Professional Documents
Culture Documents
resiliencia ciberntica
Prohibida la reproduccin total o parcial de esta publicacin por cualquier medio o procedimiento,
incluido el fotocopiado y la grabacin, o mediante sistemas de almacenamiento y recuperacin de la informacin.
REF.: 230312
4 Introduccin
5 1. Compromiso con la resiliencia
ciberntica
6 2. Principios de la resiliencia
ciberntica
8 3. Directrices de la resiliencia
ciberntica: elaboracin
del Programa
10 4. Lista de comprobacin para
los puestos de direccin ejecutiva
13 5. Elaboracin del Programa:
alcance y definiciones
15 Agradecimientos
El Foro Econmico Mundial es consciente - La dependencia cada vez mayor de la conectividad para el
funcionamiento normal de la sociedad hace que la proteccin de
de que los riesgos, las recompensas la conectividad sea una cuestin crtica para todos; al tratarse de
un recurso compartido como lo son el aire limpio o el agua, el reto
ylagobernanza de la economa se define como un reto de interdependencia.
- Ninguna organizacin puede resolver esta cuestin por s sola, y
interconectada constituyen cuestiones debe adoptarse un enfoque multilateral de colaboracin; incluso los
esenciales de la agenda global, competidores de un mismo sector deben convertirse en asociados
en un intento por garantizar un entorno estable y de confianza.
fundamentales para el crecimiento
- El panorama del riesgo ciberntico evoluciona a un ritmo
sostenible y la estabilidad. Asimismo, acelerado: las estrategias defensivas nos llevan siempre a librar
laltima batalla, y existen numerosas "incgnitas desconocidas".
esconsciente de que el nico modo - Las soluciones que se centran en aspectos especficos pronto
degarantizar el pleno aprovechamiento quedarn obsoletas; es necesario un enfoque basado en principios.
delas nuevas oportunidades de crecimiento, - La libre circulacin de informacin debe seguir impulsando el valor
econmico; una economa aislada es una economa congelada.
as como la gestin de los riesgos, - El objetivo es la resiliencia, no la intensificacin del aislamiento;
sabiendo que se van a producir fallos, el objetivo consiste en
esadoptar un enfoque coordinado. restablecer las operaciones habituales y garantizar la proteccin
de los activos y de la reputacin.
Los abajo firmantes apoyamos la iniciativa y los principios Nombre (en letras maysculas):
multisectoriales, multinacionales y multilaterales para mejorar
laresiliencia sistmica ante los riesgos cibernticos.
Cargo:
Con la adopcin generalizada de estos principios se pretende ayudar
a elevar las normas empresariales asociadas a los sistemas de
informacin hiperconectados de todo el mundo y contribuir a los Empresa:
objetivos compartidos de prosperidad y estabilidad econmica.
3.1.1 La interdependencia de todas las organizaciones del 3.3.1 Los conceptos y los elementos del Programa estn
entorno en lnea ofrece un supuesto de base para la integrados en el programa global de gestin de riesgos
totalidad de la gestin del riesgo ciberntico. dela empresa cuando procede.
3.1.2 La mejora de las prcticas de gestin del riesgo 3.3.2 El Programa incluye un mecanismo para evaluar y hacer
ciberntico en el seno de una organizacin contribuye unseguimiento del riesgo ciberntico.
alaresiliencia ciberntica global.
3.3.2.1 El Programa forma parte de las prcticas vigentes
3.1.3 Un enfoque basado en el riesgo constituye un enfoque de gestin de riesgos de la organizacin e incluye
eficaz para abordar las amenazas cibernticas. polticas destinadas a identificar, evaluar, medir,
establecer prioridades, hacer seguimientos,
3.1.4 Reconocindose que ningn sistema complejo permite mitigar y transferir el riesgo ciberntico, mediante
una mitigacin completa (100%) del riesgo, el objetivo la aplicacin, en la medida de lo posible, de
global de un enfoque basado en el riesgo con respecto mejores prcticas o directrices.
alaseguridad ciberntica es la resiliencia del sistema:
susupervivencia y rpida recuperacin tras un ataque 3.3.2.2 El Programa incluye evaluaciones internas
oaccidente. delimpacto sobre las operaciones, los activos
yla reputacin tanto en trminos cualitativos
como cuantitativos (financieros).
