Ciberseguridad

Regulación

Ciberincidentes

Comunicación A7266. Lineamientos para la respuesta y recuperación ante ciberincidentes (RRCI).

El Banco Central de la República Argentina (BCRA) estableció una serie de lineamientos para la respuesta y recuperación ante ciberincidentes con el fin de limitar los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema en su conjunto, en línea con las recomendaciones del Consejo de Estabilidad Financiera (FSB, por su siglas en inglés) incluidas en el trabajo Prácticas efectivas para la respuesta y recuperación ante incidentes cibernéticos, informe final.

Estos lineamientos están dirigidos a entidades financieras, proveedores de servicios de pago que ofrecen cuentas de pago e infraestructuras del mercado financiero. Sin embargo, por su carácter general, pueden ser también adoptados por cualquier institución del sistema financiero, proveedores de servicios de tecnología informática y de comunicación, entre otros.

Un ciberincidente, según la definición que incluye el glosario publicado en la página web del BCRA, es un evento relacionado a una infraestructura tecnológica en la que interactúan personas, procesos, datos y sistemas de información y que pone en peligro la ciberseguridad o infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptables por las entidades, sea o no ese evento producto de una actividad maliciosa.

Respecto a la implementación de estos lineamientos, los actores alcanzados podrán adoptar las prácticas que sean más adecuadas para sus modelos de negocio, teniendo en cuenta su tamaño, complejidad o riesgos en relación con el ecosistema financiero. Deberán dejar constancia de los fundamentos de los criterios de implementación adoptados, los que tendrán que ser puestos a disposición de la Superintendencia de Entidades Financieras y Cambiarias, cuando ésta los solicite.

Los lineamientos contemplados en la Comunicación A7266 son los siguientes:

Gobierno. Aquí se promueve la definición de un marco para la toma de decisiones, donde se asignen los roles y responsabilidades necesarios para la coordinación de estas actividades de forma tal que se involucre a los participantes internos y externos necesarios cuando ocurre un ciberincidente. Se plantea el esquema a través del cual se organizan y gestionan las actividades de respuesta y recuperación, se impulsa una cultura que acepte la eventual ocurrencia de los ciberincidentes, los enfrente y gestione apropiadamente.

Planificación y preparación. Este ítem contempla la preparación previa a la ocurrencia de un incidente que juega un rol significativo en la efectividad de las actividades de respuesta y recuperación. Este lineamiento se centra en el establecimiento y el mantenimiento de las capacidades de planificación y preparación de la organización, que le permitirán responder, recuperarse y restablecer actividades críticas, sistemas y datos comprometidos en un ciberincidente hasta volver a la operación normal. En este apartado tienen un papel relevante los planes y procedimientos, que deben incluir los criterios necesarios para saber cuándo activar las medidas y cómo responder ante ciberincidentes.

Análisis. Este lineamiento hace referencia al análisis forense, la determinación de criticidad e impacto del ciberincidente y la investigación de la causa que lo originó. Se destaca la necesidad de definir una taxonomía para clasificar ciberincidentes.

Mitigación. En este eje se hace foco en las medidas de mitigación con el fin de prevenir el agravamiento de la situación y erradicar o eliminar las consecuencias de los incidentes de manera oportuna, para minimizar su impacto en las operaciones y servicios. Contempla las medidas de contención, aislamiento y erradicación que son de gran importancia.

Restauración y recuperación. En estas pautas se tratan las actividades que deben realizarse para restaurar los sistemas y activos afectados por un ciberincidente, y recuperar los datos, las operaciones y los servicios afectados a su estado habitual, de manera segura.

Coordinación y comunicación. Este apartado se refiere a la coordinación adecuada de la organización con los distintos actores involucrados, tanto internos como externos, y con las autoridades. Durante el ciclo de vida de un ciberincidente, se debe coordinar a las partes interesadas para brindar una respuesta y una atención común sobre las amenazas y mejorar así la ciberresiliencia del sistema. Se resalta la importancia de definir el lenguaje y la frecuencia necesaria de la comunicación, de acuerdo con el tipo de público destinatario.

