Asociacin por la

resiliencia ciberntica

Riesgo y responsabilidad en un mundo hiperconectado: principios y directrices

Marzo de 2012
 Este documento se ha elaborado en colaboracin con mltiples asociados.
Los autores agradecen especialmente la participacin de los asesores
de proyecto de Deloitte.

World Economic Forum

2012 - Reservados todos los derechos.

Prohibida la reproduccin total o parcial de esta publicacin por cualquier medio o procedimiento,
incluido el fotocopiado y la grabacin, o mediante sistemas de almacenamiento y recuperacin de la informacin.

REF.: 230312

2 Asociacin por la resiliencia ciberntica

ndice

4 Introduccin
5 1. Compromiso con la resiliencia
ciberntica
6 2. Principios de la resiliencia
ciberntica
8 3. Directrices de la resiliencia
ciberntica: elaboracin
del Programa
10 4. Lista de comprobacin para
los puestos de direccin ejecutiva
13 5. Elaboracin del Programa:
alcance y definiciones
15 Agradecimientos

Asociacin por la resiliencia ciberntica 3

Introduccin

El Foro Econmico Mundial es consciente
de que los riesgos, las recompensas
ylagobernanza de la economa
interconectada constituyen cuestiones
esenciales de la agenda global,
fundamentales para el crecimiento
sostenible y la estabilidad. Asimismo,
esconsciente de que el nico modo
degarantizar el pleno aprovechamiento
- La dependencia cada vez mayor de la conectividad para el
funcionamiento normal de la sociedad hace que la proteccin de
la conectividad sea una cuestin crtica para todos; al tratarse de
un recurso compartido como lo son el aire limpio o el agua, el reto
se define como un reto de interdependencia.
- Ninguna organizacin puede resolver esta cuestin por s sola, y
debe adoptarse un enfoque multilateral de colaboracin; incluso los
competidores de un mismo sector deben convertirse en asociados
en un intento por garantizar un entorno estable y de confianza.
- El panorama del riesgo ciberntico evoluciona a un ritmo
acelerado: las estrategias defensivas nos llevan siempre a librar
laltima batalla, y existen numerosas "incgnitas desconocidas".
- Las soluciones que se centran en aspectos especficos pronto
quedarn obsoletas; es necesario un enfoque basado en principios.

delas nuevas oportunidades de crecimiento,
as como la gestin de los riesgos,
esadoptar un enfoque coordinado.
- La libre circulacin de informacin debe seguir impulsando el valor
econmico; una economa aislada es una economa congelada.
- El objetivo es la resiliencia, no la intensificacin del aislamiento;
sabiendo que se van a producir fallos, el objetivo consiste en
restablecer las operaciones habituales y garantizar la proteccin
de los activos y de la reputacin.

Durante 2011, el Foro Econmico Mundial - La principal vulnerabilidad de numerosas organizaciones es de

elabor un proyecto multilateral destinado a
identificar y abordar los riesgos sistemticos
globales derivados de la conectividad, cada
vez mayor, entre las personas, los procesos
y los objetos. Unas sencillas observaciones
sobre este entorno, que evoluciona a un
ritmo acelerado, pueden ayudarnos
aformular una respuesta apropiada.
carcter humano: concienciacin, liderazgo y ejecucin.
- La funcin de los lderes consiste en fijar la estructura y marcar
lapauta; el perfil de riesgo de una organizacin puede mejorar
sustancialmente mediante la aplicacin de prcticas sencillas.
As, el objetivo de esta iniciativa consiste en alcanzar un compromiso con
respecto a un conjunto comn de principios compartidos en materia de
liderazgo: cambiar la mentalidad para dejar de limitarse aasegurar las
fronteras e incluir tambin la atencin a la interdependencia y a la resiliencia.
Estos principios estn dirigidos a todas las organizaciones, indepen-
dientemente de su industria, sector, jurisdiccin, geografa o nivel de
experiencia actual. No se pretende que sean prescriptivos, pues existirn
diferencias de contexto. Estn basados en buenas prcticas organizativas
sencillas y en el reconocimiento del carcter repartido del reto.

Los principios se sustentan en un conjunto de directrices que pueden

consultar las organizaciones para formular sus propias respuestas.
Asimismo, se ofrece un sencillo modelo de madurez y una definicin
de trminos a modo de referencia comn.

