Tendencias tecnológicas:

Ciberseguridad
corporativa e
industrial
Ciberseguridad corporativa e industrial /1
Ciberseguridad en la organización

1. El responsable de Seguridad,
figura clave en las organizaciones
Ignacio Martínez, Consultor Ciberseguridad e Industria

2. Protege el activo más crítico de tu organización:

la información
Rafa Vidal, Director de Ciberseguridad y Gobierno IT

3. Ciberseguridad Industrial:
la asignatura pendiente
Enrique Rodríguez, Consultora de Seguridad y Gobierno IT

4. Ciberseguridad como base para

la Transformación Digital
Oscar Atienza, Responsable Técnico de Ciberseguridad

Tendencias tecnológicas:

Ciberseguridad corporativa e industrial

Ciberseguridad corporativa e industrial /2
Casos de éxito

1. Renfe: Autoinventario y Monitorización de operación

y seguridad de redes Industriales
Francisco Lázaro, CISO de Renfe Operadora
Rafael Vidal, Director de Seguridad y Gobierno TIC en Nunsys

2. Protección de la operación y de la información en la

Conselleria de Sanitat en tiempos postpandemia
Antonio Grimaltos, Oficina de Seguridad de la Información en Conselleria de Sanitat
Rafa Vidal, Director de Ciberseguridad y Gobierno IT en Nunsys

3. Certificación en el Esquema Nacional de Seguridad del

Ministerio de Economía y Empresa
José Francisco Hernández Cuchí, Jefe de Área de Seguridad y Calidad del
Ministerio de Economía y Empresa
María José Hernández, Consultora de Seguridad y Gobierno IT en Nunsys

4. Orquestando la seguridad en un entorno crítico,

Autoridad Portuaria de Valencia
Luis Agustin Fonfria, Jefe de Ciberseguridad Autoridad Portuaria de Valencia
Mario Trigueros, Responsable Técnico de la UNE de Ciberseguridad

Ciberseguridad corporativa e industrial /3

5. Modelo de Gobierno y Gestión de la Ciberseguridad
en Soltec
Jorge Garcia Garcia, Global IT Director en Soltec
Rafa Vidal, Director de Ciberseguridad y Gobierno IT

6. Asistencia completa al CISO en Dacsa Group

Ignacio Juanes Ballester, Group IT Manager y CISO de Dacsa Group
Enrique Rodríguez, Responsable Técnico de Ciberseguridad en Nunsys

7. Seguridad integral en Alloha College

Alejandro Serrano, IT Manager de Aloha College
Enrique Rodríguez, Responsable Técnico de Ciberseguridad en Nunsys

8. Certificación en el Esquema Nacional de Seguridad de

la Universitat de València
Fuensanta Domenech, Responsable SIUV de la UV
Julio Martí, Técnico de Seguridad de la UV
Rafa Vidal, Director de Ciberseguridad y Gobierno IT en Nunsys

9. Protección global y quirúrgica en un entorno

heterogéneo, Más y Más
Ramón Gil, Responsable de Sistemas Informática en Más y Más
Enrique Rodríguez, Responsable Técnico de Ciberseguridad

Ciberseguridad corporativa e industrial /4

Ciberseguridad
en la organización
La pandemia provocada por la Covid-19, ha cambiado la forma de operar de muchas
organizaciones, ya que el trabajo a distancia se ha convertido en la norma.

Sin embargo, el paso de una oficina habitual a un puesto de trabajo en el hogar - potencialmente como
un acuerdo a largo plazo - plantea nuevos riesgos de seguridad para las empresas a medida que
más agentes de amenazas intentan sacar provecho del malestar relacionado con el Covid-19.

Cuando la crisis del coronavirus nos golpeó, las organizaciones rápidamente tuvieron que enfrentarse
a esta realidad. Este contexto ha puesto sobre la mesa recordatorios aleccionadores de problemas
perennes y advertencias desatendidas que han acosado a la ciberseguridad durante años. También
ha mostrado cómo las organizaciones de todo el mundo corren un riesgo importante de sufrir
interrupciones por ciberataques, crisis mundiales y otros posibles puntos de inflexión. Si bien el riesgo
siempre ha estado presente, la pandemia no ha hecho más que subrayar la gravedad del problema:
¿cómo están equipados o preparados los sectores para tales escenarios?

Amenazas
Ciberdelincuentes han aprovechado esta situación de vulnerabilidad para incrementar sus ataques de
todo tipo: ransomware, phishing con el que obtener credenciales de acceso a sistemas, ejecución de
código de forma remota, exfiltración de información, etc.

Riesgos
El despliegue rápido de soluciones de teletrabajo puede dejar brechas que son aprovechadas por
ciberdelincuentes:

1. Ataques ransomware a Infraestructuras Críticas (Hospitales)

2. Correos relacionados con COVID19
3. Suplantación de identidad (con correos del miedo)
4. Fraude del CEO (facturas falsificadas, etc.)

En 2021, las organizaciones se están esforzando por hacer frente a los efectos de gran alcance, al tiempo
que se comprometen a mantenerse seguras a medida que crece la dependencia online.

A lo largo de este ebook, examinamos los desarrollos que no solo son plausibles, sino que también deben
ser anticipados. Analizamos los factores que impulsan el futuro próximo de la ciberseguridad y cómo las
organizaciones tendrán que adaptarse a medida que las amenazas y las tecnologías ejerzan su influencia.
Nuestro informe tiene por objeto facultar a las organizaciones y a los responsables de la toma de decisiones para
que elaboren una respuesta estratégica adecuada que pueda resistir al cambio y la disrupción.

Tras la puesta en marcha del teletrabajo, para asegurar la continuidad de la compañía, se ha realizado un
pequeño diagnóstico del estado de las medidas recomendables a implantar para permitir el teletrabajo
seguro. Para ello, se ha seguido -entre otras- la guía del CCN para la seguridad en el teletrabajo, a la cual
hemos contribuido entre las organizaciones clientes de Nunsys (más de 50 muestras).

RECOMENDACIONES PARA
EL TELETRABAJO

Ciberseguridad corporativa e industrial /5

El diagnóstico ha reflejado los siguientes resultados medios:

60%

50%

40%

30%

20%

10%

0%
Infraestructura Operación de la Tareas responsables Gestión de TOTAL
de seguridad Seguridad de Seguridad la Seguridad

% DE SEGURIDAD EN EL TELETRABAJO

Se propone a las organizaciones realizar un plan de actuaciones rápidas en seguridad (quick wins), con un
ratio coste/beneficio muy bajo, y por tanto rápido para poner en marcha con pocos recursos:

TOTAL

Tareas responsables de Seguridad

Gestión de la Seguridad

Operación de la Seguridad

Infraestructura de seguridad

0 50 100 150 200 250 300

Completo Obligatorio Normalmente implementado

INVERSIÓN HORAS HOMBRE

Ciberseguridad corporativa e industrial /6

1. El responsable de Seguridad,
figura clave en las
organizaciones

Tendencias tecnológicas:

Ciberseguridad corporativa e industrial

El responsable de Seguridad /7
1. El responsable de Seguridad,
figura clave en
las organizaciones
Ignacio Martínez
Consultor Ciberseguridad e Industria

La figura del responsable de seguridad o CISO resulta imprescindible en las organizaciones. Aunque, si bien es
cierto que hoy en día aún hay algunas funciones que son adoptadas por otras figuras.

En este artículo vamos a describir dichas funciones y como ejecutarlas de manera interna o externalizando
servicios como: la mejora de la infraestructura de seguridad, las armas para luchar contra los ciberdelincuentes,
la operación de la seguridad o el ejército para responder a cualquier incidencia, y el gobierno de la información
o inteligencia para mejorar a medio y largo plazo la seguridad de la organización. Finalmente, se describirán
algunos productos clave que han supuesto un salto de calidad en el gobierno de la seguridad.

El responsable de Seguridad /8
El CISO como figura emergente
e imprescindible
Toda organización, en mayor o menor medida, dependiendo de su tamaño y actividad. Necesita una Oficina
Técnica de Seguridad o un CISO (Chief Information Security Officer, o Responsable de Seguridad) a tiempo
completo o parcial. Esta figura puede ser interna o externalizada.

El trabajo de dicha oficina o de un CISO se fundamenta en torno a las funciones del Libro Blanco del CISO, en
su segunda edición por parte del ISMS Forum. Nunsys no sólo ha contribuido a su redacción y corrección, sino
que ha articulado un completo curso a CISOs que se imparte presencialmente en varias delegaciones con
éxito, y también de manera online. El servicio del CISO se estructura en torno a las siguientes áreas:

CISO
Responsable de
seguridad

Gestión de la Operación de la
seguridad seguridad

Gobierno IT Nube
Compliance CPD
Gestión de Riesgos Industria
Plan Director 24x7
de Seguridad Forense

INFRAESTRUCTURA DE SEGURIDAD

Un CISO debe disponer de una completa infraestructura de seguridad

para poder desarrollar su trabajo.

El responsable de Seguridad /9
Infraestructura de seguridad
La organización debe disponer de una completa infraestructura de seguridad para poder desarrollar su
trabajo. La infraestructura de base incluye la seguridad perimetral (Firewalls, puntos de acceso Wifi, etc.),
como la protección del puesto de trabajo (antivirus o endpoint, antiAPT con control de la capa 7, etc.).

TIPOS DE PROTECCIÓN CAPAS DE PROTECCIÓN

Correo

CAPA REACTIVA
Perimetral
PROTECCIÓN
ACTIVA POR CAPAS
Puesto de trabajo
CAPACIDAD
DETECTIVA
Detección compleja/
monitorización
ANÁLISIS Y
RESPUESTA
Gestión integral de la
seguridad

Existen determinadas herramientas y plataformas en cualquier organización que servirán de palanca

para conseguir la mejor ejecución de la gestión de la seguridad, como pueden ser: la plataforma
SIEM de correlación de eventos (QRADAR, Sentynel, AlienVault…) para la gestión de la Seguridad
(interna o externalizada en un CyberSOC) y la plataforma de machine learning (Guardian de Nozomi,
DDI de TrendMicro, SIRENA de SINGLAR, KICS de Kaspersky…) para la monitorización y análisis de
comportamiento de las operaciones de la red industrial supervisado por el Responsable de Operación OT
o desde un CyberSOC Industrial.

Operación de la seguridad
La labor del CISO tiene una alta carga de operaciones. Es decir, de acciones a ejecutar en la gestión de
incidencias corporativas e industriales, y en la operación y administración de toda la infraestructura antes
descrita. Todas las operaciones se centran en conseguir un mayor control de la infraestructura y una
alerta temprana ante cualquier anomalía o posible amenaza a las infraestructuras de una organización.
Dentro de la operación de la seguridad, se deberá crear un Plan de Respuesta a Incidentes, así como
realizar auditorías de seguridad, evaluación de vulnerabilidades, gestión de los sistemas Antiphising y
Antimalware…

Gestión de la seguridad
Para que el departamento de operaciones (producción/OT, IT) funcione, es necesario establecer políticas
(de carácter general), procedimientos (de alta/baja de usuarios, alta/baja de proveedores, acceso a los
sistemas de información, revisión periódica de la seguridad, etc), así como instrucciones técnicas (ligadas
a una tecnología concreta, como dar de alta en una aplicación paso a paso, p.e.).

El responsable de Seguridad / 10
En el apartado de gestión se incluye la implantación de un SGSI (Sistema de Gestión de la Seguridad de la
Información) con o sin certificación final de la ISO27001/2013 o del ENS (Esquema Nacional de Seguridad). Entre
otros resultados, va a permitir documentar los procedimientos e instrucciones técnicas pertinentes, el plan
de gestión de incidentes, y las instrucciones técnicas para la correcta gestión de la infraestructura. También se
incluye en el apartado de gestión la creación del Plan de Continuidad del Negocio, las políticas de archivado de la
documentación o algunas propuestas de mejora, como el piloto de Protección de la Información.

Asimismo, se recomienda celebrar o incorporar externamente el servicio mensual de vCISO, que, en base a
los informes de las diferentes plataformas existentes, permitirá proponer mejoras en todos los ámbitos aquí
descritos, pero especialmente en el de la gestión de la seguridad, permitiendo en el medio y largo plazo una
disminución del nivel de riesgos de la organización en base a propuestas de actuaciones de seguridad.

Soporte al responsable de seguridad y de IT

Finalmente, la única manera de que el trabajo realizado suponga una mejora en la organización a medio
y largo plazo es formar y concienciar en las tecnologías y operaciones al personal clave.

Se incluyen en este apartado las campañas de formación, concienciación y simulaciones de Phishing

a empleados. La mejor manera de garantizar que la organización está preparada para responder
correctamente a intentos de Phishing externos.

Descripción de las funciones de un CISO

Las funciones que debe desarrollar una Oficina Técnica de Seguridad o un Responsable de Seguridad o CISO,
son las siguientes (dedicaciones estimadas para una organización del entorno de 100 empleados):

FUNCIÓN OBJETIVO DESCRIPCIÓN HORAS

Gestión del Organizar las funciones, Se realizarán revisiones periódicas con las 20
Servicio de responsabilidades y armas dedicaciones estimadas y reales de cada
Seguridad al alcance del CISO para la función del CISO, así como los diferentes
gestión y operación de la perfiles y roles que participan en cada
Seguridad. función.

Cumplimiento de Supervisar el cumplimiento El CISO revisará la principal legislación 40

la legislación de la legislación en los nacional, europea y mundial (buenas
aspectos referidos a su ámbito prácticas) en materia de ciberseguridad, y las
de actuación. tareas asociadas a su cumplimiento (tanto la
implantación como la gestión).

Formación en Formar, concienciar y Se presentará el plan de formación 63

Seguridad de la sensibilizar a la organización anual en Ciberseguridad para personal
Información en materia de seguridad de la con responsabilidades de Seguridad en
información. la organización, así como formación y
concienciación que se puede y debe impartir
a toda la plantilla, según la normativa
existente. Se impartirá dicha formación por
parte del CISO y de las personas de apoyo
necesarias.

El responsable de Seguridad / 11
Estrategia de Alinear la estrategia de Mediante los marcos de Gobierno existentes 10
seguridad de la seguridad de la información (principalmente Cobit 5, ISO 38500) se
información con los objetivos de la aplicarán técnicas para trasladar los objetivos
empresa de negocio (y de producción) a objetivos
de seguridad. Se empleará la Cascada de
Objetivos de CoBIT para realizar un ejercicio
práctico.

Reporte con la Interlocutar con la Alta A través de los marcos de Gobierno IT 20

Alta Dirección en Dirección en materia de existentes, se aplicarán técnicas para trasladar
materia seguridad de la información las métricas, indicadores de seguridad (IoC)
de seguridad de (métricas, reporting de e informes, en reportes para la Alta Dirección
la información riesgos, planes de acción, alineados con negocio. Se presentarán
amenazas e incidencias) informes cada tres meses.

Normativa de Definir y difundir (formación Se formalizará el modelo de un SGSI o Sistema 50

seguridad anterior) la normativa de de Gestión de Seguridad de la Información
(Políticas, seguridad (Políticas, Normas y y Privacidad, para dar cumplimiento a la
Normas y procedimientos) y velar por su normativa de seguridad, con su política,
procedimientos) cumplimiento. normativa y procedimientos.

Gestión de Gestionar los riesgos de Partiendo de los marcos de análisis y 120

riesgos de seguridad de la información gestión de riesgos existentes (ISO31000,
seguridad y establecer el plan de MAGERIT, otros), se realizará un AARR y un
de la información acción correspondiente. Dar Plan de Tratamiento del Riesgo acorde a las
seguimiento y aplicar las exigencias de la dirección, y a la madurez de la
acciones de remediación. organización. Se llevarán a cabo las acciones
resultantes.