Mejora continua. Este lineamiento finalmente hace referencia a los procesos que se deben considerar para mejorar las actividades y capacidades de respuesta y recuperación ante ciberincidentes, a través de las lecciones aprendidas en la resolución de casos y del uso de herramientas proactivas, en particular la realización de ejercicios, pruebas y simulacros.

Ciberincidentes

Riesgos relacionados con Tecnología y Seguridad de la Información.

La comunicación “A” 7724 de “Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información.” contiene las pautas de gobierno, organizativas, y técnicas a considerar para llevar adelante la gestión y control mencionados en la organización.

Su estructura es la siguiente:

Sección 1. Disposiciones generales.

Sección 2. Gobierno de tecnología y seguridad de la información.

Sección 3: Gestión de riesgos de tecnología y seguridad de la información.

Sección 4: Gestión de tecnología de la información.

Sección 5: Gestión de seguridad de la información.

Sección 6: Gestión de la continuidad del negocio.

Sección 7. Infraestructura tecnológica y procesamiento.

Sección 8: Gestión de ciberincidentes.

Sección 9: Desarrollo, adquisición y mantenimiento de “software”.

Sección 10: Gestión de la relación con terceras partes.

Sección 11: Canales electrónicos.

Volver arriba

Lineamientos de Ciberseguridad

Lineamientos

Estos lineamientos fueron definidos como guía para que se aborden los desafíos actuales de la ciberseguridad en la planificación estratégica, de forma que se analice, madure y/o adopten paulatinamente estas actividades en el gobierno y la gestión de sus instituciones.

Los servicios financieros a través de medios digitales siguen expandiéndose, demandando nuevas tecnologías y una creciente interconexión entre quienes participan del sistema financiero.

Este contexto, presenta desafíos a todo el ecosistema financiero, sean o no regulados por el Banco Central, como entidades financieras, entes operadores de redes, cámaras compensadoras, terceros prestadores de servicios, Fintechs, entre otros. Por ello, es primordial contar con una planificación que aborde los nuevos riesgos asociados a esta expansión digital.

Los siguientes lineamientos tienen como objetivo acompañar a establecer e incorporar en la planificación estratégica de cada organización la ciberseguridad y la ciberresiliencia.

Lineamientos del Banco Central sobre ciberseguridad:

-Marco de Referencia de Ciberseguridad y Estrategia: el propósito de contar con una estrategia y un marco de referencia es la de orientar cómo identificar, gestionar, y reducir efectivamente los ciberriesgos de manera integrada. Las entidades financieras, los terceros y todo el sector financiero deberían establecer estrategias y adoptar un marco de ciberseguridad acorde a su tamaño, complejidad, perfil de riesgo y cultura, teniendo en cuenta las amenazas y vulnerabilidades actuales.

-Gobierno: la estrategia es responsabilidad del gobierno de la organización. Es necesario contar con estructuras, roles y funciones claramente definidos para hacer frente a esta problemática, así como contar con las previsiones en cada proyecto. Además, fomentar la comunicación entre las unidades de negocio, las distintas áreas de tecnología de la información, las áreas de riesgo, las áreas de fraude y aquellas áreas cuyas actividades se encuentren relacionadas con el control de acuerdo con sus misiones y funciones.

-Evaluación de los controles y el riesgo: analizar el riesgo presentado por las personas, procesos, la tecnología, los datos subyacentes en relación a la propia entidad y también evaluar los riesgos propios de una entidad a partir de sus funciones, actividades, canales, productos y servicios. Las evaluaciones de control deben considerar, los ciberriesgos que la entidad representa o enfrenta para el ecosistema que conforma, tales como los proveedores de servicios, organismos estatales, las personas usuarias de servicios financieros y otras organizaciones con las que interactúa.

