página
Roles y responsabilidades del Directorio ante el ciber-riesgo
página
¿Por qué el usuario y la cultura son claves para la ciberseguridad?
página
¿ ué nos trae el Nuevo Reglamento?
página
Evolución de la protección de las infraestructuras críticas en el Perú.
05 09 13
N°8 - MARZO 2021
19
Nuevo REGLAMENTO PERUANO
para la Gestión de la Seguridad de la Información y la Ciberseguridad
EDITORIAL Ernesto Landa
FUNDADOR DE CISOBEAT No quiero empezar sin antes agradecer a todos los lectores de la revista por la tremenda acogida que está teniendo. Este es un esfuerzo que realizamos para generar contenido que pueda contribuir a la madurez de la seguridad de la información y ciberseguridad en el Perú. SI bien somos una comunidad peruana, el conocimiento ene que compar rse. Por ese mo vo también agradecemos a todos los lectores de la revista que radican fuera del Perú. En esta edición con nuamos analizando el impacto que la pandemia ha tenido sobre la ges ón de riesgos de seguridad de la información, ciberseguridad y con nuidad de negocio en las organizaciones y el estado peruano. Hoy en día se han iden ficado nuevas amenazas derivadas de la pandemia que debemos mi gar y contemplar. Reestructurar nuestros planes en base a los nuevos conocimientos adquiridos es fundamental sobre todo cuando hablamos de la protección de las infraestructuras crí cas del país. Mas allá del componente tecnológico, la ciberseguridad es un habilitador para los negocios y un respiro para los ciudadanos que debemos seguir aislamientos sociales o “cuarentenas” obligadas por el gobierno. Si la tecnología no estuviera disponible en estos momentos miles de estudiantes no podrían con nuar sus estudios, los trabajadores de negocios presenciales tendrían menos alterna vas para mantener sus negocios a flote o reinventarse, y ejemplos como estos hay cientos en dis ntos sectores y ámbitos de la sociedad. Es por ello por lo que construir una cultura nacional de ciberseguridad es fundamental. Esta cultura debe ir acompañada de é ca y moral. Se debe promover el uso responsable de la tecnología como un pilar de todo programa de concienciación. Existen muchos casos de ciberacoso, cyberbullying y otros problemas sociales que vulneran la privacidad e integridad de sus víc mas. Este es un po de violencia que se ha incrementado en estos empos de pandemia.
Lectores de CISObeat Magazine alrededor del mundo.
Fuente: issue.com
En conclusión, la ciberseguridad es transversal a todo ámbito de la sociedad, impactando en varios aspectos del ser humano. Debemos entender que no es más una necesidad, se ha conver do en una urgencia que debe ser considerada por todos nosotros. Es por ello que en CISObeat aportamos un granito de arena en promover la ciberseguridad a través de nuestras inicia vas. Una vez más, gracias por su preferencia y mo varnos a con nuar generando contenido.
Es una publicación de CISObeat, organización que integra a más de mil profesionales de la seguridad de la información, de los sectores público y privado.
Director: Ernesto Landa Romero. Diseño gráfico: Marco Antonio Zeballos. Coordinadores: Alfredo Alva, Gianncarlo Gómez Morales, Rafael Bocanegra, Heber Maza. Colaboradores: Elaine Ford, Juan Dávila, Erick Iriarte, Shirley Villacorta.
pg.03 - MARZO 2021
La desinformación en elecciones y pandemia.
Soluciones y herramientas digitales para mitigarla Elaine Ford
Directora fundadora de D&D Internacional - Democracia Digital. Presidente de Internet Society (ISOC) - Perú Autora del libro “El reto de la democracia digital. Hacia una ciudadanía interconectada” (2019)
L
a desinformación es tremendamente dañina. Lo es doblemente dañina si sucede en medio de elecciones. Y le añadiría un nivel más de nocividad si consideramos que estamos en pandemia. Pero, adicionalmente, recuerden que la desinformación no llega sola. Esta trae consigo una serie de prác cas, que ya suelen ser recurrentes en el escenario online. Como lo es el uso de trolls, bots, cuentas falsas; la viralización de no cias falsas o fake news; prác cas como los filtros burbujas o la tribalización y, además, la hiperpolarización que convierte a la esfera online en un campo de batalla. Todo esto afecta la construcción de ciudadanía y ni que decir a la democracia.
Pero, lo que es peor aún, es que ante un proceso electoral de gran envergadura, la desinformación logrará manipular a la población para favorecer a un determinado candidato. Recientemente hicimos un Foro en el marco de nuestro Ciclo Electoral Democracia Digital y ahí presentamos un interesante documental brasileño, “La verdad de la men ra”, que muestra la maquinaria de desinformación construida durante las elecciones en Brasil en el 2018 a favor del candidato Jair Bolsonaro. Es realmente sorprendente entender cómo funciona esta maquinaria que intoxica los
pg.04 - MARZO 2021 espacios online con fake news y cuentas con perfiles falsos, los cuales se insertan en comunidades reales que gozan de ideas o posiciones ya definidas y, así logran el propósito establecido. Claro está que no es fácil determinar quiénes están detrás de la desinformación, pero sí quienes colaboran en la propagación de ese contenido. En el proceso electoral actual en el Perú lo estamos viendo y cada vez con mayor intensidad. En el mencionado documental también se hace referencia a los ma ces de la desinformación. Una periodista ahí describe los niveles u lizados cuando analizan y verifican la información. Estos son: verdadero, falso, impreciso, insostenible, exagerado, contradictorio y distorsionado. No todo es blanco o negro, por tanto, es de especial relevancia poder discernir estas caracterís cas para darnos cuenta que, detrás de las su les diferencias, también hay un obje vo que alimenta el ánimo de desinformar. Pero, ojo, que la desinformación no siempre lleva impreso una mala intención. En estos empos de elecciones y pandemia, hemos visto dis ntos casos, que podrían clasificarse en tres grandes categorías: la primera es cuando efec vamente hay dolo y un ánimo de hacer daño. Ante esto recordemos que las no cias falsas obedecen a intereses polí cos o comerciales. La segunda categoría es cuando las falsedades circulan por error. Nunca falta el despistado que, sin revisar el contenido, lo comparte sin mayor malicia. También lo hemos visto en algunos casos con la poca rigurosidad del periodismo para confirmar hechos. Y una tercera categoría está relacionada a las emociones, es decir, cuando una no cia es difundida por un familiar o alguien con quien compar mos creencias, como la Fe cris ana. En estos casos raramente se refutará la veracidad del contenido. Lo cierto es que en todos los casos, la desinformación ene un efecto adverso en la sociedad y los individuos. En un segundo Foro que realizamos en el marco de nuestro Ciclo Electoral Democracia Digital, se analizó con más detalle los esfuerzos