Figura 1: modelo de madurez para la resiliencia

ciberntica organizativa
Modelo de madurez

Fase 1: Fase 2: Fase 3: Fase 4: Fase 5:

desconocimiento fragmentacin descendente dominio interconexin

Para la organizacin, La Junta reconoce la La Junta ha marcado La direccin de la Las organizaciones

el riesgo ciberntico hiperconectividad las pautas con respecto organizacin asume estn altamente
es muy poco relevante como un foco potencial a la gestin del riesgo la plena rendicin de conectadas con sus
4 Asociacin por la resiliencia ciberntica y no forma parte de su de riesgo y posee una ciberntico y ha iniciado cuentas con respecto homlogas y sus socios,
proceso de gestin percepcin limitada un programa de carcter a la gestin del riesgo comparten informacin
del riesgo. de sus prcticas de descendente de ciberntico, ha formulado y mitigan conjuntamente
La organizacin no gestin del riesgo. amenaza-riesgo- polticas y marcos y ha el riesgo ciberntico
conoce su nivel de La organizacin respuesta, pero no definido responsabilidades como parte de sus
1. Compromiso con la
resiliencia ciberntica

Los abajo firmantes apoyamos la iniciativa y los principios Nombre (en letras maysculas):
multisectoriales, multinacionales y multilaterales para mejorar
laresiliencia sistmica ante los riesgos cibernticos.
Cargo:
Con la adopcin generalizada de estos principios se pretende ayudar
a elevar las normas empresariales asociadas a los sistemas de
informacin hiperconectados de todo el mundo y contribuir a los Empresa:
objetivos compartidos de prosperidad y estabilidad econmica.

Reconocemos colectivamente la interdependencia de las Fecha:

organizaciones del sector pblico y del sector privado en el entorno
global hiperconectado. As, reconocemos que contribuimos a los
niveles globales de mitigacin del riesgo ciberntico a escala Firma:
nacional y global.

Apoyamos los principios para la resiliencia ciberntica (en lo

sucesivo, los "Principios"), que se derivan del dilogo multilateral
celebrado ente mltiples regiones y sectores. Los Principios
(que se detallan ut infra) son los siguientes:

1. Reconocimiento de la interdependencia: todas las partes han de

contribuir al fomento de un espacio digital compartido resiliente.

2. Funcin de los lderes: promover la concienciacin a nivel ejecutivo

y el liderazgo en materia de gestin del riesgo ciberntico.

3. Gestin integrada del riesgo: elaborar un programa de ejecucin

prctico y eficaz.

4. Promocin de la aceptacin: cuando proceda, instar a los

proveedores y a los clientes a que adquieran un nivel de
concienciacin y compromiso similar.

Con la firma del presente documento nos comprometemos con estos

Principios en apoyo de la creacin y el mantenimiento de un entorno
en lnea resiliente y una red de entidades que confan entre s.

En fe de lo cual apoyamos esta iniciativa e instamos al apoyo

generalizado de la misma.

Asociacin por la resiliencia ciberntica 5

2. Principios de la resiliencia
ciberntica

2.1. La organizacin es consciente del carcter interdepen-

diente de nuestro mundo hiperconectado ydela funcin
que ella misma ha de desempear paracontribuir a la
consecucin de un entorno digital compartido seguro.

Nuestra fuerza est supeditada a la fuerza del eslabn ms dbil de

las cadenas de las que todos dependemos; todos contribuimos a la
seguridad de nuestro mundo hiperconectado. Un espacio en lnea
abierto, seguro y resiliente es un bien pblico; todos los agentes
comparten la responsabilidad de crear y respaldar este recurso.

2.2. El equipo de direccin ejecutiva es consciente de su

funcin de liderazgo a la hora de marcar la pauta y fijar
laestructura de la resiliencia ciberntica.

En consonancia con sus obligaciones fiduciarias y dems obligaciones

en materia de liderazgo, la directiva ejecutiva reconoce la importancia
demitigar los riesgos relacionados con el mundo ciberntico como
elemento esencial para la continuidad de la viabilidad y el xito de su
institucin, salvaguardando su propiedad intelectual y protegiendo la
informacin que posee con el fin de proporcionar productos o servicios
a su base de grupos constitutivos y clientes, de conformidad con la
legislacin sectorial y jurisdiccional pertinente.