Identificación y Identificar e impulsar Se recorrerán los dominios y controles de 120

establecimiento la identificación y seguridad, organizados por capítulos, y
de los controles establecimiento su correspondencia con la organización
de seguridad de los controles de y su nivel de madurez. Se seguirá la
seguridad necesarios implantación de los controles de seguridad
para acometer el riesgo en la organización, o supervisará si se debe
(controles organizativos, encargar un tercero.
procedimentales, así como los
técnicos y humanos).

Requisitos de Velar e impulsar la Se revisarán los diferentes requisitos de 120

seguridad identificación de requisitos de seguridad que debe tener en cuenta
seguridad. a una organización, asegurándose su
implementación.

Supervisión Supervisar el Nivel de Se implementarán los distintos mecanismos 61

del Nivel de seguridad, el cumplimiento técnicos y de gestión, así como de auditoría,
seguridad de los controles y el grado de los que dispone un CISO para supervisar
de eficacia de las medidas la seguridad, tanto de infraestructura bajo su
aplicadas. control como la que no lo está. Se realizarán
sesiones mensuales (comités de seguridad),
donde revisar indicadores, informes, y
recomendaciones.

El responsable de Seguridad / 12
Operación de Gestionar la operación de Administración o supervisión, según 102
seguridad de la seguridad de la información, corresponda, de la infraestructura de
información sea directa, a través de seguridad en una organización al alcance
servicios externalizados o a del CISO: Desde la seguridad perimetral y del
través de otras áreas de la puesto de trabajo, hasta soluciones avanzadas
organización. de ciberseguridad para gestionar la operación
diaria. Se pondrán en marcha y gestionarán
herramientas de ciberseguridad (SIEM).

Prevención del Prevenir el fraude, al menos el Se revisarán las principales técnicas de 40

fraude cometido a través de medios prevención del fraude tecnológico, técnicas
electrónicos. de phising y cómo combatirlo, así como
fraude en otros entornos (p.e. financiero, pago
de facturas, etc.). Se realizarán campañas
simuladas de phishing.

Gestión los Gestionar los incidentes de Gestión de incidentes de seguridad (apoyado 40

incidentes de seguridad, sea directa, a través en el equipo de ciberseguridad). Análisis
seguridad de servicios externalizados o forense de incidentes.
a través de otras áreas de la
organización.

Gestión de Interlocutar con otras Se elaborarán los planes de respuesta a 62

incidencias y empresas, instituciones, incidentes, planes de continuidad de negocio
escalado reguladores y Fuerzas y según los marcos existentes (ISO22301),
Cuerpos de Seguridad escalando a los diferentes organismos
del Estado en materia de disponibles (INCIBE, Guardia Civil, CCN, etc.)
seguridad de la información.
TOTAL 14 FUNCIONES 1.740

Estas dedicaciones suman 40 horas semanales a lo largo de 44-45 semanas que dispone el año
(descontando vacaciones).

Si cogemos las funciones y las organizamos en un planing temporal, tendremos actividades asociadas a
cada fase de gestión de la seguridad.

Supervisión del Normativa

Nivel de seguridad de seguridad
de seguridad de
Reporte con la

la información
Alta Dirección

Cumplimiento
en materia

de la legislación
Formación en
Seguridad de la Prevención
Información del fraude

Gestión del
incidentes de

incidencias y

Servicio de
Identificación y
Gestión los

Gestión de
seguridad

Seguridad
escalado

establecimiento Gestión de riesgos de Operación

de los controles de Requisitos seguridad de seguridad de
seguridad de seguridad de la información Estrategia de
la información seguridad de la
información

El responsable de Seguridad / 13
Servicios de Seguridad Gestionada
El CISO con el soporte interno o externo de la oficina técnica de seguridad puede o debe contemplar estos
servicios a prestar a la organización para la mejora continua del estado de la seguridad y disminución del
nivel de riesgo.

SEGURIDAD Y
GOBIERNO TIC

SOPORTE AL CISO

GOBIERNO TIC OPERACIÓN-CYBERSOC PRODUCTOS SEGURIDAD

CIBERSEGURIDAD PROTECCIÓN CIBERSEGURIDAD PROTECCIÓN

COMPLIANCE GOBIERNO TI
IT IOT MONITORIZACIÓN IOT
DISPONIBILIDAD Y CAPACIDAD
IT

SEGURIDAD BUENAS PRÁCTICAS ANÁLISIS AUDITORÍA SEGURIDAD ANÁLISIS FIREWALL SEGMENTACION REDES
INFORMACIÓN ITIL: ISO 20000-1 FORENSE INDUSTRIAL VULNERABILIDADES AVANZAD O FIREWALL OT

NORMATIVA BUEN GOBIERNO: AUDITORÍA SEGURIDAD: AARR ANÁLISIS ENDPOINT SEGURIDAD

CALIDAD COBIT ETHICAL HACKER ENTORNOS OT TRÁFICO AVANZADO SEMÁNTICA

PRIVACIDAD IMPLANTACIÓN ITIL RED TEAM CUMPLIMIENTO CORRELACIÓN PROTECCIÓN DETECCIÓN

GDPR Y TICKETING NORMATIVO OT EVENTOS (SIEM) INFORMACIÓN DE AMENAZAS

CONTROLES PLAN DIRECTOR SEGURIDAD EN PROTECCIÓN DE GESTIÓN PLATAFORMAS CIBER- AUTOINVENTARIO

AUTOMATIZADOS DE SEGURIDAD CLOUD (OFFICE 365) INFRAESTRUCTURAS INCIDENTES IT SEGURIDAD CORPORATIVA INDUSTRIAL

FORMACIÓN GESTIÓN AUTOINVENTARI O PROTECCIÓN IOT

CONCIENCIACION INCIDENTES OT

VIGILANCIA
DIGITAL PLATAFORMAS SOPORTE
AL COMPLIANCE

MONITORIZACIÓ N

CISO VIRTUAL

¿Donde está tu organización y donde quiere estar?

¿Donde estás tú y a donde quieres ir?

El responsable de Seguridad / 14
Infraestructura de seguridad (preventivo)
Una arquitectura avanzada que comprende las principales herramientas para la correcta gestión y operación
de la seguridad.

PERÍMETRO
FIREWALL
RED PCS
SEVIDORES Y APLICACIONES INVENTARIO OT,
ALERTAS
INVENTARIO, ALERTAS
Y LOGS

ENDPOINT
INCIDENCIAS
ELEMENTOS RED RESPONSABLES
IT, OT
AUTOINVENTARIO
HW Y SW
DESPLIEGUES

RED CORPORATIVA
PUESTO DE TRABAJO
ANALISTAS SEGURIDAD, SISTEMAS,REDES, INDUSTRIA

Operación de la seguridad (reactivo)

En la siguiente figura se muestran los componentes que intervienen en la operación de la seguridad (también
conocido como Blue Team). Es decir, el equipo preparado para responder a una incidencia o una amenaza
detectada:

DETECTAR RECOGER Y CORRELACIONAR INFORME ADMINISTRAR CONFORMIDAD

ALMACENAR
Detección de ataques Evento recolección Correlación lógica Dashboard & métrica Evaluación de riesgos Personalización de
Escaneo vulnerabilidad Filtrado de eventos Correlación cruzada Informes de seguridad Apoyan la decisión paneles ejecutivos
Red de vigilancia Almacenamiento SQL Correlación inventario Informes vulnerabilidad Respuesta automática Métrica
Detección anomalias Archivo forense Situación awareness Informes red Gestión de incidencias
Firewall Firma digital Taxonomia de eventos Informes forenses Gestión de inventario
Cacheo eventos Comunicaciones Informe ejecutivo Mgmt gerárquico
5GBs throughput Módulos predefinidos Multicliente
Packet capture Personalizables Gestión centralizada
Planificador Distribución
Escalabilidad
HA & equilibrio de carga

El responsable de Seguridad / 15
Gestión de la seguridad (inteligencia)
La mejora a medio y largo plazo de la seguridad depende en gran medida de la elaboración y puesta en
marcha de un Plan Director de Seguridad. Este debe de estar basado en una norma internacional como ISO
27001:2013, o en la normativa y legislación europea y Nacional (RGPD, ENS, Ley PIC, Directiva NIS2…)

ENTRADA PROCESO SALIDA

PLAN
Definición de política, Política
objetivos y alcance Objetivos
Alcance

Amenazas PLAN
Vulnerabilidades Análisis de riesgos Inventario de activos
Impacto Informe del análisis
Metodología

PLAN
Informe del análisis Tratamiento de riesgos SOA
Controles anexo A Plan de tratamiento de
Otros controles riesgos

DO
Controles Implantación y operación Políticas
Plan de tratamiento del SGSI Procedimientos
de riesgos Instrucciones

CHECK
Auditorías. Registros Monitorización y revisión
Revisión por dirección del SGSI Plan de mejora
Medición de la eficacia

ACT
Acciones correctivas Mantenimiento y mejora
Acciones preventivas del SGSI

Dentro de los controles de seguridad a implantar, se tomará como referencia en empresa pública el ENS
(Esquema Nacional de Seguridad), y en privada las que se consideren de la ISO 27001:

o
tégic Política de seguridad
tra
Es
co Aspectos organizativos para la seguridad
cti
Tá
al
cion Clasificación y control de activos Control de accesos
era
Op
Conformidad

Seguridad ligada al personal Seguridad física y del entorno

Desarrollo y mantenimientos Gestión de comunicaciones Gestión de continuidad

del sistema y operaciones del negocio

Seguridad orgánica Seguridad lógica Seguridad física Seguridad legal

DOMINIOS DE LA NORMATIVA ISO 27001

El responsable de Seguridad / 16
También consideramos parte imprescindible de la gestión el someter a la infraestructura y al equipo de
operaciones a auditorías de seguridad, de aspectos normativos y técnicos, que podrían considerarse como
servicios de RedTeam:

Servicios de Red Team y BlueTeam

1. Análisis de vulnerabilidades (dentro del Soporte a Operación).

2. Red Team. o simplemente pruebas de penetración periódicas.

3. Participar en ciberejercicios (Actuando como Blue Team, entrenamiento del personal).

Finalmente, se recomienda que cualquier departamento de IT

se organice en torno a las buenas prácticas ITIL
(incluso orientado a una certificación ISO 20000-1)

El responsable de Seguridad / 17
Productos estratégicos para mejora
de la seguridad
Destacamos el uso de tecnología desarrollada a nivel nacional para resolver diferentes problemáticas:
Productos como GConsulting, SIRENA y SafeCloud.

Para tu Plan Director de Seguridad

GConsulting proporciona una solución integral para consultores y
empresas a la hora de implementar y gestionar un Plan Director de
Seguridad (p.e. basado en un Sistema de Gestión).
Es una herramienta para la implantación y el seguimiento del Ciclo
Completo de Sistema de Gestión en la que destacan las siguientes
características:
• Implantación de normas
• Gestión documental Análisis de Riesgos
• Integración con el entorno

Gobierna tu información
Apostamos por SafeCloud para proteger la información de la
empresa y asegurarnos que los usuarios finales no difunden
información.
Es una herramienta para proteger la información en la que destacan
las siguientes características:
• Generación de documentos
• Etiquetado
• Prevención fuga de información
• Protección de la información
• Atención incidencias

Conecta tu monitorización y tu negocio

SIRENA es capaz no sólo de traducir una alarma identificando los
activos que están involucrados, sino que también puede indicar los
riesgos, controles y acciones asociadas con esa alarma, asignando
un responsable y una fecha límite para la intervención. En definitiva:
integrar la red OT con el Negocio.

A día de hoy, un departamento de IT debe conocer y trabajar la mejora de la seguridad en tres dimensiones:

1- Mejorando la infraestructura para la defensa y la respuesta rápida ante una amenaza.

2- Optimizando la operación con grupos de respuesta a incidentes y protocolos de respuesta ante las
amenazas detectadas.

3-Trabajando en el medio y largo plazo la mejora en la gestión de la seguridad, afrontando proyectos de

mejora ordenados de modo que permitan disminuir el nivel de riesgo y aumentando el nivel de seguridad
de la organización, basado en un análisis de coste-beneficio.

El responsable de Seguridad / 18
 Resumimos la figura del CISO en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Contáctanos:
Rafa Vidal Ignacio Martínez
Director Seguridad y Gobierno TIC Consultor Ciberseguridad
e Industria
[email protected]
nunsys.com [email protected]
nunsys.com

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

El responsable de Seguridad / 19
2. Protege el activo más crítico
de tu organización:
la información

Tendencias tecnológicas:

Ciberseguridad corporativa e industrial

Protección de la información / 20
2. Protege el activo más crítico
de tu organización:
la información

Rafa Vidal
Director de Ciberseguridad y Gobierno IT

La forma de hacer negocios cambia. Detectar

Uno de los temas de más dónde se almacenan los datos (dispositivos móviles,
nube o las propias instalaciones de la empresa),
actualidad es el riesgo que entender el uso que los empleados hacen de esos
datos, dentro o fuera de la red y protegerlos de
supone para las empresas la forma adecuada para evitar robos o pérdidas son
puntos fundamentales en cualquier empresa.
perdida de datos sensibles para
Las soluciones para proteger la información
su negocio. ¿Realmente los de la empresa permiten asegurarnos que los
usuarios finales no difunden información sensible
tenemos protegidos? o importante de la compañía. También podemos
utilizarlos para que el administrador de red pueda
controlar estos datos y definir criterios.

Protección de la información / 21
Desde Nunsys ofrecemos soluciones especializadas
en ciberseguridad. Te ayudamos a proteger esa
posible pérdida de datos con productos/servicios
4º 1º
adecuados a cada problemática en particular: REUTILIZAR PLANIFICAR
Data Loss Prevention (DLP), Information Right • Acceso • Plan de Gestión
Management (IRM), Auditoria de Ficheros en • Compartir de Datos
• Citar
servidores, MDM (protección de dispositivos
móviles), protección Endpoint y Server, Cifrado,…

Sin duda la tecnología más innovadora y nativa

para proteger y gobernar la información de la CICLO DE VIDA
DE LOS DATOS
3º 2º
empresa es la de Microsoft (integrada en Office365),
“Azure Information Protection”.

CREAR,
PRESERVAR RECOLECTAR Y
• Almacenar Datos PROCESAR DATOS
en repositorios • Asignar metadatos
• Organizar conjuntos
de Datos

Soluciones para proteger la información

Dada la dificultad de gestión de las diferentes herramientas de Microsoft (portales Compliance, de Azure…),
SafeCloud es un producto que permite tener un único frontal que facilita el acceso a los diferentes perfiles de
gestión de la organización para un fácil despliegue y control de toda la información que gestiona la empresa.

GENERACIÓN DE ETIQUETADO PREVENCIÓN FUGA PROTECCIÓN DE LA ATENCIÓN

DOCUMENTOS INFORMACIÓN (DLP) INFORMACIÓN (IRM) INCIDENCIAS

CRM, ERP, Local Manual, Requiere agente Protección en el Alertas de

automático propio documento comportamiento
(plantillas) Alerta exfiltración

Presupuestos Metadatos Ajuste fino, Máximo control Atendido por CIO,

Contratos Marca de agua equipos propios operador o
Pedidos Pie de página CyberSOC

Auditar accesos Etiquetar Dentro de Fuera de

la organización la organización

CERT

Protección de la información / 22
Veamos algunas soluciones de soporte a dicho gobierno de la Información o del Dato:

Auditoría de Accesos
Windows monitorea, audita y asegura archivos y directorios de una manera simple e intuitiva, abordando
un espacio clave en la seguridad nativa de Windows. Proteja la información confidencial y archivos sensibles
almacenados en Servidores Windows.

