Ciberseguridad
Regulaci�n
Comunicaci�n A7266. Lineamientos para la respuesta y recuperaci�n ante ciberincidentes (RRCI).
El Banco Central de la Rep�blica Argentina (BCRA) estableci� una serie de lineamientos para la respuesta y recuperaci�n ante ciberincidentes con el fin de limitar los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema en su conjunto, en l�nea con las recomendaciones del Consejo de Estabilidad Financiera (FSB, por su siglas en ingl�s) incluidas en el trabajo Pr�cticas efectivas para la respuesta y recuperaci�n ante incidentes cibern�ticos, informe final.
Estos lineamientos est�n dirigidos a entidades financieras, proveedores de servicios de pago que ofrecen cuentas de pago e infraestructuras del mercado financiero. Sin embargo, por su car�cter general, pueden ser tambi�n adoptados por cualquier instituci�n del sistema financiero, proveedores de servicios de tecnolog�a inform�tica y de comunicaci�n, entre otros.
Un ciberincidente, seg�n la definici�n que incluye el glosario publicado en la p�gina web del BCRA, es un evento relacionado a una infraestructura tecnol�gica en la que interact�an personas, procesos, datos y sistemas de informaci�n y que pone en peligro la ciberseguridad o infringe las pol�ticas de seguridad, los procedimientos de seguridad o las pol�ticas de uso aceptables por las entidades, sea o no ese evento producto de una actividad maliciosa.
Respecto a la implementaci�n de estos lineamientos, los actores alcanzados podr�n adoptar las pr�cticas que sean m�s adecuadas para sus modelos de negocio, teniendo en cuenta su tama�o, complejidad o riesgos en relaci�n con el ecosistema financiero. Deber�n dejar constancia de los fundamentos de los criterios de implementaci�n adoptados, los que tendr�n que ser puestos a disposici�n de la Superintendencia de Entidades Financieras y Cambiarias, cuando �sta los solicite.
Los lineamientos contemplados en la Comunicaci�n A7266 son los siguientes:
Gobierno. Aqu� se promueve la definici�n de un marco para la toma de decisiones, donde se asignen los roles y responsabilidades necesarios para la coordinaci�n de estas actividades de forma tal que se involucre a los participantes internos y externos necesarios cuando ocurre un ciberincidente. Se plantea el esquema a trav�s del cual se organizan y gestionan las actividades de respuesta y recuperaci�n, se impulsa una cultura que acepte la eventual ocurrencia de los ciberincidentes, los enfrente y gestione apropiadamente.
Planificaci�n y preparaci�n. Este �tem contempla la preparaci�n previa a la ocurrencia de un incidente que juega un rol significativo en la efectividad de las actividades de respuesta y recuperaci�n. Este lineamiento se centra en el establecimiento y el mantenimiento de las capacidades de planificaci�n y preparaci�n de la organizaci�n, que le permitir�n responder, recuperarse y restablecer actividades cr�ticas, sistemas y datos comprometidos en un ciberincidente hasta volver a la operaci�n normal. En este apartado tienen un papel relevante los planes y procedimientos, que deben incluir los criterios necesarios para saber cu�ndo activar las medidas y c�mo responder ante ciberincidentes.
An�lisis. Este lineamiento hace referencia al an�lisis forense, la determinaci�n de criticidad e impacto del ciberincidente y la investigaci�n de la causa que lo origin�. Se destaca la necesidad de definir una taxonom�a para clasificar ciberincidentes.
Mitigaci�n. En este eje se hace foco en las medidas de mitigaci�n con el fin de prevenir el agravamiento de la situaci�n y erradicar o eliminar las consecuencias de los incidentes de manera oportuna, para minimizar su impacto en las operaciones y servicios. Contempla las medidas de contenci�n, aislamiento y erradicaci�n que son de gran importancia.
Restauraci�n y recuperaci�n. En estas pautas se tratan las actividades que deben realizarse para restaurar los sistemas y activos afectados por un ciberincidente, y recuperar los datos, las operaciones y los servicios afectados a su estado habitual, de manera segura.