desplegados por las dis ntas big tech, entre ellas Facebook, Twi er y Google, a fin de evitar la desinformación en este contexto de elecciones y pandemia. Facebook mostró como ante un post falso, éste puede ser degradado a través de su penalización en el algoritmo de la red social, lo cual impide su circulación y su mayor alcance. Previamente, realizan una verificación del contenido con los medios locales. De esta manera se evita la censura. También han desarrollado una biblioteca de anuncios polí cos, que son guardados por un periodo de siete años y permite saber quien paga dichos anuncios. Twi er hizo referencia a un aplica vo de Q&A (preguntas y respuestas) que pueden u lizar los polí cos a fin de tener mayor interacción con la ciudadanía y poder compar r información de primera mano, fidedigna, sobre sus propuestas de gobierno. Google mostró su gran capacidad de desarrollar soluciones para estos escenarios adversos. Han creado Fact Check Explorer, un buscador que almacena los hechos falsos o imprecisos más viralizados y explica su situación real. Google también ha diseñado inicia vas para proteger de falsedades que no solo desinforman, sino que roban datos y vulneran la seguridad y; han creado un Project Shield (escudo) para evitar que los medios sean hackeados. Cabe mencionar también a DigiMente un proyecto dirigido a niños y jóvenes que les ayuda a dis nguir si una información es verdadera o falsa. Rodrigo Salazar Zimmermann, director ejecu vo del Consejo de la Prensa Peruana (CPP), sostuvo en el Foro que el fact-checking que realizan los medios no va a eliminar las no cias falsas, porque desinformar es barato e inmediato, mientras que la verificación de hechos desde la prensa implica empo, recursos, un método de trabajo que va a una velocidad muy dispar. Lo dice sobre la base a su experiencia en Perú Check, plataforma creada por el CPP para verificar no cias falsas. ¤
pg.05 - MARZO 2021
Roles y responsabilidades del Directorio ante el ciber-riesgo
Juan Dávila
MBA, CISA, CISM, CRISC, ISO 27001 LI&LA, ISO 27032 LCM, ISO 22301 LA, ISO 37001 LA, COBIT 5 F&I&A
E
l Foro Económico Mundial (WEF) acaba de publicar el documento “Principios de ciber-riesgo para las en dades de gobierno”¹, WEF, Marzo-2021, en el que se resalta la necesidad de una comprensión y consideración de los riesgos en ciberseguridad para la toma de decisiones estratégicas. El contexto de migración acelerada de las operaciones al ciberespacio, el panorama cambiante de ciber-amenazas y las nuevas exigencias regulatorias, garan zan que la ciberseguridad seguirá siendo una prioridad para los líderes empresariales en los siguientes años. Al respecto, el reporte plantea seis principios a fin de lograr un gobierno efec vo del ciber-riesgo para las en dades direc vas de las organizaciones:
La ciberseguridad es un habilitador estratégico del negocio. Más allá del componente tecnológico evidente, es conveniente fortalecer la cultura de la ciberseguridad y analizar las inicia vas de transformación digital con enfoque de ciberseguridad, tanto para asegurar las operaciones, u lizarlas como un diferenciador de mercado, como para fortalecer las implicancias estratégicas. La toma de decisiones corpora va necesita comprender el análisis económico del ciberriesgo. La determinación de la materialidad del ciber-riesgo requiere dimensionar el impacto económico, financiero, reputacional y otras consecuencias asociadas, que deben ayudar a mejorar la toma de decisiones.
pg.06 - MARZO 2021 Los directorios deben comprender y evaluar cómo ges onar los ciber-riesgos de forma efec va, en línea con el logro de los obje vos del negocio. El diseño de la estructura organizacional debe integrar y apoyar el logro de los obje vos estratégicos y de ciberseguridad. Es necesario incorporar el conocimiento y la experiencia en ciberseguridad en las en dades de dirección de la organización, lo que fortalecerá el proceso de toma de decisiones en el contexto vigente. Fomentar la resiliencia sistémica y la colaboración. Hemos aprendido que la mejor respuesta al ciber-riesgo provendrá de un
esquema colabora vo con grupos de interés afines. Por tanto, una estrategia efec va del ciber-riesgo pasa por el fortalecimiento de la ciber-resiliencia de la industria y los sectores cercanos y altamente interconectados. Sin duda alguna, este paquete de principios resaltado por el Foro Económico Mundial, refuerza la relevancia de la ges ón de los riesgos asociados a la ciberseguridad como una base efec va del gobierno de los ciber-riesgos que fortalece la toma de decisiones estratégica, incorporando el aporte de los expertos para asegurar el logro de los obje vos organizacionales. ¤ ¹h p://www3.weforum.org/docs/WEF_Cyber_Risk_Corporate_G overnance_2021.pdf
La toma de decisiones corporativa necesita comprender el análisis económico del ciber-riesgo
pg.07 - MARZO 2021
5 Lecciones Aprendidas
que debes incorporar en la estrategia de Gestión de Continuidad de Negocios
Shirley Villacorta
Ing. de Sistemas, Magister en Auditoria, CISA, COBIT5F, ISO 27032 LCM, ISO 27001 LA, LCSCP, OKRCP.