Intercambio seguro de información: evite el fraude del CEO

Las plataforma actuales de almacenamiento en nube ya permiten el intercambio seguro de información
(Sharepoint, OwnCloud, OneDrive, Google Drive…):

• Intercambio de documentos con clientes y proveedores

• Control de la información dentro y fuera de la organización
• Evitar fraudes de phishing y fraude del CEO

Debemos acostumbrar a nuestros empleados a que compartan no los documentos por email o cualquier otro
medio no protegido, sino que lo depositen en un medio securizado de la organización y se comparta el enlace
protegido por fecha de caducidad, contraseña, o doble factor de autenticación.

COLABORADOR HABITUAL
Creo usuarios específicos para acceso a carpetas

PROVEEDOR HABITUAL
Compartir directorio con contraseña conocida

PROVEEDOR ESPORÁDICO
Compartir directorio con caducidad 24h.

Desde SafeCloud ofrecemos un acceso directo a los procedimientos idóneos para que el CISO y el DPO tengan
siempre disponibles los mismos para concienciar y enviar a los empleados.

CLIENTE HABITUAL
Comparto descarga en carpeta con contraseña conocida

CLIENTE ESPORÁDICO
Comparto fichero con caducidad 24H.

PROCEDIMIENTOS
Como intercambiar información. Manual de uso de SafeCloud

Protección de la información / 23
Data Loss Prevention (DLP)
La prevención de perdida de datos, nos permite asegurarnos que los usuarios finales no difunden información
sensible o importante de la compañía. También podemos utilizarlos para que el administrador de red pueda
controlar estos datos y definir criterios.

En la sección de la izquierda se ven las coincidencias

con los datos encontrados (p.e. datos de Seguridad
Social, datos bancarios, DNIs, contraseñas…) por el
DLP en todo el entorno de Office365.

A la sección de la derecha, en todas las ubicaciones

podemos consultar indirectamente el contenido
de los e-mails en Exchange y archivos enviados por
OneDrive, entre otras.

Gestión de derechos sobre los contenidos

IRM o Information Right Management, la protección viaja con el documento de manera nativa. Máximo
control de los datos.

El ciclo de vida de los documentos incluye las siguientes fases:

CLASIFICACIÓN APLICACIÓN DE DIRECTIVAS

La clasificacicón con Azure Information Protection es totalmente Define directivas que protejan tus datos
automática, controlada por los usuarios o basada en automáticamente, según el origen, el contexto y el
recomendaciones. contenido de los documentos

ETIQUETADO SEGUIMIENTO DE DOCUMENTOS

Define etiquetas que apliquen la clasificación y/o protección a Controla las actividades de los datos protegidos por AIP
los datos importados, de forma manual o automática. que han sido compartidos, generando informes y análisis
de seguimiento.

CIFRADO
Protege los datos confidenciales con cifrado persistente y define RENOVACIÓN DE DOCUMENTACIÓN
derechos de uso cuando sea necesario. Tus datos están seguros Revoca el acceso a tus documentos cuando sea
vayan donde vayan. necesario, inmediatamente y sin importar dónde estén
ubicados.

CONTROL DE ACCESO
Comparte los datos de forma segura con compañeros, clientes y
partners, definiendo quien tiene acceso a los datos y que puede
hacer con ellos.

Protección de la información / 24
Protección de dispositivos móviles
MDM (Tecnología Intune de Microsoft) permite asegurar, monitorizar y administrar dispositivos móviles de
forma centralizada sin importar el operador de telefonía o proveedor de servicios. MDM permiten hacer
instalación de aplicaciones, localización y rastreo de equipos, sincronización de archivos, reportes, etc..

Prevención de fuga de Información

Una solución Data Loss Prevention (DLP) o lo que es lo mismo, Prevención de perdida de datos, junto a IRM
(Gestión de derechos de usuarios), nos permite asegurarnos que los usuarios finales no difunden información
sensible o importante de la compañía. También podemos utilizarlos para que el administrador de red pueda
controlar estos datos y definir criterios.

Es importante tener en cuenta que:

• El 64% de la pérdida de datos son causados por usuarios bien intencionados.
• El 50% de empleados se quedan con datos confidenciales.
• En 2016, solo en EEUU el coste de la fuga de datos fue de 3,5 millones, correspondientes a 2100
incidentes.
• Las auditorías internas y externas, incumplimientos legales y sus correspondientes multas.
• Poner a nuestra empresa en el punto de mira.

Protección de la información / 25
¿Qué tipo de datos es importante proteger?
Información del cliente: Información de la empresa:

• Tarjetas de crédito • Propiedad Intelectual

• Registros médicos • M&A y estrategia
• Números seguridad Social o datos confidenciales • Auditorías internas
del usuario • Documentos Recursos Humanos o Financieros
• Estados financieros

Un empleado trata de transferir datos Un agente DLP instalado en el equipo o El DLP bloquea el envío del correo
sensibles a través de algún en la red escanea posibles fugas electrónico y lo reporta al dueño
medio digital. de información. de la información.

Objetivos de un programa de DLP

• Prevenir la revelación intencional o involuntaria • Proteger la información de los clientes y la
de información sensitiva “en reposo”, “en uso” o “en reputación de la organización.
movimiento” hacia partes no autorizadas. • Proteger datos personales y propiedad intelectual.
• Mantener una seguridad adecuada y proveer • Reducir el riesgo de la organización y el costo de
usabilidad. cumplimiento.

No obstante, indicar que no será únicamente una persona, ya que habitualmente la gestión de documentación,
seguridad de sistemas, redes, etc. recae sobre personal distinto.

1º
Análisis de
riesgos

6º 2º
Evaluar Política de
eficiencia de clasificación de
los controles la información

CICLO DE PREVENCIÓN
DE FUGA DE
5º INFORMACIÓN 3º
Definir e Plan de
implantar prevención
controles de fuga de
información

4º
Concientizar al
personal

Protección de la información / 26
Componentes del servicio
Los componentes del servicio incluyen:

Infraestructura de Seguridad
1. Licencias de base de ofimática para los usuarios (normalmente Office365, G-Suite, etc. que viene con algunas
características inherentes)

2. Licencias de herramientas DLP e IRM necesarias, incluidas en muchos bundles

3. Licencias de SafeCloud como plataforma de gestión y portal para CISO y DPO (1 €/usuarios/mes)

ACCESO UNIFICADO Y • Acceso mantenimiento

PROCEDIMIENTOS • Acceso procedimientos
• Acceso paneles de gestión
• Acceso paneles de alertas

ALMACENAMIENTO • Almacenamiento
E INTERCAMBIO • Información segura
SEGURO • Protección avanzada
• Fácil administración

Etiquetado Prevención fuga Protección de la Protección Análisis avnzado de

información (DLP) información (IRM) antimalware ficheros (Sandbox)

Gestión de la Protección de la Información

Las tareas que se proponen delegar al CISO o DPO virtual (servicio incluido opcional en la oferta) son:

• Administrar paneles de AIP / Auditoría a ficheros /

DLP / IRM / Otras soluciones
• Generar plantillas de protección de la Información
• Etiquetado automático de información de la
organización
• Administrar excepciones y actualizar plantillas y
documentos
• Revisión periódica de informes
• Seguimiento mensual del uso correcto de las
etiquetas (basado en hoja de Excel dinámica):
• Revisión informes de usuarios que comparten
datos RGPD con el exterior

Protección de la información / 27
Operación de la protección de la información
Los servicios diarios que se proponen para dar soporte en la protección de la información de la organización
son:

• Gestión de SafeCloud (configuración)

• Atención alertas de fuga de información

- Alertas de bloqueo (prevención de fuga de
datos)
- Alertas por incumplimiento de políticas
(advertencias de comportamientos
sospechosos)
- Atención a usuarios (CAU)

Resumen producto y servicios asociados

de protección de la información
Desde Nunsys ofrecemos soluciones especializadas en ciberseguridad y te ayudamos a proteger esa posible
pérdida de datos con productos/servicios adecuados a cada problemática en particular: Data Loss Prevention
(DLP), Information Right Management (IRM), Auditoria de ficheros en servidores, MDM (protección de
dispositivos móviles), protección Endpoint y Server, Cifrado… todo ello desde un portal de fácil uso y
despliegue Plug&Play llamado SafeCloud.

MADUREZ COSTE AÑO COSTE AÑO COSTE AÑO TOTAL

HERRAMIENTAS OPERACION GOBIERNO

Mínima 126 €/user 30 €/user 60 €/user 216 €/user

GOBIERNO

RIESGO

Media 158,4 €/user 90 €/user 120 €/user 368,4 €/user

Avanzada 189,6 €/user 180 €/user 180 €/user 549,6 €/user

Custom Personalizable Personalizable Personalizable Personalizable

Protección de la información / 28
 Resumimos la Protección de la información en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Contáctanos:
Rafa Vidal Miguel Ángel Hernandez
Director Seguridad y Gobierno TIC Consultor de Ciberseguridad
y Gobierto IT
[email protected]
nunsys.com miguelangel.hernandez@
nunsys.com
nunsys.com

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Protección de la información / 29
3. Ciberseguridad Industrial:
la asignatura pendiente
en ciberseguridad

Tendencias tecnológicas:

Ciberseguridad corporativa e industrial

Ciberseguridad Industrial / 30
 3. Ciberseguridad Industrial:
la asignatura pendiente

“La ciberseguridad obliga a contemplar, de manera coordinada y bien

orquestada, un enfoque Organizativo y un enfoque Técnico de las TIC”

Enrique Rodríguez
Consultor de Ciberseguridad y Gobierto IT

Para afrontar el peligro que suponen los ataques Todo lo que se va a exponer se aplica a la seguridad
a la información y a los activos que la almacenan, de las TIC (Tecnologías de la Información y Comu-
procesan y transportan, debemos basar nuestras nicación) en general, pero este artículo se centra
estrategias de protección en dos pilares principales: en un área muy concreta por sus particularidades:
como es la ciberseguridad en las redes industria-
• Medidas organizativas, de gestión y de concien- les, también llamadas redes OT.
ciación.
• Medidas de control, intervención y, en su caso, Las redes OT, por su propia naturaleza debida
una pronta subsanación. a sus funciones, finalidades, contextos, evolu-
ción… están más indefensas ante los ataques
cibernéticos que otros tipos de redes.

NOTA: vamos a hacer uso del prefijo ciber, de manera general, por su amplia difusión en los medios de comunicación. Pero es más exacto indicar
“ataques informáticos”, ya que con ello no nos limitamos únicamente a aquellos que proceden del mundo de las comunicaciones, y sí abarcamos
todos los riegos que afectan a la información digital.

Ciberseguridad Industrial / 31
Medidas organizativas, de gestión y de concienciación.
Plan Director de Seguridad Industrial (PDSI)
La red OT, en su evolución hacia la actual Industria Frente a este erróneo planteamiento debemos
4.0, requiere que los distintos activos que la contar, con un Sistema de Gestión de la Seguridad
componen estén interconectados entre ellos y de la Información (SGSI) que ponga orden en la
con activos de otras redes. Esto permite mejorar gestión y minimice los efectos que puede tener un
la eficacia, el ahorro, la flexibilidad y en definitiva, ataque cibernético.
la productividad de la planta de fabricación. Pero
al mismo tiempo eleva el riesgo de la seguridad, Con el PDSI conseguimos implementar un SGSI
al facilitar el acceso a estos activos y la rapidez de que asegure los puntos fundamentales para la
propagación de una posible infección. seguridad de la información:

El principal interés de cualquier empresa es: • Disponibilidad

• Confidencialidad
• Continuidad del negocio • Integridad
• Reducción de los costes • Autenticidad
• Evitar las pérdidas de información • Trazabilidad

A menudo, para lograr estos objetivos, la elección

de controles y procedimientos de seguridad se
realiza sin un criterio común establecido y sin
considerar toda la información esencial que se
debe proteger, identificando erróneamente la
gestión de su información con la compra de
nuevo software y/o hardware. INTEGRIDAD CONFIDENCIALIDAD

INFORMACIÓN
“El Plan Director de Seguridad
Industrial es la base sobre la
cual se puede establecer un
correcto Sistema de Gestión de la DISPONIBILIDAD

Seguridad de la Información que

permita enfrentarse al problema
de la ciberdelincuencia”

Ciberseguridad Industrial / 32
 Las principales finalidades de un PDSI son:
• Poner orden y orquestar la forma de afrontar la seguridad implementando un SGSI
• Implicar a la dirección de la empresa en la importancia de la seguridad, llegando a entender que
se trata de un servicio que debe ir alineado con la estrategia del negocio, y que por tanto debe
estar sujeto al control y mejora continuo del mismo.
• Concienciar al personal que de manera directa o indirecta, tiene relación con los objetivos del
negocio, de la importancia de hacer un uso adecuado de las TIC.

Este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para
mejorar nuestro nivel de seguridad en el mundo digital

A tener en cuenta en un Plan Director de Seguridad

Industrial
Las redes industriales, las más desatendidas a la cadena de producción, este realiza el cometido
en ciberseguridad para el que se diseñó. No se suele actualizar el
En las redes OT se hace uso de activos específicos Sistema Operativo ni las aplicaciones. Además,
para funciones muy concretas. La seguridad de en las redes OT existen en una gran cantidad
los activos y de las comunicaciones entre estos, Sistemas Operativos ‘Legacy’ (no continuados
no han sido objetivo fundamental en el diseño e por el fabricante) debido a la complejidad e
implementación de la red. inconvenientes que supone su actualización. Estos
activos contienen vulnerabilidades sin posibilidad
de resolución.

Principalmente existen dos O tra par ticular idad a tener en cuenta al

implementar ciberseguridad en las redes OT, está
puntos débiles en los activos de en las limitaciones de sus activos: una red OT no
permite realizar ciertas acciones de control que
las redes OT: suponen sobrecarga a la red o al activo, ya que
puede dar lugar a dejarlo fuera de servicio y afectar
• Las vulnerabilidades a la cadena de producción.

• Las capacidades de los activos A la hora de realizar una intervención ante un

comportamiento anómalo en la red, no se pueden
realizar acciones intrusivas que, en lugar de
Uno de los principales problemas con los que mitigar el problema, lo amplifiquen provocando
nos encontramos en Ciberseguridad son las de nuevo una parada en la producción.
vulnerabilidades de los sistemas operativos
o firmwares de los activos. Las redes OT se En un SGSI se deben contemplar todas las parti-
caracterizan por que una vez se incorpora un activo cularidades sobre el que se aplica.

Ciberseguridad Industrial / 33
Las fases a ejecutar en un Plan Director de Seguridad
Industrial son:
• Arranque del Plan: • Diagnóstico inicial: dónde estamos.
- Definición del objetivo en función de la • Inventariado de activos.
estrategia del negocio y capacidad de esfuerzo. • Matriz de activos: relación y dependencia de
- Establecimiento de niveles y roles de tareas y los activos.
responsabilidades. • Análisis de riesgos: dónde queremos llegar.
- Planificación de objetivos a cumplir. • Plan del tratamiento del riesgo.
• Proyectos estratégicos de implantación de
seguridad con las buenas prácticas como base.

2º
1º 3º
Conocer la
estrategia de la
organización

Conocer la Definir proyectos

situación actual e iniciativas

6º 4º
PLAN DIRECTOR
DE SEGURIDAD
INDUSTRIAL

Implantación Clasificación y
del plan director priorización

5º
de seguridad externas

Aprobación por
la dirección

Como cada empresa es un mundo, tendremos la prevención, qué incidentes podríamos tener,
que calcular nuestro particular nivel de seguridad cómo nos preparamos para reaccionar, etc.
(que será nuestro punto de partida) y fijarnos Fijaremos el punto de partida evaluando el
un objetivo de dónde queremos estar. Este riesgo que nos afecta y el que podemos tolerar.
objetivo y los proyectos a aplicar, siempre Propondremos medidas a través de proyectos,
tendrán que estar alineados con las estrategias de a nuestro ritmo, pero siempre midiendo el
negocio: qué vamos a proteger, cómo haremos progreso en nuestro Plan.

