002 (Norma Auxiliar de 
ISO:27001): 
5. Políticas de seguridad de la información: Proporciona apoyo y guía a la 
gestión de la seguridad de la información de acuerdo con el énfasis del negocio, 
leyes y normativas determinadas. 
6. Organización de seguridad de la información: establece la gestión para 
controlar la implementación y operación de la seguridad de la información en la 
empresa. 
7. Seguridad relativa a Recursos Humanos: Se estipulan procesos y normas en 
las cuales los proveedores y empleados deben cumplir y conocer las normas de 
seguridad de la información estipuladas por la organización. Cabe destacar que 
estos procesos se acompañan de anexos en los contratos labores. 
8. Gestión de activos: Estipulando los activos de la empresa, se debe organizar y 
gestionar dicha información definiendo responsabilidades, responsables y 
protecciones para dichos datos y procesos relacionados con todos los activos vitales 
para la organización. 
9. Control de acceso: Se deben estipular políticas de perfiles de usuario, 
denegación de permisos para no autorizados, registro y baja de usuarios y 
privilegios de los mismos, aplicados en todos los sistemas e infraestructura de la red 
en la organización. 
10. Criptografía: mediante medidas más específicas de controles criptográficos, se 
debe definir los subcontroles de cifrado, políticas, acciones y métodos de proteger la 
información mediante la gestión de claves. 
11. seguridad física y del entorno: Allí se estipulan procesos para prevenir la 
intrusión física a alguna infraestructura de red y en la organización en general, 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
23 
Escuela Politécnica Superior de Jaén 
mediante áreas seguras, seguridad en equipos, políticas de loggin y mantenimiento 
de equipos. Cabe destacar que es una de las fases más grande del marco, por 
consiguiente, define detalles muy específicos tales como: políticas de usuario 
desatendido en el equipo, conexiones VPN (remota). 
 
12. Seguridad en operaciones: en esta fase se debe asegurar el funcionamiento 
de las instalaciones del tratamiento de información, gestionando cambios y recursos 
para controlar efectivamente su seguridad. 
13. Seguridad en las comunicaciones: Asegurar la protección de las redes y 
recursos informáticos, relacionados con la seguridad de la información. 
14. Adquisición, desarrollo y mantenimiento de sistemas de información: 
Mantener un ciclo de vida eficiente en la seguridad de la información mediante los 
sistemas implementados mediante la red. 
15. Relación con proveedores: Así como se protegen los activos internos, también 
asegurar los activos que sean accesibles por proveedores o clientes de la 
organización. 
16. Gestión de incidentes: Coordinar y manejar efectivamente la generación de 
incidentes de la seguridad de la información, mediante comunicación de eventos. 
17. Aspectos de seguridad de la información: Se debe generar procesos 
continuos que establezcan la seguridad de la información de manera precisa y 
permanente. 
18. Cumplimiento: Esta fase establece cumplir todas las obligaciones legales, 
reglamentarias o adicionales correspondientes a la seguridad de la información, 
ejemplo: Reglamento 2016/279 del Parlamento Europeo de 27 de abril de 2016 para 
la protección de datos de las personas y demás vigentes. [14] 
 
2.3 CIS: Critical Security Controls 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
24 
Escuela Politécnica Superior de Jaén 
El centro de seguridad para internet, conocido originalmente como CIS – Center for 
Internet Security, siendo una organización sin fines de lucro cuyo objetivo es 
establecer medidas en soluciones de ciberseguridad aplicables a cualquier 
organización, establecidos en la séptima y última versión actualizada de su marco de 
ciberseguridad, la cual representa un conjunto de acciones que conjuntamente 
establecen prácticas de mitigación de ataques contra la infraestructura informática. 
Estas normas se establecen gracias a la ayuda de personal proveniente de múltiples 
sectores de las zonas informáticas, entre ellas: salud, gobierno, defensa y 
fabricación. Estas medidas iniciaron para evitar la efectividad de ataques 
cibernéticos y a medida del tiempo se establecieron en un formato sólido para ser 
hoy un marco de seguridad informática, teniendo como prioridad prevenir, alertar y 
responder a estos ataques actuales. Mediante la colaboración de personal 
anteriormente mencionado se han estipulado conjuntos de información en las 
cuales: 
 Se comparte información sobre ataques y vulnerabilidades para identificar su 
inicio y realizar su mitigación. 
 Se documenta el historial de ataques y soluciones. 
 Se comparten herramientas y ayudas posibles. 
 Dar seguimiento y evolución a una vulnerabilidad detectada. 
La atribución del marco de seguridad, que en si es un conjunto de buenas prácticas 
de ciberseguridad en la empresa, también se enfocan en procesos tan delicados 
como los empresariales o gubernamentales, de forma que se puede adoptar por 
cualquier tipo de organización según su metodología de negocio. 
 
