La Empresa Ciberresiliente:

Lo que el Consejo de Administración

Tiene que Preguntar

Sinopsis
Mientras las empresas luchan por ganar valor apoyándose en la
tecnología, los riesgos asociados con los negocios digitales se
incrementan. Los robos de información personal e información
privada de negocio, las malversaciones de recursos, las
denegaciones de servicio y los ciber robos se están convirtiendo en
algo habitual, afectando a empresas pequeñas y grandes. Enfoques
aislados de la seguridad de la información, de la continuidad de
negocio y de la respuesta ante incidentes forman parte del pasado;
hoy en día la necesidad de proporcionar servicios con disponibilidad
continua para clientes y socios en la economía digital exige a las
empresas ser resilientes. Una empresa resiliente se protege a sí
misma de los ataques, pero también reconoce que la defensa no es el
único factor esencial. Una empresa resiliente necesita conectar
protección y recuperación a la misión y metas de la empresa,
implementando programas integrados que aseguren la sostenibilidad
de los servicios esenciales. Los miembros del Consejo tienen que
evaluar el riesgo operativo inherente a los negocios digitales y dirigir la
gestión para asegurar que la empresa no está simplemente protegida
- es resiliente.

www.isaca.org/cyber
La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

Ideas Clave
Dada la naturaleza de los negocios digitales y el
valor proporcionado por el uso de la tecnología
para satisfacer las necesidades de los grupos de
• La Asociación Nacional de Directores Corporativos interés, puede ser apropiado que el consejo haga las
recomienda que “los consejos deben asegurar siguientes preguntas:
que la dirección está totalmente comprometida en
el desarrollo de planes de defensa y respuesta” y • ¿Se presta suficiente atención a la capacidad
advierte que hacer lo contrario supone poner en de defenderse contra intrusiones, así como a la
peligro los principales activos de la empresa.1 capacidad de recuperar y restaurar funciones y
servicios esenciales?
• De acuerdo a un estudio reciente del Instituto
Ponemon,2 las empresas tardaron una media de • ¿Se informa al consejo de forma rutinaria sobre
170 días en detectar un ataque de un externo los potenciales riesgos operativos materiales y las
malicioso y 259 días cuando hubo infiltrados estrategias de mitigación de riesgos, así como de
involucrados en el ataque. los incidentes que podrían afectar a la marca?

• Ciberresiliencia es la capacidad de una empresa • ¿En qué medida se han identificado los servicios
para anticipar, aguantar, recuperarse de y y funciones esenciales y se han implementado
evolucionar para mejorar sus capacidades al programas para hacerlos resilientes en caso de
enfrentarse a condiciones adversas, situaciones disrupción o ciber incidente?
límite o ataques contra los recursos que necesita
para funcionar.3

1
National Association of Corporate Directors, Cyber-Risk Oversight Handbook, 10 de junio de 2014, https://www.nacdonline.org/Resources/Article.cfm?ItemNumber=10688
2
Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, https://ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf
3
Bodeau, Deborah J.; Richard Graubart; Cyber Resiliency Engineering Framework, The MITRE Corporation, 2011, www.mitre.org/sites/default/files/pdf/11_4436.pdf

© 2015 ISACA. Todos los Derechos Reservados. 2

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

Introducción
no abrir adjuntos sospechosos y comprendiera
cómo responder a mensajes de correo electrónico o
llamadas de teléfono dudosos. Para cada amenaza
aparentemente técnica había una respuesta técnica.
Los ciberincidentes y las pérdidas asociadas a ellos
se han incrementado año tras año, provocando
Actualmente, en cambio, no es suficiente con
que los consejos de administración y los ejecutivos
centrarse solamente en las amenazas técnicas y en las
se conciencien sobre la necesidad de gobernar
soluciones técnicas. Las empresas afrontan ataques
y gestionar el ciberriesgo. En una conferencia persistentes que explotan debilidades de una forma
pronunciada en junio de 2014 en la bolsa de Nueva más sistémica. Los atacantes sólo necesitan tener
York, el comisionado de la Comisión de Valores de éxito una vez para penetrar en la empresa, mientras
Estados Unidos (SEC) Luis A. Aguilar se refirió al que las medidas de seguridad tienen que ser eficaces
creciente número y severidad de los ciberataques siempre y en todo momento, independientemente del
y apuntó el daño inaceptable que estos ataques método de ataque.
habían infligido a los consumidores y a la cuenta de
resultados de los que habían sido víctimas.4 Mientras A pesar de que los ciberatacantes todavía utilizan
que implementar programas de gestión de riesgos mecanismos técnicos y sociales que han estado en
es una responsabilidad de la dirección, los miembros uso durante muchos años, la diferencia es que los
del consejo de administración y de los comités de atacantes actuales son persistentes y las técnicas de
auditoría y de riesgos del consejo tienen que ejercer ataque que utilizan incluyen métodos avanzados. Los
su responsabilidad de supervisión para asegurar que atacantes están centrados y son capaces de sortear
los planes son completos y que su implementación los controles o de encontrar las debilidades que les
protege apropiadamente a la organización. permiten robar secretos comerciales e información
de carácter personal, cometer fraude, o hacerse con
La postura de riesgo de las empresas es muy diferente recursos valiosos. Implementar controles técnicos
actualmente debido a la estrecha integración de los de prevención y detección ya no es suficiente.
sistemas de información y comunicaciones en el Actualmente, la ciberseguridad tiene que abordarse
tejido de operaciones y de los mercados a los que de una forma más holística. Construir barreras
se sirve. Cuando se integra con riesgo técnico y con defensivas más altas e instalar soluciones de defensa
el potencial de intrusión y de compromiso, la gestión en profundidad ya no es suficiente para prevenir
de riesgos de la empresa necesita la implementación intrusiones criminales y compromisos.
de nuevos enfoques de protección y respuesta. La
tecnología de la información es una parte esencial En la economía digital, las empresas exitosas son
de cómo se llevan a cabo los negocios, y la aquellas que pueden anticipar eventos amenazantes,
ciberprotección ya no es una cuestión técnica; es una continuar las actividades esenciales a pesar de las
cuestión de negocio que requiere atención del consejo condiciones adversas y restaurar con rapidez las
de administración. funciones de misión crítica. Incluso más importante,
la empresa exitosa tiene la capacidad de evolucionar
Lo que amenaza actualmente a la empresa es muy de modo que el impacto de incidentes potenciales
diferente de las amenazas que existían hace tan sólo y reales se minimice. Estas capacidades incluyen
unos años. Por ejemplo, si entonces se detectaba más cosas de lo que tradicionalmente se asocia
una infección potencial por virus, la dirección podía con seguridad de la información, recuperación ante
implementar software para detectar y erradicar el desastres, continuidad de negocio y gestión de
software malicioso. Como respuesta a la ingeniería crisis. Las capacidades de protección individuales y
social, el personal podía ser educado para que supiera los planes tienen que integrarse en un enfoque más