GConsulting Compliance permite realizar una

implantación más eficaz y colaborativa, especialmente
en la fase de evaluación de impacto y análisis de riesgos,
gestionando los diferentes aspectos del ciclo PDCA
(PLAN / DO / CHECK / ACT) del SGSI resultante del PDSI

Ciberseguridad Industrial / 34
Medidas de control, intervención y pronta subsanación
Con un adecuado SGSI, resultante a su vez del PDSI, se está en una correcta disposición de aplicar proyectos
de ciberseguridad en la red OT, en la que de nada sirve aplicar soluciones tradicionales.

Para la supervisión y el control de la red OT, se establecido, levantar alarmas que permitan
debe contar con Sondas que permitan recoger identificar un ataque o un posible fallo físico en
toda la información que la recorre y que sean la red.
capaces de comprender y analizar el tráfico Para una sencilla y ágil comprensión de la
de sus activos, sus protocolos, consumos, información que generan las Sondas, integradas
vulnerabilidades, patrones de comportamiento, con la información que se ha ido generando en
dependencias... y con ello, en función del nivel GCONSULTING durante el desarrollo del PDSI e
de criticidad del activo y el umbral de riesgo implantación del SGSI, hemos creado SIRENA.

Arquitectura de control en una red OT

IOCs MÉTRICAS CUADROS DE

MANDO

Indicadores de Medición de Afectación de

compromiso procesos negocio

Objetivo principal SIRENA:

• Seguridad semántica aplicada a entorno de operaciones
• Información de negocio asociada a la red OT
• Dotar de funcionalidades nuevas a sondas de ciberseguridad industrial

Ciberseguridad Industrial / 35
Con SIRENA cualquier operario puede interpretar, Con los dos pilares tratados somos capaces de
de un simple vistazo, la relación de los activos de su prevenir, detectar y reaccionar de manera ágil
cadena de producción y los eventos que acontecen. ante los ataques cibernéticos o comportamientos
anómalos, pudiendo asegurar el cumplimiento
SIRENA es capaz no sólo de traducir una alarma del nivel de riesgo asumido y con una herramien-
identificando los activos que están involucrados, ta que no precisa de conocimientos de seguridad
sino que también puede indicar los riesgos, para su atención.
controles y acciones asociadas con esa alarma,
asignando un responsable y una fecha límite para
la intervención. En definitiva: integrar la red OT
con el Negocio.

Información semántica que presenta SIRENA ante una alarma

Ciberseguridad Industrial / 36
 Resumimos la Ciberseguridad Industrial en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Contáctanos:
Enrique Rodríguez Ignacio Martínez
Consultor de Ciberseguridad y Consultor Ciberseguridad
Gobierto IT e Industria

[email protected] [email protected]
nunsys.com
nunsys.com

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Ciberseguridad Industrial / 37
4. Ciberseguridad como base
para la Transformación Digital

Tendencias tecnológicas:

Ciberseguridad corporativa e industrial

Ciberseguridad para la Transformación Digital / 38
 4. Ciberseguridad como base
para la Transformación Digital
Óscar Atienza
Responsable Técnico de Ciberseguridad

Cuando hablamos de Transformación Digital en una organización, estamos hablando de la integración de

tecnología en ella (ya sea en sus procesos, activos, productos o estrategias) como palanca para el desarrollo
del negocio. Esta integración de tecnología tiene que ir soportada sobre una buena base en ciberseguridad,
para garantizar la continuidad del negocio (de la producción) y poderse proteger de ciberataques.

A medida que van creciendo el número de dispositivos que conectamos a Internet, aumentan también
los riesgos de un ciberataque. Además, el crimen organizado ha encontrado en el mundo ciber un sitio
donde quedarse para lucrarse atacando a las organizaciones.

Ciberseguridad para la Transformación Digital / 39

Para hacernos una idea del porcentaje de empresas españolas afectadas por ataques de secuestro de
datos (ransomware) en el último año, nos situamos entre los 10 países más atacados.
Porcentaje de empresas afectadas por el ransomware en el último año
India 82 %

Brasil 65 %

Turquía 63 %

Bélgica 60 %

Suecia 60 %

Estados Unidos 59 %

Malasia 58 %

Alemania 57 %

Países Bajos 55 %

España 53 %

Nigeria 53 %

Francia 52 %

República Checa 52 %

EAU 49 %

Reino Unido 48 %

Australia 48 %

China 45 %

Colombia 44 %

México 44 %

Japón 42 %

Italia 41 %

Singapur 40 %

Canadá 39 %

Filipinas 30 %

Polonia 28 %

Sudáfrica 24 %

Media mundial
0% 20 % 40 % 60 % 80 % 100 %

Fuente: Sophos

Sin embargo, si vemos estadísticas de los porcentajes de ataques detenidos antes de que los datos fueran
cifrados en las organizaciones, nos situamos en un segundo lugar con un 44% de ataques neutralizados.
Es decir, estamos haciendo las cosas bien, ya que se están tomando las medidas oportunas en lo referente
a la ciberseguridad por parte de las empresas españolas. Es un camino que supone un esfuerzo para la
organización, pero que están obligadas a seguir aquellas que todavía no lo han tomado.
Porcentaje de ataques detenidos antes de que los datos fueran cifrados
Turquía 51 %

España 44 %

Italia 38 %

Brasil 36 %

Sudáfrica 35 %

Singapur 33 %

Alemania 31 %

China 28 %

Canadá 26 %

Estados Unidos 25 %

México 24 %

Bélgica 23 %

Reino Unido 22 %

Países Bajos 22 %

EAU 22 %

Filipinas 20 %

Colombia 19 %

República Checa 17 %

Francia 17 %

Malasia 17 %

Australia 17 %

Nigeria 11 %

Suecia 8%

India 8%

Japón 5%

Media mundial
0% 20 % 40 % 60 % 80 % 100 %

Ciberseguridad para la Transformación Digital / 40

Además, el confinamiento debido a la crisis sanitaria ha provocado un incremento de los ciberataques a
organizaciones, aprovechándose los ciberatacantes de la premura de aquellas que no estaban preparadas
para hacer uso del teletrabajo. Otras organizaciones han apostado, en esta situación, por dedicar recursos
a fortalecer su ciberseguridad.

73%
Ciberdelincuentes que
24%
Ataques detenidos
3%
Datos no cifrados pero
lograron cifrar datos antes de que se pidió un rescate
cifraran datos igualmente

Un enfoque práctico para conseguir una buena gestión de la ciberseguridad, consiste en someter a la
organización a distintos tipos de auditorías de ciberseguridad, tanto en las redes IT como en las redes OT, con
el fin de detectar vulnerabilidades y debilidades de seguridad y probar la capacidad de respuesta ante posibles
incidentes. Estas auditorías son realizadas por equipos especializados llamados Red Team y Blue Team.

Ciberseguridad IT y OT
Como acabamos de mencionar, cuando hablamos de este enfoque basado en la práctica en una
organización, debemos de hablar de dos grupos bien diferenciados:

El Red Team es un equipo ofensivo compuesto por hackers éticos que realizan diferentes tipos de
auditorías de ciberseguridad consistentes en encontrar las debilidades de la organización de la misma
forma que lo haría un ciberatacante. Con ello, ayudan a revisar el proceso de transformación digital para
que este se lleve a cabo de una forma correcta y organizada.

Auditorías continuas de hacking ético Externas IT:

El objetivo es evitar que un atacante pueda obtener acceso a la organización. Para ello, un grupo de
hackers éticos intentan tener acceso a la organización de igual forma que lo haría un ciberatacante,
con el fin de anticiparse a un ataque real y poder reportar (y por ende, solucionar) las vulnerabilidades
encontradas. En este tipo de auditoría se realizan los mismos pasos que realizaría un atacante para
acceder a la organización, mediante distintas técnicas de cualquier nivel: suplantación de identidad
(habitual hacerse pasar por un integrador), puertos abiertos, explotar vulnerabilidades, hacer uso de
ingeniería social, intentos de escalada de privilegios y movimientos laterales para hacerse con el control
de la organización, etc.

Ciberseguridad para la Transformación Digital / 41

Beneficios:

• Evaluar las posibles brechas de seguridad de • Detección de brechas de seguridad en servicios

activos públicos IT (comunicaciones, seguridad, publicados en Internet.
servidores) de la organización. • Evaluación del riesgo de las brechas de
• Evaluar las malas praxis que dan lugar al aumento seguridad.
del riesgo. • Información de la solución de las brechas de
• La Vigilancia Digital en la dark web aporta seguridad detectadas.
información relevante como leaks de información • Adopción de medidas correctivas con respecto al
de la marca en redes sociales, foros, etc. componente humano, al que se ha podido poner
a prueba durante el proyecto (Ingeniería social).

Auditorías continuas de hacking ético Internas IT:

El objetivo es evitar que un atacante externo o un insider (el que haya podido acceder a la organización)
se hagan con el control de toda la organización. Se contemplarán las defensas necesarias para evitar
la escalada de privilegios, movimientos laterales y otras técnicas para hacerse con el control de la
organización.
Se analizan las vulnerabilidades a las que están expuestos los activos internos, de tal forma que se tenga
en cuenta el riesgo ante un uso indebido por negligencia, desconocimiento o fraudulento. También
ponen a prueba los activos críticos por medio de distintos tipos de ataque: ataques de diccionario,
ataques contra el DC, control desde un C2, usuario/password por defecto, etc.

Beneficios:

• Detección de vulnerabilidades críticas en • Información de la solución de las

equipos/servidores IT. vulnerabilidades de seguridad detectadas.
• Evaluación del riesgo de las vulnerabilidades • Encontrar vulnerabilidades de seguridad antes
detectadas. de que lo haga un atacante.

Auditoria OT + GAP SGCI:

El objetivo es detectar el estado de ciberseguridad existente en la red OT. Por ejemplo: detectar que un
operador no pueda acceder a información confidencial que no debería acceder, o detectar que se accede a
la red IT. Para ello, se realiza una auditoría a pie de planta con la que se obtiene la información necesaria para
detectar posibles accesos no autorizados.

Descripción

• Visión real de la seguridad OT a pie de planta • Modelo de Madurez de un Sistema de

auditando SCADAs / HMI. Gestión de Ciberseguridad Industrial (SGCI) y
• Identificar riesgos de acceso a la información de estado de Implantación (Estrategia, Activos,
producción. Riesgos, Accesos, Configuración, Operación,
• Identificar los riesgos cibernéticos que pueden Organización, Continuidad)
afectar a la instalación, estimar su impacto
potencial y la probabilidad de que se materialicen.

Beneficios:

• Identificación de Riesgos de acceso a la • Impacto de riesgos OT y probabilidad de que se

información. materialicen.
• Identificar segmentación OT con IT. • Modelo de Madurez SGCI
• Identificación de riesgos cibernéticos que • Gestión de la seguridad
puedan afectar a la organización.

Ciberseguridad para la Transformación Digital / 42

El Blue Team es el equipo defensivo, que junto con la información detectada por el Red Team,
subsanan las debilidades encontradas por este antes de que un atacante las puedas explotar. Provee
a la organización del conjunto de recursos necesarios para poder combatir distintos tipos de ataques
detectados o que podrían suceder. Hay organizaciones que se pueden permitir el delegar la seguridad
en un SOC (Security Operations Center), de forma que estos equipos defienden de forma continua las
amenazas a las que está expuesta la organización.

Seguridad Gestionada IT/OT. SOC

El objetivo es evitar ataques por parte de un dirigidos, u otros. Para ello se delega la gestión de la
atacante, como puedan ser la fuga de información, Seguridad, teniendo así una supervisión continuada
el secuestro (cifrado por ransomware), ataques de la seguridad desde el SOC de Nunsys.

AUTOMATIZACIÓN
Y CONTRO L SEGURIDAD
GESTIONADA

OPERACIONES
INDUSTRIA
BIGDATA BPM GOBIERNO IT
& ANALYTICS

VPN COMUNICACIONE S
UNIFICADAS GESTIÓN Y PROCESOS
PLANIFICA CIÓN

TRANSFORM ACIÓN SERVICIOS

DIGITAL GESTIONADOS
VIDEO SEGURIDAD
CONFERENCIA FÍSICA

INTERNET EMPRESA
VOZ IP

APLICACIONES
INFRAESTRUCTURA S
ERP RRHH

WIFI
MOVILIDAD PUESTO DE IMPRESIÓN Y BACKUP/ CRM SGA DIGITAL EVENTS
USUARIO CONTENIDOS REPLICATION
HAPPYDONIA

SEGURIDAD
SERVICIOS CLOUD DATA CENTER GESTIONADA FORMACIÓN

Ciberseguridad para la Transformación Digital / 43

 Objetivos

Central Plan de Contingencia Prevención Informes Compliance Mejora

management actuación continua
Proporcionar un Preparación, Copias de seguridad, Concienciación, Proporcionar Cumplimiento con Revisar y mejorar
punto central de detección y procedimientos de protección basada informes sobre las normativas la configuración
monitorización y respuesta ante disaster recovery, en FW, Endpoint amenazas y vigentes de tecnologías de
actuación incidentes de y continuidad de y otros riesgos cibernéticos. ciberseguridad en
ciberseguridad negocio Informes técnicos y infraestructuras
ejecutivos criticas IT/OT y
ejecutivos

Alcance

Diseño Auditoría Recolección Análisis Configuración Incident Forense

response
Participar en el Auditorías Recolección y Análisis de logs y Configurar alertas y Gestión de incidentes Análisis avanzado
diseño y arquitectura internas y externas, almacenamiento de eventos en búsqueda reglas en sistemas de seguridad y de malware,
de seguridad de ejercicios red team, logs y eventos de de anomalías SIEM y Big data coordinación registros y eventos
la información del compliance seguridad con los equipos de sistemas
cliente involucrados

Los expertos en ciberseguridad revisan diariamente las amenazas de la organización. Así mismo, el SOC
colabora dentro de los centros nacionales (CSIRT.es) e internacionales.

En la infraestructura Central se instala un sistema SIEM (Security Information and Event Management) que aplica
correlación de distintas fuentes de log, como son logs de los firewalls, logs de controladores wifi, logs de eventos
del dominio, logs de eventos de los equipos… Además, se despliegan sondas por distintas sedes para recolectar
el tráfico de red de las mismas y de los sistemas más críticos.

En las redes industriales se emplean mecanismos de Inteligencia Artificial para aprender los comportamientos
correctos en las redes industriales (entorno OT o de Operaciones), y así detectar cualquier anomalía futura en la
operación o posibles amenazas.

Funcionalidades del servicio:

• Capacidad y Disponibilidad. • Gestión dinámica de vulnerabilidades.

• Análisis del comportamiento de cada activo, • Servicio de asistencia CiberSOC en 24x7.
entre activos y red. Detección de patrones de • Virtual CISO (vCISO) asignado.
ataque y comportamientos anómalos.

Beneficios:

• Aportar seguridad a la organización de forma • Informes mensuales del estado de la seguridad

continua por parte de expertos certificados. de la organización.
• Gestión de alertas de seguridad. • Reuniones mensuales de vCISO.
• Mitigación de riesgos detectados.

Ciberseguridad para la Transformación Digital / 44

Integración de operaciones y negocio
Existen plataformas como Sirena que permiten
conectar los SIEM o plataformas de detección de
activos y anomalías con Sistemas de Información
de Alto nivel (GMAO, CMDB). Esta conexión
permite que cualquier operario pueda interpretar,
de un simple vistazo, la relación de los activos
de su cadena de producción y los eventos que
acontecen.