Coordinaci�n y comunicaci�n. Este apartado se refiere a la coordinaci�n adecuada de la organizaci�n con los distintos actores involucrados, tanto internos como externos, y con las autoridades. Durante el ciclo de vida de un ciberincidente, se debe coordinar a las partes interesadas para brindar una respuesta y una atenci�n com�n sobre las amenazas y mejorar as� la ciberresiliencia del sistema. Se resalta la importancia de definir el lenguaje y la frecuencia necesaria de la comunicaci�n, de acuerdo con el tipo de p�blico destinatario.
Mejora continua. Este lineamiento finalmente hace referencia a los procesos que se deben considerar para mejorar las actividades y capacidades de respuesta y recuperaci�n ante ciberincidentes, a trav�s de las lecciones aprendidas en la resoluci�n de casos y del uso de herramientas proactivas, en particular la realizaci�n de ejercicios, pruebas y simulacros.
Riesgos relacionados con Tecnolog�a y Seguridad de la Informaci�n.
La comunicaci�n �A� 7724 de �Requisitos m�nimos para la gesti�n y control de los riesgos de tecnolog�a y seguridad de la informaci�n.� contiene las pautas de gobierno, organizativas, y t�cnicas a considerar para llevar adelante la gesti�n y control mencionados en la organizaci�n.
Su estructura es la siguiente:
Secci�n 1. Disposiciones generales.
Secci�n 2. Gobierno de tecnolog�a y seguridad de la informaci�n.
Secci�n 3: Gesti�n de riesgos de tecnolog�a y seguridad de la informaci�n.
Secci�n 4: Gesti�n de tecnolog�a de la informaci�n.
Secci�n 5: Gesti�n de seguridad de la informaci�n.
Secci�n 6: Gesti�n de la continuidad del negocio.
Secci�n 7. Infraestructura tecnol�gica y procesamiento.
Secci�n 8: Gesti�n de ciberincidentes.
Secci�n 9: Desarrollo, adquisici�n y mantenimiento de �software�.
Secci�n 10: Gesti�n de la relaci�n con terceras partes.
Secci�n 11: Canales electr�nicos.
Lineamientos de Ciberseguridad
Estos lineamientos fueron definidos como gu�a para que se aborden los desaf�os actuales de la ciberseguridad en la planificaci�n estrat�gica, de forma que se analice, madure y/o adopten paulatinamente estas actividades en el gobierno y la gesti�n de sus instituciones.
Los servicios financieros a trav�s de medios digitales siguen expandi�ndose, demandando nuevas tecnolog�as y una creciente interconexi�n entre quienes participan del sistema financiero.
Este contexto, presenta desaf�os a todo el ecosistema financiero, sean o no regulados por el Banco Central, como entidades financieras, entes operadores de redes, c�maras compensadoras, terceros prestadores de servicios, Fintechs, entre otros. Por ello, es primordial contar con una planificaci�n que aborde los nuevos riesgos asociados a esta expansi�n digital.
Los siguientes lineamientos tienen como objetivo acompa�ar a establecer e incorporar en la planificaci�n estrat�gica de cada organizaci�n la ciberseguridad y la ciberresiliencia.
Lineamientos del Banco Central sobre ciberseguridad:
-Marco de Referencia de Ciberseguridad y Estrategia: el prop�sito de contar con una estrategia y un marco de referencia es la de orientar c�mo identificar, gestionar, y reducir efectivamente los ciberriesgos de manera integrada. Las entidades financieras, los terceros y todo el sector financiero deber�an establecer estrategias y adoptar un marco de ciberseguridad acorde a su tama�o, complejidad, perfil de riesgo y cultura, teniendo en cuenta las amenazas y vulnerabilidades actuales.
-Gobierno: la estrategia es responsabilidad del gobierno de la organizaci�n. Es necesario contar con estructuras, roles y funciones claramente definidos para hacer frente a esta problem�tica, as� como contar con las previsiones en cada proyecto. Adem�s, fomentar la comunicaci�n entre las unidades de negocio, las distintas �reas de tecnolog�a de la informaci�n, las �reas de riesgo, las �reas de fraude y aquellas �reas cuyas actividades se encuentren relacionadas con el control de acuerdo con sus misiones y funciones.
-Evaluaci�n de los controles y el riesgo: analizar el riesgo presentado por las personas, procesos, la tecnolog�a, los datos subyacentes en relaci�n a la propia entidad y tambi�n evaluar los riesgos propios de una entidad a partir de sus funciones, actividades, canales, productos y servicios. Las evaluaciones de control deben considerar, los ciberriesgos que la entidad representa o enfrenta para el ecosistema que conforma, tales como los proveedores de servicios, organismos estatales, las personas usuarias de servicios financieros y otras organizaciones con las que interact�a.