3.2 Gobernanza: liderazgo y pauta
3.3.2.3 El Programa incluye estrategias especficas
3.2.1 El equipo de direccin ejecutiva es el encargado de conlas que se pretende reducir el promedio
supervisar la elaboracin y la ejecucin de un programa detiempo necesario para la recuperacin
eficaz de mejores prcticas para la gestin del riesgo (esdecir, mejorar la resiliencia) en caso
ciberntico en el marco de sus actividades ms degrandes ataques o fallos.
generalizadas de gestin del riesgo.
3.3.2.4 La organizacin hace un seguimiento de la
3.2.1.1 El Programa deber basarse en los Principios y eficacia de la mejora de la resiliencia ciberntica
dems prioridades relevantes de la compaa, y yde la reduccin del riesgo ciberntico.
el equipo de direccin ejecutiva deber
proporcionar el liderazgo, los recursos y el apoyo 3.3.2.5 Cada cierto tiempo, la organizacin evala y
activo necesarios para la ejecucin del Programa. asegura la asignacin de los recursos para
quesean adecuados a su estrategia de gestin
3.2.1.2 El equipo de direccin ejecutiva se asegura de de riesgos.
que se realice una revisin interna de la eficacia
del Programa y de que, si se identifican 3.3.3 La organizacin verifica interna y peridicamente su
carencias, se adopten medidas correctivas. cumplimiento con las reglas y reglamentos pertinentes
yrelevantes para su exposicin al riesgo ciberntico.
3.2.2 El Director General (o equivalente) y el equipo de direccin
ejecutiva demuestran un compromiso visible y activo con 3.3.4 Las prcticas y las polticas de la organizacin incorporan
respecto a la aplicacin de los Principios. yreflejan su compromiso con respecto a la mejora de la
resiliencia ciberntica y la reduccin del riesgo.
3.2.3 El Director General (o equivalente) es responsable, en
ltima instancia, de que el Programa se ejecute de forma
coherente con unas lneas claras de autoridad, 3.4. Proveedores y terceros
informacin, delegacin y responsabilidad.
3.4.1 La organizacin se asegura de que las partes que no estn
3.2.4 A los ejecutivos y los directores se les otorgan las directamente sujetas a las polticas internas de la compaa
herramientas y la autoridad necesarias para fomentar la pero cuya conducta fidedigna, incluida la de sus
resiliencia y mitigar los riesgos cibernticos susceptibles proveedores y terceras partes relevantes, se pueda
de incidir y/u originarse en sus respectivas lneas establecer por contrato respetan las normas especficas
denegocio y, en cualquier caso, para ejercer sus de gestin del riesgo ciberntico o las mejores prcticas del
responsabilidades con respecto a la organizacin sector en consonancia con los Principios, y formalizan este
de forma coherente con los Principios. requisito mediante las citadas obligaciones contractuales.
3.2.5 El Director General (o equivalente) posee un plan y una 3.4.2 Cuando proceda, los contratistas y los proveedores
trayectoria decisoria claros en materia de actuacin y debern recibir formacin sobre el Programa.
comunicacin en caso de que se produzca un fallo
significativo de los sistemas de informacin
interconectados proporcionados o utilizados
porlaorganizacin.
Programa
9. La organizacin realiza evaluaciones exhaustivas de sus vulnerabilidades con respecto
1 2 3 4 5
ariesgos cibernticos internos y externos acordes con su industria y sector.
10. La organizacin hace un seguimiento de la eficacia de su estrategia de gestin del riesgo ciberntico. 1 2 3 4 5
11. La organizacin verifica internamente de forma peridica su cumplimiento con las reglas y los reglamentos. 1 2 3 4 5
12. El compromiso de la organizacin con el Programa se refleja en sus polticas y prcticas. 1 2 3 4 5
13. Los directores, los empleados y los agentes reciben formacin especfica sobre el Programa,
1 2 3 4 5
adaptada a las necesidades y circunstancias pertinentes.
14. La organizacin ha identificado sus datos y su informacin como activos esenciales y organiza
su Programa en torno al reconocimiento de que los datos y la informacin poseen un valor 1 2 3 4 5
que puede reconocerse y protegerse de forma independiente.