Sirena es capaz no sólo de traducir una alarma Objetivo principal:

identificando los activos que están involucrados,
sino que también puede indicar los riesgos,
controles y acciones asociadas con esa alarma, • Seguridad semántica aplicada a entorno
asignando un responsable y una fecha límite para de operaciones
la intervención. En definitiva: integrar la red OT • Información de negocio asociada a la
con el Negocio. red OT
• Dotar de funcionalidades nuevas a
Con los dos pilares tratados, somos capaces de sondas de ciberseguridad industrial
prevenir, detectar y reaccionar de manera ágil
ante los ataques cibernéticos o comportamientos
anómalos, pudiendo asegurar el cumplimiento
del nivel de riesgo asumido y con una herramienta
que no precisa de conocimientos de seguridad
para su atención.

IOCs MÉTRICAS CUADROS DE

MANDO

Indicadores de Medición de Afectación de

compromiso procesos negocio

“No hay verdadera libertad sin seguridad” trasladado a la Transformación Digital “No hay transformación
viable sin seguridad de la información y los sistemas”.

La Transformación Digital implica interoperatividad y apertura e interconexión entre departamentos y

con clientes, proveedores, colaboradores y fuentes de datos externas, pero eso implica nuevos riegos
para el negocio que es importante conocer, mitigar y gestionar; porque el sistema ahora, si colapsa,
colapsa en conjunto y ninguna empresa moderna puede continuar su actividad sin soporte tecnológico.

Ciberseguridad para la Transformación Digital / 45

 Resumimos la Ciberseguridad
para la Transformación Digital en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Contáctanos:
Óscar Atienza Maria José Montes
Director Técnico Responsable Técnico
de Ciberseguridad CyberSOC

[email protected] [email protected]
nunsys.com nunsys.com

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Ciberseguridad para la Transformación Digital / 46

Casos de éxito

Tendencias tecnológicas:

Ciberseguridad corporativa e industrial

Caso de éxito en Universitat de València / 47
Renfe Operadora
Autoinventario y Monitorización
de operación y seguridad de
redes Industriales

Caso de éxito en Renfe Operadora / 48

Renfe Operadora
Renfe, legalmente Renfe Operadora, nace en 2005 como consecuencia de la segregación de funciones
de infraestructuras ferroviarias de la operación del transporte de personas y mercancías. Posteriormente
en 2012, Renfe Operadora se constituyó como cabecera de un grupo de sociedades creadas por
Real Decreto para avanzar en el proceso de liberalización del sector ferroviario y de su apertura a la
competencia.

Actualmente, existen cuatro empresas con forma jurídica de sociedad mercantil estatal (Renfe Viajeros,
Renfe Mercancías, Renfe Fabricación y Mantenimiento y Renfe Alquiler de Material) y una Entidad Pública
Empresarial: Renfe Operadora.

Al ser Renfe Operadora una Entidad pública dedicada a la industria del transporte de mercancías y
viajeros, una parte muy importante de sus servicios están estrechamente ligados con la actividad
industrial e infraestructuras de soporte de material ferroviario que combinan tecnologías IT, OT e IoT.
Renfe tiene como objetivo estratégico de ciberseguridad la unicidad de acción en todos los contextos
tecnológicos, así con el asesoramiento y la contribución de Nunsys como partner tecnológico, se ha
implantado un proyecto de auto-inventario, monitorización y securización, de varias redes industriales
ubicadas en estaciones de tren, integrando tecnológicamente los productos Guardian de Nozomi
Networks, Mercury de Enigmedia, y la plataforma Sirena de Singlar

Arquitectura por niveles PURDUE

Caso de éxito en Renfe Operadora / 49

La Seguridad en Entornos OT, la gran olvidada
Aunque la ciberseguridad es estratégica para cualquier empresa hoy en día, la mayoría de los recursos
se vuelcan en la ciberseguridad IT. Evidentemente, esto es así porque es una fuente muy habitual
de ciberataques, pero en empresas con infraestructuras y entornos industriales no cubre toda la
infraestructura conectada.

De hecho, en muchas ocasiones los sistemas de información de productos y sistemas OT (muy longevos)
no ocupan el foco en los entornos operacionales, como por el contrario si lo hacen, y por razones obvias,
en los entornos IT. Ese papel de “actor secundario” ha sido tradicionalmente un lastre para evolucionar
hacia un nivel de madurez equivalente al de IT.

Por ese papel secundario en la operación y consecuentemente de su alejamiento de requisitos

normalizados de ciberseguridad, junto con el natural devenir del mantenimiento, provoca que en
muchos casos se desconozca el número exacto de estos sistemas de información OT que están
conectados o la información de datos relevantes como su nivel de parcheado sea incompleta con el
riesgo que ese desconocimiento supone. Además, con el crecimiento de las soluciones industriales IoT,
estos riesgos van a aumentar considerablemente, siendo muy recomendables el uso de estas soluciones
como la planteada por Nunsys, la cual permite inventariar y posteriormente monitorizar todos estos
dispositivos, además de mostrar los resultados de eventos críticos o no, de un modo accesible y en
lenguaje natural a través de SIRENA (Security Information and Risk analysis Extending industrial
Network Applications).

Renfe contaba previamente a este proyecto con la infraestructura y servicios necesarios en torno a la
figura del CISO, para detectar amenazas con sistemas de alerta temprana (mediante la plataforma de
SIEM corporativa), y un equipo completo de CERT para todo el entorno IT/OT de la compañía.

Extendiendo la seguridad gestionada al entorno OT

Renfe ha confiado en Nunsys para organizar este servicio como una Oficina técnica de Seguridad
Industrial, como soporte a la práctica ya instaurada de ciberseguridad en el contexto tecnológico OT:

ESTRATEGIA, POLIÍTICAS, NORMAS, PROCESOS Y PROCEDIMIENTOS

ORGANIZACIÓN DE LA SEGURIDAD

RECURSOS HUMANOS ESPECIALIZADOS: RIESGO, CERT, LEGAL

IT OT IoT

REFUERZO DE RECURSOS: PLATAFORMA

ESPECIALIZADA, OPERACIÓN EN OT,
GESTIÓN DE INCIDENCIAS

Caso de éxito en Renfe Operadora / 50

Infraestructura de seguridad
1. Plataforma de captura, envío y recepción de tráfico
Equipamiento en cada estación y en el Centro de Procesamiento de Datos de sondas con las funciones
de captura, envío y recepción de tráfico remoto por 3G/4G o TCP/IP, con funcionalidades avanzadas de
ciberseguridad como PKI, autenticación ,cifrado y recolección local de logs, y con capacidad para ampliar
sus funcionalidades en el futuro incorporando nuevos requisitos para acceso y monitorización de la red
industrial. Tecnología Mercury de Enigmedia.

2. Análisis de tráfico y correlación de eventos

Equipo en alta disponibilidad para tratar el tráfico recibido mediante tecnología de Machine Learning,
permitiendo todas las funcionalidades solicitadas destacando autoinventario, detección de anomalías,
capacidad de análisis complejo, generación de alertas por comportamientos anómalos, amenazas o
patrones específicos. Tecnología Guardian de Nozomi Networks.

3. Conexión con plataformas de negocio

Plataforma con funcionalidades a la medida para etiquetar activos automáticamente en base a patrones,
etiquetado de alarmas, presentar resultados en lenguaje natural, plataforma de análisis de riesgos
integrada, integración con software GMAO/CMDB para enriquecer información de activos e inclusión de
alertas en el SIEM corporativo, así como cuadros de mando de negocio… Tecnología SIRENA de Singlar
Innovación.

Caso de éxito en Renfe Operadora / 51

Operación de la seguridad industrial
El equipo actual de RENFE-CERT 24x7 es reforzado en esa misma ventana por NUNSYS CyberSOC, en
la investigación de incidentes para estos entornos OT (trazas de protocolos industriales, consultas
complejas) y parametrización de las plataformas existentes. Cabe destacar la aportación de SIRENA, que
implementa la Seguridad Semántica aplicada a entornos de operaciones. Para ello, usa la Información
de negocio (análisis de riesgos o sistemas GMAO asociada a la red IT/OT ) para la toma rápida de
decisiones. Esto permite dotar de mayores funcionalidades a las sondas de Ciberseguridad Industrial
existentes (en este escenario, Guardian y Mercury) y mostrar la información que cada perfil de usuario
requiera de una manera más completa, simple y sencilla, usando lenguaje natural, permitiendo así una
reducción considerable de los tiempos de respuesta ante incidencias de seguridad y una respuesta más
certera por parte del CyberSOC.

GMAD, AARR NIVEL 3 y 4:

FUENTES DE INFORMACIÓN DE NEGOCIO

Aplicar inteligencia: Aplicar inteligencia:

Modelado para negocio de cada Traducir en lenguaje humano
dispositivo detectado la anomalía detectada

Asistencia para alertas:

según el modelo escogido

NIVEL 1 y 2:
SONDA DE CIBERSEGURIDAD INDUSTRIAL
SONDAS FÍSICAS
Aprendizaje Detección en operación

Gestión de la Seguridad industrial

Nunsys realiza reuniones periódicas de soporte en ciberseguridad industrial con el RENFE-CERT y
con el área de gobierno de la Ciberseguridad, compartiendo información, experiencia y capacidades:
identificando tráfico anómalo, analizando cambios en la infraestructura, comunicación entre redes
supuestamente aisladas, actuaciones de terceros no programadas, carga incremental de información de
negocio en las plataformas para la mejora de la gestión diaria…

En este servicio se trata de aumentar la seguridad en el entorno OT de RENFE y mejorar la rapidez

en la toma de decisiones por parte de los ingenieros de monitorización, o por un perfil técnico, no
de ciberseguridad, que necesite información en tiempo real de cualquier anomalía en la operación.

Caso de éxito en Renfe Operadora / 52

 Resumimos el caso de éxito
en Renfe Operadora en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Francisco Lázaro
CISO de Renfe Operadora

Rafael Vidal
Director de Seguridad y Gobierno TIC en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en Renfe Operadora / 53

Protección de la operación
y de la información
en la Conselleria de Sanitat
Seguridad en tiempos de pandemia

Caso de éxito en la Conselleria de Sanitat / 54

Conselleria de Sanitat
La Conselleria de Sanitat Universal y Salud Pública es un departamento del Consell de la Generalitat
Valenciana con competencias en materia de sanidad, salud pública, farmacia, evaluación, investigación,
calidad y atención al paciente. Se encarga de la gestión de la red de hospitales y centros públicos de
atención médica.

Cuál es la situación de partida 1: conexión remota segura

Entidad con 34 Hospitales bajo su cargo, 245 centros de salud, y múltiples instituciones dependiente de
ella. Se declara el estado de alarma y se produce el confinamiento de más de 5.000 empleados de los más
de 50.000 empleados entre Salud Pública, Atención Primaria y Atención Especializada.

Tecnologías
Conexiones a través de la GVA remotas de VPN. PCs personales en casa de cada empleado para trabajar
desde el minuto cero.

Objetivo
Conseguir trabajar de manera segura con más de 5.000 empleados desde casa y 90.000 potenciales
remotos, asegurando al máximo la confidencialidad, disponibilidad e integridad de las comunicaciones.

¿Por qué Nunsys?

• Distribuidor de Cytomic como solución impulsada por el CCN en una primera fase para protección de los
equipos en casa sin interferir con sus propias protecciones.

• Implantador de EMMA-VAR acreditado por el CCN para controlar los accesos remotos en una segunda
fase. EMMA-VAR con un desarrollo específico: Validar un usuario remoto externo con CLARA y solo
dejarle conectarse si cumple nivel medio o alto del ENS en su equipo (según reglas configurables o
sistemas a los que se deba conectar). En caso de no cumplir, indica qué controles debe poner en marcha,
para permitirle conectarse.

Despliegue proyectos: Conexión remota

de trabajadores y externos
Para controlar los equipos particulares por los que se podían conectar los diferentes usuarios remotos, era
instalar un agente en cada equipo de usuario que no interfiriese con el agente de Endpoint desplegado
en cada equipo de usuario, pero que permitiese tomar el control del equipo, investigar un incidente,
aislarlo… Todo ello desde una consola centralizada para el gobierno de las conexiones por parte de
la oficina de seguridad de Conselleria de Sanitat. Eso se consiguió desplegando Cytomic EPDR (o su
equivalente para empresas privada PANDA Adaptive Defense 360).

Caso de éxito en la Conselleria de Sanitat / 55

Tecnología habilitadora
Anticipación proactiva, incident response y threat hunting.

Threat Hunting Service

El equipo de expertos de Cytomic supervisa las decisiones que toma nuestra Inteligencia Artificial, e
investiga los casos más complejos para detectar ataques que utilicen técnicas ‘Living off the Land’, de
evasión o compromiso.

Este proceso está incluido por defecto en todas las soluciones endpoint de Cytomic para elevar el nivel de
protección hasta la categoría de servicio.

Zero-Trust Application Service

Este servicio monitoriza y clasifica absolutamente todos los procesos de todos los endpoints de tu
compañía. Visibilidad detallada y precisa de todo lo que ocurre.

Habilita un modelo de seguridad “deny-all” desatendido, sin alertas, ni delegación, hasta que el proceso
es verificado y certificado por Cytomic. Rompe definitivamente la cadena del ataque.

Cytomic EDR
Detecta lo que las soluciones tradicionales ni siquiera pueden ver.

Cytomic EDR detecta y responde eficazmente a cualquier tipo de malware desconocido y ataques sin
archivos y sin malware.
Tecnología basada en el servicio Zero-Trust Application, que deniega cualquier ejecución hasta ser
certificada como confiable.
Arquitectura basada en la nube y su agente único ligero, que permiten un despliegue rápido y sin apenas
impacto.
Visibilidad completa y detallada en tiempo real e histórica de las acciones de los atacantes y del
comportamiento en los endpoints.
Detección de comportamientos anómalos en el endpoint (IOAs) bloqueando al atacante.
Contención remota desde la consola a los endpoints de forma masiva, como aislar o reiniciar equipos.

Caso de éxito en la Conselleria de Sanitat / 56

EMMA-Vigilancia en los Accesos Remotos (VAR)
EMMA – VAR establece una conexión segura y verificada de manera robusta, entre el usuario remoto y los
sistemas corporativos, monitorizando de manera continua el comportamiento de la conexión.
EMMA-VAR es un módulo (Vigilancia en Accesos Remotos) de la solución global EMMA. EMMA agiliza
la visualización de activos en una red, su autenticación y segregación, así como la automatización de
auditorías de seguridad de la infraestructura. La modularidad de EMMA permite adquirir EMMA-VAR de
forma independiente, al mismo tiempo que adquirir y combinar otras funcionalidades de la solución
global EMMA para la vigilancia de la red.

Con EMMA, el CCN-CERT pretende facilitar a las organizaciones una visibilidad completa de la capa de acceso a
la red (routers, switches, puntos de acceso, controladores, etc.), un punto crucial para verificar quién o qué está
conectado en una red. Todo en un momento como el actual, en el que los modelos de seguridad requieren de
una verificación de identidad estricta para cada persona y dispositivo (estén dentro o fuera del perímetro) y en el
que es más difícil controlar todos los activos (distintos lugares físicos, data-centers o proveedores).

Cuál es la situación de partida 2: Control de activos y

alerta temprana
Falta de control de los dispositivos existentes en cada hospital y centro, y necesidad de detectar en una
fase temprana cualquier incidente de seguridad en entorno hospitalario.

Tecnologías
CyberSOC existente de GVA cubre solo la salida a Internet, detección parcial de anomalías. Se busca
tecnología para desplegar en Hospitales con capacidad de detección de amenazas avanzada, y detección
de desplazamientos laterales.

Objetivo
Realizar un piloto en 4 hospitales de la Comunitat para actualizar inventario de activos, tomar el control de los
mismos, y detectar fallos, amenazas, y anomalías en el funcionamiento que puedan suponer una amenaza.

¿Por qué Nunsys?