-Monitoreo: el proceso de monitoreo deber�a dar soporte para mantener los niveles de riesgo definidos como aceptables por la direcci�n de la organizaci�n y permitir mejorar o remediar las debilidades que corresponda. Los protocolos de pruebas, de ciberejercicios y auditor�as son esenciales. Dependiendo de la naturaleza de una entidad u organizaci�n, su entorno de control y perfil de riesgo, las funciones de prueba y auditor�a de los controles deben ser apropiadamente independientes del personal responsable de la implementaci�n acorde al programa de ciberseguridad.
-Respuesta: como parte de sus evaluaciones de riesgo y control, las entidades deben implementar procesos de respuesta a incidentes y otros controles para facilitar una respuesta oportuna y adecuada.Estos controles deben abordar claramente las responsabilidades en la toma de decisiones, definir procedimientos de escalamiento y establecer procesos para comunicarse con las comunidades de intereses internos y externos. Se promueven los ejercicios y la adopci�n de protocolos internos y entre las entidades u organizaciones del ecosistema. Los ejercicios tambi�n permiten a las entidades y las autoridades identificar las situaciones que podr�an afectar la capacidad de quienes participan para mantener un nivel de servicio aceptable, funciones y actividades cr�ticas y de otras actividades que pudieran ser relevante para el sistema financiero.
-Recuperaci�n: una vez garantizada la estabilidad y la integridad operativa, la recuperaci�n r�pida y efectiva de las operaciones debe basarse en la priorizaci�n de los procesos cr�ticos y de acuerdo con los objetivos establecidos por las autoridades responsables de la entidad u organizaci�n. La confianza del sector financiero mejora significativamente cuando las entidades u organizaciones y las autoridades tienen la capacidad de ayudarse mutuamente en la reanudaci�n y recuperaci�n de funciones, procesos y actividades cr�ticas. Establecer y probar planes de contingencia para actividades y procesos esenciales puede contribuir a una recuperaci�n m�s r�pida y efectiva.
-Compartir informaci�n: compartir informaci�n t�cnica, como indicadores de amenazas o modalidades sobre c�mo se aprovecharon las vulnerabilidades, o modalidades de fraudes, permite a las entidades mantenerse actualizadas en sus defensas y aprender sobre los m�todos que est�n siendo m�s utilizados. Esta pr�ctica facilita la comprensi�n colectiva de c�mo pueden aprovecharse las vulnerabilidades que afecten a todo el sector, a las funciones econ�micas cr�ticas y hasta poner en peligro la estabilidad financiera. Dada su importancia, las entidades, las organizaciones y las autoridades responsables trabajar�n en identificar y abordar los impedimentos para el intercambio de informaci�n.
-Aprendizaje continuo: las amenazas y vulnerabilidades del ecosistema ciber evolucionan r�pidamente, al igual que las buenas pr�cticas y los est�ndares t�cnicos. La composici�n del sector financiero tambi�n cambia con el tiempo, a medida que surgen nuevos productos y servicios, y se conf�a cada vez m�s en proveedores de servicios de terceros. Las estrategias y los marcos de referencia en materia ciberseguridad necesitan revisi�n peri�dica y actualizaci�n para adaptarse a los cambios en el entorno de control y amenazas, mejorar la concientizaci�n de la persona usuaria y desplegar recursos de manera efectiva.
Para la implementaci�n se deben considerar las caracter�sticas particulares, perfiles de riesgo y an�lisis de impacto en el negocio (BIA) seg�n corresponda. Se espera que estos lineamientos sean adoptados por todos los regulados por el Banco Central en la construcci�n de un ecosistema financiero comprometido con la ciberseguridad.
Adem�s de los principios, se publica el Glosario de Ciberseguridad. Una herramienta que establece definiciones para que todas las personas de las distintas disciplinas involucradas en los procesos de ciberseguridad dispongan de un lenguaje en com�n.
El siguiente cuestionario se ha desarrollado con el fin de ayudar a identificar el estado actual de su organizaci�n respecto de los Lineamientos de Ciberseguridad.