2.3.1 Principios fundamentales 
 
El marco de ciberseguridad CIS establece cinco (5) principios fundamentales en los 
cuales se basa para implementar los controles los cuales se detallarán en el 
siguiente apartado. De momento se revisará los principios para determinar una 
defensa efectiva, mostrados a continuación: 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
25 
Escuela Politécnica Superior de Jaén 
1. La ofensiva informa a la defensiva: este principio establece que la 
organización debe aprovechar el conocimiento de las vulnerabilidades y 
ataques actuales o antiguas para establecer una base de aprendizaje 
continúo estableciendo medidas de seguridad completas y efectivas. 
2. Priorizar: La empresa debe estipular los activos y controles que mayor nivel 
de mitigación ofrezcan, además que sean efectivos en relación del tiempo, ya 
que al determinar cuáles controles afectan y mitigan más a la organización, 
será más fácil y rápido evitar ciertos ataques o el aprovechamiento de los 
mismos. 
3. Mediciones y métricas: Se debe establecer un lenguaje de parámetros global, 
para que personas del diferente ámbito informático (auditores, TI, ejecutivos) 
entiendan la gravedad de algún asunto y se establezca mitigaciones basadas 
en esta información suministrada por diferentes zonas de la empresa, 
midiendo la efectividad de los controles implementados. 
4. Diagnóstico y mitigación: la empresa debe establecer medidas de prevención 
de riesgos continuas paraevitar un ataque a sus vulnerabilidades, esto se 
realiza mediante la medición de los controles que estipulan una seguridad 
determinada, dando prioridad a los controles que aplique en el momento. 
5. Automatización: se debe establecer un estándar de prevención en las 
defensas para generar valores confiables de estadística, en los cuales se 
puede comprobar una estabilidad o seguimiento a los controles del CIS con 
base también en sus métricas resultantes. 
En el ámbito empresarial, se debe tener en cuenta que la base tecnológica de una 
organización podría generar un valor y consistencia de su modelo de negocio, ya 
que brinda soporte y estabilidad financiera al estilo de negocio estipulado, ayudando 
a casos de éxito en temas financieros. 
2.3.2 Controles 
 
Como anteriormente se mencionó, el CIS cuenta con veinte (20) controles en los 
cuales se subdividen en sub-controles más específicos detallando el tipo de activo, 
función de seguridad, acción del control y la descripción del mismo, los cuales no se 
tratarán debido a su extenso contexto y contenido teórico. Además, los controles se 
categorizan como: 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
26 
Escuela Politécnica Superior de Jaén 
 Básica: del control 1 al 6. Estipulando controles claves que deben ser 
implementados en la organización, siendo esenciales para la ciberseguridad. 
 Primordial: del control 7 al 16, proporcionan beneficios más avanzados de 
seguridad. 
 Organizacional: del control 17 al 20, a diferencia de los anteriores controles 
técnicos, esta fase se enfoca en la parte humana para mitigar la 
ciberseguridad. 
A continuación, en la ilustración 3, se mostrará de forma sencilla todos los controles 
estipulados por el CIS Framework y sus categorías: 
 
Ilustración 3. Controles CIS. Tomada de [12] 
Cabe destacar que cada control cuenta con la fase de procedimiento y 
herramientas, en el cual se definen algunas medidas técnicas generales para hacer 
cumplir o determinar de manera eficaz el control. 
Basados en los controles estipulados en la ilustración 3, se detallará un poco el 
objetivo de cada uno de ellos, estableciendo una idea general de su desarrollo. 
1. Inventario de dispositivos autorizados y no autorizados 
Este control establece una medida para todos los dispositivos tecnológicos de 
hardware en la red, con el cual se debe realizar un inventario seguimiento y 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
27 
Escuela Politécnica Superior de Jaén 
corrección, definiendo sus permisos de acceso, estipulando que los dispositivos 
autorizados tengan el debido acceso y que los no autorizados y no gestionados sean 
detectados rápidamente y la mitigación de escalada de privilegios. Algunos de sus 
subprocesos son: realizar escaneos activos y pasivos (hacking ético) en la red, 
medidas DHCP logging actualizando el inventario de activos en la red, inventario 
manual, gestión de dispositivos no autorizados, controles de acceso y certificados de 
autenticación hardware. Para nuestro primer control se establece el siguiente 
diagrama de procedimiento estipulado en la ilustración 3: 
 