2.3 La organizacin es consciente de la importancia de

integrar la gestin del riesgo ciberntico en sus prcticas
ms generalizadas de gestin del riesgo y en consonancia
con estos Principios y directrices.

En consonancia con las buenas y homogneas prcticas de

informacin sectoriales o jurisdiccionales actualmente o
prximamente en vigor, la entidad deber aplicar constantemente un
programa especfico dirigido a la gestin de los riesgos cibernticos
conocidos que pueda tomar en consideracin la orientacin y los
estndares relevantes para los sectores y regiones en los que opere.
De este modo, reduce el riesgo de sufrir daos, contribuye
positivamente a la resiliencia de los entornos de informacin
conectados en los que opera y demuestra su civismo (corporativo).

2.4 La organizacin insta a sus proveedores a adoptar

estosPrincipios y directrices.

Consciente de que la adopcin generalizada de estos Principios

contribuye a la continuidad y al aumento de las posibilidades
dequetodas las partes interesadas puedan beneficiarse de la
hiperconectividad, as como a asegurar con mayor eficacia las cadenas
de suministro y a gestionar la interdependencia y la vulnerabilidad
inherentes a dicha conectividad, la organizacin deber aprovechar
susrelaciones para instar a otros a que adopten los Principios.

6 Asociacin por la resiliencia ciberntica

Asociacin por la resiliencia ciberntica 7
3. Directrices de la resiliencia
ciberntica: elaboracin
delPrograma
En esta seccin se define un conjunto
decapacidades que todas las empresas
deberan aspirar a poseer, como mnimo,
cuando apliquen su propio programa de
gestin del riesgo ciberntico (en lo
sucesivo, el "Programa"). Los elementos
quese enumeran a continuacin se ofrecen
a modo de orientacin no prescriptiva con
respecto a las capacidades que debera
incluir este Programa para ser eficaz, y
pueden, asimismo, describir prcticas que
ya se apliquen. Los estndares, procesos
yrequisitos legales concretos variarn en
funcin de la industria y la jurisdiccin y
podrn sufrir modificaciones con el paso del
tiempo. Los ejemplos especficos de
unPrograma relevante estarn informados
por dicho contexto.