La organizaci�n que lo desee puede responder estas preguntas y obtener un autodiagn�stico sobre el grado de adopci�n de los principios definidos.
1. �Su organizaci�n tiene en cuenta los Lineamientos de Ciberseguridad y Ciber resiliencia stablecidos?
1.1. �Tiene su organizaci�n una estrategia de ciberseguridad adaptada a sus caracter�sticas particulares, perfil de riesgo y an�lisis de impacto en el negocio?
1.2. �Su organizaci�n utiliza un marco de referencia para la gesti�n de la ciberseguridad y ciber resiliencia?
1.3. �Cuenta la organizaci�n con estructuras organizativas, roles y funciones adecuados para poner en pr�ctica los Lineamientos?
1.4. �Participa ciberseguridad en todos los proyectos de la organizaci�n desde el inicio?
1.5. �Cuenta con una metodolog�a para la gesti�n del ciber riesgo integrado al riesgo corporativo que incluya todos los controles relevantes implementados?
1.6. �Implementa un monitoreo continuo del ciber riesgo?
1.7. �Se ha definido, implementado y probado adecuadamente un Plan de Respuesta ante Ciber incidentes que provoquen un evento disruptivo en la organizaci�n?
1.8. �Ha debatido o evaluado en su organizaci�n las ventajas y desventajas del intercambio de informaci�n sobre ciber incidentes y ciber amenazas o modalidades de fraude? �Ha iniciado acciones para compartir informaci�n?
2. �Su organizaci�n tiene en cuenta los criterios de ciberseguridad en la toma de decisiones?
2.1. �Incorpora la gesti�n de ciber riesgos desde el dise�o, para nuevos productos y servicios?2.2. �Se consideran aspectos de ciberseguridad al evaluar la efectividad de las operaciones del negocio y la infraestructura existente? �Incluye tambi�n a las infraestructuras o servicios inform�ticos provistos por terceras partes?
2.3. �La alta gerencia o a nivel estrat�gico supervisa el dise�o, la implementaci�n y efectividad de los programas de ciberseguridad?
2.4. �Recibe el Directorio o la alta gerencia reportes de amenazas o ciber incidentes graves de su industria peri�dicamente a fin de tomar decisiones informadas tanto a corto como a mediano plazo?
2.5. �Influyen los reportes de amenazas y vulnerabilidades en la definici�n del apetito del riesgo de la organizaci�n?
3. �Su organizaci�n es consciente que una disrupci�n es altamente probable?
3.1. Teniendo en cuenta que la implementaci�n de controles de prevenci�n y detecci�n por capas reducen la probabilidad de incidentes, �su organizaci�n implementa seguridad en capas?
3.2. En la actualidad sabemos que no se puede garantizar un entorno completamente seguro, por lo que se asume que ciertos incidentes ocurrir�n, �qui�nes toman las decisiones en su organizaci�n, entienden que la asignaci�n de recursos se debe alinear a la estrategia de ciberseguridad?
3.3. �Se realizan pruebas integrales del Plan de respuesta a ciber incidentes?
3.4. �Se integran los planes de Respuesta a incidentes con los Planes de Continuidad del Negocio?
3.5. �El Plan de Continuidad del Negocio est� alineado con las prioridades establecidas en el An�lisis de Impacto en el Negocio?
4. �Su organizaci�n se adapta a las vulnerabilidades y amenazas que surgen todo el tiempo? �Adopta un enfoque de ciberseguridad adaptativo?
4.1. �Se promueven ciber ejecicios a nivel entidad, industria o entre sectores?
4.2. �Se prepara la organizaci�n para las crisis (situaciones inesperadas), planificando posibles escenarios y pensando en la contenci�n y recuperaci�n?
4.3. �Se promueve un enfoque de aprendizaje y mejora continua como parte de la estrategia de ciberseguridad?
5. �Su organizaci�n construye una cultura de ciberseguridad?
5.1. �Desarrolla un programa continuo para que las habilidades, capacidades y conductas en ciberseguridad sean internalizadas para todas las personas de la organizaci�n?
5.2. �Se consideran la concientizaci�n de todo el personal y la ciberseguridad en los procesos al mismo nivel que las soluciones tecnol�gicas? �Se refleja en las decisiones de inversi�n?