Ilustración 4. Relaciones de entidad de sistemas. Tomada de [12] 
 
En la anterior ilustración se detalla de manera gráfica la implementación de los 
procedimientos estipulados en el control, como ayuda para cumplir dicho proceso. 
En el cual se enfoca en medidas centralizadas de detección de equipos mediante 
una base de datos de inventario hardware. Para los siguientes controles se debe 
revisar la referencia del marco de ciberseguridad CIS estipulado. [12] 
2. Inventario de software, autorizado y no autorizado. 
La organización debe gestionar activamente todo software implementado en la red, 
de tal manera que solo programas informáticos estipulados tengan acceso a su 
debido perfil, y aquellos que no, sea encontrado y gestionado mitigando su 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
28 
Escuela Politécnica Superior de Jaén 
instalación y ejecución. En sus medidas se establece: rastreo de información, 
soporte del fabricante, listas blancas de librerías entre otros. 
3. Gestión continua de vulnerabilidades 
Se debe revisar y tomar medidas frecuentemente sobre información actual para 
estipular vulnerabilidades, disminuyendo la brecha de seguridad por parte de los 
atacantes cibernéticos. En sus medidas establece: escaneo de vulnerabilidades, 
auditoria, parches de sistema, escaneos consecutivos de ciberseguridad y 
calificación de riesgos. 
4. Gestión continua de vulnerabilidades 
Se establecen las herramientas y tareas a utilizar para controlar, perseguir, mitigar y 
corregir el uso y configuración de privilegios administrativos en computadores, redes 
y software. En sus medidas establece: cambio de contraseñas, utilización de scripts 
de seguridad, perfiles de usuario, doble autenticación entre otros. 
5. Configuración segura para hardware y software en dispositivos móviles, 
computadores portátiles, estaciones de trabajo y servidores. 
Se debe establecer y gestionar activamente todas las configuraciones de seguridad 
de los dispositivos móviles, computadores portátiles, servidores y estaciones de 
trabajo, siendo rigurosos en la implementación y control de cambios para evitar que 
se aprovechen brechas de seguridad en los dispositivos o servicios vulnerables. 
Entre sus medidas están: configuraciones seguras, herramientas de gestión, 
monitoreo de configuración y demás. 
6. Mantenimiento, monitoreo y análisis de logs de auditoria 
En esta fase se deben establecer un conjunto de información recolectada en la cual 
se determine auditorias de eventos para prevenir futuros ataques, basándose en: 
logs y registros de actividad, seguridad para dichos logs, revisar frecuentemente los 
registros para determinar actividades sospechosas. 
7. Protección de correo electrónico y navegador web 
Determinar medidas para minimizar la interacción entre atacantes y personas, de tal 
forma que manipule al empleado de la organización con su interacción en 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
29 
Escuela Politécnica Superior de Jaén 
navegadores web y correo electrónico, basándose en: soporte a usuario, limitación 
de uso de correo mediante scripts, filtros de url y servicios de filtración DNS entre 
otros. 
8. Defensa contra malware 
La idea de esta fase es prevenir mediante los métodos estipulados por la 
organización y el marco CIS, controles para evitar la propagación e instalación de 
código malicioso dentro de la red, realizando también actualización automática de 
acciones correctivas, basándose en: software antimalware, firmas actualizadas, 
escaneo, evitar auto ejecuciones de código y registros de actividad mediante 
auditoria de línea de comando. 
9. Limitación y control de puertos de red, protocolos y servicios 
Gestionar el uso activo de puertos, protocolos y servicios de red en los dispositivos 
informáticos, minimizando las brechas de seguridad disponibles, con base en 
procesos como: asociar puertos a los servicios, teniendo un inventario del mismo, 
escanear constantemente la red, filtración en firewall de puertos. 
10. Procedimientos y herramientas 
Cada trimestre o adquisición de un nuevo equipo, se debe realizar pruebas 
aleatorias de copias de seguridad del sistema en la red, generando con anterioridad 
una copia verdadera en dado caso que la ejecución de la misma trastorne la red. 
11. Configuración segura de los equipos de red, firewalls, routers y 
switches. 
Se debe gestionar activamente los firewalls, router y swtiches habilitados en la red, 
determinando un control de los mismos para evitarposibles propagaciones o 
infiltraciones de código malicioso u otro ataque informático. 
12. Defensa de borde 
Gestionar activamente la información que se traspasa entre niveles de red, en el 
conjunto de redes de la organización, para encajar la propagación maliciosa en 
un sector y no infectar masivamente a todos los equipos, para esto se debe: 
mantener un inventario de equipos borde, ACL de IPs conocidas entre redes, 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
30 
Escuela Politécnica Superior de Jaén 
registro de paquetes de red y gestión de sensores IDS (sistema de detección de 
intrusiones). 
13. Protección de datos 
Mediante la utilización de diferentes herramientas se debe gestionar la exfiltración de 
datos, mitigando el efecto del traspaso de información a entes no autorizados, 
asegurando la integridad de los datos. Utilizando medidas como: bloquear tráfico de 
red, monitorear el cifrado y la gestión de medios físicos (USB). 
14. Control de acceso 
Se deben establecer reglas de acceso a la información para personas y equipos 
informáticos, estableciendo controles como: firewalls entre VLANs, cifrado de 
información, proteger datos sensibles, asignación de ACLs, habilitar registro de 
acceso para determinar quién consulta los datos. 
15. Control de acceso inalámbrico 
Se debe establecer medidas para proteger las redes WLAN de la compañía, 
mediante Wifi invitado, log on para el acceso a la red inalámbrica, detección y 
protección de los puntos de acceso AP, utilizar IDEs inalámbricos y limitar mediante 
reglas el acceso a sus servicios en a la red mediante la red no cableada. 
16. Monitoreo y control de cuentas 
Asignar tiempos y controles para las cuentas de usuario de cualquier dispositivo 
informático o software en la red, de esta manera se evita el aprovechamiento de las 
credenciales en el caso de retiro laboral del empleado, esta gestión se debe hacer al 
instante y con la ayuda de sistemas de autenticación, log in centralizado, multi-factor 
y cifrado de las sesiones. [12] 
Controles del 17 al 20 
Se estipulan medidas para el personal de la organización, en los cuales se estipula: 
 Capacitación a los empleados sobre la seguridad informática de gestión en la 
organización. 
 Seguridad del software de aplicación. 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
31 
Escuela Politécnica Superior de Jaén 
 Gestión de incidentes de seguridad. 
 Pruebas de penetración en la red. 
 