8 Asociacin por la resiliencia ciberntica

3.1 Supuestos de partida
3.1.1 La interdependencia de todas las organizaciones del
entorno en lnea ofrece un supuesto de base para la
totalidad de la gestin del riesgo ciberntico.
3.1.2 La mejora de las prcticas de gestin del riesgo
ciberntico en el seno de una organizacin contribuye
alaresiliencia ciberntica global.
3.1.3 Un enfoque basado en el riesgo constituye un enfoque
eficaz para abordar las amenazas cibernticas.
3.1.4 Reconocindose que ningn sistema complejo permite
una mitigacin completa (100%) del riesgo, el objetivo
global de un enfoque basado en el riesgo con respecto
alaseguridad ciberntica es la resiliencia del sistema:
susupervivencia y rpida recuperacin tras un ataque
oaccidente.
3.2 Gobernanza: liderazgo y pauta
3.2.1 El equipo de direccin ejecutiva es el encargado de
supervisar la elaboracin y la ejecucin de un programa
eficaz de mejores prcticas para la gestin del riesgo
ciberntico en el marco de sus actividades ms
generalizadas de gestin del riesgo.
3.2.1.1 El Programa deber basarse en los Principios y
dems prioridades relevantes de la compaa, y
el equipo de direccin ejecutiva deber
proporcionar el liderazgo, los recursos y el apoyo
activo necesarios para la ejecucin del Programa.
3.2.1.2 El equipo de direccin ejecutiva se asegura de
que se realice una revisin interna de la eficacia
del Programa y de que, si se identifican
carencias, se adopten medidas correctivas.
3.2.2 El Director General (o equivalente) y el equipo de direccin
ejecutiva demuestran un compromiso visible y activo con
respecto a la aplicacin de los Principios.
3.2.3 El Director General (o equivalente) es responsable, en
ltima instancia, de que el Programa se ejecute de forma
coherente con unas lneas claras de autoridad,
informacin, delegacin y responsabilidad.
3.2.4 A los ejecutivos y los directores se les otorgan las
herramientas y la autoridad necesarias para fomentar la
resiliencia y mitigar los riesgos cibernticos susceptibles
de incidir y/u originarse en sus respectivas lneas
denegocio y, en cualquier caso, para ejercer sus
responsabilidades con respecto a la organizacin
de forma coherente con los Principios.
3.2.5 El Director General (o equivalente) posee un plan y una
trayectoria decisoria claros en materia de actuacin y
comunicacin en caso de que se produzca un fallo
significativo de los sistemas de informacin
interconectados proporcionados o utilizados
porlaorganizacin.
3.3 Ejecucin del Programa: componentes operativos crticos
3.3.1 Los conceptos y los elementos del Programa estn
integrados en el programa global de gestin de riesgos
dela empresa cuando procede.
3.3.2 El Programa incluye un mecanismo para evaluar y hacer
unseguimiento del riesgo ciberntico.
3.3.2.1 El Programa forma parte de las prcticas vigentes
de gestin de riesgos de la organizacin e incluye
polticas destinadas a identificar, evaluar, medir,
establecer prioridades, hacer seguimientos,
mitigar y transferir el riesgo ciberntico, mediante
la aplicacin, en la medida de lo posible, de
mejores prcticas o directrices.
3.3.2.2 El Programa incluye evaluaciones internas
delimpacto sobre las operaciones, los activos
yla reputacin tanto en trminos cualitativos
como cuantitativos (financieros).
3.3.2.3 El Programa incluye estrategias especficas
conlas que se pretende reducir el promedio
detiempo necesario para la recuperacin
(esdecir, mejorar la resiliencia) en caso
degrandes ataques o fallos.
3.3.2.4 La organizacin hace un seguimiento de la
eficacia de la mejora de la resiliencia ciberntica
yde la reduccin del riesgo ciberntico.
3.3.2.5 Cada cierto tiempo, la organizacin evala y
asegura la asignacin de los recursos para
quesean adecuados a su estrategia de gestin
de riesgos.
3.3.3 La organizacin verifica interna y peridicamente su
cumplimiento con las reglas y reglamentos pertinentes
yrelevantes para su exposicin al riesgo ciberntico.
3.3.4 Las prcticas y las polticas de la organizacin incorporan
yreflejan su compromiso con respecto a la mejora de la
resiliencia ciberntica y la reduccin del riesgo.
3.4. Proveedores y terceros
3.4.1 La organizacin se asegura de que las partes que no estn
directamente sujetas a las polticas internas de la compaa
pero cuya conducta fidedigna, incluida la de sus
proveedores y terceras partes relevantes, se pueda
establecer por contrato respetan las normas especficas
de gestin del riesgo ciberntico o las mejores prcticas del
sector en consonancia con los Principios, y formalizan este
requisito mediante las citadas obligaciones contractuales.
3.4.2 Cuando proceda, los contratistas y los proveedores
debern recibir formacin sobre el Programa.
Asociacin por la resiliencia ciberntica 9
4. Lista de comprobacin
para los puestos
de direccin ejecutiva
En esta seccin se ofrece una sencilla
herramienta de comprobacin para que
losdirectores generales y otros miembros
de la direccin ejecutiva ayuden a orientar
larevisin interna de las capacidades de
resiliencia ciberntica de su organizacin.

Con esta herramienta se pretende ofrecer

alos ejecutivos informacin de carcter
general y especfico que les ayudar a
adelantar las decisiones en su organizacin.
Ofrece una puntuacin compuesta
aproximada para situar a la organizacin
enuna "curva de preparacin para la
hiperconexin" tal y como se indica a
continuacin. Las preguntas formuladas
enla herramienta tambin pueden ayudar
alos ejecutivos a identificar los puntos
fuertes y los puntos dbiles especficos,
ascomo vas de mejora en el seno de
surespectiva organizacin.

10 Asociacin por la resiliencia ciberntica

Nota: debido a la subjetividad de la evaluacin entre las distintas entidades, y a que actualmente no existe ninguna mtrica para ninguna
de las variables mencionadas ut infra, la comparacin no se ha diseado para detectar las diferencias existentes entre el Programa de una
y otra entidad, ni la conformidad de un Programa concreto con respecto a unas normas o reglas externas.