E
l 15 de marzo de 2021 se cumplió un año del anuncio de la declaratoria de pandemia en el Perú. Un domingo que marcó el inicio de una con nua ola de cambios que aun seguimos viviendo y que ha transformado nuestro contexto y visión en todos los frentes que hasta ese momento eran conocidos (social, económico, empresarial, profesional y personal). Centrándonos en el ámbito empresarial, era la primera vez que la pandemia se volvió una amenaza de carácter global que afectaba la con nuidad de las operaciones y con una caracterís ca que retó todo modelo conocido: no se contaba con información suficiente de cuándo íbamos a volver a la “normalidad”. Transcurrido un año, es un consenso que no hay punto de retorno, que debemos contar estrategias para prevenir las interrupciones de
la cadena de suministro, que se debe monitorear en vivo los cambios en la demanda de los clientes y los riesgos para la salud de la fuerza laboral. En este sen do, debemos asegurar que se han construido las capacidades adecuadas en nuestras organizaciones para responder a las amenazas derivadas de la pandemia. Para lograrlo, será clave validar que las siguientes cinco lecciones aprendidas están presentes en nuestra perspec va de desarrollo de los planes de con nuidad del negocio y resiliencia, a fin de asegurar que se ha dado el Extreme Makeover que demanda el contexto actual del COVID 19 a los líderes de Ges ón de la Con nuidad del Negocio:
pg.08 - MARZO 2021
01
1. La duración de los Arcos de Crisis exige adaptabilidad y las personas son la prioridad Mientras las estrategias de salud se esclarecen en nuestro país, los arcos de crisis tenderán a tener mayor durabilidad y se harán presentes de manera más temprana. Las amenazas asociadas a la fuerza laboral y las relacionadas al ámbito de ciberseguridad demandan que los responsables de la ges ón de crisis incorporen nuevos skills. Además de los cursos de entrenamiento y cer ficaciones del Disaster Recovery Ins tute Interna onal, existen programas de entrenamiento como el diseñado p o r H a r va r d p a ra i n c o r p o ra r n u e v o s conocimientos para la ges ón de crisis, como parte del programa “Na onal Preparedness Leadership Ini a ve” ¹
02
2. La detección temprana de eventos refuerza la construcción de capacidades de resiliencia La detección temprana de eventos ya no es algo opcional y debe convivir con las estrategias reac vas. Incorporar medidas de proac vidad es mandatorio ya que, de no tener visibilidad de los eventos, dichos se pueden conver r en incidentes que se traducirán en el éxito o fracaso de la sostenibilidad de las empresas. En este sen do, las determinaciones de acciones y las implicaciones de los eventos deben ir acompañados de monitoreos que permitan los ajustes en alta escala que se deben hacer mientas las olas de COVID se van presentando.
03
3. Lograr el balance correcto entre el liderazgo global y corpora vo será clave en las estrategias de comunicación. Los aspectos culturales y los flujos de comunicación marcarán la capacidad de adaptación del personal y los recursos frente a los nuevos planes de Comunicación de Crisis. Sobre todo, en empresas con esquemas corpora vos y filiales locales. La revisión de las capacidades de ges ón de incidentes para ejecutar el plan de manera adecuada debe estar en el checklist de este primer trimestre.
04
4. Los planes de prueba deben ser restructurados con el nuevo conocimiento adquirido con los eventos o incidentes
suscitados durante el primer año de pandemia El obje vo de restructuración de los planes de prueba apunta a que estos se vuelvan ágiles y eficientes, en un entorno donde la rápida reacción es esencial. Para lo cual se deben incorporar nuevos skills para actuar bajo un contexto de presión.
05
5. Diseñar planes de entrenamiento empresarial donde se refuercen los beneficios de la Ges ón del Con nuidad del Negocio con espacios de entrenamiento cortos y efec vos frente a las nuevas estrategias de negocio. Es indudable el valor que aporta la ges ón de con nuidad frente a los obje vos estratégicos. No obstante, los beneficios también se reflejan en los procesos y los resultados están directamente relacionados con las estrategias de op mización de costos que están siguiendo las empresas. Por ejemplo, los procesos que han pasado por el análisis de los planes de con nuidad mejoran su capacidad y se tornan más efec vos, hay un control proac vo de los riesgos de manera eficaz y eficiente que los afectan, y se pueden abordar a empo las potenciales debilidades opera vas. Las cinco lecciones aprendidas propuestas enen como obje vo que contemos con un mejor plan para la con nuidad del negocio y de resiliencia opera va, recordando la naturaleza de mejora con nua que aplica inclusive a los programas más maduros de con nuidad, sobre todo en el presente entorno de riesgo que nos trae la pandemia con propuestas tan cambiantes. ¤
...contemos con un mejor plan para la continuidad del negocio...
¹h ps://npli.sph.harvard.edu/
pg.09 - MARZO 2021
¿Por qué el usuario y la cultura son claves para la ciberseguridad?
L
as detecciones de ataques de ingeniería social en La noamérica se duplicaron en 2020, con Perú a la cabeza de las cifras. La concien zación de los usuarios en ciberseguridad y la creación de una cultura segura son entonces la clave para afrontar estas amenazas.
El usuario, el blanco preferido de los ciberataques Ya no asombra hablar de la nueva normalidad. Sabemos que la aparición del coronavirus en el mundo y la consecuente declaración de pandemia significó la migración al trabajo remoto para millones de personas y la transformación digital de empresas, tareas y procesos. Nuevos escenarios se abrieron para los ciberdelincuentes. Proliferaron ataques de ingeniería social, y el tema del COVID-19 destaca como el principal asunto para engañar a los usuarios.
Según estudios recientes del Laboratorio de Inves gación de ESET La noamérica, una de las par cularidades del 2020 fue el nivel constante de detecciones de ciberataques dirigidos a los usuarios y el crecimiento sostenido durante gran parte del año. La mayoría de los engaños de ingeniería social intentaron aprovecharse del temor por el virus. Varias campañas distribuidas a través del correo o WhatsApp pretendían hacer creer a las potenciales víc mas que gobiernos y empresas ofrecían ayudas económicas o que algunas marcas entregaban regalos. Si bien algunas campañas parecían más “inofensivas” por solo desplegar publicidad, otras en cambio buscaban robar información personal o laboral, o incluso afectar los disposi vos con código malicioso. En cuanto algunos gobiernos comenzaron sus planes de vacunación, varias campañas de phishing viraron sus contenidos ofreciendo la posibilidad de “comprar” dosis de manera an cipada.
pg.10 - MARZO 2021 Observando en detalle el comportamiento de las detecciones de ciberataques en la región de América La na, Perú fue el país que registró el mayor porcentaje, con poco más del 31%, seguido por Brasil con más del 18 % y México con casi el 17 % de las detecciones.
organización, quedaron vacías. Y en la mayoría de los casos, no se alcanzó a capacitar a las personas acerca de las buenas prác cas de seguridad ni se llegó a brindar la infraestructura necesaria para trabajar de manera segura desde los hogares.
Este fenómeno no ocurrió solo en nuestra región. Por mirar un poco más arriba en el mapa, la edición 2020 del informe Internet Crime Report (ICR) que realizó el Buró Federal de Inves gaciones (FBI, por sus siglas en inglés) de los Estados Unidos registró el récord de 791,790 denuncias por delitos ciberné cos durante el año pasado, que significaron pérdidas por más de 4,200 millones de dólares. En contraste con el número de denuncias presentadas en 2019, las víc mas de diversos pos de delitos ciberné cos aumentaron un 69%.