Distribuidor de SIRENA + Nozomi para alerta temprana en Hospitales piloto.
Distribuidor de GConsulting para análisis de riesgos en Hospitales piloto.
CyberSOC acreditado por CSIRT.es (Grupo de CERTS españoles), FIRST y TF-CSIRT a nivel internacional
para atender incidencias del entorno sanitario.

Objetivos vSOC
El objetivo es dotar a la Conselleria de control en las redes internas de los Hospitales, en un piloto en 4
centros.

Dar seguridad a Más información de Mayor visibilidad Mayor capacidad de Mejor capacidad
Conselleria y ataques sobre incidentes correlación de respuesta
hospitales/centros de ataques
de salud

Caso de éxito en la Conselleria de Sanitat / 57

Qué beneficios obtiene cada Hospital
• Servicio 4-6 meses sin apenas coste
• Conocimiento y descubrimiento de redes corporativas e industriales
• Creación de una línea base de comportamiento de dispositivos médicos
• Informe de comportamientos anómalos (malware, otros)
• Análisis de riesgos para cumplimiento del ENS (general)

Qué beneficios obtiene Conselleria de Sanitat

• Descubrimiento de redes industriales (disp. Médicos) y generación de una línea base
• Toma de control de la infraestructura real de cada Hospital
• Validación del modelo CSOC que se quiere, interacción con CSIRT-CV
• Acceso a info crítica de Firewall y Endpoint de Conselleria y Hospitales piloto
• Match entre activos descubiertos y activos de negocio para depurar a quien llamar ante una incidencia y
como actuar

Conclusiones
Tras los primeros despliegues, la cantidad de información que obtiene cada hospital de sus propias
redes, dispositivos conectados, incluso los desplegados por terceros (sistema de vídeo, máquinas de
rayos, escáneres, cámaras CCTV, otros equipo no localizados..) es muy relevante, así como la información
de tráfico no esperado, comunicaciones no controladas y en definitiva una toma de control y un
herramienta muy potente de investigación de incidentes ante cualquier anomalía o amenaza.

Caso de éxito en la Conselleria de Sanitat / 58

Cuál es la situación de 3: Intercambio
seguro de información
Conselleria/Centros de formación y médicos/pacientes.
En tiempo de pandemia, se ha normalizado la consulta remota de atención primaria, y el intercambio de
información sensible entre Conselleria y Centros de Formación.

Tecnologías
Se parte de TRANSIT 1.0, solución propia sobre tecnología OwnCloud en nube privada.
Se confía en la tecnología SAFECLOUD de Nunsys (OwnCloud + Cytomic + Cucko + Nunsys Cloud para
almacenamiento ENS nivel alto) para TRANSIT 2.0.

Objetivo
Se requiere un medio “muy seguro” para intercambiar información desde el móvil o el PC con información
sensible sujeta a RGPD (datos de salud).

¿Por qué Nunsys?

Distribuidor de SAFECLOUD para intercambio seguro de información.
TRANSIT 1.0 para intercambio de información

Conselleria parte de un servicio de intercambio de información con tecnología OwnClous sobre Linux, sin
muchas medidas de seguridad más allá de la funcionalidad para:
Intercambio médico / paciente:
• Paciente puede subir fotos de posibles infecciones
• Médico puede enviar documentos al paciente
• Intercambio Centros de Formación / Conselleria
• Periódicamente se sube la lista de casos COVID en los centros a Conselleria

PC externo conectado mediante VPN • Transit

PC en dominio CS • Máquina virtual
• REDMAT
• OWN Cloud
• Conectado al dominio
• CS
• Certificado WildCard

Envío del enlace al usuario protegido por contraseña

PC externo al dominio CS

Comunicaciones sólo abiertas en

sentido descarga, ya que el servicio
no está publicado al exterior

1. Los usuarios del Dominio CS se conectan a Transit con sus 3. Se establece una fecha de caducidad de los enlaces.
credenciales de dominio. 4. En la propia máquina virtual de Transit está tanto el frontal
2. Suben archivos y generan enlaces para compartir (con que permite la comunicación web como los documentos
fecha de caducidad y contraseña), ficheros con usuarios (cifrados con el certificado WID CARD)
externos o con otros usuarios del dominio CS. 5. Los usuarios sólo pueden descargar archivos.
a. Pueden compartir directamente con usuarios del
dominio que se hayan autentificado al menos una vez.

Caso de éxito en la Conselleria de Sanitat / 59

TRANSIT 2.0 para intercambio “seguro” de información
Nunsys gracias a su producto SafeCloud propone una versión 2.0 de Transit con las siguientes
funcionalidades de valor añadido:

• Se separa el front-end del back-end de almacenamiento para poder crecer en este último bajo demanda
• Se instala Cytomic completo en el servidor de almacenamiento
• Análisis antimalware de cualquier fichero que se suba a la plataforma
• Análisis DLP de cualquier fichero con datos personales (Número Seguridad social, DNI, Número de
cuenta, etc.)
• Se dispone un sistema de alertas ante ficheros sospechosos
• Se programan informes para tener el control de datos personales subidos a la plataforma, quien,
volumen de datos… para su control y análisis
• Se disponen procedimientos seguros para intercambio de información (instrucciones técnicas en 3
casos: relación puntual, esporádica o permanente), para emplear Transit de la manera más segura en
cada caso

PC externo conectado mediante VPN • Transit

• Máquina virtual
PC en dominio CS • REDMAT
• OWN Cloud
• Conectado al dominio CS
• Certificado WildCard

Envío del enlace al usuario protegido por contraseña

Envío del enlace de directorio al usuario

protegido por contraseña

• Transit.doc
Comunicaciones abiertas en • Máquina virtual
ambos sentidos • Windows
Carga y descarga, publicar el • Contiene los ficheros de
PC externo al dominio CS servicio al exterior los usuarios.
• Lleva instalado un EDPR
• Es el repositorio de Transit

1. Los usuarios del Dominio CS se conectan a Transit con sus 3. Se establece una fecha de caducidad de los enlaces.
credenciales de dominio. 4. En la propia máquina virtual de Transit puede subir
2. Suben archivos y generan enlaces para compartir (con archivos.está tanto el frontal que permite la comunicación
fecha de caducidad y contraseña), ficheros con usuarios web como los documentos (cifrados con el certificado WID
externos o con otros usuarios del dominio CS. CARD)
a. Pueden compartir directamente con usuarios del 5. Los usuarios sólo pueden descargar y subir archivos a ese
dominio que se hayan autentificado al menos una vez. directorio que se les ha compartido.
b. Pueden compartir un directorio y en ese caso aunque
el usuario no esté registrado en dominio CS puede subir
archivos sólo a ese directorio.

Caso de éxito en la Conselleria de Sanitat / 60

 Resumimos el caso de éxito
en la Coselleria de Sanitat en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Antonio Grimaltos
Oficina de Seguridad de la Información
en Conselleria de Sanitat

Rafa Vidal
Director de Ciberseguridad y Gobierno IT en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en la Conselleria de Sanitat / 61

Certificación en el Esquema
Nacional de Seguridad del
Ministerio de Economía y
Empresa (MINECO)
La Seguridad de la Información
en la Administración Pública

Caso de éxito en el Ministerio de Economía y Empresa / 62

Ministerio de Economía y Empresa (MINECO)
La adecuación de las Administraciones Públicas a un Sistema de Gestión de la Seguridad de la
Información, como el proporcionado por el Esquema Nacional de Seguridad, es fundamental para
generar confianza en los ciudadanos a través de los medios electrónicos ofrecidos y los servicios
prestados, garantizando la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, así
como garantizando un servicio sin interrupciones.

Seguridad de la Información en la Administración Pública

Atendiendo a las necesidades actuales de la ciudadanía para comunicarse con las Administraciones
Públicas a través de medios electrónicos, y al amparo del Esquema Nacional de Seguridad, el Ministerio
de Asuntos Económicos y Transformación Digital inició el proyecto de certificación ENS categoría Media
para Soporte al Ciudadano y el Portal.

Con el Esquema Nacional de Seguridad se obtienen las condiciones necesarias de confianza en el

uso de los medios electrónicos pues, con este, se garantiza la seguridad de los sistemas, los datos, las
comunicaciones y los servicios electrónicos. Para ello, con el Esquema Nacional de Seguridad se implanta
un Sistema de Gestión de Seguridad de la Información cuyo objetivo es asegurar cinco pilares básicos:
confidencialidad, autenticidad, disponibilidad, integridad y trazabilidad.

Con este objetivo, y tras un concurso público, el Ministerio de Economía y Trabajo confió en Nunsys para
garantizar el éxito en su objetivo final: que era la de dotar servicios al ciudadano eficientes, seguros y que
garantizasen los derechos de la ciudadanía. En aquel momento. Nunsys esta certificada en ENS de nivel alto.

Dimensionar el alcance
Una vez seleccionados los sistemas de información que eran necesarios adecuar al Esquema Nacional de
Seguridad, había que dotarles de una clasificación inicial siguiendo la doctrina de este último. Para ello, el
equipo de trabajo de Nunsys mantuvo diversas entrevistas con los responsables de Servicio y Datos para
determinar los sistemas afectados.

Se decidió reducir el alcance en la primera certificación: los servicios Soporte al Ciudadano, una interface
web que conecta directamente al usuario final con la administración pública,y. El Portal, , página web
donde se publican contenidos públicos propios de la administración, así como su propia configuración,
obtuvieron una categorización conjunta de nivel medio

Implantación de la Norma
Para el proceso de valoración y análisis de los sistemas de información del Ministerio de Economía y
Trabajo se hizo uso de GConsulting. Esta herramienta, desarrollada por Nunsys, permite unificar el
inventario de activos de diversas fuentes, realizar el análisis de los activos en cada una de las fases
del proyecto y, posteriormente, definir las medidas se seguridad que son necesarias implantar en la
organización. El uso de GConsulting no suponía ningún problema de compatibilidad con los análisis de
riesgos y controles realizados anteriormente por el Ministerio de Economía y Trabajo con la herramienta
CCN PILAR dado que, GConsulting se integra de manera nativa con ella.

Consecuencia de las vulnerabilidades detectadas en el cumplimiento de los controles obligatorios en

una categoría ENS de nivel medio y de los riesgos detectados Mineco aprobó un Plan de Adecuación
en el que se relacionaban un conjunto de proyectos de tratamiento de riesgos y vulnerabilidades; estos
proyectos incluían acciones, fases, responsables y control de cumplimiento.

Caso de éxito en el Ministerio de Economía y Empresa / 63

Tecnologías habilitadoras
Solución integral para consultores y empresas para implementar y gestionar un Sistema de Gestión:

1º

RGPD
6º 2º

Compliance Esquema Nacional

de Seguridad

5º 3º

Gestión Sistema de Gestión

de Servicios Seguridad de la
4º Información

Sistema de Gestión
de la Calidad

Caso de éxito en el Ministerio de Economía y Empresa / 64

Análisis y gestión de riesgos

• Identificación de activos.
• Identificación dependencias entre activos.
• Valoración del activo en cada una de sus
dimensiones y categorización de sistemas.
• Selección conjunto de amenazas que pueden
afectar a cada activo.
• Valoración de las amenazas.
• Determinar el impacto y riesgo acumulado.
• Determinar el impacto y riesgo repercutido.
• Elaboración del Plan de Adecuación al ENS.

Plan de acciones y seguimiento desatendido

• Acciones - Responsables - Fecha

• El sistema notifica por email las acciones.
• El usuario puede reportar por email el estado de
la acción, subir evidencias.
• Permite un mantenimiento desatendido.

Cuadro de mandos e indicadores

• Indicadores - Responsables - Fechas de medición

• El sistema notifica por email que hay que
introducir una medición.
• El usuario introduce la medición sin tener que
validarse.

Formación
A lo largo de todo el proceso de adecuación del Sistema de Gestión de la Seguridad de la Información
según el marco normativo del Esquema Nacional de Seguridad, se realizó una continua formación a
los responsables de los Sistemas de Información, Servicios y Datos que participaron activamente en el
proyecto. Utilizaron como complemento la plataforma de formación online de Nunsys.

Certificación del ENS

En mayo de 2021, el Ministerio de Asuntos Económicos y Transformación Digital superó exitosamente la
auditoría de certificación por la cual, los sistemas de información que soportan los servicios prestados
desde la Sede Electrónica y el Portal Web del Ministerio de Asuntos Económicos y Transformación Digital
quedan adecuados al Esquema Nacional de Seguridad con la categoría media.

Caso de éxito en el Ministerio de Economía y Empresa / 65

 Resumimos el caso de éxito
en el Ministerio de Economía y Empresa en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

José Francisco Hernández Cuchí

Jefe de Área de Seguridad y Calidad del Ministerio de Economía
y Empresa

María José Hernández

Consultora de Seguridad y Gobierno IT en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en Soltec / 66

Orquestando la seguridad en
un entorno crítico, Autoridad
Portuaria de Valencia
Infraestructuras críticas ,
objetivos de los ciberdelincuentes

Caso de éxito en la Autoridad Portuaria de Valencia (APV) / 67

Autoridad Portuaria de Valencia (APV)
El Puerto de Valencia es líder de tráfico comercial, fundamentalmente de mercancías en contenedor.
APV – Líder del Mediterráneo, 4º Europeo y 19º en el Mundo.

APV está sujeta a regulaciones que obligan a disponer y gestionar un Servicio de Seguridad de la
Información, tanto para las redes corporativas (empleados, externos, navieras, contratas, estibadores,
etc.) como toda la infraestructura de los Puertos de Valencia, Sagunto y Gandía (redes de faros, boyas,
balizas, barreras, señales de tráfico, semáforos, cámaras CCTV, otros sistemas SCADA y PLCs), así como
los servicios de la red PCS o red de Servicios Portuarios (atraque/desatraque de buques, gestión de
contenedores, etc.).

En este entramado complejo, además se produce un hecho relevante:

APV objetivo de Ciberdelincuentes. En los últimos años las infraestructuras críticas están sido objetivo
continuo de los ciberdelincuentes.

APV lanza un concurso público para contratar un CyberSOC con el objetivo de:

• Dotarse de infraestructura propia de CiberSeguridad.

• Disponer de un amplio equipo especializado en Ciberseguridad.

Despliegue del servicio: Productos de Seguridad

El objetivo del proyecto es ofrecer un servicio de Seguridad Gestionada con el soporte de una
herramienta que ayude a la administración de eventos de seguridad mediante un motor de correlación y
una colección detallada de herramientas open source y comerciales las cuales sirven para tener una vista
de todos los aspectos relativos a la seguridad en su infraestructura.

• QRADAR, que provee un fuerte motor de correlación, con detallados niveles, bajos, medianos y altos de
interfaces de visualización, como también reportes y herramientas de manejo de incidentes. Incluye el
módulo QRadar Vulnerability Manager para análisis de vulnerabilidades centralizado.

• Plataforma SCADA Guardian de Nozomi Networks especializada en redes industriales.

• Otros sistemas de soporte

DETECTAR RECOGER Y CORRELACIONAR INFORME ADMINISTRAR CONFORMIDAD

ALMACENAR

Caso de éxito en la Autoridad Portuaria de Valencia (APV) / 68

Resultados destacables en los 3 años de servicio
Detección de elementos “no controlados” por APV
Tras el primer año de vigilancia se detecta (gracias al servicio) un número muy superior al indicado en el
pliego.

• Usuarios previstos x 4 (en directorio activo) y x 10 (contando usuarios externos: Subcontratas,

operadores...)
• Activos industriales x 4 (CCTVs, sistemas no controlados de integradores…)
• Aplicativos previstos x 3 (Servicios activos en los servidores)
• Servidores previstos x 2

TIPO DE ACTIVO NÚMERO PREVISTO TECNOLOGÍA ACTIVOS ACTUALES

Usuarios 500 1.730 (4.500 reales)

Equipos de Usuario 500 Windows 7, 8 y 10 380

Servidores (físicos + virtuales) 250 Windows Server 440

Activos industriales (SCADA, PLCs) 500 +1.800

Aplicativos 90 Distintas tecnologías 249

Más de 1.500 incidencias en 3 años.