2.4 TC CYBER 
 
TC CYBER o según su nombre en inglés “The Technical committe in cyber security”, 
es un comité subdivido del Instituto Europeo de Normas de Telecomunicaciones 
(ETSI), enfocándose en la implementación de un estándar para seguridad 
informática en la Unión Europea, aunque puede ser aplicado por cualquier ámbito 
empresarial en la medida global. Actualmente este departamento de ciber seguridad 
sigue implementando otros estándares para mejorar temas tan relevantes hoy en día 
como orientación a fabricantes de informática, educación sobre seguridad, 
mejoramiento de seguridad de dispositivos mediante diseños, seguridad en software 
y servicios. 
Este departamento encargado de la ciberseguridad, es reconocido como un gran 
aporte de conocimientos y confianza a las soluciones de estandarización que se 
necesitan en el mercado, brindando servicios a usuarios y fabricantes en todo el 
énfasis de la ciberseguridad. En énfasis de TC CYBER es trabajar de la mano con 
fabricantes colaboradores para aumentar la seguridad digital en empresas y 
personas alrededor de todo el mundo. [16] 
Esta sección del ETSI está abarcando temas de desarrollo en base a seguridad 
cibernética como: 
 Seguridad en tecnológicas inalámbricas y móviles (3G,4G, Wifi, RRS…) 
 Sistemas de transporte Marítimo 
 Virtualización de redes 
 Seguridad en algoritmos 
 Indicadores de información de seguridad 
 Internet de las cosas 
Actualmente la ETSI organiza una semana abierta a foros presenciales (ETSI 
Security Week) para mejorar la ciberseguridad de las implantaciones con TC 
CYBER, realizada del 17 al 21 de junio, cada año, en las cuales se tratan temas 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
32 
Escuela Politécnica Superior de Jaén 
como: Análisis de ciberseguridad, Políticas de ciberseguridad, Inteligencia artificial y 
ciberseguridad entre otros. [17] 
2.4.1 Ventajas 
 