4
Aguilar, Luis A.; “Boards of Directors, Corporate Governance and Cyber-Risks: Sharpening the Focus,” 10 Junio 2014,
www.sec.gov/News/Speech/Detail/Speech/1370542057946

© 2015 ISACA. Todos los Derechos Reservados. 3

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

holístico de protección. La capacidad de proteger que pueda explicar en términos de negocio y

la empresa de ciberriesgos y sostener las funciones estratégicos el ciberriesgo y el enfoque de los
esenciales es la base de la empresa ciberresiliente. controles?

Debido a la integración rápidamente cambiante

de soluciones digitales en funciones de negocio
emergentes y tradicionales, el consejo de
administración necesita confiar en que tiene la
Ciberresiliencia
información necesaria para evaluar, dirigir y supervisar
los programas y prácticas de la dirección. Las tecnologías de la información y comunicaciones
son una parte esencial de cómo operan las empresas
Aquí se presentan algunas preguntas que pueden y cómo se hacen los negocios. De acuerdo a Internet
ser apropiadas para que pregunte el consejo de World Stats, más de tres mil millones de personas
administración para obtener esta garantía: están actualmente conectadas a Internet.5 El Director
General Ejecutivo (CEO) de Ericsson ha estimado que
• ¿Dispone el consejo de administración de las en 2020 habrá hasta 50 mil millones de dispositivos
competencias adecuadas para comprender los conectados.6 Las fuerzas combinadas de la tecnología
ciberriesgos y determinar si la dirección está móvil, la computación en la nube, los medios
llevando a cabo las acciones adecuadas? sociales y el big data están impulsando cambios
drásticos sociales y económicos. La movilidad y
el acceso a la información y los servicios desde
• ¿Tiene la empresa la capacidad de detectar
cualquier lugar están creando oportunidades para
las condiciones cambiantes de las amenazas y
que los negocios entren en mercados con nuevos
comprender el riesgo potencial para la empresa
productos y para que innoven en cómo se ofrecen los
asociado a estos cambios?
productos existentes a los consumidores. En 2012,
The Boston Consulting Group estimó que en 2016 la
• ¿Está el consejo de administración cibereconomía alcanzaría los 4,2 billones de dólares
suficientemente informado sobre los cambios americanos en las economías del G20; eso significa
en los usos de la tecnología por el negocio y que si la cibereconomía fuera una economía nacional,
el riesgo operacional asociado para ejercer su sería la quinta mayor del mundo.7 Los consejos de
responsabilidad? administración no pueden ignorar la oportunidad que
representa este mercado. Y tampoco pueden fallar en
• ¿En qué medida los programas de seguridad de la asegurar que se ponen en marcha planes adecuados
información y ciberseguridad están alineados con para capacitar a la empresa para evitar ataques y
los requerimientos de negocio? responder y recuperarse ante los ciberincidentes
inevitables. La Asociación Nacional de Directores
• ¿Los líderes de seguridad de la información y de Corporativos recomienda que “los consejos de
las líneas de negocio colaboran para comprender administración tienen que asegurar que la dirección
el riesgo y las soluciones técnicas apropiadas? está totalmente comprometida en desarrollar planes
de defensa y de respuesta” y alerta que lo contrario
• ¿El consejo de administración recibe feedback es poner en peligro los principales activos de la
directamente del Director de Seguridad de empresa.8
la Información o algún director equivalente