15. El Programa de gestin del riesgo incluye todas las relaciones materiales con terceros y los
1 2 3 4 5
flujos de informacin.
16. La organizacin realiza evaluaciones internas y exhaustivas sobre el impacto de los riesgos
1 2 3 4 5
cibernticos a corto y largo plazo.
Red
17. La organizacin busca garantizar que sus proveedores y terceras partes relevantes cumplan las normas
de gestin del riesgo ciberntico especficas de la organizacin o las mejores prcticas de la industria, 1 2 3 4 5
en consonancia con los Principios, y formaliza este requisito mediante obligaciones contractuales.
18. La organizacin ha forjado relaciones con sus homlogos y sus socios para gestionar
1 2 3 4 5
conjuntamente el riesgo ciberntico y abordar con mayor eficacia los incidentes cibernticos.
19. El Programa de gestin del riesgo incluye todas las relaciones materiales con terceros
1 2 3 4 5
ylosflujos de informacin.
5.2.1 "Seguridad ciberntica" hace referencia a los anlisis, 5.4.1 Adems de la aplicacin de medidas tcnicas, la gestin
advertencias, intercambio de informacin, reduccin del riesgo ciberntico tiene por objeto influir en la conducta
delavulnerabilidad, mitigacin del riesgo y esfuerzos humana y en las normas, as como en los controles
derecuperacin dirigidos a los sistemas de informacin tcnicos y en las interacciones entre mquinas y se
interconectados. propone coordinar las actividades y los procesos
conelfinde prevenir consecuencias no deseadas.
5.3 Riesgos cibernticos
5.4.2 Una "evaluacin de riesgos" es el proceso que emprende
5.3.1 Los "riesgos cibernticos" se definen como la combinacin una organizacin con el fin de analizar, evaluar y
de la probabilidad de que se produzca un evento en el comprender el espectro de riesgos, la probabilidad
mbito de los sistemas de informacin interconectados y las potencial de que se produzcan y su gravedad con el fin
consecuencias del mismo para los activos y la reputacin. depoder actuar para mitigar los riesgos inaceptables
parala organizacin.
5.3.2 Los riesgos cibernticos constituyen una cuestin
empresarial que entraa aspectos tcnicos. 5.4.3 "Estrategias para la transferencia del riesgo" (tales como la
Elriesgociberntico afecta y se ve afectado indemnizacin, el seguro y las soluciones de transferencia
portodoslosmbitos de la organizacin. del riesgo estructuradas) son mtodos a los que puede
recurrir una organizacin para abordar el riesgo.
5.3.3 Las "amenazas cibernticas" son eventos cibernticos
potenciales susceptibles de provocar resultados no 5.5 Resiliencia ciberntica
deseados, causando daos a un sistema u organizacin.
Las amenazas pueden originarse externa o internamente 5.5.1 Como dimensin adicional de la gestin del riesgo
ypueden originarlas individuos u organizaciones. ciberntico, la "resiliencia ciberntica" se define como
lacapacidad de los sistemas y las organizaciones para
5.3.4 Las "vulnerabilidades cibernticas" son susceptibilidades resistir a los eventos cibernticos, medida mediante la
odefensas insuficientes para la proteccin de un activo o combinacin del promedio de tiempo necesario para
grupo de activos y capacidades frente a las amenazas quese produzca un fallo y del promedio de tiempo
cibernticas. necesario para la recuperacin.