1: No describe en absoluto a mi organizacin 5: Describe con precisin mi organizacin

Gobernanza
1. El Director General y el equipo de direccin ejecutiva son responsables de supervisar la
elaboracin de un programa de mejores prcticas para la gestin del riesgo ciberntico, 1 2 3 4 5
ydeconfirmar la ejecucin del mismo.
2. El Director General y el equipo de direccin ejecutiva se aseguran de que se revise la eficacia
1 2 3 4 5
del programa y de que, si se identifican carencias, se apliquen medidas correctivas.
3. El Director General y el equipo de direccin ejecutiva demuestran un compromiso visible
1 2 3 4 5
yactivo con respecto a la aplicacin de los Principios.
4. Los ejecutivos y los directores son responsables de comprender, en el nivel adecuado, cul puede
1 2 3 4 5
ser el impacto de los riesgos cibernticos y cmo pueden generarse en su lnea de negocio.
5. La alta direccin comprende quin es responsable de gestionar el riesgo ciberntico cuando
1 2 3 4 5
se gestionan los incidentes de seguridad.
6. La organizacin tiene acceso a expertos en materia ciberntica en sus ms altos niveles de gestin. 1 2 3 4 5
7. La organizacin se compromete con la mejora continua de la integracin de su gestin
1 2 3 4 5
delriesgo ciberntico con el resto de sus iniciativas de gestin de riesgos.
8. El Director General (o equivalente) tiene una trayectoria decisoria clara en materia de actuacin
1 2 3 4 5
y comunicacin en respuesta a un accidente o fallo de seguridad significativos.

Programa
9. La organizacin realiza evaluaciones exhaustivas de sus vulnerabilidades con respecto
1 2 3 4 5
ariesgos cibernticos internos y externos acordes con su industria y sector.
10. La organizacin hace un seguimiento de la eficacia de su estrategia de gestin del riesgo ciberntico. 1 2 3 4 5
11. La organizacin verifica internamente de forma peridica su cumplimiento con las reglas y los reglamentos. 1 2 3 4 5
12. El compromiso de la organizacin con el Programa se refleja en sus polticas y prcticas. 1 2 3 4 5
13. Los directores, los empleados y los agentes reciben formacin especfica sobre el Programa,
1 2 3 4 5
adaptada a las necesidades y circunstancias pertinentes.
14. La organizacin ha identificado sus datos y su informacin como activos esenciales y organiza
su Programa en torno al reconocimiento de que los datos y la informacin poseen un valor 1 2 3 4 5
que puede reconocerse y protegerse de forma independiente.
15. El Programa de gestin del riesgo incluye todas las relaciones materiales con terceros y los
1 2 3 4 5
flujos de informacin.
16. La organizacin realiza evaluaciones internas y exhaustivas sobre el impacto de los riesgos
1 2 3 4 5
cibernticos a corto y largo plazo.

Red
17. La organizacin busca garantizar que sus proveedores y terceras partes relevantes cumplan las normas
de gestin del riesgo ciberntico especficas de la organizacin o las mejores prcticas de la industria, 1 2 3 4 5
en consonancia con los Principios, y formaliza este requisito mediante obligaciones contractuales.
18. La organizacin ha forjado relaciones con sus homlogos y sus socios para gestionar
1 2 3 4 5
conjuntamente el riesgo ciberntico y abordar con mayor eficacia los incidentes cibernticos.
19. El Programa de gestin del riesgo incluye todas las relaciones materiales con terceros
1 2 3 4 5
ylosflujos de informacin.

Promedio (indica la fase de madurez)

Asociacin por la resiliencia ciberntica 11

Modelo de madurez

Fase 1: Fase 2: Fase 3: Fase 4: Fase 5:

desconocimiento fragmentacin descendente dominio interconexin

Para la organizacin, La Junta reconoce la La Junta ha marcado La direccin de la Las organizaciones