5
Internet World Stats, 2014, www.internetworldstats.com/stats.htm
6
Ericsson, “CEO to shareholders: 50 billion connections 2020,” 13 de abril de 2010, www.ericsson.com/thecompany/press/releases/2010/04/1403231
7
The Boston Consulting Group, The Internet Economy in the G-20, 19 de marzo de 2012,
https://www.bcgperspectives.com/content/articles/media_entertainment_strategic_planning_4_2_trillion_opportunity_internet_economy_g20/
8
National Association of Corporate Directors, Cyber-Risk Oversight Handbook, 10 de junio de 2014, https://www.nacdonline.org/Resources/Article.cfm?ItemNumber=10688

© 2015 ISACA. Todos los Derechos Reservados. 4

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

Mientras la cibereconomía está experimentando para comprender y priorizar riesgos de negocio e

crecimiento de dobles dígitos, las pérdidas debidas implementar actividades de gestión de riesgos tiene
al cibercrimen están creciendo continuamente. Un que estar integrado en las operaciones del dia a dia
estudio de 2014 reveló que el coste medio anualizado en todas las funciones de negocio. Una empresa
por el cibercrimen entre las 257 empresas comparadas resiliente sabe qué sistemas de información y
fue de 7,6 millones de dólares americanos anuales. comunicaciones son de misión crítica y ha dado pasos
Algunas empresas en el estudio reportaron para prevenir su interrupción a la vez que reconoce
pérdidas que alcanzaron los 61 millones de dólares que la protección total es imposible. Sabiendo que
americanos.9 Estas pérdidas son el resultado directo los ciberincidentes ocurren incluso en empresas bien
del compromiso de información de carácter personal, protegidas, los consejos de administración de las
robo o reenvío de activos, multas y costes legales. La empresas resilientes se aseguran de que hay políticas
pérdida de reputación y de fondo de comercio, el daño y prácticas implementadas para reducir el daño en
a la marca que se ha forjado durante muchos años y caso de incidente, gestionar eficazmente el incidente y
los costes relativos a la recuperación tras el incidente mejorar aprendiendo de cada incidente.
pueden ser menos visibles.
Dada la naturaleza de los negocios digitales y el valor
A pesar de que los consejos de administración proporcionado por el uso de la tecnología para cumplir
están tomando acciones eficaces en la supervisión, las necesidades de los grupos de interés, el consejo
dirección y evaluación de los ciberprogramas, se de administración tiene que estar seguro de que los
suele prestar menos atención a la planificación de planes de la dirección no solo cubren la defensa, sino
la recuperación. Los consejos de administración que también aseguran que la empresa es resiliente.
tienen que considerar el hecho de evitar incidentes Las siguientes preguntas pueden ser apropiadas para
mediante medidas protectoras, pero no es eso todo que las formule el consejo de administración:
lo que tienen que considerar relativo a ciberseguridad.
También tienen que reconocer que las actividades • ¿Se presta suficiente atención a la capacidad
ciber son una parte integral del negocio y, por tanto, de defenderse contra intrusiones así como a la
la resiliencia es igualmente esencial, añade valor a la capacidad de recuperarse y restaurar funciones y
empresa y merece su atención, especialmente porque servicios esenciales?
los ataques sigilosos y persistentes están siendo cada
vez más preponderantes. • ¿Se informa regularmente al consejo de
administración sobre los potenciales riesgos
La ciberresiliencia es la capacidad de una empresa operativos materiales y las estrategias de
para anticipar, aguantar, recuperarse de y evolucionar mitigación de riesgos, así como de los incidentes
para mejorar sus capacidades al enfrentarse a que pueden impactar a la marca?
condiciones adversas, situaciones límite o ataques
contra los recursos que necesita para funcionar.10 • ¿En qué medida se han identificado los servicios
Esto es más que la combinación de seguridad de y funciones esenciales y se han implementado
la información y planificación de la continuidad de programas para proporcionarles resiliencia
negocio. Para ser resiliente, un enfoque holístico en caso de interrupción o ciberincidente?

9
Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, https://ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf
10
Bodeau, Deborah J.; Richard Graubart; Cyber Resiliency Engineering Framework, The MITRE Corporation, 2011, www.mitre.org/sites/default/files/pdf/11_4436.pdf

© 2015 ISACA. Todos los Derechos Reservados. 5

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

Definiendo las
• Erosionando la confianza del público y de los
clientes cuando se publica información personal
privada