Lo más representativo de las incidencias “Muy Altas” y “Altas” durante la “pandemia/teletrabajo” en 2020.

411
Muy alto
310
Alto

Medio
150 Bajo
125 109
91 84
58 63 Nulo
38 26 27
4 12 17 8 6 0 No clasificado
2019 2020 2021

Se han reducido los riesgos en las redes

La red OT estaba no gobernada inicialmente pero al implementar medidas de seguridad, gracias al
servicio de seguridad OT, se han reducido.
En la red IT debido a la “pandemia/teletrabajo” se ha visto incrementado sustancialmente los riesgos.
La red PCS (Servicios Portuarios) se ha visto muy atacada durante 2019 y 2020, y gracias a los servicios
gestionados ha sido posible reducir los riesgos existentes.
600

500 483

400 Red_IT
321
300
238 Red_OT
193
200
Red_PCS
100 75 54 53
25 24 13 2 Videovigilancia
0
0
2019 2020 2021

Caso de éxito en la Autoridad Portuaria de Valencia (APV) / 69

Tipos de incidencias más comunes
Destacamos las incidencias más comunes detectadas en estos 3 años:

• Intento de acceso con vulneración de credenciales: Ataques de fuerza bruta por diccionario, múltiples
intentos de acceso fallidos.
• Sistema Vulnerable: Vulnerabilidades existentes en dispositivos.
• Fallo (H/S): Caída de Host, Alertas de SCOM.
• Acceso no autorizado a información.
• Distribución de Malware: URL maliciosa con distribución de malware.
• Sistema Infectado: Posible archivo infectado con malware.
• Phishing.
• Etc.

Intento de acceso con vulneración de credenciales

Sistema vulnerable

Fallo (Hardware/Software)

Acceso no autorizado a información

Distribución de malware

Sistema infectado

Phishing

Identificación de vulnerabilidades (scanning)

Escaneo de redes (scanning)

Denegación (distribuida) del servicio DoS/DDoS

0 20 40 60 80 100

Ejemplo de investigación
Repasamos en este punto un ejemplo de una investigación de posible infección de ransomware RIUK,
uno de los más resistentes, cambiantes y actuales empleado por los atacantes en Ministerio de trabajo,
SEPE, y tantos otros.

• Se sospecha de un equipo con actividad sospechosa y con posible infección de por RIUK.
• Se realizan múltiples búsquedas por IoC (Indicadores de Compromiso) con resultado NEGATIVO.

Ryuk Ransomware
More On Ry uk
Ryuk Ransomware Targeting Organizations Globally
Ryuk Related Malware Steals Confidential Military Financial Files
Ryuk Ramsomware Stops Encrypting Limux Foldewrs
Ryuk Ramsomware Adds Blacklisting

• Se analizan todas las conexiones realizadas por el equipo, con resultado NEGATIVO.
• Finalmente resulta ser un falso positivo.

Caso de éxito en la Autoridad Portuaria de Valencia (APV) / 70

Tecnologías habilitadoras
IBM QRADAR simplifica la forma en que las organizaciones despliegan una arquitectura de zero trust en
toda la empresa.

Se trata de una plataforma de seguridad abierta que se conecta a sus orígenes de datos existentes
para generar información de valor más detallada y le permite actuar más rápido con la automatización.
Tanto si sus datos residen en herramientas de IBM como de terceros, en entornos locales o multicloud,
la plataforma le ayuda a encontrar y responder a amenazas y riesgos, todo ello dejando los datos
donde residen. Esto le permite descubrir amenazas ocultas, tomar decisiones basadas en el riesgo más
informadas y responder a incidentes más rápido.

Respuesta ante incidentes

Las potentes funcionalidades de orquestación, automatización y respuesta de seguridad ayudan a los
equipos a colaborar, crear y gestionar playbooks para trabajar de forma coherente en todos los aspectos
de la respuesta a incidentes.

1- Inteligencia de amenazas. Identifique, comprenda y priorice las amenazas.

2- Búsqueda federada. Busque en todas las fuentes de datos, sin tener que mover datos.

3- Orquestación y automatización. Responda rápidamente y remedie las ciberamenazas.

4- Seguridad de datos. Centralice la seguridad de los datos, analice las amenazas de datos y responda.

5- Gestión de riesgos. Contextualizar, priorizar y remediar el riesgo de seguridad.

Caso de éxito en la Autoridad Portuaria de Valencia (APV) / 71

 Resumimos el caso de éxito
en la Autoridad Portuaria de Valencia en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Luis Agustin Fonfria

Jefe de Ciberseguridad Autoridad Portuaria de Valencia

Mario Trigueros
Responsable Técnico de la UNE de Ciberseguridad en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en la Autoridad Portuaria de Valencia (APV) / 72

Grandes hitos alcanzados
en Soltec
Modelo de Gobierno y Gestión
de la Ciberseguridad

Caso de éxito en Soltec / 73

Soltec
Soltec es una empresa española dedicada desde hace 17 años a la fabricación, suministro e instalación
de seguidores solares a un eje y que en la actualidad se trata de una empresa integradora para todo el
proceso de creación, desarrollo, instalación y puesta en marcha de plantas fotovoltaicas. La empresa de
origen murciano cotiza como Soltec Power Holdings en el mercado de valores español desde octubre de
2020 y, además de oficinas en 16 países, cuenta con proyectos por todo el mundo.

En la actualidad, la empresa tiene una plantilla de más de 1.200 empleados. Soltec Energias Renovables
SLU se encuentra en la posición 7 del Ranking del sector Producción de energía eléctrica de otros tipos,
con una facturación de 285.879.065 €.

En 2019, SOLTEC se plantea que, para la expansión y crecimiento de la compañía a nivel mundial, es
imprescindible que la Seguridad y el Gobierno de las I&T forme parte del ADN de la empresa, iniciando
una serie de proyectos que incrementen su nivel de control, gestión y finalmente Gobierno de la
Ciberseguridad.

Se describen a continuación los grandes hitos alcanzados en el horizonte temporal de 2 a 3 años (2019-
2021):

1º ACTUACIÓN INMEDIATA: AUDITORÍAS DE SEGURIDAD

Auditoría Office365, Directorio Activo, hacking Permite detectar vulnerabilidades que puedan ser
ético externo e interno. explotadas por un atacante y mejorar el nivel de
seguridad de forma inmediata.

2º BASE DE LA SEGURIDAD: FORMACIÓN Y CONCIENCIACIÓN

Plan de formación en Ciberseguridad: Concienciación a empleados con sesiones

Curso a CISO, formación reglada en Office365 prácticas, campaña de phising y ciberejercicios.

3º PLAN DIRECTOR DE SEGURIDAD ALINEADO CON LA ESTRATEGIA

Aplicación de Cobit2019: De objetivos Metodología MAGERIT (análisis de riesgos) y

empresariales a objetivos de Gobierno y Gestión elaboración del plan de acciones a
de la Seguridad. corto-medio-largo plazo.

4º IMPLANTACIÓN DE UN SISTEMA DE GOBIERNO Y GESTIÓN

Planificación y despliegue de un Sistema de Rodaje de las estructuras de mejora de la seguridad

Gestión de Seguridad y Privacidad (Plan-Do) y certificación (Check-Act)

Caso de éxito en Soltec / 74

1º Securización a corto plazo: Auditorías de Seguridad
• Auditoría y mejora Seguridad Office365: Análisis y revisión de la configuración de la plataforma Office
365. Evitar phising y fraude del CEO

Autenticación, Registros de Auditoría, Dispositivos, Envío y recepción de mensajes, Dominios,

Puntuación de Seguridad, correo electrónico no deseado, spoof mail, malware y Phishing,
Sincronización, alertas

• Auditoría de Seguridad: Hacking ético Auditoría externa del entorno IT y OT (OSSTM, OWASP) y
Auditoría interna de vulnerabilidades.

6 vulnerabilidades graves, 27 medias. 37 servicios afectados.

• Auditoría Sistemas y Directorio Activo: Seguridad en el dominio.

Seguridad en AD, Zonas de replicación, Servicio DNS, Estructura de directorio Activo, Usuarios Equipos
y Grupos, Usuarios Administradores y Cuentas de Servicio, Directivas de Grupo, Servidor de Impresión,
Servidor de SQL, Servidor de Ficheros.

Estado implantación controles de seguridad

En base a las auditorías realizadas, se establece un plan de parcheo y gestión de vulnerabilidades,

actuaciones rápidas o “quick wins” de Seguridad IT&OT que permiten una mejora significativa de la
seguridad a muy corto plazo.

Caso de éxito en Soltec / 75

2º Formación y concienciación en ciberseguridad
• Se diseña un plan formativo para personal clave, que incluye formación en Gobierno, Gestión
y Operación de la Seguridad (Curso CISO de Nunsys, alineado con el ISMS Forum, ITIL), así como
formación técnica en las plataformas clave de operación a través de IDESE (Microsoft/Office365, Firewall,
Endpoint).

• Concienciación a empleados mediante sesiones prácticas (en directo y streaming), ejercicios de

phishing simulados y curso online para los empleados más sensibles.

Securización a medio y largo plazo:

3º Plan Director de Seguridad IT&OT
• Aplicación del marco de Gobierno Cobit2019 para elaborar un mapa de implantación de Objetivos de
Gobierno y Gestión de la Seguridad.

Partiendo del plan estratégico de la compañía, se elabora una hoja de ruta para que la seguridad sea la
base y el motor de la transformación digital.

• Análisis de Riesgos y marcos normativos de referencia

Empleo de metodología MAGERIT, y los marcos ISO 27001, RGPD, SGCI según el CCI, para elaborar un
Plan Director a 1, 2 y 3 años, sustentado en una plataforma de seguimiento (Gconsulting), clave para el
éxito en el despliegue del plan.

Disponiendo de los inputs de auditoría, de los factores de diseño de Cobit2019 (10 factores para modelar
la organización, 40 procesos de Gobierno y de Gestión ordenados por criticidad como salida), y del
análisis de riesgos IT y OT, se establece un plan director de seguridad con 47 actuaciones obligatorias,
8 recomendaciones y 4 Oportunidades de Mejora, que se agrupan en 4 grandes proyectos a corto y
medio plazo, con un CAPEX y OPEX bien establecidos.

Caso de éxito en Soltec / 76

 Que la Seguridad funcione:
4º Implantación Marcos de Gestión y de Gobierno
• Implantación de procesos de los marcos normativos

La clave para la implantación de un Sistema de Gestión de Seguridad y Privacidad es disponer de un

comité de seguridad solvente, un seguimiento fluido (apoyado en GConsulting Compliance), y una
implicación de la dirección (gracias al alineamiento con los objetivos basado en Cobit2019).

• Implantación de proyectos especializados

Más allá de establecer un marco de Gestión y Gobierno, hay proyectos verticales como la Protección
de la Información (crítica en un entorno distribuido), la Gestión de la Cadena de Suministro (con
proveedores estratégicos internacionales), y la securización OT de los entornos desplegados.

• Implantación de Cuadros de Mando

Para que los proyectos y acciones de seguridad se vean reflejados en los objetivos de la organización,
es vital contar con buenos indicadores de operación, buenas métricas en el plano de la gestión, y un
cuadro de mando para la dirección que refleje como la ciberseguridad es un motor para la compañía.

El próximo reto, una vez obtenida la certificación ISO 27001 e implantado el SGSI para Seguridad y
Privacidad, es abordar la implantación de las buenas prácticas de Ciberseguridad que marca la ISO
27032.

Caso de éxito en Soltec / 77

 Resumimos el caso de éxito
en Soltec en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Jorge Garcia Garcia

Global IT Director en Soltec

Rafa Vidal
Director de Ciberseguridad y Gobierno IT en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en Soltec / 78

Asistencia completa al CISO
en Dacsa Group
El CISO al servicio de
un negocio tradicional

Caso de éxito en Dacsa Group / 79

Dacsa Group
Dacsa Group, nace en 1968 con la producción de sémolas de maíz para la industria cervecera. En 1982
entra en el sector del arroz, creando la marca Arroz Dacsa. En el año 2000 funda el Consejo Regulador de
la Denominación de Origen Arroz de Valencia. Resultado de su esfuerzo consigue en el 2011 convertirse en
la primera marca de arroz en obtener la certificación de la marca Parcs Naturals. Actualmente cumple con
los más altos estándares de calidad en el proceso de sus productos.

Para llegar ahí, además del valor humano, ha sido clave el apostar por la inversión tecnológica en
infraestructura TIC y el implementar las medidas de seguridad necesarias para conseguir disponibilidad,
confidencialidad e integridad de la información y de sus procesos productivos, sobre la base de dos
pilares fundamentales: la Planificación y la Gestión del Servicio.

Con el asesoramiento y contribución de Nunsys, como socio tecnológico, se ha asegurado una asistencia
completa al CISO.

Sentando las bases. Infraestructura de seguridad

La infraestructura de sistemas, networking y
comunicaciones dispone de alta disponibilidad y
tolerancia a fallos.
CISO
El acceso a la infraestructura cuenta con sistemas Responsable de
seguridad
AAA implementados con el uso de certificados
personales y de dispositivos, control de acceso
a la información y, una vez autenticado y
autorizado, del seguimiento de todo ello de
Gestión de la Operación de la
manera centralizada. seguridad seguridad

Gobierno IT Nube
Compliance CPD
Gestión de Riesgos Industria
Plan Director 24x7
de Seguridad Forense

Infraestructura
de seguridad

La ciberseguridad en el perímetro
Los FORTIGATE son la pieza fundamental para el control del tráfico entrante/saliente de/a INET, alta
disponibilidad de conexión mediante SD-WAN, control de ancho de banda, prevención de intrusiones,
control de navegación por usuarios, terminador de VPN, seguimiento del uso del acceso a INET… y todo
ello unificado y orquestado con el resto de tecnología de FORTINET.

La seguridad en el puesto de trabajo y en servidores

Contra el malware, cuenta con Sophos Advanced Intercept con Deep Learning Malware Detection,
Exploit Prevention, Anti-Ransomware y análisis de causa raíz, tanto en servidores como en endpoint y con
el refuerzo de BitDefender en el endpoint.

Caso de éxito en Dacsa Group / 80

Gestión de la Seguridad. El Plan Director de Seguridad
La planificación de la seguridad parte del PDS sobre tres líneas fundamentales: la implantación de un
sistema de gestión de la seguridad (SGSI), la valoración del riesgo asumible y la puesta en marcha de
controles, indicadores y contramedidas establecidos en base al umbral de riesgo asumido. Todo ello con
la implicación y concienciación de Dirección y empleados.

Del arranque han surgido unos ‘quick wins’ de entre los que destaca la ampliación de las medidas en
ciberseguridad en la red OT.

Operación de la Seguridad manteniendo el Gobierno

Seguridad corporativa gestionada

El CyberSOC (CSOC) de Nunsys vela por la seguridad de la infraestructura de Dacsa Group. Dos
componentes principales: el equipo SOC y el vCISO, con un cuadro de mando integral de Seguridad IT y
OT, sobre la base ITIL para asegurar el ciclo continuo de vida de la gestión en 24x7.

La base técnica del CSOC es un sistema SIEM AlienVault, que permite mediante Inteligencia Artificial y
aplicando Machine Learning que se nutre del flujo de información de toda la red corporativa y de los logs
de los sistemas de control, la monitorización y alerta de la disponibilidad, capacidad, vulnerabilidades,
análisis de comportamiento y respuesta a ciberincidencias. El rol de vCISO (virtual CISO) permite al
equipo TIC estar al día del estado de salud y análisis de posibles mejoras.