5.3. �Los programas de capacitaci�n y concientizaci�n en ciberseguridad son igualmente dirigidos a personas usuarias, empleados/as y alta gerencia?
5.4. Teniendo en cuenta que una ciberseguridad efectiva se basa en involucrar y educar a las personas. �Se realizan las campa�as necesarias? �Se miden los avances?
5.5. �La estrategia de capacitaci�n y concientizaci�n en ciberseguridad se elabora con el objetivo de transformar el paradigma conocido como: �las personas son el eslab�n m�s d�bil� en el nuevo paradigma �las personas son el activo m�s valioso�?
Glosario
Este glosario es una herramienta que establece definiciones para que todas las personas de las distintas disciplinas involucradas en los procesos de ciberseguridad dispongan de un lenguaje en com�n.
Tiene la finalidad de aunar criterios y definiciones entre los expertos de ciberseguridad de distintas jurisdicciones y para maximizar el trabajo interdisciplinario que requiere la protecci�n del sistema financiero en su conjunto.
En una sociedad interconectada y cada vez m�s digital en el consumo de servicios, la necesidad de interactuar entre distintas disciplinas y con otras jurisdicciones se vuelve intr�nsecamente necesario, por este motivo tener un conjunto de t�rminos comunes, ayudan a una mejor compresi�n de los problemas en materia de ciberseguridad.
Los t�rminos y las definiciones del glosario se desarrollaron para ser utilizados �nicamente con respecto al sector de servicios financieros y las entidades financieras y no tiene por objeto ser utilizado para una interpretaci�n jur�dica de ning�n acuerdo internacional ni de contratos entre privados.
Texto original: https://www.fsb.org/2018/11/cyber-lexicon/
Notas
Las citas de las fuentes que figuran a continuaci�n han sido abreviadas. Puede encontrarse la cita completa al final del glosario.
Los t�rminos definidos en el glosario figuran en it�lica cuando est�n usados en definiciones del glosario.
En el glosario, el t�rmino �entidad� incluye a las personas humanas cuando el contexto lo requiere.
Activo (asset)
Recurso de valor tangible o intangible que deber�a ser protegido, lo que comprende personas, informaci�n, infraestructura, finanzas y reputaci�n.
Fuente: ISACA Fundamentals.
Agente de amenaza (threat actor)
Persona, grupo u organizaci�n que supuestamente est� operando con intenci�n maliciosa.
Fuente: Adaptado de STIX.
Amenaza persistente avanzada (Advanced Persistent Threat, APT)
Agente de amenaza que cuenta con niveles sofisticados de conocimiento y recursos significativos que le permiten generar oportunidades para lograr sus objetivos usando numerosos vectores de amenaza. La amenaza persistente avanzada: (i) persigue sus objetivos de manera reiterada durante un per�odo prolongado; (ii) se adapta a los esfuerzos que realizan quienes se defienden de ella en un intento por resistirla; y (iii) est� decidida a llevar a cabo sus objetivos.
Fuente: Adaptado de NIST.
An�lisis de vulnerabilidades (vulnerability assessment)
Examen sistem�tico de un sistema de informaci�n, junto con sus controles y procesos, para determinar la adecuaci�n de las medidas de seguridad, identificar deficiencias en la seguridad, proporcionar datos a partir de los cuales predecir la eficacia de las medidas de seguridad propuestas y confirmar la adecuaci�n de dichas medidas luego de la implementaci�n.
Fuente: Adaptado de NIST.
Autenticaci�n multifactor (multi-factor authentication)
Uso de dos o m�s de los siguientes factores para verificar la identidad de un usuario: factor de conocimiento, �algo que una persona sabe�; factor de posesi�n, �algo que una persona tiene�; factor biom�trico, �una caracter�stica biol�gica o conductual de una persona�.
Fuente: Adaptado de ISO/IEC 27040:2015 e ISO/IEC 2832- 37:2017 (definici�n de �caracter�stica biom�trica� [�biometric characteristic�]).
Autenticidad (authenticity)
Propiedad que consiste en que una entidad es lo que afirma ser.
Fuente: ISO/IEC 27000:2018.
Aviso cibern�tico (cyber advisory)
Notificaci�n de nuevas tendencias o de novedades acerca de una ciberamenaza contra sistemas de informaci�n o acerca de una vulnerabilidad de los sistemas de informaci�n. Dicha notificaci�n puede abarcar un estudio anal�tico de tendencias, intenciones, tecnolog�as o t�cticas empleadas para atacar sistemas de informaci�n.