Para la organizacin, el La organizacin reconoce El Director General ha La direccin de la Las organizaciones estn
el riesgo ciberntico hiperconectividad las pautas con respecto organizacin asume estn altamente
riesgo ciberntico es muy la hiperconectividad marcado las pautas con organizacin asume altamente conectadas
es muy poco relevante como un foco potencial a la gestin del riesgo la plena rendicin de conectadas con sus
poco como un foco potencial respecto a la gestin del laplena informacin con con sus homlogas y
y norelevante y no de
forma parte formasu de riesgo y posee una ciberntico y ha iniciado cuentas con respecto homlogas y sus socios,
parte de sude
proceso de riesgo y posee una riesgo ciberntico y ha respecto alagestin del sussocios, comparten
proceso gestin percepcin limitada un programa de carcter a la gestin del riesgo comparten informacin
degestin del riesgo. percepcin limitada de iniciado un programa riesgo ciberntico, ha informacin y mitigan
del riesgo. de sus prcticas de descendente de ciberntico, ha formulado y mitigan conjuntamente
Laorganizacin no no sus prcticas de gestin decarcter descendente formulado polticas y conjuntamente el riesgo
La organizacin gestin del riesgo. amenaza-riesgo- polticas y marcos y ha el riesgo ciberntico
conoce del riesgo ciberntico. de amenaza-riesgo- marcos y ha definido ciberntico como parte
conocesusu nivel de de
nivel La organizacin respuesta, pero no definido responsabilidades como parte de sus
interconexin. Laorganizacin aplica respuesta, pero no responsabilidades y de sus operaciones
interconexin. aplica un enfoque considera la gestin y mecanismos para la operaciones rutinarias.
unenfoque independiente considera la gestin del mecanismos para la rutinarias. Sus empleados
independiente con del riesgo una ventaja presentacin de Sus empleados demues-
con respecto al riesgo riesgo ciberntico una presentacin de demuestran una
respecto al riesgo, competitiva. informacin. Comprende tran una conciencia
ciberntico, con una ventaja competitiva. informacin. Comprende conciencia ciberntica
con una presentacin las vulnerabilidades de ciberntica excepcional
presentacin de las vulnerabilidades excepcional y la
de informacin la organizacin, sus y la organizacin es un
informacin fragmentada delaorganizacin, organizacin es un lder
fragmentada y casual. controles y sus lder industrial en
y casual. suscontroles y sus industrial en trminos
interdependencias con trminos de gestin
interdependencias degestin del riesgo
respecto a terceros. del riesgo ciberntico.
conterceras partes. ciberntico.

12 Asociacin por la resiliencia ciberntica

5. Elaboracin del Programa:
alcance y definiciones

Esta iniciativa adopta un enfoque del tipo

actuacin local, mentalidad global.
Secentra en la mejora de la resiliencia
ciberntica local de organizaciones
independientes. Mediante la coordinacin
de unos principios comunes, estas
acciones locales generan beneficios
globales. Los principios comunes impulsan
la eficacia de las acciones de cada
organizacin en pos de la creacin de una
comunidad unida de resiliencia ciberntica.

Las diferencias en cuanto a la interpretacin

del alcance y de los trminos que definen el
problema constituyen un obstculo crtico
para la interpretacin comn y para resolver
cualquier reto. En esta seccin se ofrecen
una serie de definiciones y se describen
algunos de los trminos utilizados a lo largo
de este documento, relevantes a la hora
dedisear, formular y aplicar soluciones
para abordar el riesgo ciberntico en
consonancia con los Principios.

Asociacin por la resiliencia ciberntica 13

5.1 Ciberntico
5.1.1 "Ciberntico" hace referencia a la red interdependiente de
infraestructuras de tecnologa de la informacin e incluye
"herramientas" tecnolgicas tales como Internet, redes de
telecomunicaciones, sistemas informticos y procesadores
integrados y controladores de industrias crticas.
5.3.5 Los principales valores en riesgo de una entidad frente
alas amenazas y vulnerabilidades cibernticas son sus
activos y su reputacin.
A causa de las dependencias crticas, las consecuencias
para estos activos podran ser resultado de un acto en
cascada y de mayor envergadura ajeno ala direccin
oalcontrol de la entidad.