Desde el hogar, recibiendo constantes ataques, un usuario puede abrir un archivo malicioso e infectarse con ransomware “Si luego accede a la red corpora va conectándose al servicio VPN de la empresa, el atacante tendrá acceso a la red y podrá moverse lateralmente para recolectar información y buscar otras credenciales de acceso que le den permiso de administrador para distribuir el ransomware dentro de la red”, explican expertos en la materia.
Al mismo empo, el ransomware fue una de las amenazas más ac vas y efec vas durante 2020. Esto puede explicarse por al menos dos razones: el incremento del teletrabajo y la evolución del ransomware. La aceleración de la transformación digital provocó que las ada por la pandemia obligó a millones de personas a trabajar desde casa. Las oficinas, que están preparadas con los mecanismos de seguridad necesarios para proteger el perímetro de una
los ataques de ingeniería social siguen siendo una amenaza muy vigente ...
Como podemos notar, los ataques de ingeniería social siguen siendo una amenaza muy vigente que afecta tanto al público en general como a usuarios corpora vos. Los ciberdelincuentes u lizan estas técnicas para el robo de información personal y financiera, y también como estrategia para delitos más sofis cados dirigidos a en dades gubernamentales o empresas. Cabe pensar que la vigencia reside en la falta de capacitación y concien zación de los usuarios que, en muchos casos, aún desconocen qué es el phishing.
pg.11 - MARZO 2021
Hacia una estrategia de ciberseguridad basada en el usuario Según un estudio realizado por el área de Cyber Risk Culture (CRC) de PwC España, alrededor del 95% de los ciberataques que sufren las empresas enen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas. Si las organizaciones dedican empo y recursos a capacitar a sus usuarios, estos tendrán más herramientas y estarán mejor preparados para lidiar con las dis ntas amenazas y riesgos en Internet.
Informa on Security Officer de Banco Galicia, elegido uno de los mejores responsables de Ciberseguridad del mundo por la comunidad de negocios Ho opics.ht y la empresa Forcepoint, explica que son cues ones prác cas del día a día. Bloquear la PC al levantarse del escritorio, no dejar papeles con información confidencial expuestos, usar contraseñas complejas, analizar el correo electrónico antes de dar clic en un enlace o archivo adjunto son las acciones que marcan la diferencia. “Lentos con el clic, rápidos con la mente”, resume.
La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Informa on Security», ENISA), define la cultura de la seguridad de las organizaciones como el conjunto de conocimientos, hábitos, percepciones, ac tudes, normas y valores de las personas en relación con la seguridad ciberné ca y la forma en que se manifiestan en su comportamiento con las tecnologías de la información.
Por su parte, Mónica Valle, periodista especializada en ciberseguridad y directora de Bit Life Media, argumenta que la formación de los usuarios es fundamental para la generación de hábitos seguros. “Se suele decir que los usuarios son el eslabón más débil, pero a mí me gusta decir que los usuarios somos la úl ma barrera de ciberseguridad”. “Si estamos bien formados y concienciados sobre los pos de riesgos que existen y cómo funcionan, no haremos clic en el enlace ni descargaremos so ware malicioso o el archivo adjunto que nos ha llegado al correo. Esta barrera -junto con otras soluciones- evitará que la empresa sea atacada”, concluye la periodista.
Entonces, la cultura se refiere al nivel de conciencia del usuario sobre las acciones que puede hacer o no, y cómo estar protegido ante cualquier amenaza. Pedro Adamović, Chief
pg.12 - MARZO 2021
Cómo construir una cultura cibersegura Acciones de capacitación aisladas no son suficientes para lograr hábitos seguros. Para desarrollar una cultura de ciberseguridad es necesario: Generar un plan de formación y transformación cultural, con obje vos específicos en el empo. Hacer seguimientos de las acciones y sus resultados, proporcionando indicadores que permitan medir el impacto y la evolución. A la hora de pensar una estrategia de concienzación es recomendable planificar campañas temá cas por períodos entre seis meses a un año. Tal extensión permite organizar de manera clara en el empo los dis ntos pos de contenidos que se desean asignar a los usuarios finales, favoreciendo que encuentren en ellos un valor agregado y no una moles a o pérdida de empo.
cumplimiento a exigencias norma vas. SMARTFENSE fue diseñada para generar cambio de comportamiento de las personas de Iberoamérica, enfocada en su forma de actuar, razonar y reaccionar. Si bien otras soluciones globales enen traducciones de su contenido en múl ples idiomas, la forma de expresión sigue orientada hacia un público anglosajón, con una forma de pensar y actuar diferente. Con la certeza de su diferencial, SMARTFENSE par cipó del Programa de Aceleración Cybersecurity Ventures de INCIBE y en febrero de 2018 fue proclamado ganador, obteniendo el primer lugar del certamen. SMARTFENSE apuesta a la concien zación de los usuarios como uno de los factores más importantes para comba r el cibercrimen y crear una cultura cibersegura: la persona consciente no abrirá puertas a los ciberdelincuentes, sino que mantendrá segura la información sensible, coadyuvando a la con nuidad del negocio. ¤
Cabe destacar que las organizaciones no deben pensar todo esto solas, ya que las plataformas de concien zación en seguridad de la información ofrecen contenidos, herramientas y reportes que facilitan las tareas y generan indicadores de forma automá ca. Pero aún más simple y efec vo para el responsable de ciberseguridad es apoyarse en partners integradores, delegando los aspectos opera vos y tác cos de la transformación cultural en manos de especialistas.
Acerca de SMARTFENSE SMARTFENSE es la plataforma SaaS de capacitación y concien zación en seguridad de la información que genera cambios de comportamiento y logra hábitos seguros en los usuarios finales, la úl ma capa de protección frente a la información sensible del negocio. La solución nació en 2016 para dar respuesta a las necesidades de los Responsables de Seguridad de la Información de enfrentar los ataques de phishing y ransomware, y dar
www.smar ense.com
pg.13 - MARZO 2021
¿Qué nos trae el nuevo Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad de la SBS? Gianncarlo Gómez
Head of Cybersecurity Audit en BanBif, LA27001, ISO 27032, ISO 31000, ISO 22301,LPDP,CSX
El pasado 23 de febrero, mediante Resolución SBS Nº 504-2021¹ publicada en el Diario el Peruano, la Superintendencia de Banca, Seguros y AFP (SBS) aprobó el nuevo Reglamento para la Ges ón de la Seguridad de la Información y la Ciberseguridad. Pero, ¿Qué de nuevo nos trae este nuevo reglamento y cuales serán las nuevas obligaciones para las en dades financieras?