Fuente: Adaptado de NIST.
Campa�a (campaign)
Conjunto de comportamientos adversos coordinados que describe una serie de actividades maliciosas contra uno o m�s objetivos espec�ficos a lo largo de un per�odo.
Fuente: Adaptado de STIX.
Ciber- o cibern�tico (cyber)
Relativo a una infraestructura tecnol�gica interconectada en la que interact�an personas, procesos, datos y sistemas de informaci�n.
Fuente: Adaptado de CPMI-IOSCO (cita de NICCS).
Ciberalerta (cyber alert)Notificaci�n de un ciberincidente espec�fico o de que se ha dirigido una ciberamenaza contra los sistemas de informaci�n de una organizaci�n.
Fuente: Adaptado de NIST.
Ciberamenaza (cyber threat)
Circunstancia que podr�a explotar una o m�s vulnerabilidades y afectar la ciberseguridad.
Fuente: Adaptado de CPMI-IOSCO.
Ciberincidente (cyber incident)
Evento cibern�tico que: i. pone en peligro la ciberseguridad de un sistema de informaci�n o la informaci�n que el sistema procesa, almacena o transmite; o ii. infringe las pol�ticas de seguridad, los procedimientos de seguridad o las pol�ticas de uso aceptable, sea o no producto de una actividad maliciosa.
Fuente: Adaptado de NIST (definici�n de �incidente� [�incident�]).
Ciberresiliencia (cyber resilience)
Capacidad de una organizaci�n de continuar llevando a cabo su misi�n anticipando y adapt�ndose a ciberamenazas y otros cambios relevantes en el entorno, y resistiendo, conteniendo y recuper�ndose r�pidamente de ciberincidentes.
Fuente: Adaptado de CERT Glossary (definici�n de �resiliencia operativa� [�operational resilience�]), CPMI-IOSCO y NIST (definici�n de �resiliencia� [�resilience�]).
Ciberseguridad (cyber security)
Preservaci�n de la confidencialidad, la integridad y la disponibilidad de la informaci�n y/o de los sistemas de informaci�n a trav�s del medio cibern�tico. Asimismo, pueden estar involucradas otras propiedades, tales como la autenticidad, la trazabilidad, el no repudio y la confiabilidad.
Fuente: Adaptado de ISO/IEC 27032:2012.
Compromiso (compromise)
Transgresi�n de la seguridad de un sistema de informaci�n.
Fuente: Adaptado de ISO 21188:2018.
Confiabilidad (reliability)
Uniformidad en cuanto al comportamiento y los resultados deseados.
Fuente: ISO/IEC 27000:2018.
Confidencialidad (confidentiality)
Propiedad seg�n la cual la informaci�n no est� disponible para personas, entidades, procesos o sistemas no autorizados, ni se da a conocer a personas, entidades, procesos o sistemas no autorizados.
Fuente: Adaptado de ISO/IEC 27000:2018.
Control de acceso (access control)
Medio para asegurar que el acceso a los activos est� autorizado y restringido en funci�n de requisitos relacionados con la actividad y la seguridad.
Fuente: ISO/IEC 27000:2018.
Curso de acci�n (Course of Action, CoA)
Una o m�s acciones que se llevan a cabo para prevenir o responder a un ciberincidente. Este concepto puede referirse a respuestas t�cnicas automatizables, pero tambi�n puede describir otras acciones, tales como la capacitaci�n para los empleados o los cambios en las pol�ticas.
Fuente: Adaptado de STIX.
Defensa en profundidad (defencein-depth)
Estrategia de seguridad que abarca personas, procesos y tecnolog�a para establecer una serie de barreras en m�ltiples niveles y dimensiones de la organizaci�n.
Fuente: Adaptado de NIST y FFIEC.
Denegaci�n de servicio (Denial of Service, DoS)
Acci�n de impedir el acceso autorizado a informaci�n o sistemas de informaci�n, o de demorar la ejecuci�n de operaciones y funciones de los sistemas de informaci�n, lo cual conlleva la p�rdida de disponibilidad para los usuarios autorizados.
Fuente: Adaptado de ISO/IEC 27033-1:2015.