-Monitoreo: el proceso de monitoreo debería dar soporte para mantener los niveles de riesgo definidos como aceptables por la dirección de la organización y permitir mejorar o remediar las debilidades que corresponda. Los protocolos de pruebas, de ciberejercicios y auditorías son esenciales. Dependiendo de la naturaleza de una entidad u organización, su entorno de control y perfil de riesgo, las funciones de prueba y auditoría de los controles deben ser apropiadamente independientes del personal responsable de la implementación acorde al programa de ciberseguridad.

-Respuesta: como parte de sus evaluaciones de riesgo y control, las entidades deben implementar procesos de respuesta a incidentes y otros controles para facilitar una respuesta oportuna y adecuada.Estos controles deben abordar claramente las responsabilidades en la toma de decisiones, definir procedimientos de escalamiento y establecer procesos para comunicarse con las comunidades de intereses internos y externos. Se promueven los ejercicios y la adopción de protocolos internos y entre las entidades u organizaciones del ecosistema. Los ejercicios también permiten a las entidades y las autoridades identificar las situaciones que podrían afectar la capacidad de quienes participan para mantener un nivel de servicio aceptable, funciones y actividades críticas y de otras actividades que pudieran ser relevante para el sistema financiero.

-Recuperación: una vez garantizada la estabilidad y la integridad operativa, la recuperación rápida y efectiva de las operaciones debe basarse en la priorización de los procesos críticos y de acuerdo con los objetivos establecidos por las autoridades responsables de la entidad u organización. La confianza del sector financiero mejora significativamente cuando las entidades u organizaciones y las autoridades tienen la capacidad de ayudarse mutuamente en la reanudación y recuperación de funciones, procesos y actividades críticas. Establecer y probar planes de contingencia para actividades y procesos esenciales puede contribuir a una recuperación más rápida y efectiva.

-Compartir información: compartir información técnica, como indicadores de amenazas o modalidades sobre cómo se aprovecharon las vulnerabilidades, o modalidades de fraudes, permite a las entidades mantenerse actualizadas en sus defensas y aprender sobre los métodos que están siendo más utilizados. Esta práctica facilita la comprensión colectiva de cómo pueden aprovecharse las vulnerabilidades que afecten a todo el sector, a las funciones económicas críticas y hasta poner en peligro la estabilidad financiera. Dada su importancia, las entidades, las organizaciones y las autoridades responsables trabajarán en identificar y abordar los impedimentos para el intercambio de información.

-Aprendizaje continuo: las amenazas y vulnerabilidades del ecosistema ciber evolucionan rápidamente, al igual que las buenas prácticas y los estándares técnicos. La composición del sector financiero también cambia con el tiempo, a medida que surgen nuevos productos y servicios, y se confía cada vez más en proveedores de servicios de terceros. Las estrategias y los marcos de referencia en materia ciberseguridad necesitan revisión periódica y actualización para adaptarse a los cambios en el entorno de control y amenazas, mejorar la concientización de la persona usuaria y desplegar recursos de manera efectiva.

Para la implementación se deben considerar las características particulares, perfiles de riesgo y análisis de impacto en el negocio (BIA) según corresponda. Se espera que estos lineamientos sean adoptados por todos los regulados por el Banco Central en la construcción de un ecosistema financiero comprometido con la ciberseguridad.

Además de los principios, se publica el Glosario de Ciberseguridad. Una herramienta que establece definiciones para que todas las personas de las distintas disciplinas involucradas en los procesos de ciberseguridad dispongan de un lenguaje en común.

Volver arriba

Guía de autodiagnóstico

El siguiente cuestionario se ha desarrollado con el fin de ayudar a identificar el estado actual de su organización respecto de los Lineamientos de Ciberseguridad.

La organización que lo desee puede responder estas preguntas y obtener un autodiagnóstico sobre el grado de adopción de los principios definidos.