Este marco de ciberseguridad también esta enlazado y hace referencia a la solicitud 
de incidentes de riesgos de vulnerabilidades basados en las normas Europeas 
RGPD, en el cual mediante la base legal y de notificación de una agencia nacional 
publica, se estipulan los mismos requisitos que esta, ya que la idea de TC CYBER 
es no duplicar requisitos que ya son solicitados por alguna entidad legal del país 
donde se aplicara el framework, esto permite la optimización de procesos y gestión 
de vulnerabilidades, ya que la empresa estará obligada a regularse por su estancia 
legal ( dependiendo el país) y a su preferencia el marco de ciberseguridad, evitando 
la solicitud duplicada de requisitos.[17] 
Estipula también una serie de métricas de incidentes clasificadas, la cual permite 
medir la eficiencia de los controles asignados en la organización, obteniendo un 
análisis detallado en cuestión del estado de la seguridad informática en la 
organización. 
El framework de la subdivisión del ETSI, se basa en las siguientes claves de 
solución al inconveniente de la ciberseguridad: 
 Privacidad mediante el diseño: se debe establecer desde el diseño del 
software, las medidas de seguridad, controles y riesgos que acarrea el diseño 
del software, de esta manera se garantiza efectividad en el programa 
informático sin afectar mayoritariamente el presupuesto económico. 
Relacionando normas para la protección de datos personales obtenidos en 
primera fase. 
 Intercambio de información: Se deben estipular canales de comunicación en 
dos vías con los medios públicos de ciberseguridad para enlazar procesos y 
evitar vulnerabilidades. Actualmente TC CYBER está preparando una 
estandarización para intercambio de información y amenazas cibernéticas. 
 Estadísticas y métricas: Mediante la generación de información estadística, se 
estipulará bases en los tipos de ataque o vulnerabilidades expuestas 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
33 
Escuela Politécnica Superior de Jaén 
frecuentemente. Todo esto genera un valor de calidad a la organización, 
llevando a cabo indicadores que midan su efectividad en el ámbito de 
ciberseguridad. 
 Protección de la tecnología: En esta fase, TC CYBER establece mejoras para 
el ámbito global de la tecnología, ya que realiza foros de desarrollo con 
fabricantes, teniendo en cuenta la ciberseguridad como pilar de 
implementación. Por lo cual genera estándares actualizados y congruentes 
con las nuevas tecnologías que alguna empresa pueda adquirir. Su base 
parte de ir un paso al lado de la fabricación de nuevos dispositivos con 
nuevos tipos de comunicación o infraestructura tecnológica. [17] 
 
2.4.1 Estándares 
 
Conociendo que el TC CYBER es un departamento dedicado a la ciberseguridad de 
varios temas en énfasis, enmarca varios documentos de estandarización para cada 
tipo de tema, en el cual se basa en la referencia de documentos técnicos TR103, 
mostrando algunos estándares en la tabla 2, expuesta a continuación: 
Estándar  Nombre 
TR 103 421  Defensa de puerta de enlace 
TR103 306  Ecosistema global de ciberseguridad 
TR 103 305‐1  Controles de seguridad critica en cyberdefensa ‐ Controles 
TR 103 305‐2  Controles de seguridad critica en cyberdefensa ‐ Auditoria 
TR 103 305‐3  Controlesde seguridad critica en cyberdefensa ‐ Implementaciones del servicio 
TR 103 305‐4  Controles de seguridad critica en cyberdefensa ‐ Mecanismos de Facilitación 
TR 103 331  Intercambio estructurado de informacion sobre amenazas 
TR 103 304 
Protección de la información de identificación personal (IIP) en servicios móviles y en la 
nube 
 
Tabla 2. Algunos estándares de TC CYBER. Tomado de [16] 
 
Definiendo también los últimos estándares asignados por ETSI y su departamento 
de ciberseguridad [17]: 
 TR 103 456: Implementación de la red y seguridad de la información. En la 
cual se basa la implementación general de los demás marcos descritos. 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
34 
Escuela Politécnica Superior de Jaén 
 TS 103 458, TS 103 532: Criptografía para el control de acceso e información 
personal cifrada. 
 TR 103 570: Intercambios de claves de seguridad Quantum Safe 
De acuerdo con esto, la ETSI estipula junto con el TC CYBER medidas y controles 
como framework de ciberseguridad de manera independiente mediante diferentes 
áreas estipuladas, ya que se puede especificar que lineamiento se desea certificar, 
teniendo en cuenta sus ramas, a continuación, descritas: 
 Ecosistemas de ciberseguridad 
 Protección personal de datos y comunicación 
 Ciberseguridad en infraestructuras criticas 
 Actividades forenses 
 Soporte legal 
 Internet de las cosas (seguridad y privacidad) 
 Ciberseguridad empresarial y personal 
 Herramientas de ciberseguridad 
 Criptografía quántica segura 
Al estipularse un debido estándar, este se hace de manera independiente de las 
demás ramas, por consecuente al revisar las acciones de framework de la TC 
CYBER se encuentran varios documentos referenciando sus medidas y mejoras 
para determinada área a aplicar en una empresa. [17] 
 