- -
Figura 2: Marco del riesgo ciberntico
Amenazas
+ Vulnerabilidades Valores en riesgo Respuestas
Tradicionales
Polticas
Personas
Hacktivismo
Reglamentos
Espionaje
Prctica deficiente
corporativo Activos
Gobernanza
Accidental
Comunidad
Procesos
Sistmicas
Mercados de riesgo
Criminal
Seguridad integrada
Grupo de Trabajo
Mustaque Ahamad Profesor y Director Georgia Tech Information Security Center
Eric Allegakoen Vicepresidente, Auditora Global y Servicios de Seguros Adobe
Mohd Amin Presidente Impact
Jolyon Barker Director General, Tecnologa Global, Medios de Comunicacin y Telecomunicaciones Deloitte (Asesor del proyecto)
Drew Bartkiewicz Vicepresidente, Servicios Estratgicos Mashery
Mark Bauhaus Vicepresidente Ejecutivo y Director General Juniper Networks
Jennifer Byrne Vicepresidenta Lockheed Martin
William Casazza Vicepresidente Snior y Consejero General Aetna
Paloma Castro Directora, Asuntos Corporativos Globales LVMH
Steve Culp Director General, Gestin de Riesgos Accenture
Scott David Asociado (Consejero Legal de OIX) K&L Gates
Serge Dumont Vicepresidente y Presidente del Grupo, Asia-Pacfico Omnicom
John Evans Vicepresidente, Innovacin Empresarial Lockheed Martin
Stacy Feuer Directora Adjunta para la Proteccin Internacional de los Consumidores Comisin Federal de Comercio
Allan Friedman Director de Investigacin, Centro para la Innovacin Tecnolgica Brookings Institution
Marc Goodman Profesor y Asesor en materia de Seguridad Universidad de la Singularidad
Cristin Goodwin Abogada Snior Microsoft Corporation
Meghan Hannes Directora General CloudInsure
Kevin Harried Vicepresidente Snior, Gestin de Riesgos FIS/Capco
Phillip Harrington Vicepresidente Ejecutivo, Riesgos y Director Administrativo CA Technologies
Bret Hartman Director Tecnolgico, RSA EMC
Anwarul Hasan Director, Gestin de Riesgos SwissRe
Ray Johnson Vicepresidente Snior y Director Tecnolgico Lockheed Martin
Yuecel Karabulut Asesor Jefe de Seguridad SAP
David Kirkpatrick Fundador y Director General Techonomy
Robert Kirkpatrick Director Iniciativa Global Pulse de las Naciones Unidas
Susan Kish Directora de Plataformas Multisectoriales Bloomberg
Tarkan Maner Presidente y Director General Dell Wyse
Christophe Nicolas Vicepresidente Snior y Director Tecnolgico Kudelski Group
JP Rangaswami Cientfico Jefe Salesforce.com
Paul Saffo Autor y Analista Discern Analytics
Alexis Samuel Director de Riesgos Wipro
Murat Sonmez Vicepresidente Ejecutivo, Operaciones de Campo Globales TIBCO Software
Deirdre Stanley Consejera General Thomson Reuters
Ray Stanton Director Global de Continuidad Empresarial, Seguridad y Gobernanza BT Group
Owen Tripp Director de Operaciones Reputation.com
Andrew Vitrano Consejero General Adjunto y Subsecretario Corporativo IntraLinks
Mark Walsh Vicepresidente, Seguridad de la Informacin BAE Systems
Jody Westby Director General Global Cyber Risk
Asesores adicionales
Colin Adams Director de Comercializacin, Facultad de Informtica Universidad de Edimburgo
Rod Beckstrom Director General ICANN
Michael Fertik Fundador y Director General Reputation.com
Lee Hibbard Secretario, Comisin del Convenio sobre la Ciberdelincuencia y Director de Proteccin de Consejo de Europa
Datos y Ciberdelincuencia, Direccin General de Derechos Humanos y Estado de Derecho
Peter Hustinx Supervisor Europeo de Proteccin de Datos
Viktor Mayer-Schnberger Profesor, Gobernanza y Regulacin de Internet Oxford Internet Institute
Jun Murai Decano y Profesor, Facultad de Estudios de Medio Ambiente e Informacin Universidad de Keio
Ken Senser Vicepresidente Snior de Seguridad Global, Aviacin y Viajes Wal-Mart
Hamadoun I. Tour Secretario General Unin Internacional de Telecomunicaciones (UIT)
Atsushi Umino Director de Coordinacin de Poltica Internacional, Oficina Mundial de Estrategias de TIC Ministerio de Asuntos Interiores y Comunicaciones
Jonathan Zittrain Profesor de Derecho y Profesor de Ciencias Informticas Universidad de Harvard
Contacto: Derek OHalloran, Asociaciones de Tecnologas de la Informacin de Socios de Liderazgo Mundial, Foro Econmico Mundial, derek.ohalloran@weforum.org
Alex de Leeuw, Asociaciones de Tecnologas de la Informacin, Foro Econmico Mundial, alex.deleeuw@weforum.org
www.weforum.org/cyber
contact@weforum.org
www.weforum.org