1. ¿Su organización tiene en cuenta los Lineamientos de Ciberseguridad y Ciber resiliencia stablecidos?

1.1. ¿Tiene su organización una estrategia de ciberseguridad adaptada a sus características particulares, perfil de riesgo y análisis de impacto en el negocio?

1.2. ¿Su organización utiliza un marco de referencia para la gestión de la ciberseguridad y ciber resiliencia?

1.3. ¿Cuenta la organización con estructuras organizativas, roles y funciones adecuados para poner en práctica los Lineamientos?

1.4. ¿Participa ciberseguridad en todos los proyectos de la organización desde el inicio?

1.5. ¿Cuenta con una metodología para la gestión del ciber riesgo integrado al riesgo corporativo que incluya todos los controles relevantes implementados?

1.6. ¿Implementa un monitoreo continuo del ciber riesgo?

1.7. ¿Se ha definido, implementado y probado adecuadamente un Plan de Respuesta ante Ciber incidentes que provoquen un evento disruptivo en la organización?

1.8. ¿Ha debatido o evaluado en su organización las ventajas y desventajas del intercambio de información sobre ciber incidentes y ciber amenazas o modalidades de fraude? ¿Ha iniciado acciones para compartir información?

2. ¿Su organización tiene en cuenta los criterios de ciberseguridad en la toma de decisiones?

2.1. ¿Incorpora la gestión de ciber riesgos desde el diseño, para nuevos productos y servicios?

2.2. ¿Se consideran aspectos de ciberseguridad al evaluar la efectividad de las operaciones del negocio y la infraestructura existente? ¿Incluye también a las infraestructuras o servicios informáticos provistos por terceras partes?

2.3. ¿La alta gerencia o a nivel estratégico supervisa el diseño, la implementación y efectividad de los programas de ciberseguridad?

2.4. ¿Recibe el Directorio o la alta gerencia reportes de amenazas o ciber incidentes graves de su industria periódicamente a fin de tomar decisiones informadas tanto a corto como a mediano plazo?

2.5. ¿Influyen los reportes de amenazas y vulnerabilidades en la definición del apetito del riesgo de la organización?

3. ¿Su organización es consciente que una disrupción es altamente probable?

3.1. Teniendo en cuenta que la implementación de controles de prevención y detección por capas reducen la probabilidad de incidentes, ¿su organización implementa seguridad en capas?

3.2. En la actualidad sabemos que no se puede garantizar un entorno completamente seguro, por lo que se asume que ciertos incidentes ocurrirán, ¿quiénes toman las decisiones en su organización, entienden que la asignación de recursos se debe alinear a la estrategia de ciberseguridad?

3.3. ¿Se realizan pruebas integrales del Plan de respuesta a ciber incidentes?

3.4. ¿Se integran los planes de Respuesta a incidentes con los Planes de Continuidad del Negocio?

3.5. ¿El Plan de Continuidad del Negocio está alineado con las prioridades establecidas en el Análisis de Impacto en el Negocio?

4. ¿Su organización se adapta a las vulnerabilidades y amenazas que surgen todo el tiempo? ¿Adopta un enfoque de ciberseguridad adaptativo?

4.1. ¿Se promueven ciber ejecicios a nivel entidad, industria o entre sectores?

4.2. ¿Se prepara la organización para las crisis (situaciones inesperadas), planificando posibles escenarios y pensando en la contención y recuperación?

4.3. ¿Se promueve un enfoque de aprendizaje y mejora continua como parte de la estrategia de ciberseguridad?

5. ¿Su organización construye una cultura de ciberseguridad?

5.1. ¿Desarrolla un programa continuo para que las habilidades, capacidades y conductas en ciberseguridad sean internalizadas para todas las personas de la organización?

5.2. ¿Se consideran la concientización de todo el personal y la ciberseguridad en los procesos al mismo nivel que las soluciones tecnológicas? ¿Se refleja en las decisiones de inversión?