2.5 COBIT 
 
El framework de ciberseguridad COBIT 5 (última versión actual), según sus silgas en 
inglés: “Control Objetive for Information and Related Tecnologies”, es un estándar 
basado en la gestión de tecnología, gobernanza y seguridad. Fue estipulado por la 
Asociación y control de sistemas de información ISACA, generando el desarrollo de 
metodologías para las auditorias informáticas, presentando a su vez el marco COBIT 
con acceso a su variada documentación de manera gratuita mediante su página web 
oficial. Además, cuenta con la fase de entrenamiento para el framework, por lo cual 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
35 
Escuela Politécnica Superior de Jaén 
genera la capacitación y culminación de auditores de seguridad para enfocados en 
dicho marco. [18] 
Su función principal, es ayudar a las organizaciones a enfocarse en la seguridad de 
la información teniendo en cuenta procesos estipulados en el marco fusionados con 
el modelo de negocio de cada organización. A razón de esto, sus principios de 
implementación son: 
 Satisfacer las necesidades de la organización, en cuanto ciberseguridad se 
refiere. 
 Enmarcar todos los procesos de la organización basados en tecnología, 
cubrirla de extremo a extremo. 
 Aplicar un marco de referencia único. 
 Enfocar sus detalles en cada punto de un proceso mediante la continua 
implementación, sin perder el objetivo de la organización. 
 Separar el gobierno de la gestión. [18] 
COBIT se divide en dos fases: Gobernanza y Gestión, basando sus objetivos en: 
la primera se garantizaría que las necesidades estipuladas se evalúen para acordar 
objetivos equilibrados en la organización, se prioriza la toma de decisiones y se 
revisa en un proceso “cara a cara” lo implementado contra lo acordado inicialmente, 
en la segunda fase, se estipula, evalúa, dirige y supervisa las actividades que se 
establecen en la gobernanza, en la cual el CEO (director ejecutivo) se encarga de 
comprobar estos procesos. Esto genera un proceso de monitorización 
organizacional para las fusionando las dos fases para alcanzar los objetivos de la 
empresa. 
Para entender un poco más sobre la diferencia de estas dos fases, se estipula en la 
ilustración 4, mostrada a continuación, los procesos en cada fase: 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
36 
Escuela Politécnica Superior de Jaén 
 
Ilustración 5. Gobernanza y Gestión COBIT 5. Tomada de [19] 
 
Denotado anteriormente las dos fases estipulan dos partes diferentes pero conjuntas 
de la norma COBIT, en la cual las dos son aparte, pero se complementan para 
implementar la gestión debida del marco de ciberseguridad, realizando 
evaluaciones, orientaciones y supervisiones basadas en la planificación, 
construcción y ejecución de los procesos relacionados a TI. 
2.5.1 Ventajas 
 
Una de las prioridades de COBIT 5 es su implementación de metas en cascada, 
donde se establecen prioridades y procesos consecuentes lineales para evadir 
cualquier faltante en la implementación del mismo. Algunas de sus otras ventajas 
son: 
 Establece objetivos relevantes en varios niveles de responsabilidad, creando 
compromiso del proceso con el responsable. 
 Asigna prioridades para la mejora y calidad de los procesos del gobierno de 
TI en la organización, teniendo como base las metas corporativas del 
negocio. 
 Permite la evolución de procesos mediante metas corporativas, metas de TI y 
metas de auditoria. 
 Puede ser utilizado para procesos diferentes a TI, siendo enfoque en 
informática, puede afianzarse a procesos de la empresa relacionados con el 
manejo de información estipulándola como activo. 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
37 
Escuela Politécnica Superior de Jaén 
 Se puede implementar y fusionar con otros estándares de información y 
calidad, tales como ISO/IEC 31000, COSO, ISO/IEC 9000, ITIL entre otros. 
 Emplea un módulo de habilitador (factor) llamado: cultura, ética y 
comportamiento, en los cuales se le da importancia al ente humano en la 
organización, definido como un factor de éxito latente en el marco de 
ciberseguridad. 
 Su objetivo principal es cumplir las metas establecidas en la organización, sin 
importar el camino que se estipule para ello, esto quiere decir que su 
implementación es personalizada cubriendo los alcances de gobierno y 
gestión [18]. 
 