Denegaci�n de servicio distribuida (Distributed Denial of Service, DDoS)
Denegaci�n de servicio que se lleva a cabo usando numerosas fuentes en forma simult�nea.
Fuente: Adaptado de NICCS.
Detectar (funci�n) (detect)
Desarrollar e implementar las actividades apropiadas para identificar un evento cibern�tico.
Fuente: Adaptado de NIST Framework.
Disponibilidad (availability)
Cualidad de accesible y utilizable a demanda por parte de una entidad autorizada.
Fuente: ISO/IEC 27000:2018.
Equipo de respuesta ante incidentes (Incident Response Team, IRT) [tambi�n conocido como CERT o CSIRT]
Equipo conformado por miembros capacitados y confiables de la organizaci�n que maneja los incidentes durante su ciclo de vida.
Fuente: ISO/IEC 27035-1:2016.
Evaluaci�n de amenazas (threat assessment)
Proceso de evaluaci�n formal del grado de amenaza para una organizaci�n y descripci�n de la naturaleza de la amenaza.
Fuente: Adaptado de NIST.
Evento cibern�tico (cyber event)
Ocurrencia observable en un sistema de informaci�n. Los eventos cibern�ticos a veces indican que se est� produciendo un ciberincidente.
Fuente: Adaptado de NIST (definici�n de �evento� [�event�]).
Exploit
Forma definida de transgredir la seguridad de los sistemas de informaci�n a trav�s de una vulnerabilidad.
Fuente: ISO/IEC 27039:2015.
Gesti�n de identidades y accesos (Identity and Access Management, IAM)
Comprende personas, procesos y tecnolog�a para identificar y gestionar los datos utilizados en un sistema de informaci�n a fin de autenticar a los usuarios y otorgar o denegar derechos de acceso a datos y recursos del sistema.
Fuente: Adaptado de ISACA Full Glossary.
Gesti�n de parches (patch management)
Notificaci�n, identificaci�n, implementaci�n, instalaci�n y verificaci�n sistem�ticas de revisiones de los sistemas operativos y los c�digos de software de aplicaci�n. Estas revisiones se conocen con el nombre de �parche� (�patch�), �correcci�n r�pida� (�hot fix�) y �conjunto de parches� (�service pack�).
Fuente: NIST.
Identificar (funci�n) (identify)
Desarrollar el entendimiento organizacional necesario para gestionar el riesgo cibern�tico al que se encuentran expuestos los activos y las capacidades.
Fuente: Adaptado de NIST Framework.
Incidente de seguridad de los datos (data breach)
Compromiso que, de manera accidental o ilegal, da lugar a la destrucci�n, la p�rdida, la alteraci�n o la divulgaci�n o el acceso no autorizados a datos transmitidos, almacenados o procesados de otra manera.
Fuente: Adaptado de ISO/IEC 27040:2015.
Indicadores de compromiso (Indicators of Compromise, IoC)
Se�ales que indican que podr�a haber ocurrido o que podr�a estar produci�ndose un ciberincidente.
Fuente: Adaptado de NIST (definici�n de �indicador� [�indicator�]).
Ingenier�a social (social engineering)
T�rmino general que describe la acci�n de intentar enga�ar a las personas con el fin de que revelen informaci�n o realicen determinadas acciones.
Fuente: Adaptado de FFIEC.
Integridad (integrity)
Cualidad de exacto y completo.
Fuente: ISO/IEC 27000:2018.
Inteligencia sobre amenazas (threat intelligence)
Informaci�n sobre amenazas que ha sido agregada, transformada, analizada, interpretada o enriquecida para ofrecer el contexto necesario para los procesos de toma de decisiones.
Fuente: NIST 800-150.
Intercambio de informaci�n (information sharing)
Acci�n de compartir datos, informaci�n y/o conocimiento que pueden utilizarse para gestionar riesgos o responder ante eventos.
Fuente: Adaptado de NICCS.
Malware
Software dise�ado con un objetivo malicioso y que contiene caracter�sticas o capacidades que podr�an provocar un da�o directo o indirecto a entidades o a sus sistemas de informaci�n.
Fuente: Adaptado de ISO/IEC 27032:2012.
No repudio (non-repudiation)
Capacidad de demostrar la ocurrencia de un evento o acci�n y las entidades que los originaron.