5.3. ¿Los programas de capacitación y concientización en ciberseguridad son igualmente dirigidos a personas usuarias, empleados/as y alta gerencia?

5.4. Teniendo en cuenta que una ciberseguridad efectiva se basa en involucrar y educar a las personas. ¿Se realizan las campañas necesarias? ¿Se miden los avances?

5.5. ¿La estrategia de capacitación y concientización en ciberseguridad se elabora con el objetivo de transformar el paradigma conocido como: “las personas son el eslabón más débil” en el nuevo paradigma “las personas son el activo más valioso”?

Volver arriba

Glosario

Este glosario es una herramienta que establece definiciones para que todas las personas de las distintas disciplinas involucradas en los procesos de ciberseguridad dispongan de un lenguaje en común.

Tiene la finalidad de aunar criterios y definiciones entre los expertos de ciberseguridad de distintas jurisdicciones y para maximizar el trabajo interdisciplinario que requiere la protección del sistema financiero en su conjunto.

En una sociedad interconectada y cada vez más digital en el consumo de servicios, la necesidad de interactuar entre distintas disciplinas y con otras jurisdicciones se vuelve intrínsecamente necesario, por este motivo tener un conjunto de términos comunes, ayudan a una mejor compresión de los problemas en materia de ciberseguridad.

Los términos y las definiciones del glosario se desarrollaron para ser utilizados únicamente con respecto al sector de servicios financieros y las entidades financieras y no tiene por objeto ser utilizado para una interpretación jurídica de ningún acuerdo internacional ni de contratos entre privados.

Texto original: https://www.fsb.org/2018/11/cyber-lexicon/

Notas

Las citas de las fuentes que figuran a continuación han sido abreviadas. Puede encontrarse la cita completa al final del glosario.

Los términos definidos en el glosario figuran en itálica cuando están usados en definiciones del glosario.

En el glosario, el término “entidad” incluye a las personas humanas cuando el contexto lo requiere.

Activo (asset)

Recurso de valor tangible o intangible que debería ser protegido, lo que comprende personas, información, infraestructura, finanzas y reputación.

Fuente: ISACA Fundamentals.

Agente de amenaza (threat actor)

Persona, grupo u organización que supuestamente está operando con intención maliciosa.

Fuente: Adaptado de STIX.

Amenaza persistente avanzada (Advanced Persistent Threat, APT)

Agente de amenaza que cuenta con niveles sofisticados de conocimiento y recursos significativos que le permiten generar oportunidades para lograr sus objetivos usando numerosos vectores de amenaza. La amenaza persistente avanzada: (i) persigue sus objetivos de manera reiterada durante un período prolongado; (ii) se adapta a los esfuerzos que realizan quienes se defienden de ella en un intento por resistirla; y (iii) está decidida a llevar a cabo sus objetivos.

Fuente: Adaptado de NIST.

Análisis de vulnerabilidades (vulnerability assessment)

Examen sistemático de un sistema de información, junto con sus controles y procesos, para determinar la adecuación de las medidas de seguridad, identificar deficiencias en la seguridad, proporcionar datos a partir de los cuales predecir la eficacia de las medidas de seguridad propuestas y confirmar la adecuación de dichas medidas luego de la implementación.

Fuente: Adaptado de NIST.

Autenticación multifactor (multi-factor authentication)

Uso de dos o más de los siguientes factores para verificar la identidad de un usuario: factor de conocimiento, “algo que una persona sabe”; factor de posesión, “algo que una persona tiene”; factor biométrico, “una característica biológica o conductual de una persona”.

Fuente: Adaptado de ISO/IEC 27040:2015 e ISO/IEC 2832- 37:2017 (definición de “característica biométrica” [“biometric characteristic”]).

Autenticidad (authenticity)

Propiedad que consiste en que una entidad es lo que afirma ser.

Fuente: ISO/IEC 27000:2018.