2.5.2 Implementación 
 
Se desarrolla la implementación de COBIT 5 teniendo en cuenta los aspectos 
anteriormente mencionados de manera global, en los cuales enmarca funciones, 
procesos y complementos TI de la organización para su implementación y 
adecuación según el marco de ciberseguridad. Se gestiono este marco para ayudar 
a las organizaciones a establecer un estándar de buena gestión. Todo esto va 
apoyado de retos tanto humanos, tecnológicos y de procesos que se deben superar 
para aplicar el marco de seguridad, mediante el cual ISACA ha creado una guía de 
implementación y ayuda gratuita para ayudar a las empresas a su implementación 
[20]. Esto genera un índice de labor, colaborando con las empresas para inicializar el 
proceso de implementación. En la ilustración 5, se muestra el proceso cíclico de 
implementación de la norma COBIT 5 para un caso global: 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
38 
Escuela Politécnica Superior de Jaén 
 
Ilustración 6. Implementación COBIT 5. Tomada de [20] 
 
En la anterior ilustración se detalla el enfoque cíclico que contiene la implementación 
del COBIT 5, asignado por la guía que la misma norma proporciona [20]. 
Estableciendo de manera detallada las fases por las cuales la implementación de la 
norma debe pasar en la organización y la solución de la actividad global a desarrollaren cada parte de su adaptación. Como se muestra en la Ilustración 5, instaura tres 
fases en cada parte de su desarrollo, la gestión del programa, la cual refiere la 
tarea global a implementar en esta fase, la habilitación del cambio: establece una 
actividad de mejora en cada suceso del proceso que conlleve a desarrollar el 
objetivo de la fase y por último, el ciclo de vida: la cual se define para auditar cada 
fase correspondiente a su implementación. Todas estas y cada una de las fases 
generan procesos adicionales y de cambio continuo, los cuales la empresa debe 
gestionar y realizar para la implementación del framework, la ejecución de cada fase 
puede ser demorada en algunos casos, ya que requerirá cambios inesperados 
conllevados por otro proceso, siendo siempre el objetivo de dar solución a cada fase 
de desarrollo COBIT 5. [20] 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
39 
Escuela Politécnica Superior de Jaén 
2.6 HITRUST CSF 
 
La empresa privada “Health Information Trusth Alliance HITRUST” originaria de los 
Estados Unidos de America EEUU, estableció y desarrollo el marco de 
ciberseguridad llamado: Marco común de seguridad, o como lo establece sus siglas 
en inglés : Common Security Framework (CSF), establecido para las organizaciones 
de la salud enfocado en procesos de tecnología, enfocándose en que estas 
organizaciones cumplan con los requisitos de gestión de la información en lo que a 
informática corresponde brindando una seguridad estable al activo. Su aplicabilidad 
es detalladamente al ámbito de la salud, aunque puede ser implementado por 
empresas de diferente sector, teniendo una aplicación global sin importar el modelo 
de negocio. El enfoque de estandarización de esta norma, utiliza y se basa en otros 
framework de seguridad, en los cuales influye los anteriormente vistos en este 
documento: COBIT, NIST, PCI, ISO y algunos otros de gran importancia como lo 
son: HITECH (Tecnología de información de saludo para la salud clínica y 
económica), Comisión Federal de comercio FTC y asemeje también al cumplimiento 
de la norma local de Estados unidos como lo es: La Ley de Portabilidad y 
Responsabilidad de seguros de la salud HIPAA y leyes estales. 
La implementación del CSF se basa y se personaliza dependiendo el tamaño de la 
organización, siendo equivalente a: mayor es la organización, mayores controles se 
deben implementar. Además, se basa en el riesgo de la información de la empresa, 
para establecer sus controles y procesos teniendo clara la estabilidad de la 
seguridad en cada fase a implementar y evaluando la implementación de la misma. 
El objetivo básico para cumplimentar todos los procesos estipulados con CSF, es la 
disponibilidad de que genera el marco de seguridad en su claridad y efectividad de la 
norma, utilizando e implementando los otros frameworks a su vez de forma continua, 
este framework CSF se basó en los requisitos que inicialmente especificaba los 
anteriores marcos mencionados, de tal forma que mejoro sus requisitos de 
seguridad para establecer los requerimientos que realmente debe cumplir y evaluar 
la empresa que optimice sus procesos de la tecnología de información con este 
marco CSF [16]. 
 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
40 
Escuela Politécnica Superior de Jaén 
2.6.1 Ventajas 
 