Prioridades de La creación de valor es un objetivo de gobierno, por

Ciberrresiliencia ser central al propósito de la empresa. Cualquier

cosa que amenace la capacidad de la empresa para
crear valor debe ser una prioridad para el consejo de
administración. El valor, como se define en COBIT® 5
Una empresa ciberresiliente conecta las prioridades
para Riesgos, supone un balance entre la obtención
de ciberseguridad con la misión y las metas
de beneficios, la optimización de los riesgos y la
principales de la empresa. Los grupos de interés y sus
optimización de los recursos.11 La promesa de valor
necesidades e intereses se definen y priorizan, y esta
que presentan las oportunidades digitales necesitan
información guía las inversiones en ciberseguridad,
estar balanceadas con el riesgo que es una parte
continuidad de negocio y actividades de recuperación
inherente de estas oportunidades. El ciberriesgo
ante incidentes. Los ciberincidentes amenazan
que se considera solo en términos de tecnología
tanto los activos como las actividades esenciales
no está conectado con la búsqueda de valor de la
de la empresa. El objetivo de la ciberresiliencia es
empresa. Como resultado, el riesgo puede aislarse
asegurar que los procesos críticos continúan estando
de los objetivos y metas de negocio, y el impacto
disponibles a un nivel aceptable incluso durante un
de los riesgos sobre la empresa puede calcularse
incidente amenazador. Para conseguir este objetivo,
erróneamente. El fracaso al conectar ciberriesgo
es esencial que la empresa entienda y priorice las
con procesos y planes de negocio puede producir
necesidades de los grupos de interés, identifique los
varios resultados negativos relativos a actividades
procesos centrales de negocio que son esenciales
y programas productores de valor críticos: Pueden
para alcanzar la misión y las metas de la empresa, y
interrumpirse, no ser capaces de mantener un nivel
comprenda el impacto potencial que un ciberevento
de rendimiento aceptable o no ser recuperables en el
tendrá en los habilitadores críticos de negocio.
tiempo necesario.
Las empresas existen para crear valor para los grupos
Un marco eficaz de gobierno de TI puede ayudar
de interés, incluyendo propietarios, accionistas,
a mitigar parte del riesgo. El Director de Auditoría
empleados, socios, y los clientes a los que sirve la
puede usar un modelo de madurez (es decir, el
empresa. Los ciberincidentes interrumpen la creación
Modelo de Evaluación de Procesos de COBIT)12 para
de valor:
comunicar al consejo de administración y a la alta
dirección la situación actual del entorno de gobierno
• Amenazando la capacidad de la empresa para
de TI. Al evaluar el nivel de madurez del gobierno TI
continuar sirviendo a los clientes.
de la empresa, la alta dirección — con el apoyo y la
dirección del consejo de administración — puede
• Impactando sobre las relaciones críticas del
empezarse a modificar y/o implementar prácticas,
negocio
políticas y procedimientos que ayudarán a la empresa
a la optimización del gobierno de TI.
• Creando retos legales y regulatorios

• Impidiendo oportunidades futuras cuando se

compromete información sensible sobre planes,
diseños y procesos

11
ISACA, COBIT® 5 para Riesgos, EE.UU., 2013, www.isaca.org/COBIT/Pages/Risk-product-page.aspx
12
ISACA, Modelo de Evaluación de Procesos (PAM): Usando COBIT® 5, EE.UU., 2013, www.isaca.org/COBIT/Pages/COBIT-Assessment-Programme.aspx

© 2015 ISACA. Todos los Derechos Reservados. 6

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

La optimización de riesgos requiere que el consejo de
administración comprenda los planes y actividades de
la dirección para balancear la aceptación y rechazo
de riesgos en el contexto de las metas, estrategia y
objetivos de la empresa. El consejo de administración
necesita aprobar el balance riesgo-beneficio que se
defina en términos de apetito al riesgo. El punto de
balance entre la aceptación y rechazo de riesgos tiene
que comunicarse a toda la empresa porque es parte
de la planificación y administración de las actividades
ciber del negocio.
Los escenarios de riesgo se usan con frecuencia como
una ayuda para asegurar que se identifica el riesgo y
se mantiene el balance entre aceptación y rechazo.
Los escenarios de riesgo emplean terminología
de negocio para describir el efecto que un riesgo
puede tener sobre la consecución de los objetivos
de la empresa, a partir de la comprensión del origen,
naturaleza, características, recursos afectados y la
duración de un incidente del riesgo.13 La figura 1
contiene una descripción genérica de los contenidos
que deben incluirse en un escenario de riesgo.

FIGURA

1 Contenidos de los Escenarios de Riesgo

Evento
• Revelación
• Interrupción
• Modificación
• Robo
• Destrucción
• Diseño no efectivo
Tipo de Amenaza • Ejecución no efectiva Activo/Recurso
• Maliciosa • Reglas y regulaciones • Personas y habilidades
• Accidental • Uso inapropiado • Estructuras Organizativas
• Error • Proceso
• Fallo • Infraestructura (instalaciones)
• Naturaleza • Infraestructura de IT
• Requisito externo • Información
• Aplicaciones

Actor Escenario Tiempo

• Interno (empleado, contratado) • Duración
• Externo (competidor, intruso, socio, de • Momento de ocurrencia (crítico o no-crítico)
regulador, mercado) Riesgo • Detección
• Lapso de tiempo