Aviso cibernético (cyber advisory)

Notificación de nuevas tendencias o de novedades acerca de una ciberamenaza contra sistemas de información o acerca de una vulnerabilidad de los sistemas de información. Dicha notificación puede abarcar un estudio analítico de tendencias, intenciones, tecnologías o tácticas empleadas para atacar sistemas de información.

Fuente: Adaptado de NIST.

Campaña (campaign)

Conjunto de comportamientos adversos coordinados que describe una serie de actividades maliciosas contra uno o más objetivos específicos a lo largo de un período.

Fuente: Adaptado de STIX.

Ciber- o cibernético (cyber)

Relativo a una infraestructura tecnológica interconectada en la que interactúan personas, procesos, datos y sistemas de información.

Fuente: Adaptado de CPMI-IOSCO (cita de NICCS).

Ciberalerta (cyber alert)Notificación de un ciberincidente específico o de que se ha dirigido una ciberamenaza contra los sistemas de información de una organización.

Fuente: Adaptado de NIST.

Ciberamenaza (cyber threat)

Circunstancia que podría explotar una o más vulnerabilidades y afectar la ciberseguridad.

Fuente: Adaptado de CPMI-IOSCO.

Ciberincidente (cyber incident)

Evento cibernético que: i. pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite; o ii. infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa.

Fuente: Adaptado de NIST (definición de “incidente” [“incident”]).

Ciberresiliencia (cyber resilience)

Capacidad de una organización de continuar llevando a cabo su misión anticipando y adaptándose a ciberamenazas y otros cambios relevantes en el entorno, y resistiendo, conteniendo y recuperándose rápidamente de ciberincidentes.

Fuente: Adaptado de CERT Glossary (definición de “resiliencia operativa” [“operational resilience”]), CPMI-IOSCO y NIST (definición de “resiliencia” [“resilience”]).

Ciberseguridad (cyber security)

Preservación de la confidencialidad, la integridad y la disponibilidad de la información y/o de los sistemas de información a través del medio cibernético. Asimismo, pueden estar involucradas otras propiedades, tales como la autenticidad, la trazabilidad, el no repudio y la confiabilidad.

Fuente: Adaptado de ISO/IEC 27032:2012.

Compromiso (compromise)

Transgresión de la seguridad de un sistema de información.

Fuente: Adaptado de ISO 21188:2018.

Confiabilidad (reliability)

Uniformidad en cuanto al comportamiento y los resultados deseados.

Fuente: ISO/IEC 27000:2018.

Confidencialidad (confidentiality)

Propiedad según la cual la información no está disponible para personas, entidades, procesos o sistemas no autorizados, ni se da a conocer a personas, entidades, procesos o sistemas no autorizados.

Fuente: Adaptado de ISO/IEC 27000:2018.

Control de acceso (access control)

Medio para asegurar que el acceso a los activos esté autorizado y restringido en función de requisitos relacionados con la actividad y la seguridad.

Fuente: ISO/IEC 27000:2018.

Curso de acción (Course of Action, CoA)

Una o más acciones que se llevan a cabo para prevenir o responder a un ciberincidente. Este concepto puede referirse a respuestas técnicas automatizables, pero también puede describir otras acciones, tales como la capacitación para los empleados o los cambios en las políticas.

Fuente: Adaptado de STIX.

Defensa en profundidad (defencein-depth)

Estrategia de seguridad que abarca personas, procesos y tecnología para establecer una serie de barreras en múltiples niveles y dimensiones de la organización.

Fuente: Adaptado de NIST y FFIEC.

Denegación de servicio (Denial of Service, DoS)

Acción de impedir el acceso autorizado a información o sistemas de información, o de demorar la ejecución de operaciones y funciones de los sistemas de información, lo cual conlleva la pérdida de disponibilidad para los usuarios autorizados.

Fuente: Adaptado de ISO/IEC 27033-1:2015.