Dentro de su implementación en la organización, el marco de ciberseguridad CSF 
incluye tres grandes ventajas: 
 Reducción de costos: La implementación del marco garantiza la efectividad 
de la gestión de cumplimiento de procesos objetivos referentes a la norma, 
persiguiendo siempre soluciones efectivas de seguridad de la información, en 
el cual el marco brinda a su vez procesos de evaluación aplicando mejoras 
continuas y constantes, por tal caso esta adecuación de procesos conlleva a 
reducir costos ineficientes o innecesarios para las empresas en su 
implementación. 
 Gestión de riesgo: Las empresas gestionaran sus riesgos de manera más 
eficiente y mitigando a su vez los mismos para generar procesos de la 
información más seguros, mediante políticas de seguridad de la información 
establecidas en marcos de ciberseguridad en los que se basa CSF. 
 Cumplimiento: Mediante la implementación a su vez de otros marcos o 
normas internacionales, la organización se suple de obtener evaluaciones 
positivas correspondientes a la seguridad de la información, ayudados en las 
normas legales de Estados unidos [21]. 
Además, obtener una certificación HISTRUST CSF establece otra ventaja, tales 
como: 
 Competitividad: al obtener la certificación como empresa en el marco CSF, 
se estipulan beneficios de negocio para la organización, ya que obtener este 
sello de calidad en la seguridad de la información, puede afianzar contactos 
económicos sostenibles para la modalidad de negocio de la empresa. Por 
consecuente en elección de proveedores, las empresas revisan y dan 
prioridad a la obtención de esta certificación. 
 Reducción de tiempo: al implementar este marco, estando basado en 
múltiples marcos de seguridad, se establece requisitos conjuntos para dar 
respuesta a los riesgos y demás factores negativos de seguridad, por 
consiguiente, se logra ahorrar tiempo en auditorias, ya que se mezcla una 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
41 
Escuela Politécnica Superior de Jaén 
relación de muchos requisitos, en los cuales el proceso de implementación 
puede ser mayor, pero es más eficaz al momento de evaluar. 
 Mejora en seguridad: La implementación del marco de seguridad CSF es 
más exhaustiva, en el cual el proceso de inicialización para medir riesgos y 
demás factores, es más complejo, abarcando detalles como registro de 
eventos, retención de datos entre otros. Establece un ámbito se escaneado 
inicial más amplio detallada, pero al final se verá reflejado en seguridad y 
efectividad todos los procesos [21]. 
 
2.6.2 Controles 
 
El marco de seguridad CSF establece catorce (14) controles en los cuales establece 
cuarenta y nueve (49) objetivos de control. Establece los siguientes controles: 
0.Information Security Management Program - Programa de Gestión de la Seguridad 
de la Información 
1. Access Control – control de acceso 
2. Human Resources Security – Seguridad de los recursos humanos 
3. Risk Management – Gestión de los riesgos 
4. Security Policy – Política de seguridad 
5. Organization of Information Security – Organización de la seguridad de la 
información 
6. Compliance - cumplimiento 
7. Asset Management - Gestión de activos 
8. Physical and Environmental Security -Seguridad física y ambiental 
9. Communications and Operations Management – Gestión de comunicaciones y 
operaciones 
10. Information Systems Acquisition, Development and Maintenance – Adquisición, 
desarrollo y mantenimiento de sistemas de información 
Álvaro José Gómez Suarez Diseño de un programa de ciberseguridad de 
una empresa basado en el marco de trabajo del NIST 
42 
Escuela Politécnica Superior de Jaén 
11. Information Security Incident Management – Gestión de incidentes de seguridad 
de la información 
12. Business Continuity Management – gestión de la continuidad del negocio 
13. Privacy Practices – prácticas de privacidad 
El énfasis del control cero (0) se realiza para obtener un estimado de la organización 
y sus riesgos en seguridad de la información. Por medio se puede obtener 
identificación de objetivos y metas para lograr la aplicación del estándar CSF. 
Cada control tiene a su vez estos parámetros: 
 Especificación del control: se refiere a las políticas o directrices tanto 
administrativas como técnicas para llegar al objetivo de control. 
 Riesgo: listado de detalles organizacionales y regulatorios

Más contenidos de este tema