Fuente: ISACA, COBIT® 5 para Riesgos, EE.UU, 2013, figura 36

13
ISACA, COBIT® 5 para Riesgos, EE.UU., 2013, www.isaca.org/COBIT/Pages/Risk-product-page.aspx

© 2015 ISACA. Todos los Derechos Reservados. 7

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

La Protección
La identificación de ciberriesgos de negocio y su
integración en la planificación y administración del
negocio mediante la planificación de escenarios
depende de la definición de los procesos críticos,
la comprensión de los requerimientos mínimos para y la Empresa
Ciberrresiliente
continuar esos procesos y la determinación del tiempo
en el que es esencial la restauración de la capacidad
total. La comprensión del riesgo mediante el uso de
escenarios de riesgo también conecta las diferentes
funciones de la empresa porque, en la empresa En 2014, ISACA y el Institute of Internal Auditors
moderna, las funciones centrales y las capacidades Research Foundation publicaron conjuntamente
esenciales para cubrir las necesidades de los grupos Cybersecurity: What the Board of Directors Needs
de interés cruzan las fronteras organizativas. to Ask, que establece que la ciberseguridad es
una obligación para el consejo de administración
Mientras el consejo de administración supervisa y recomienda que los miembros del consejo de
para que se cumplan las expectativas de los administración soliciten información y consejo para
grupos de interés y crezca el negocio, tiene que ayudarles a asegurar el futuro de la empresa.14 Los
valorar con cuidado la identificación de riesgos y la miembros del consejo de administración tienen
implementación de programas de riesgos. El consejo que estar informados sobre las actividades de
de administración puede considerar adecuadas las negocio y el ciberriesgo para que puedan ejercitar
siguientes preguntas en este contexto: su responsabilidad de evaluar y dirigir a la dirección,
que a su vez guía e implementa programas de
• ¿Las evaluaciones de impacto sobre el negocio y los ciberprotección.
ejercicios de planificación de escenarios se utilizan
para documentar la criticidad de los procesos y Un elemento importante para alcanzar la
servicios de negocio? ¿Se actualizan para reflejar los ciberresiliencia es la capacidad de implementar
requerimientos que cambian y los nuevos servicios medidas protectoras consistentes con el balance
y productos dependientes de la tecnología que se riesgo/beneficio aprobado por el consejo de
introducen o mejoran? administración. La ciberdefensa no es una actividad
para realizar una vez. Las estrategias y programas
• ¿En qué medida se balancean las metas y beneficios de ciberseguridad deben adaptarse a los cambios
deseados con la comprensión del riesgo al que surgen de la evolución de la empresa, que es
considerar servicios y productos digitales? un resultado natural de la incorporación de nuevas
tecnologías, distribución de nuevos productos y
servicios, y acuerdos con nuevos socios. Según
• ¿Se han adoptado métodos formales para
cambia el panorama de amenazas, los escenarios
proporcionar un enfoque balanceado para la
de riesgo tienen que ser revisitados y las prácticas
planificación de negocio y la identificación y
de seguridad modificadas para atender a nuevas
respuesta a riesgos?
prioridades. Mantener una postura eficaz de
ciberseguridad requiere atención constante y la
capacidad de entender las condiciones actuales y las
capacidades que serán requeridas como resultado del
cambio. Dada la complejidad de la ciberprotección y la
necesidad de responder a la aplicación de tecnologías

14
The Institute of Internal Auditors Research Foundation, ISACA, Cybersecurity: What the Board of Directors Needs to Ask, 2014,
https://www.theiia.org/bookstore/product/cyber-security-what-the-board-of-directors-needs-to-ask-download-pdf-1852.cfm

© 2015 ISACA. Todos los Derechos Reservados. 8

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

nuevas y emergentes a cuestiones de negocio, es Como un imperativo de negocio, la ciberseguridad

importante para la empresa emplear un enfoque tiene que proporcionar, para el gobierno adecuado de
estructurado al diseño y la gestión del programa de la función, la capacidad de priorizar programas para
ciberseguridad. alcanzar el mayor impacto, y elementos técnicos y
administrativos requeridos para diseñar e implementar
En julio de 2015 el National Institute of Standards la arquitectura de ciberseguridad. Al definirse el
and Technology (NIST) de los Estados Unidos programa de protección, hay que considerar la
publicó una actualización del Marco para la Mejora variedad de incidentes que pueden erosionar el
de la Ciberseguridad de Infraestructuras Críticas valor e impedir la prestación de servicios esenciales.
(Cybersecurity Framework). El marco actúa como una La protección también requiere reconocer que los
guía para que las empresas desarrollen y mantengan ataques pueden proceder de fuentes confiables,
programas que integren soluciones previstas para incluyendo proveedores de servicios y socios.
abordar ciberriesgos como parte de los procesos de
gestión de riesgos de la empresa.15 El marco recurre A pesar de que muchos ciberincidentes son de
a guías reconocidas como COBIT® 5 para Seguridad naturaleza técnica, las personas también pueden
de la Información y a estándares internacionales como causar o contribuir significativamente a un incidente.
ISO/IEC 27001:2013 Tecnología de la Información— La pérdida o el compromiso de información de
Técnicas de seguridad—Gestión de la seguridad de carácter personal puede ser resultado de errores
la información—Requerimientos para proporcionar u omisiones de empleados, quizá algo tan simple
principios generales y mejores prácticas reconocidos como no proteger documentos físicos o perder un
internacionalmente para mejorar la protección y la dispositivo móvil.
resiliencia al afrontar riesgos de forma continua para
empresas pequeñas y grandes. El beneficio de utilizar La naturaleza cambiante del mundo digital y las
COBIT para Seguridad de la Información o el Marco amenazas contra las empresas crean la necesidad de
de Ciberseguridad del NIST es que fundamentan pensar sobre la protección de una forma diferente.
a la empresa en mejores prácticas y estándares Las siguientes preguntas pueden ayudar al consejo de
internacionales y proporcionan una posición administración a asegurar que se proporciona un nivel
defendible que demuestra que se ha implementado un adecuado de protección, un nivel que aborda la amplia
enfoque completo y holístico. variedad de vías para ataques y compromisos:

• ¿Se han establecido métodos formales y

estructurados para implementar y gestionar
el programa de ciberprotección de forma que
sea consistente con marcos o estándares
reconocidos?