Denegación de servicio distribuida (Distributed Denial of Service, DDoS)

Denegación de servicio que se lleva a cabo usando numerosas fuentes en forma simultánea.

Fuente: Adaptado de NICCS.

Detectar (función) (detect)

Desarrollar e implementar las actividades apropiadas para identificar un evento cibernético.

Fuente: Adaptado de NIST Framework.

Disponibilidad (availability)

Cualidad de accesible y utilizable a demanda por parte de una entidad autorizada.

Fuente: ISO/IEC 27000:2018.

Equipo de respuesta ante incidentes (Incident Response Team, IRT) [también conocido como CERT o CSIRT]

Equipo conformado por miembros capacitados y confiables de la organización que maneja los incidentes durante su ciclo de vida.

Fuente: ISO/IEC 27035-1:2016.

Evaluación de amenazas (threat assessment)

Proceso de evaluación formal del grado de amenaza para una organización y descripción de la naturaleza de la amenaza.

Fuente: Adaptado de NIST.

Evento cibernético (cyber event)

Ocurrencia observable en un sistema de información. Los eventos cibernéticos a veces indican que se está produciendo un ciberincidente.

Fuente: Adaptado de NIST (definición de “evento” [“event”]).

Exploit

Forma definida de transgredir la seguridad de los sistemas de información a través de una vulnerabilidad.

Fuente: ISO/IEC 27039:2015.

Gestión de identidades y accesos (Identity and Access Management, IAM)

Comprende personas, procesos y tecnología para identificar y gestionar los datos utilizados en un sistema de información a fin de autenticar a los usuarios y otorgar o denegar derechos de acceso a datos y recursos del sistema.

Fuente: Adaptado de ISACA Full Glossary.

Gestión de parches (patch management)

Notificación, identificación, implementación, instalación y verificación sistemáticas de revisiones de los sistemas operativos y los códigos de software de aplicación. Estas revisiones se conocen con el nombre de “parche” (“patch”), “corrección rápida” (“hot fix”) y “conjunto de parches” (“service pack”).

Fuente: NIST.

Identificar (función) (identify)

Desarrollar el entendimiento organizacional necesario para gestionar el riesgo cibernético al que se encuentran expuestos los activos y las capacidades.

Fuente: Adaptado de NIST Framework.

Incidente de seguridad de los datos (data breach)

Compromiso que, de manera accidental o ilegal, da lugar a la destrucción, la pérdida, la alteración o la divulgación o el acceso no autorizados a datos transmitidos, almacenados o procesados de otra manera.

Fuente: Adaptado de ISO/IEC 27040:2015.

Indicadores de compromiso (Indicators of Compromise, IoC)

Señales que indican que podría haber ocurrido o que podría estar produciéndose un ciberincidente.

Fuente: Adaptado de NIST (definición de “indicador” [“indicator”]).

Ingeniería social (social engineering)

Término general que describe la acción de intentar engañar a las personas con el fin de que revelen información o realicen determinadas acciones.

Fuente: Adaptado de FFIEC.

Integridad (integrity)

Cualidad de exacto y completo.

Fuente: ISO/IEC 27000:2018.

Inteligencia sobre amenazas (threat intelligence)

Información sobre amenazas que ha sido agregada, transformada, analizada, interpretada o enriquecida para ofrecer el contexto necesario para los procesos de toma de decisiones.

Fuente: NIST 800-150.

Intercambio de información (information sharing)

Acción de compartir datos, información y/o conocimiento que pueden utilizarse para gestionar riesgos o responder ante eventos.

Fuente: Adaptado de NICCS.

Malware

Software diseñado con un objetivo malicioso y que contiene características o capacidades que podrían provocar un daño directo o indirecto a entidades o a sus sistemas de información.

Fuente: Adaptado de ISO/IEC 27032:2012.

No repudio (non-repudiation)

Capacidad de demostrar la ocurrencia de un evento o acción y las entidades que los originaron.