5.2 Seguridad ciberntica 5.4 Gestin del riesgo ciberntico

5.2.1 "Seguridad ciberntica" hace referencia a los anlisis,
advertencias, intercambio de informacin, reduccin
delavulnerabilidad, mitigacin del riesgo y esfuerzos
derecuperacin dirigidos a los sistemas de informacin
interconectados.
5.3 Riesgos cibernticos
5.3.1 Los "riesgos cibernticos" se definen como la combinacin
de la probabilidad de que se produzca un evento en el
mbito de los sistemas de informacin interconectados y las
consecuencias del mismo para los activos y la reputacin.
5.3.2 Los riesgos cibernticos constituyen una cuestin
empresarial que entraa aspectos tcnicos.
Elriesgociberntico afecta y se ve afectado
portodoslosmbitos de la organizacin.
5.3.3 Las "amenazas cibernticas" son eventos cibernticos
potenciales susceptibles de provocar resultados no
deseados, causando daos a un sistema u organizacin.
Las amenazas pueden originarse externa o internamente
ypueden originarlas individuos u organizaciones.
5.3.4 Las "vulnerabilidades cibernticas" son susceptibilidades
odefensas insuficientes para la proteccin de un activo o
grupo de activos y capacidades frente a las amenazas
cibernticas.
5.4.1 Adems de la aplicacin de medidas tcnicas, la gestin
del riesgo ciberntico tiene por objeto influir en la conducta
humana y en las normas, as como en los controles
tcnicos y en las interacciones entre mquinas y se
propone coordinar las actividades y los procesos
conelfinde prevenir consecuencias no deseadas.
5.4.2 Una "evaluacin de riesgos" es el proceso que emprende
una organizacin con el fin de analizar, evaluar y
comprender el espectro de riesgos, la probabilidad
potencial de que se produzcan y su gravedad con el fin
depoder actuar para mitigar los riesgos inaceptables
parala organizacin.
5.4.3 "Estrategias para la transferencia del riesgo" (tales como la
indemnizacin, el seguro y las soluciones de transferencia
del riesgo estructuradas) son mtodos a los que puede
recurrir una organizacin para abordar el riesgo.
5.5 Resiliencia ciberntica
5.5.1 Como dimensin adicional de la gestin del riesgo
ciberntico, la "resiliencia ciberntica" se define como
lacapacidad de los sistemas y las organizaciones para
resistir a los eventos cibernticos, medida mediante la
combinacin del promedio de tiempo necesario para
quese produzca un fallo y del promedio de tiempo
necesario para la recuperacin.

- -
Figura 2: Marco del riesgo ciberntico

Amenazas
+ Vulnerabilidades Valores en riesgo Respuestas
Tradicionales

Polticas
Personas

Hacktivismo
Reglamentos

Espionaje
Prctica deficiente

corporativo Activos
Gobernanza
Accidental

Comunidad
Procesos

Impulsada Intercambio de informacin

por el gobierno
Ayuda mutua

Reputacin Accin coordinada

Terrorismo
Tecnologa

Sistmicas

Mercados de riesgo
Criminal
Seguridad integrada

14 Asociacin por la resiliencia ciberntica

Agradecimientos
Junta Directiva
Natarajan Chandrasekaran Consejero Delegado y Director General Tata Consultancy Services
Michael Chertoff Cofundador y Director General Chertoff Group
Ian Livingston Director General BT Group
William E. McCracken Director General CA Technologies
Robert Wainwright Director Europol (Oficina Europea de Polica)