• ¿Se han integrados los programas de protección

para la defensa y la detección de incidentes
en un enfoque más holístico de respuesta y
recuperación?

• ¿El programa de protección aborda la seguridad

de una manera holística, considerando tanto el
riesgo técnico como los incidentes que pueden
surgir de errores y omisiones de fuentes internas o
terceros?

15
NIST, Framework for Improving Critical Infrastructure Cybersecurity, 2015, www.nist.gov/cyberframework/

© 2015 ISACA. Todos los Derechos Reservados. 9

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

Sostenibilidad
identificación de riesgo operacional y la planificación
de la protección, hasta la detección y la recuperación
de los incidentes y la concienciación — sean parte de

y la Empresa un enfoque integrado y holístico que abarque toda la

empresa.

Ciberresiliente Es posible para casi todas las empresas experimentar

un incidente entre significativo y benigno en algún
momento, independientemente de su inversión en
La capacidad de proteger a la empresa de intrusiones protección. Una empresa puede ser un objetivo
es sólo parte de lo que se necesita para asegurar que específico o puede ser víctima cuando un socio o
las necesidades de los grupos de interés continúan proveedor de servicios caiga en un ciberataque. Un
cubiertas y el valor esperado de los negocios digitales ciberincidente puede surgir de errores u omisiones
se produce de forma consistente. También como parte de empleados, o un ataque puede ser el resultado
del éxito continuado es proporcionar la continuidad y de vulnerabilidades recientemente descubiertas o
la recuperabilidad de servicios y procesos esenciales, un fallo en el parcheo de sistemas. Las múltiples
a pesar de amenazas como el acoso digital en forma vías disponibles para los atacantes hacen imposible
de ataques de denegación de servicio, intrusiones, garantizar la protección.
robos y el compromiso de la integridad de los
sistemas. Las empresas prudentes se preparan para La protección debe balancearse con monitorización
evitar incidentes, pero también implementan planes continua del entorno y, en particular, de los sistemas
de recuperación de desastres y de continuidad de y redes esenciales para que las anomalías y los
negocio. Su necesidad es doble: incidentes se detecten rápidamente. No es infrecuente
que muchos ataques no se detecten en meses y
1. Responder cuando se detecta un incidente. sólo reciban atención de la dirección cuando se
ha producido un gran daño. Desafortunadamente,
2. Tener una capacidad integrada que conecte es incluso más habitual que las víctimas sean
la protección con la detección, respuesta, conscientes sólo cuando se lo comunica otra empresa
recuperación, y más importante, la continuidad de o alguien impactado por el mismo ataque. En este
los servicios y funciones centrales. punto, las pérdidas son probablemente materiales.
Un retraso así en la detección y respuesta es
La empresa resiliente se asegura de que puede difícil de explicar a los grupos de interés, socios y
alcanzar sus metas estratégicas identificando y clientes. ¿Cómo no se ha detectado mucho antes un
priorizando áreas de riesgo operacional y soportando compromiso de una dimensión tan significativa? De
servicios centrales cuando se materializa un riesgo. acuerdo a un estudio reciente del Instituto Ponemon,
Como parte integral de la identificación de metas las empresas tardaron una media de 170 días en
estratégicas y riesgos potenciales, la empresa detectar un ataque de un externo malicioso y 259 días
resiliente afronta los retos cuando ocurren y es capaz cuando hubo infiltrados involucrados en el ataque.17
de recuperar la normalidad de las operaciones lo más
rápidamente posible.16 Sin embargo, la recuperación La respuesta ante incidentes es gestión de crisis. El
ante desastres y la continuidad de negocio pueden nivel de la crisis depende de lo que está en riesgo,
enfocarse principalmente en la recuperación de llámese reputación y marca de la empresa, pérdidas
capacidades técnicas y no considerar holísticamente financieras o la confianza y lealtad de los grupos
el entorno de producción de valor del que depende de interés. Los grupos de interés probablemente
la empresa. La resiliencia requiere que todas las considerarán la conducta de una empresa durante
actividades, programas y procesos — desde la una cibercrisis como un indicador de la calidad de
especificación de las metas de la empresa y las sus líderes y sus valores. El impacto duradero de
necesidades de los grupos de interés, pasando por la un ciberincidente puede estar más relacionado con

16
Caralli, Richard A.; Allen, Julia H.; Curtis, Pamela D.; White, David W.; Young, Lisa R.; CERT® Resilience Management Model, Version 1.0, Software Engineering Institute, mayo de 2010
http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=9479
17
Ponemon Institute, 2014 Global Report on the Cost of Cyber Crime, https://ssl.www8.hp.com/ww/en/secure/pdf/4aa5-5207enw.pdf