Plazos, vigencia y plan de adcuación 1 Dicha Resolución también modifica el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico
Alfredo Alva
Coordinador CISObeat Vicepresidente CSA Perú Chapter
pg.14 - MARZO 2021 El Reglamento indica que, en un plazo que de sesenta (60) días calendario contados a par r del día siguiente de la publicación de la resolución, las empresas deben presentar a la Superintendencia un plan de adecuación al Reglamento para la Ges ón de la Seguridad de la Información y la Ciberseguridad. Dicho plan deberá estar aprobado por el directorio y contener lo siguiente: Un diagnós co preliminar de la situación en la en dad; Ÿ Un plan de adecuación para la adecuación al Reglamento; Ÿ Nombres y datos de los funcionarios responsables del cumplimiento de dicho plan; y, Ÿ Un cronograma de adecuación. Ÿ
En caso las en dades cuenten con un servicio significa vo de procesamiento de datos provisto por terceros desde el exterior, cuyo marco legal aplicable impida o limite el cumplimiento de las medidas definidas en el reglamento (párrafo 24.2), estas en dades deberán presentar un informe a la superintendencia indicando las limitaciones que se presenta dicho servicio, con el sustento legal debido y los controles compensatorios necesarios.
Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C) El nuevo Reglamento define un Sistema de Ges ón de Seguridad de la Información y Ciberseguridad (SGSI-C) como el conjunto de polí cas, procesos, procedimientos, roles y responsabilidades; diseñados para iden ficar y proteger los ac vos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad. Asimismo define los obje vos del SGSI-C en la triada de Confidencialidad, Disponibilidad e Integridad.
Proporcionalidad
El Reglamento señala que, los niveles y controles de ciberseguridad que se implementen en las en dades deberán ser proporcionales al tamaño, la complejidad y la naturaleza de la en dad. Asimismo el reglamento define la siguiente categorización de Regímenes:
pg.15 - MARZO 2021
Roles y Responsabilidades
El Reglamento indica la obligatoriedad de definir un alcance para el SGSI-C, dicho alcance debe abarcar las funciones, servicios, unidades, ubicaciones sicas, la infraestructura, que estén bajo responsabilidad de la en dad.
Medidas mínimas de seguridad de la información a adoptar por las empresas El reglamento señala que se deben implementar controles de seguridad acorde a las necesidades de la en dad, considerando como mínimo:
pg.16 - MARZO 2021
Programa de ciberseguridad También señala el Reglamento que las en dades deben desarrollar y mantener un programa de ciberseguridad. En este punto cabe precisar que, si bien el Reglamento no lo menciona, lo solicitado en este punto se encuentra súper alienado a lo señalado en la cláusula 3.2 “Establecimiento o mejora de un programa de ciberseguridad” del Cibersecurity Framework del NIST, considerando para ello las 05 funciones con nuas de este marco de referencia de ciberseguridad:
Asimismo, para implementar el programa de ciberseguridad solicitado en el Reglamento, podemos usar los 07 pasos que señala el CSF del NIST:
pg.17 - MARZO 2021
Reporte de incidentes de ciberseguridad significativos Este Reglamento indica también que, las en dades deben reportar los incidentes de ciberseguridad apenas estos se encuentren ocurriendo, siempre y cuando presenten un impacto significa vo relacionado a perdida de información de clientes, fraude, reputación de la en dad e interrupción de las operaciones. Asimismo, las en dades deben efectuar un análisis forense de lo ocurrido y reportar, mediante un informe, a la SBS.
Seguridad en Canales Digitales El Reglamento establece nuevas medidas de seguridad a considerar en todo el ciclo de las operaciones, a través de canales digitales, las cuales cubren dos aspectos importantes: a. Auten cación En lo estricto a los procesos de auten cación, los cuales bajo el mismo reglamento conmina a las en dades financieras que brinden nuevos procesos centrados bajo el enfoque de experiencia de usuario. Pero sin olvidar controles de seguridad que permitan la inclusión de más de un proceso de auten cación para algunas operaciones transaccionales. Dicho planteamiento busca evitar fraudes y robo de dinero; además de la aplicación de un estricto proceso de monitoreo, definición de un ciclo de vida de auten cación, aplicación de métodos robustos de criptogra a, una constante no ficación al cliente, entre muchas otras cosas. b. APIs El reglamento presenta requerimientos específicos (10) para el uso de APIs enrolados en los servicios digitales, los cuales contemplan casos de aseguramiento del código y su revisión previa al pase de producción, cifrado de datos en reposo y tránsito, monitoreo de eventos y análisis en caso estos sean parte de un incidente, etc.
Los aspectos de control, propuestos por el ente Regulador a las en dades, se definen con la obligatoriedad de crear una documentación completa relacionada al proceso de construcción de las APIs; esto con la finalidad de facilitar su posterior auditoria.