Grupo de Trabajo
Mustaque Ahamad Profesor y Director Georgia Tech Information Security Center
Eric Allegakoen Vicepresidente, Auditora Global y Servicios de Seguros Adobe
Mohd Amin Presidente Impact
Jolyon Barker Director General, Tecnologa Global, Medios de Comunicacin y Telecomunicaciones Deloitte (Asesor del proyecto)
Drew Bartkiewicz Vicepresidente, Servicios Estratgicos Mashery
Mark Bauhaus Vicepresidente Ejecutivo y Director General Juniper Networks
Jennifer Byrne Vicepresidenta Lockheed Martin
William Casazza Vicepresidente Snior y Consejero General Aetna
Paloma Castro Directora, Asuntos Corporativos Globales LVMH
Steve Culp Director General, Gestin de Riesgos Accenture
Scott David Asociado (Consejero Legal de OIX) K&L Gates
Serge Dumont Vicepresidente y Presidente del Grupo, Asia-Pacfico Omnicom
John Evans Vicepresidente, Innovacin Empresarial Lockheed Martin
Stacy Feuer Directora Adjunta para la Proteccin Internacional de los Consumidores Comisin Federal de Comercio
Allan Friedman Director de Investigacin, Centro para la Innovacin Tecnolgica Brookings Institution
Marc Goodman Profesor y Asesor en materia de Seguridad Universidad de la Singularidad
Cristin Goodwin Abogada Snior Microsoft Corporation
Meghan Hannes Directora General CloudInsure
Kevin Harried Vicepresidente Snior, Gestin de Riesgos FIS/Capco
Phillip Harrington Vicepresidente Ejecutivo, Riesgos y Director Administrativo CA Technologies
Bret Hartman Director Tecnolgico, RSA EMC
Anwarul Hasan Director, Gestin de Riesgos SwissRe
Ray Johnson Vicepresidente Snior y Director Tecnolgico Lockheed Martin
Yuecel Karabulut Asesor Jefe de Seguridad SAP
David Kirkpatrick Fundador y Director General Techonomy
Robert Kirkpatrick Director Iniciativa Global Pulse de las Naciones Unidas
Susan Kish Directora de Plataformas Multisectoriales Bloomberg
Tarkan Maner Presidente y Director General Dell Wyse
Christophe Nicolas Vicepresidente Snior y Director Tecnolgico Kudelski Group
JP Rangaswami Cientfico Jefe Salesforce.com
Paul Saffo Autor y Analista Discern Analytics
Alexis Samuel Director de Riesgos Wipro
Murat Sonmez Vicepresidente Ejecutivo, Operaciones de Campo Globales TIBCO Software
Deirdre Stanley Consejera General Thomson Reuters
Ray Stanton Director Global de Continuidad Empresarial, Seguridad y Gobernanza BT Group
Owen Tripp Director de Operaciones Reputation.com
Andrew Vitrano Consejero General Adjunto y Subsecretario Corporativo IntraLinks
Mark Walsh Vicepresidente, Seguridad de la Informacin BAE Systems
Jody Westby Director General Global Cyber Risk

Asesores adicionales
Colin Adams Director de Comercializacin, Facultad de Informtica Universidad de Edimburgo
Rod Beckstrom Director General ICANN
Michael Fertik Fundador y Director General Reputation.com
Lee Hibbard Secretario, Comisin del Convenio sobre la Ciberdelincuencia y Director de Proteccin de Consejo de Europa
Datos y Ciberdelincuencia, Direccin General de Derechos Humanos y Estado de Derecho
Peter Hustinx Supervisor Europeo de Proteccin de Datos
Viktor Mayer-Schnberger Profesor, Gobernanza y Regulacin de Internet Oxford Internet Institute
Jun Murai Decano y Profesor, Facultad de Estudios de Medio Ambiente e Informacin Universidad de Keio
Ken Senser Vicepresidente Snior de Seguridad Global, Aviacin y Viajes Wal-Mart
Hamadoun I. Tour Secretario General Unin Internacional de Telecomunicaciones (UIT)
Atsushi Umino Director de Coordinacin de Poltica Internacional, Oficina Mundial de Estrategias de TIC Ministerio de Asuntos Interiores y Comunicaciones
Jonathan Zittrain Profesor de Derecho y Profesor de Ciencias Informticas Universidad de Harvard

Contacto: Derek OHalloran, Asociaciones de Tecnologas de la Informacin de Socios de Liderazgo Mundial, Foro Econmico Mundial, derek.ohalloran@weforum.org
Alex de Leeuw, Asociaciones de Tecnologas de la Informacin, Foro Econmico Mundial, alex.deleeuw@weforum.org
www.weforum.org/cyber

Asociacin por la resiliencia ciberntica 15

El Foro Econmico Mundial es
una organizacin internacional
independiente que se
compromete a mejorar la
situacin del mundo mediante
laparticipacin activa de lderes
empresariales, polticos,
acadmicos y otros lderes
delasociedad en la definicin
dela agenda global, regional
ysectorial.

Constituido como fundacin sin

nimo de lucro en 1971 y con
sede en Ginebra (Suiza), el Foro
no est ligado a ningn inters
poltico, partidista o nacional.

World Economic Forum

91-93 route de la Capite
CH-1223 Cologny/Geneva
Suiza

Tel.: +41 (0) 22 869 1212

Fax: +41 (0) 22 786 2744

contact@weforum.org
www.weforum.org