Fuente: ISO 27000:2018.
Plan de respuesta ante ciberincidentes (cyber incident response plan)
Documentaci�n de un conjunto predeterminado de instrucciones o procedimientos para responder ante un ciberincidente y limitar sus consecuencias.
Fuente: Adaptado de NIST (definici�n de �plan de respuesta ante incidentes� [�incident response plan�]) y NICCS.
Proteger (funci�n) (protect)
Desarrollar e implementar los resguardos adecuados para garantizar la prestaci�n de los servicios y limitar o contener el impacto de los ciberincidentes.
Fuente: Adaptado de NIST Framework.
Protocolo de divulgaci�n (Traffic Light Protocol, TLP)
Conjunto de designaciones utilizadas para asegurar que la informaci�n se comparta �nicamente con los destinatarios definidos. Emplea un c�digo de colores preestablecido (sem�foro) para indicar los l�mites previstos de intercambio que deber� aplicar el receptor.
Fuente: Adaptado de FIRST.
Recuperar (funci�n) (recover)
Desarrollar e implementar las actividades adecuadas para mantener planes de ciberresiliencia y restaurar capacidades o servicios que se hayan visto afectados debido a un ciberincidente.
Fuente: Adaptado de NIST Framework.
Responder (funci�n) (respond)
Desarrollar e implementar las actividades apropiadas para tomar medidas acerca de un evento cibern�tico detectado.
Fuente: Adaptado de NIST Framework.
Riesgo cibern�tico (cyber risk)
Combinaci�n de la probabilidad de que se produzcan ciberincidentes y su impacto. Fuente: Adaptado de CPMI-IOSCO, ISACA Fundamentals (definici�n de �riesgo� [�risk�]) e ISACA Full Glossary (definici�n de �riesgo� [�risk�]).
Sistema de informaci�n (information system)
Conjunto de aplicaciones, servicios, activos de tecnolog�a de la informaci�n u otros componentes de manejo de informaci�n, que incluye el entorno operativo.
Fuente: Adaptado de ISO/IEC 27000:2018.
T�cticas, t�cnicas y procedimientos (Tactics, Techniques and Procedures, TTP)
Comportamiento de un agente de amenaza. Una t�ctica es la descripci�n de m�s alto nivel de este comportamiento, mientras que las t�cnicas brindan una descripci�n m�s detallada del comportamiento en el contexto de una t�ctica y los procedimientos implican una descripci�n de menor nivel, muy detallada en el contexto de una t�cnica.
Fuente: Adaptado de NIST 800-150.
Test de intrusi�n (penetration testing)
Metodolog�a de prueba en la cual los evaluadores, usando toda la documentaci�n disponible (p. ej., dise�o del sistema, c�digo fuente, manuales) y trabajando con limitaciones espec�ficas, intentan eludir las funciones de seguridad de un sistema de informaci�n.
Fuente: NIST.
Test de intrusi�n basado en amenazas (Threat-Led Penetration Testing, TLPT) [tambi�n conocido como prueba del equipo rojo (red team testing)]
Intento controlado por comprometer la ciberresiliencia de una entidad simulando las t�cticas, t�cnicas y procedimientos de agentes de amenaza reales. Se basa en inteligencia sobre amenazas dirigida y se centra en las personas, los procesos y la tecnolog�a de una entidad, con un conocimiento previo e impacto m�nimos en las operaciones.
Fuente: G-7 - Fundamental Elements
Trazabilidad (accountability)
Propiedad que asegura que las acciones de una entidad puedan ser rastreadas y atribuidas de manera inequ�voca a dicha entidad.
Fuente: ISO/IEC 2382:2015.
Vector de amenaza (threat vector)
Recorrido o ruta utilizados por el agente de amenaza para obtener acceso al objetivo. Fuente: Adaptado de ISACA Fundamentals. Verificaci�n (verification) Confirmaci�n, a trav�s de la provisi�n de evidencia objetiva, de que se han cumplido los requisitos especificados.
Fuente: ISO/IEC 27042:2015.
Vulnerabilidad (vulnerability)
Debilidad, susceptibilidad o defecto de un activo o control que pueden ser explotados por una o m�s amenazas.
Fuente: Adaptado de CPMI-IOSCO e ISO/IEC 27000:2018.