Uso de servicios en nube Si bien las empresas estuvieron evaluando el uso de servicios en nube para sus procesos transaccionales, el 2020 hizo que muchos aceleraran su adopción debido a la facilidad en su implementación, pero muchos no lograron esta adopción con controles sa sfactorios de seguridad, es por eso que el reglamento consigna requerimientos específicos orientados a que las en dades reguladas evalúen planes de seguridad en su uso. Esto hace que muchas empresas tengan que adaptar sus procesos consignando nuevos ac vos de información bajo un entorno de nube. Un conocimiento adecuado de una arquitectura cloud, considerando componentes de seguridad es un factor importante al momento de consignar planes de adecuación a la en dad reguladora, la cual ya exige nuevos planteamientos como lineamientos adecuados de segregación de redes para evitar exposición innecesaria de información, registros adicionales de monitoreo y un adecuado programa de capacitación a todo nivel para el entendimiento de esta nueva manera de trabajo. Por otro lado, el procesamiento de datos en el exterior a través de proveedores significa vos toma una nueva estrategia donde estos forman parte del proceso de la empresa. Hablamos de Ges ón de incidentes de Seguridad de la información, accesos rápidos y adecuados para temas de auditoría tanto internas como de entes regulatorios y planes efec vos de salida de los servicios provistos por el tercero, el cual incluya transferencia de información y borrado seguro. Además, se debe cumplir que los proveedores que dan servicio de procesamiento de datos en el exterior cuenten con controles que evidencien su madurez en temas de seguridad, ya que la norma
pg.18 - MARZO 2021 solicita el cumplimiento de la cer ficación ISO/IEC 27001, el cumplimiento de los modelos de control de la ISO/IEC 27017 e ISO/IEC 27018 y un reporte SOC 2 po 2 u otros equivalentes
Conclusiones y reflexiones A comparación de lo señalado en la Circular G140 – 2019 y sus modificatorias, este reglamento concentra y aterriza muchos controles de ciberseguridad que serán de beneficio para las en dades que deban aplicarlo. Asimismo, posiciona al país como uno los pocos que están regulando ac vidades de ciberseguridad en el sector financiero. Asimismo, trata en gran medida que la seguridad debe ser parte de los procesos importantes de las en dades reguladas, esto para evitar incidentes de ciberseguridad y eventos de fraude. Los proveedores significa vos toman mayor importancia y, por ende, replantear acuerdos con ellos será parte de la nueva estrategia 2021 que muchos tendrán que afrontar. El conocimiento para implementar todos estos requerimientos implicará la búsqueda de nuevos perfiles profesionales que permitan poder cumplir y mantener las exigencias de este reglamento. Encontrar profesionales con experiencia será un factor determinante ya que esta las empresas buscarán estrategas que cues onen los actuales escenarios en seguridad, hagan eficiencia de gastos e inversiones y además salgan victoriosos de nuevos pos de planes de auditoria que el ente regulador esta en proceso de diseño. Cabe precisar que, el reglamento en mención no considera componentes de privacidad para el adecuado tratamiento de los datos personales de los clientes del sistema financiero, ges ón de riesgos de privacidad y controles alineados a lo señalado en la Ley Nº 29733 Protección de Datos Personales, reglamento y modificatorias. Como parte de nuestro compromiso, CISOBEAT, en su oportunidad envío una serie de
observaciones al ente regulador sobre el proyecto de la norma. Asimismo, estaremos atentos a cualquier nueva no ficación del ente regulador, la cual será discu da en los canales apropiados de nuestra comunidad y conversado en nuestro PODCAST, Cybercast.¤
pg.19 - MARZO 2021
Evolución de la protección de las infraestructuras críticas en el Perú. Ernesto Landa
Fundador de CISObeat. Coordinador de Seguridad de la información de COGA.
De por sí las infraestructuras crí cas ya contemplaban procesos de ges ón de crisis, emergencias e incidentes opera vos incluso antes de la adopción de la ciberseguridad industrial. La convergencia entre las redes corpora vas (IT) y las redes operacionales (OT) se hizo cada vez más fuerte y natural en las úl mas dos décadas gracias a la sofis cación y evolución de los sistemas informá cos que soportan las tomas de decisiones estratégicas y tác cas de la organización. En los úl mos 15 años esta convergencia pasó de ser algo deseado a algo necesario. El personal administra vo o gestor necesitaba contar con datos de primera mano sobre la operación, casi en empo real, por lo que la necesidad de otorgarles algún po de acceso a la red OT desde la IT fue algo mandatorio. La buena no cia es que existen Ac vos Crí cos Nacionales en el Perú que hoy en día enen
completamente aisladas las redes IT y OT. Es una buena no cia porque los sistemas industriales que forman parte de la red OT enen una obsolescencia promedio de 10 años según varios estudios. Los ac vos industriales se compran e implementan para que tengan un empo de vida largo, a diferencia de los ac vos TI que se renuevan cada 2 o 3 años. En otras palabras, en el ambiente industrial tenemos que ser más crea vos para convivir con vulnerabilidades que no pueden ser parchadas y cuya cri cidad puede ser muy alta, pero realizar el parchado puede ocasionar que el so ware diseñado para operar el ac vo industrial no funcione y se pierda el control del mismo. RECOMENDACIONES PARA INCREMENTAR EL NIVEL DE MADUREZ DE LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS EN EL PAÍS Primero, deberíamos imitar al sector financiero. No solo ene leyes y regulaciones. También organismos estatales y públicos que se encargan de “fiscalizar” que todas las empresas del sector cumplan requisitos mínimos de ciberseguridad. Esto falta en nuestro país.
pg.20 - MARZO 2021 Segundo, e independientemente del punto anterior, es que, en cada una de las empresas del sector, sobre todo en los Ac vos Crí cos Nacionales (ACN), se defina un responsable dedicado para ges onar la ciberseguridad industrial. Debe ser dedicado e independiente del CISO (que ene foco sobre la ges ón de riesgos de seguridad de la información) o de cualquier otro puesto de trabajo. Las estrategias de ciberseguridad en las infraestructuras crí cas requieren una visión y enfoque diferente a la de ciberseguridad tradicional o TI. Los controles no pueden replicarse sin un análisis de impacto que contemple las caracterís cas de los procesos industriales, safety, sistemas instrumentados, sistemas SCADA y de automa zación y control a los cuales los especialistas de TI no están familiarizados. Como dije anteriormente, debemos convivir con las vulnerabilidades conocidas, parcharlas no es la primera alterna va, por lo tanto, toca conocer el ciclo de vida de un ac vo industrial y definir estrategias adecuadas en base a sus caracterís cas e impacto en el negocio. Tercero, y por eso no menos importante, es que se deben restringir los accesos a Internet de todos los equipos industriales. Estos ac vos enen vulnerabilidades conocidas que no pueden ser parchadas y la probabilidad de explotación de estas se incrementa exponencialmente si son accesibles desde internet. SITUACIÓN DE CIBERSEGURIDADEN INFRAESTRUCTURAS CRÍTICAS EN PERÚ A COMPARACIÓN DE OTROS PAÍSES DE LATINOAMÉRICA A nivel norma vo y regulatorio estamos por debajo de países como Chile y Colombia. Esto se debe a que estos países ya sufrieron ciber ataques importantes que afectaron a la nación. En Perú aún no se conoce un evento de este po en los ACN. Si bien no hay un estudio formal sobre la comparación de las infraestructuras crí cas en los diversos países, podemos basarnos en el