Fuente: ISO 27000:2018.

Plan de respuesta ante ciberincidentes (cyber incident response plan)

Documentación de un conjunto predeterminado de instrucciones o procedimientos para responder ante un ciberincidente y limitar sus consecuencias.

Fuente: Adaptado de NIST (definición de “plan de respuesta ante incidentes” [“incident response plan”]) y NICCS.

Proteger (función) (protect)

Desarrollar e implementar los resguardos adecuados para garantizar la prestación de los servicios y limitar o contener el impacto de los ciberincidentes.

Fuente: Adaptado de NIST Framework.

Protocolo de divulgación (Traffic Light Protocol, TLP)

Conjunto de designaciones utilizadas para asegurar que la información se comparta únicamente con los destinatarios definidos. Emplea un código de colores preestablecido (semáforo) para indicar los límites previstos de intercambio que deberá aplicar el receptor.

Fuente: Adaptado de FIRST.

Recuperar (función) (recover)

Desarrollar e implementar las actividades adecuadas para mantener planes de ciberresiliencia y restaurar capacidades o servicios que se hayan visto afectados debido a un ciberincidente.

Fuente: Adaptado de NIST Framework.

Responder (función) (respond)

Desarrollar e implementar las actividades apropiadas para tomar medidas acerca de un evento cibernético detectado.

Fuente: Adaptado de NIST Framework.

Riesgo cibernético (cyber risk)

Combinación de la probabilidad de que se produzcan ciberincidentes y su impacto. Fuente: Adaptado de CPMI-IOSCO, ISACA Fundamentals (definición de “riesgo” [“risk”]) e ISACA Full Glossary (definición de “riesgo” [“risk”]).

Sistema de información (information system)

Conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información, que incluye el entorno operativo.

Fuente: Adaptado de ISO/IEC 27000:2018.

Tácticas, técnicas y procedimientos (Tactics, Techniques and Procedures, TTP)

Comportamiento de un agente de amenaza. Una táctica es la descripción de más alto nivel de este comportamiento, mientras que las técnicas brindan una descripción más detallada del comportamiento en el contexto de una táctica y los procedimientos implican una descripción de menor nivel, muy detallada en el contexto de una técnica.

Fuente: Adaptado de NIST 800-150.

Test de intrusión (penetration testing)

Metodología de prueba en la cual los evaluadores, usando toda la documentación disponible (p. ej., diseño del sistema, código fuente, manuales) y trabajando con limitaciones específicas, intentan eludir las funciones de seguridad de un sistema de información.

Fuente: NIST.

Test de intrusión basado en amenazas (Threat-Led Penetration Testing, TLPT) [también conocido como prueba del equipo rojo (red team testing)]

Intento controlado por comprometer la ciberresiliencia de una entidad simulando las tácticas, técnicas y procedimientos de agentes de amenaza reales. Se basa en inteligencia sobre amenazas dirigida y se centra en las personas, los procesos y la tecnología de una entidad, con un conocimiento previo e impacto mínimos en las operaciones.

Fuente: G-7 - Fundamental Elements

Trazabilidad (accountability)

Propiedad que asegura que las acciones de una entidad puedan ser rastreadas y atribuidas de manera inequívoca a dicha entidad.

Fuente: ISO/IEC 2382:2015.

Vector de amenaza (threat vector)

Recorrido o ruta utilizados por el agente de amenaza para obtener acceso al objetivo. Fuente: Adaptado de ISACA Fundamentals. Verificación (verification) Confirmación, a través de la provisión de evidencia objetiva, de que se han cumplido los requisitos especificados.

Fuente: ISO/IEC 27042:2015.

Vulnerabilidad (vulnerability)

Debilidad, susceptibilidad o defecto de un activo o control que pueden ser explotados por una o más amenazas.

Fuente: Adaptado de CPMI-IOSCO e ISO/IEC 27000:2018.

Volver arriba