© 2015 ISACA. Todos los Derechos Reservados. 10

La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar
cómo fue gestionado que con el número de registros
comprometidos o el valor perdido.
La comunicación es potencialmente más importante
que otros elementos de la gestión y recuperación de
incidentes. La gestión de ciberincidentes requiere una
amplia participación dentro de la empresa, incorporando
experiencia en tecnología y política. La comunicación
relativa a ciberincidentes debe ser estratégica,
significativa e inclusiva. La transparencia con audiencias
internas y externas es clave, y cualquier intento de
ocultar la verdad se interpretará de forma negativa.
Las cibercrisis frecuentemente comienzan con la
detección del incidente y terminan con la erradicación
del malware o del software comprometido. Sin embargo,
las intrusiones se experimentan frecuentemente incluso
después del supuesto punto de vuelta a la normalidad.
El programa de ciberresiliencia necesita cubrir la
necesidad de cautela al declarar la finalización del
incidente.
Los ciberincidentes pueden llegar a ser situaciones de
crisis rápidamente, a menos que haya una detección
temprana y una respuesta eficaz. Las siguientes
preguntas pueden ayudar al consejo de administración
a asegurar que se han implementado capacidades de
detección y respuesta apropiadas y eficaces:
• ¿La detección de incidentes está suficientemente
integrada con la respuesta y la recuperación para
hacer resiliente a la empresa?
• ¿Las experiencias de gestión de incidentes/de crisis
han demostrado que la empresa tiene la capacidad
de ser resiliente? ¿Se han utilizado estos incidentes
para mejorar las capacidades de resiliencia?
• ¿Las capacidades de detección son suficientes
para identificar anomalías que puedieran indicar una
ciberintrusión o ataque?
• ¿Se ha implementado la apropiada estructura de
gestión para asegurar una capacidad de respuesta
eficaz?
© 2015 ISACA. Todos los Derechos Reservados.
• ¿Se ha implementado una capacidad de
comunicación de crisis y se ha integrado con la
planificación de la respuesta?
• ¿Se han identificado todos los grupos de interés y
sus necesidades y se han considerado al desarrollar
los planes de respuesta ante incidentes?
• ¿La respuesta ante incidentes se ha practicado
recientemente y las lecciones aprendidas se han
utilizado para actualizar y refinar el programa de
respuesta ante incidentes?
Resumen
A pesar de que el valor de competir en la economía
digital es evidente, también está claro que los
cibercriminales pueden comprometer incluso la mejor
de las defensas de seguridad. La naturaleza persistente
de los atacantes asegura que encontrarán una vía de
compromiso y, una vez que penetren en las defensas,
serán capaces de expandir su acceso y alcanzar
sus metas. Las técnicas avanzadas de ataque de los
cibercriminales y el uso de métodos para los que no
hay protección conocida (vulnerabilidades de día cero)
pueden dejar a las empresas sin defensa. El valor de
los negocios digitales y la amenaza de compromiso
requieren que los consejos de administración se
aseguren que hay programas eficaces implantados
no sólo para defender la empresa, sino también
para detectar y responder ante incidentes y, con
total prontitud, recuperar las funciones y servicios
esenciales. Los reguladores, legisladores y jueces
están reconociendo la necesidad de las empresas
de proporcionar un gobierno y gestión eficaces para
la ciberprotección y la sostenibilidad. El gobierno
eficaz de los consejos de administración es esencial
para asegurar que las necesidades de los grupos de
interés se conocen y consideran cuando se desarrollan
programas de protección para crear la empresa
realmente resilliente.
11
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Teléfono: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Página web: www.isaca.org
Comentarios:
www.isaca.org/cyberresilient
Participa en ISACA Knowledge
Center:
www.isaca.org/knowledge-center
Síguenos en el Twitter de ISACA:
https://twitter.com/ISACANews
Únete al LinkedIn de ISACA:
ISACA (Official),
http://linkd.in/ISACAOfficial
ISACA en Facebook:
www.facebook.com/ISACAHQ
© 2015 ISACA. Todos los Derechos Reservados.
ISACA®
ISACA (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un
mundo digital en evolución, ofreciendo desarrollo de carrera, estándares, relaciones, acreditaciones y
conocimientos innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global
sin ánimo de lucro con 140 000 profesionales en 180 países. ISACA también ofrece Cybersecurity
Nexus™ (CSX), un recurso holístico en ciberseguridad, y COBIT®, un marco de negocio para gobernar
la tecnología de la empresa.
Quality Statement
This Work is translated into Spanish from the English language version of The Cyberresilient Entreprise: What the Board of Di-
rectors Needs to Ask by the ISACA® Madrid Chapter with the permission of ISACA®. The ISACA® Madrid Chapter assumes
sole responsibility for the accuracy and faithfulness of the translation.
Declaración de Calidad
Este Trabajo ha sido traducido al español desde la versión en inglés de La Empresa Ciberresiliente: Lo que el Consejo de
Administración Tiene que Preguntar, por el Capítulo de Madrid de ISACA® con permiso de ISACA®. El capítulo de ISACA®
Madrid asume responsabilidad única por la exactitud y la fidelidad de la traducción.
Disclaimer
This is an educational resource and is not inclusive of all information that may be needed to assure a successful outcome.
Readers should apply their own professional judgment to their specific circumstances.
Renuncia
Este es un recurso educativo y puede no incluir toda la información necesaria para garantizar un resultado satisfactorio. El
lector debe aplicar su propio criterio profesional a sus circunstancias específicas.
12
La Empresa Ciberrresiliente: Lo que el Consejo de Administración Tiene que Preguntar