Estudio La noamericano del Estado de Ciberseguridad Industrial elaborada por el Centro de Ciberseguridad Industrial (CCI) a empresas del sector. Según este estudio, Somos el tercer país en el ranking que ha realizado evaluaciones de riesgos de ciberseguridad industrial sobre sus procesos, estando nuevamente por debajo de Chile y Colombia. Países como México, Argen na, Chile y Colombia enen empresas que contemplar requisitos de ciberseguridad industrial en el diseño de sus procesos industriales. A Perú le falta mejorar en este aspecto. Sobre las normas y estándares tenemos que el 20% de las empresas industriales peruanas no u lizan alguna para la ges ón de la ciberseguridad industrial. EL ROL DE LA DINI La DINI cumple el rol de iden ficar los ACN, determinar la cri cidad de cada uno de ellos para el país y, en base a ello, analizar su nivel de madurez. En base a ello se establecen una seria de recomendaciones y acciones correc vas que se deben implementar. Esto es un gran avance. En mi opinión el trabajo de la DINI podría complementarse con el apoyo de un organismo i n d e p e n d i e nte , co n e l re s p a l d o l e ga l correspondiente, que se encargue de verificar/fiscalizar que los ACN y las empresas industriales cumplan los requisitos mínimos de ciberseguridad OT. Se podría trabajar en conjunto haciendo sinergia entre las en dad públicas y privadas, con el obje vo de implementar 5 líneas estratégicas para garan zar sostenibilidad y mejora con nua de la Ciberseguridad y Ciberdefensa Nacional: Reforzar sistema de respuesta nacional a incidentes informá cos. Ÿ Mejorar las capacidades de ciberseguridad en las en dades gubernamentales. Ÿ Elaborar un plan nacional de concienciación y educación en ciberseguridad. Ÿ Fortalecer la cooperación nacional e internacional en materia de ciberseguridad y ciber defensa. ¤ Ÿ
pg.21 - MARZO 2021
Publicación sin autorización de videos íntimos en medios digitales parte integral de la curricula, más en estos empos digitales, donde cualquier disposi vo móvil incluye una cámara. Tarea pendiente (y urgente) para el Ministerio de Educación.
Erick Iriarte
CEO EBIZ La n America
La obtención de imágenes de terceros por robo de disposi vos o acceso por cues ón profesional (por ejemplo una reparación de computador) o porque se grabo sin autorización, enen que la divulgación de las imágenes así obtenidas va contra la ley y esta penado. Entra en una zona gris que debe ser adecuadamente analizada el reenvió por parte de personas diferentes al divulgador inicial de dichas imágenes en redes sociales (como youtube, facebook u otros) y canales de comunicación (como whatsapp, telegram u otros). Hemos de añadir que subir los contenidos a paginas pornográficas se considera como publicación de las imágenes y también estaría sancionado.
Uno de las formas más comunes de violencia contra la mujer es la publicación de videos ín mos sin autorización en medios digitales, acción que no solo vulnera la privacidad (y los datos personales) sino que cues ona a la sociedad donde vivimos. Los casos son miles, muy pocos se denuncian, y de los casos denunciados son una ínfima can dad los que logran sancionar a los culpables.
La revelación de videos por despecho (revenge porn) es otro po de ilícito que han aparecido y que también deben ser desterrados de los entornos digitales.
La libertad de toda persona de poderse grabar con su consen miento es clara, la forma de resguardar dicha información o de compar rla es determinada por la persona cuya imagen se ve involucrada, más aún asumiendo la persona que graba o almacena la información la responsabilidad del resguardo de dichas imágenes. Es cierto también que en la escuela no se enseñan materias como protección de datos personales o ciberseguridad, que deberían ser
El Ministerio de la Mujer debe tomar seriamente este tema y convocar a las diversas plataformas tecnológicas a desplegar instrumentos de control tras la publicación de dichos contenidos, con mecanismos ágiles protegiendo a las vic mas. La recientemente creada Fiscalía de Cibercrimen y la Divindat se ene que enfrentar estos actos que vulneran los derechos humanos, protegiendo a la vic ma y logrando que no queden impunes estos hechos.
pg.22 - MARZO 2021
Implementando una estrategia para reducir la superficie de ataque de una organización. Rafael Bocanegra
Gerente Corpora vo de Seguridad de TI at Excellia
C
uando hablamos sobre implementar una estrategia de ciberseguridad dentro de una organización, esta puede tener muchas aristas y ma ces dependiendo del estado de madurez de la organización, pero sobre todo de su ape to para asumir riesgos. Es así que existen ac vidades “cross” como establecer el marco de gobierno y el framework sobre cual trabajar (que usualmente es el NIST o una variación de este dependiendo del po de organización), y sobre ello trabajar las polí cas respec vas, iden ficar procesos crí cos y los riesgos principales a ser tratados, entre otros esfuerzos que son muy importantes. Sin embargo, muchas veces no nos enfocamos en los “basics” que usualmente están a cargo del area de tecnología y que representan un riesgo muy alto para la organización en materia de ciberseguridad y esto lo iden ficamos respondiendo las siguientes preguntas: ¿Cómo está la higiene de
TI de la empresa? ¿Se ene un inventario de ac vos de endpoint y servidores? ¿Existe un proceso de parchado periódico de estos ac vos? ¿Se ha ejecutado algún ejercicio de análisis de vulnerabilidades para iden ficar las brechas de seguridad de estos ac vos? Si la respuesta a alguna de estas preguntas es “no se ha hecho”, entonces defini vamente estos “basics” será lo primero que deberíamos abordar o darle la prioridad respec va con la finalidad de reducir la superficie de ataque de nuestra organización. Un estudio realizado por la empresa Tenable en asociación con el Ponemon Ins tute de diciembre del 2018¹, revelo 4 hallazgos clave respecto a la ges on de riesgos ciberné cos en las operaciones de negocio: Ÿ
Los KPI o las métricas tradicionales para evaluar los riesgos empresariales son
¹El estudio encuestó a 2410 tomadores de decisiones en el área de TI e InfoSec en los Estados Unidos, el Reino Unido, Alemania, Australia, México y Japón.