Reservation of Rights
© 2015 ISACA. All rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed, dis-
played, stored in a retrieval system or transmitted in any form by any means (electronic, mechanical, photocopying, recording
or otherwise) without the prior written authorization of ISACA. Reproduction and use of all or portions of this publication are
permitted solely for academic, internal and noncommercial use and for consulting/advisory engagements, and must include full
attribution of the material’s source. No other right or permission is granted with respect to this work.

Derechos Reservados
© 2015 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, reproducida,
modificada, distribuida, mostrada, almacenada en un sistema de recuperación o transmitida en cualquier forma o por cualquier
medio (electrónico, mecánico, fotocopia, grabación u otro) sin la autorización previa por escrito de ISACA. La reproducción y el
uso de todo, o partes de esta publicación para fines académicos, internos y no-comerciales están permitidos para compro-
misos de consultoría/ asesoramiento, y deben incluir el reconocimiento de la fuente del material. No se autoriza ningún otro
derecho o permiso respecto a esta obra.

© 2015 ISACA. Todos los Derechos Reservados. 13

RECONOCIMIENTOS
ISACA desea reconocer:

Responsables de Desarrollo Consejo de Administración ISACA Gregory T. Grocholski

CISA,
Ron Hale Christos K. Dimitriadis
SABIC, Arabia Saudí, Antiguo Presidente Internacional
Ph.D., CISM, Ph.D., CISA, CISM, CRISC,
ISACA, EE.UU. INTRALOT S.A., Grecia, Presidente Internacional Tony Hayes
CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA,
Rosemary M. Amato
Contribuidores al Proyecto Gobierno de Queensland, Australia,
CISA, CMA, CPA,
Antiguo Presidente Internacional
Todd J. Fitzgerald Deloitte Touche Tohmatsu Ltd., Países Bajos,
CISA, CISM, CGEIT, CRISC, Vicepresidenta Robert E Stroud
CISSP, CIPP/E/US, PMP, CGEIT, CRISC,
Garry J. Barnes
Grant Thornton International, Ltd., EE.UU. EE.UU., Antiguo Presidente Internacional
CISA, CISM, CGEIT, CRISC, MAICD,
Steve Mar Vital Interacts, Australia, Vicepresidente Zubin Chagpar
CISA, CSFA CISA, CISM, PMP,
Robert A. Clyde
IT Audit Director, Nordstrom, Inc., EE.UU. Amazon Web Services, Reino Unido, Director
CISM,
Laurie E. McDonald Clyde Consulting LLC, EE.UU., Vicepresidente Matt Loeb
CISA, CISM, CRISC, CIA, CPA, CAE,
Theresa Grafenstine
Computershare, EE.UU. ISACA, EE.UU., Director
CISA, CGEIT, CRISC, CPA, CIA, CGAP, CGMA,
Jason Philibert US House of Representatives, EE.UU., Vicepresidente Rajaramiyer Venketaramani Raghu
CIA, CFE, CRMA, CISA, CRISC,
Leonard Ong Versatilist Consulting India, Pvt., Ltd., India, Director
TriNet Group, Inc., EE.UU.
CISA, CISM, CGEIT, CRISC, CPP, CFE, PMP, CIPM,
James Reinhard CIPT, CISSP ISSMP-ISSAP, CSSLP, CITBCM, GCIA, Jo Stewart-Rattray
CISA, CIA, CPA GCIH, GSNA, GCFA, CISA, CISM, CGEIT, CRISC, FACS CP,
Simon Property Group, EE.UU. ATD Solution, Singapur, Vicepresidente BRM Holdich, Australia, Director

Daniel L. Ruggles Andre Pitkowski

CISM, CGEIT, CRISC, CISSP, CMC, CSM, CSPO, CGEIT, CRISC, OCTAVE, CRMA, ISO27kLA, ISO31kLA,
PMP, PMI-ACP, APIT Consultoria de Informática Ltd., Brasil, Vicepresidente
PM Kinetics LLC, EE.UU.
Eddie Schwartz
CISA, CISM, CISSP-ISSEP, PMP,
Equipo de Traducción
WhiteOps, EE.UU., Vicepresidente
ISACA Madrid
Joaquín Castillón Colomina
CISA, CGEIT, ITIL v3 Foundations, ISO27001 LA,
ISO 22301 LA
EY, España

Juan Manuel Matalobos Veiga

CISA, CISM, CGEIT, CRISC
BBVA, España

Antonio Ramos García

CISA, CISM, CRISC, Jonah
LEET Security, España

Joris Vredeling
ISACA Madrid, España

© 2015 ISACA. Todos los Derechos Resevados. 14