pg.23 - MARZO 2021 insuficientes para comprender los riesgos ciberné cos. Ÿ Las organizaciones no están u lizando los KPI que consideran más importantes para evaluar y comprender las amenazas ciberné cas. Ÿ Las organizaciones no están midiendo de manera precisa los costos empresariales del riesgo ciberné co, y no logran cuan ficar el daño que los ataques ciberné cos podrían causar a sus negocios. Ÿ Las decisiones sobre la asignación de recursos, la inversión en tecnología y la priorización de amenazas se están tomando sin basarse en información crí ca. Ÿ
Por otro lado, este estudio tambien pone énfasis en que en los úl mos años los ataques ciberné cos son implacables y con nuos haciendo referencia tambien que la mayoría de las organizaciones incluidas en esta inves gación han y/o están experimentando múl ples ataques ciberné cos que causan filtraciones de datos, así como interrupciones que afectan de manera significa va sus operaciones². E n t o n c e s , p o r d o n d e c o m e n za r p a ra implementar una estrategia de reducción de la superficie de ataque de nuestra organización, para ello podemos ejecutar los siguientes pasos para los cuales será necesario apoyarse de alguna herramienta tecnológica y/o de un servicio especializado: 1. Iden ficación de inventario de ac vos, es importante contar con un repositorio el cual contenga el listado de endpoint y servidores de la organización (en primera instancia, posteriormente y una vez que el proceso ya este encaminando puedes incorporar equipos de telecomunicación), esto con la finalidad de saber el estado de los mismos y determinar cómo los vamos a proteger. Si es que no enes un inventario de ac vos concreto puedes tomar como fuente alguna otra herramienta que contenga esta información como por ejemplo una consola de an virus, no será lo ideal, pero puede ser un buen punto de par da hasta que se determine un repositorio final que será la base permanente de esta estrategia.
2. Ges ón de vulnerabilidades, una vez obtenido el inventario de ac vos, apoyarse de alguna herramienta que pueda realizar un análisis de vulnerabilidades de los mismos. Lo recomendable es contar con una herramienta o servicio de análisis persistente el cual pueda ejecutarse en todo el parque de ac vos iden ficados con una periodicidad establecida, esto con la finalidad de tener una foto constante de las brechas de seguridad de nuestra infraestructura y no un resultado en un instante del año que podría no ser efec vo (en referencia a la ejecución de análisis de vulnerabilidades anuales). Asimismo, este po de herramientas permiten generar indicadores (KPIs) que pueden ser presentados a la alta dirección como insumo de un “key control” para medir el tratamiento de algún riesgo de ciberseguridad como por ejemplo el de indisponibilidad por malware y por otro lado nos reta a trabajar de manera constante en el proceso de remediación a fin de que estos indicadores puedan evolucionar en el empo 3. Establecer un proceso de remediación de vulnerabilidades, este proceso es clave ya que aquí se definirán los responsables de la remediación y las ac vidades que deberán ejecutar. Asimismo, un punto muy importante en este proceso es priorizar lo cri co, ya que enfocarse en resolver todas las brechas iden ficadas podría resultar un trabajo quizá imposible de finalizar, por lo que muchas organizaciones se enfocan en tomar acción sobre vulnerabilidades cri cas conocidas como: wannacry, bluekeep, seven monkyes, Heartbleed e iden ficar y resolver la obsolescencia tecnológica de equipos y servidores sin soporte (win XP, 7, 8.1, server 20003, 2008, etc.). 4. Parchado de endpoint, algo que reduce de manera significa va las brechas de seguridad en endpoint es la ejecución periódica (de preferencia de manera mensual) de parches de seguridad (CVE), los cuales usualmente son liberados por Microso la segunda semana de cada mes. Para hacer más eficiente (y fácil) este
²Para más información pueden descargar el estudio del siguiente enlace: LINK
pg.24 - MARZO 2021 proceso de parchado, se recomienda el uso de alguna herramienta centralizada previa ejecución de las pruebas de laboratorio del parche a desplegar en ambientes UAT, de no tener este po de ambientes se puede u lizar un equipo de prueba con una imagen similar a los equipos que están en producción previo al despliegue masivo. 5. Parchado de servidores, el resultado de esta acción es similar al del punto anterior, con la diferencia que en servidores las precauciones deben ser mayores con la finalidad de no indisponibilizar alguna aplicación crí ca de negocio por la aplicación de algún parche y/o por que cuentan con una infraestructura “legacy” que no puede ser migrada. Este es el caso de muchas organizaciones y es el mayor dolor de cabeza de los responsables de ciberseguridad, por lo que se recomiendan contar con un calendario de parchado sico para aquella infraestructura que si puede ser parchada de manera periódica (para el caso de servidores usualmente es de manera trimestral a excepción de la aparición de un parche cri co) y para aquello que no puede ser resuelto apoyarse de alguna herramienta de parchado virtual la cual no remediará la vulnerabilidad del ac vo pero si mi gará su explotación mientras se define una estrategia de cambio de dicha infraestructura sin soporte de la marca. 6. Implementación de otros controles de ciberseguridad, si bien es cierto líneas arriba se detalla que acciones tomar para la iden ficación y remediación de vulnerabilidades, algo muy importante que tambien reduce la superficie de ataque es la implementación de otros controles de ciberseguridad sobre el inventario de ac vos
iden ficados y este principalmente es el an virus/an malware + EDR (endpoint detec on and response) el cual debería tener una cobertura total (o al menos razonable >95%) de los ac vos con la finalidad de proteger a los usuarios de la organización. Asimismo, otros controles que suma dentro de esta estrategia es el bloqueo de puertos USB y la aplicación constante de IoCs (indicadores de compromiso) en la infraestructura tecnológica de seguridad como firewalls, filtro web, entre otros. 7. Informar a la alta dirección y las áreas de negocio, como ya lo había mencionado en el primer punto es importante mantener informado a las partes interesadas (alta dirección y unidades de negocio), esto con la finalidad de que tomen conciencia de las brechas actuales de ciberseguridad de la infraestructura tecnológica y los riesgos a los cuales están expuestos, esto con la finalidad de que puedan canalizar los recursos necesarios para mejorarla. Finalmente, tenemos que tener en cuenta que no existe la seguridad al 100% por lo que todos estos esfuerzos que vamos a ejecutar servirán para dificultarle la tarea de vulnerar nuestra infraestructura a un ciber atacante y así minimizar la ocurrencia de un incidente de ciberseguridad, que en caso suceda, deberá estar acompañado de un proceso de ges on de incidentes de ciberseguridad formalmente e sta b l e c i d o y p ro b a d o co n to d o s l o s involucrados en su resolución a fin de ser resilientes en caso se susciten, en este úl mo tema ya lo profundizaremos en un futuro ar culo. ¤