Seguridad industrial gestionada

Para ampliar la seguridad en la red OT de las distintas fábricas, nos estamos apoyando en
SCADAGUARDIAN de NOZOMI. El sistema da visibilidad de la infraestructura completa y también
mediante Inteligencia Artificial y Machine Learning permite advertir comportamientos anómalos o
posibles ciberataques. La solución está capacitada a interactuar con dispositivos FORTINET para adoptar
medidas reactivas.

Dacsa Group, está en el camino correcto de seguir poniendo barreras de seguridad, bien orquestadas
mediante una gestión profesional.

Caso de éxito en Dacsa Group / 81

 Resumimos el caso de éxito
en Dacsa Group en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Ignacio Juanes Ballester

Group IT Manager y CISO de Dacsa Group

Enrique Rodríguez
Responsable Técnico de Ciberseguridad en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en Dacsa Group / 82

Seguridad integral
en Alloha College
Como abordar un roadmap
progresivo que garantice la
máxima calidad en la enseñanza

Caso de éxito en Alloha College / 83

Alloha College
Gracias a la colaboración de Sophos y Nunsys, la institución académica Aloha College ha mejorado
el rendimiento de sus redes sin renunciar a la seguridad y privacidad de sus alumnos y personal
laboral. El centro educativo Aloha College de Marbella, fundado en 1982, ofrece una educación al
estilo británico para una comunidad internacional compuesta por alumnos de 57 nacionalidades con
edades comprendidas entre los 3 y 18 años. En sus 36 años de historia, el colegio ha desarrollado una
comunidad escolar formada por el personal docente, los padres de los alumnos y los propios estudiantes
que desarrollan una experiencia académica basada en sólidos valores como el respecto, el esfuerzo, la
honestidad, la atención y el afecto.

Aloha College cuenta con un amplio campus educativo conformada por edificios, espacios deportivos y
zonas recreativas donde cerca de 850 estudiantes se esfuerzan por alcanzar la excelencia académica en
un ambiente comprometido con el bienestar y la seguridad de los alumnos.

En primer lugar se realizó una Auditoría de seguridad la cual reflejó el estado de madurez de la
organización, tanto en la infraestructura existente como en la configuración de los diversos elementos.
Especialmente crítica era la auditoría de redes Wifi, por las cuales tanto estudiantes como personal
externo debían tener garantías de acceso restringido.

Entre las carencias que hacía falta abordar, estaba:

1. La insuficiencia del ancho de banda, una limitación para el desarrollo de la educación.

2. Mejoras en las redes Wifi para su funcionamiento y seguridad

3. Sistemas críticos a parchear y protocolos a deshabilitar

A medida que la tecnología se ha convertido en un ámbito relevante para la sociedad, los centros
educativos se han ido adaptando a un nuevo panorama que les exige una infraestructura TI para
proporcionar una educación de calidad a los estudiantes. Ante esta realidad, Aloha College ha decido
apostar por reforzar su oferta tecnológica educativa con el objetivo de ofrecer la máxima calidad en sus
servicios tanto a los estudiantes como al personal laboral del centro.

Solución
Con la intención de mantener sus estándares de calidad y niveles de servicio, Aloha College se puso en
contacto con Nunsys, empresa especializada en implantación de soluciones integrales de tecnología, con
el objetivo de encontrar una solución que cumpliese con sus necesidades.

Nunsys distribuye más de 80 soluciones diferentes de Seguridad, y en cada ámbito tecnológico trabaja
con varios fabricantes, proporcionando al cliente siempre la máxima información para que pueda elegir,
así como lo más ajustado a su problemática.

La solución completa propuesta incluye:

• Sophos Firewall HA…

• Cisco Meraki. MDM para dispositivos móviles
• Panda Adaptive Defense 360 para puestos de trabajo y servidores
• Hardening de equipamiento (resultado de la auditoría de seguridad)
• Otros complementarios: Copias de seguridad, VMWAre, equipos y clonado de los mismos…

Caso de éxito en Alloha College / 84

¿Qué tiene de especial para educación?
Debido al nuevo enfoque tecnológico de Aloha College, se ha requerido un aumento del ancho de
banda para incrementar el tráfico y acceso a internet, lo que supone también incrementar las medidas de
seguridad para evitar que los alumnos, profesores y personal del colegio sean víctimas de un ciberataque,
y al mismo tiempo garantizar la privacidad de los datos en cumplimiento del nuevo Reglamento General
de Protección de Datos (RGPD) que entrará en vigor el 25 de mayo.

“Antiguamente el acceso a internet se reducía a un número limitado de ordenadores en las salas de

informática y la biblioteca. Ahora nuestros estudiantes y profesores tienen acceso a internet desde
ordenadores, tabletas, pizarras interactivas y móviles en todas las aulas y por todo el centro, lo que
implica muchos más accesos y un aumento del tráfico a internet impensable hace algunos años. Además,
la información y los recursos que se gestionan en el centro requieren de sistemas que respondan a las
necesidades actuales tanto de infraestructura como de seguridad” comenta Alejandro Serrano, IT Manager
de Aloha College.

Caso de éxito en Alloha College / 85

Sophos XG Firewall: protección de última generación
Tras conocer las necesidades del centro educativo, Nunsys realizó un trabajo de consultoría y estudio de
la infraestructura electrónica para detectar los posibles puntos débiles y así encontrar la mejor solución
para el cliente. El integrador detectó que el firewall con el que contaban hasta el momento, dejó de
satisfacer las necesidades de mejora continua de Aloha College y tanto su rendimiento como capacidad
de administración eran insuficientes para soportar el aumento de ancho de banda necesario para cubrir
la demanda de los usuarios.

En ese momento, se detectó que la mejor solución para cubrir las necesidades de la institución eran
los productos de Sophos, líder global en seguridad para protección de redes y endpoints. En concreto,
se decidió implantar Sophos XG Firewall 450 en HA, dada su calidad, simplicidad, gran visibilidad
y protección de última generación. El nuevo firewall permite a Aloha College bloquear amenazas
avanzadas y desconocida y responder ante cualquier incidente localizando su origen y bloqueando la
infección para evitar que se extienda a otros recursos de su red. Una de sus grandes ventajas es que
el nuevo firewall da la posibilidad de unificar las diferentes soluciones de seguridad de la institución
además de aumentar la potencia y el rendimiento en comparación con su anterior firewall. Asimismo,
Sophos XG Firewall 450 facilita la visión global de todo lo que ocurre en su red, lo que permite tener un
mayor control sobre la navegación de los alumnos, las aplicaciones que usan y los dispositivos con los
que se acceden a la red.

“Nos decantamos por el firewall de Sophos debido a su gran calidad y sencillez de uso. Hemos implementado
dos firewall en cluster en alta disponibilidad (HA) y, gracias a su plataforma única de administración, el
colegio podrá administrar ambos dispositivos de forma sencilla y centralizada. Además se han cumplido las
necesidades del colegio de aumentar su seguridad, el ancho de banda y tener la capacidad de balancear las
diferentes líneas de sus operadores ISP, algo que hasta ahora no era posible con su anterior firewall”, aseguró
Antonio Pacheco, responsable de ciberseguridad de Nunsys.

Gran rendimiento y protección de última generación

La apuesta de Aloha College por ofrecer un enfoque tecnológico a sus alumnos está siendo acompañada
por un alto nivel de seguridad. El aumento del ancho de banca se ha acompañado del nuevo Firewall XG
de Sophos para afrontar los próximos desafíos digitales. Los nuevos sistemas le han permitido mejorar
su visibilidad, aumentar el rendimiento, incrementar la protección y ganar en tiempos de gestión y
administración gracias a las herramientas sencillas e intuitivas.

“Por un lado, las nuevas soluciones nos permiten lograr uno de nuestros objetivos que era aumentar el ancho
de banda y tener un mayor control del mismo. Por otro lado, su alto rendimiento permite soportar el elevado
volumen de conexiones que tenemos actualmente en nuestras redes sin renunciar a los niveles de seguridad,
protección y privacidad que debemos ofrecer a todos nuestros alumnos”, añade Alejandro Serrano, IT
Manager de Aloha College.

Caso de éxito en Alloha College / 86

 Resumimos el caso de éxito
en Alloga College en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Alejandro Serrano
IT Manager de Aloha College

Enrique Rodríguez
Responsable Técnico de Ciberseguridad en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas
Caso de éxito en Alloha College / 87
Certificación en el Esquema
Nacional de Seguridad de la
Universitat de València
5 años de madurez y un cambio
cultural exitoso

Caso de éxito en Universitat de València / 88

Universitat de València
La Universitat de València (UV), fundada en 1499 bajo el nombre de Estudi General, es una de
las universidades más antiguas de España. Es una universidad pública, orientada a la docencia y la
investigación en casi todos los ámbitos del saber. Se divide en cuatro campus, y cuenta con numerosas
extensiones, delegaciones, centros adscritos y emplazamientos ejemplares.

En el curso 2016/2017 contaba con 65.789 alumnos entre todas sus titulaciones, siendo la mayor
universidad en número de alumnos de la Comunidad Valenciana y la séptima a nivel nacional. Cuenta
con 1.853 empleados de administración y servicios y 3.849 docentes e investigadores. La Universidad de
Valencia se sitúa entre las cuatro más destacadas de España en el campo de la I+D+i, contando con 18
Institutos Universitarios de Investigación.

Seguridad de la Información en la Universitat

La Universitat de València, consciente de la necesidad de proteger y garantizar los derechos de los
alumnos, del personal de administración y servicios y del personal docente e investigador, y de la
información sensible que maneja, está siempre a la vanguardia tecnológica, dotándose de los mejores
medios técnicos, a través del SIUV (“Servei d’Informàtica”), y jurídicos, mediante su área de Protección de
Datos Personales.

Tras la publicación de la Ley de Acceso Electrónico de los Ciudadanos a la Administración Electrónica,

Ley 11/2007, y posteriormente el ENS (RD 3/2010) y el ENI (RD 4/2010), la Universitat se planteó el reto
de ser de las primeras universidades en adecuarse a la normativa vigente, y para tal fin convocó, entre
otros, un concurso público para dotarse de los servicios especializados de consultoría para garantizar
el éxito del proyecto. El concurso fue adjudicado en 2012 al actual equipo de trabajo de Nunsys, con el
cual se ha evolucionado el Sistema de Gestión de Seguridad de la Información hasta la certificación de la
Universidad en diciembre del 2018.

100%

80%

60%

40%

20%

0%
Artículos ENS Marco Marco Medidas de TOTAL
Organizativo Operacional protección

Cumplimiento inicial Cumplimiento 2019

INFORME INES

Caso de éxito en Universitat de València / 89

Enfoque particular y común
La valoración de los activos esenciales y por tanto, de los Sistemas de Información de la Universidad, se
hizo recogiendo todas las sensibilidades de los responsables y, posteriormente, se validó contra criterios
de la CRUE, siendo pioneros en la adopción del ENS y en la gestión de la RGPD en este entorno.

Los Sistemas se consideraron por defecto de nivel bajo, y sólo aquellos subsistemas más críticos
(atendiendo a las dimensiones del ENS) se valoraron como de nivel medio, entre los que se encuentran
los siguientes: Subsistema de Gestión de Actas, Subsistema de Automatrícula, Subsistema de Gestión de
Títulos y Subsistema de “Sede Electrónica”

Adopción del cambio cultural:

Organización, formación, concienciación
Desde el principio, se realizó un mentorización y formación a los miembros responsables de la seguridad
y a los responsables de los Sistemas de Información, Servicios y Datos nombrados a raíz de la adecuación
al ENS. Se han realizado periódicamente formaciones específicas “in situ” a personal del SIUV en varios
ámbitos:

• Formación al CAU para respuesta a incidentes de ciberseguridad

• Realización de análisis de vulnerabilidades, interpretación de resultados y respuesta a las mismas
• Formación en Ciclo de Vida de Desarrollo Seguro, basado en metodología SPICE

La última iniciativa ha sido la realización de encuestas de concienciación al personal del SIUV.

Caso de éxito en Universitat de València / 90

Automatización de tareas
Desde el principio del proyecto, se pensó en una plataforma de gestión que permitiese el seguimiento
fácil e intuitivo de todas las fases del mismo. Se eligió GConsulting Compliance, que entre otras ventajas
nos permitía importar activos de varias fuentes, para asegurar que ninguno se quedase fuera del análisis
de riesgos y de las posteriores medidas y controles a implantar.

A lo largo de los años, se ha mantenido un análisis de riesgos y controles mediante la herramienta del
CCN PILAR, con la cual GConsulting se integra de manera nativa.

Además de GConsulting como plataforma de gestión, el enfoque ha sido incorporar en la cultura y

procedimientos de la organización facilidades para garantizar la seguridad de los sistemas en todas sus
dimensiones, se presentan algunos ejemplos: formas de comunicación nuevas.

CONTROLES ENS (Anexo II) AUTOMATIZACIÓN

Protección de las aplicaciones Se han integrado herramientas de Análisis de Código para

informáticas [mp.sw] ciclo de vida del desarrollo de software en un modelo de
integración continua

Monitorización del sistema [op.mon] Herramientas de monitorización de capacidad y disponibilidad

Continuidad del servicio [op.cont]

Gestión de incidentes [op.exp.7] Adaptación de herramientas de gestión de incidencias

(Helpdesk del CAU, del PAS-PDI). Interacción con LUCIA
(comunicación con el CCN).

Protección de servicios web [mp.s.2] Análisis de vulnerabilidades continuo

Gestión de la configuración [op.exp.3]

Detección de intrusión [op.mon.1] Herramientas de detección de intrusos

Protección frente a código dañino [op. Se han añadido la seguridad perimetral y del puesto de trabajo
exp.6] (antivirus) al análisis de seguridad completo requerido por el
ENS [op.mon.2] “Sistema de métricas”

Registro de la actividad de los usuarios Plataforma de correlación de eventos, que recoge los registros
[op.exp.8] de actividades de cada sistema

Caso de éxito en Universitat de València / 91

Seguridad Técnica avanzada
La Universidad realiza con asiduidad test de intrusión externo y análisis de vulnerabilidades internos para
detectar posibles agujeros de seguridad en los servicios expuestos de la universidad.

Si bien el requisito que exige el ENS es “supervisión servicios web” y “auditoría de intrusión sobre sistemas
de nivel medio”, lo cierto es que todos los sistemas en una organización comparten servicios habituales
que hay que revisar por poder introducir vulnerabilidades en los sistemas críticos.

La gestión de un SIEM permite registrar la actividad de los usuarios (estudiantes, PAS-PDI, otro personal),
y la correlación de eventos de sistemas críticos. La Universitat de València dispone de un sistema
de sondas desplegadas por Nunsys para monitorizar la actividad de la universidad, y un sistema de
correlación para despertar alertas antes cualquier evento de seguridad, investigación forense, etc.

Certificación del ENS

En diciembre del 2018 se ha afrontado con éxito la certificación del ENS, mediante una auditoría de
seguridad completa de los Sistemas Información dentro del alcance de éste, obteniendo como resultado
un informe favorable. El proceso ha concluido exitosamente, garantizando con ello que la Universidad
realiza una correcta gestión de la seguridad.

Futuros pasos
La situación actual garantiza un marco idóneo para la mejora continua de la Seguridad, y no son pocos
los retos que se plantean en el futuro, mejorando la gestión y la infraestructura actual. Existen múltiples
líneas a abordar en este camino, entre las que se pueden considerar:

• Mayores acciones de formación y concienciación.

• Bastionado de equipos ampliando el alcance actual.
• Mejorar la detección de incidencias, aumentando fuentes de información, reglas de correlación, y
sistemas bajo el alcance.
• Profundizar en las auditorías de seguridad técnica con nuevos vectores de ataque y sistemas testeados.
• Automatizar la comunicación de incidentes a través de LUCIA y MISP

Y, por supuesto, reaccionando ante los retos que plantea la enseñanza en el siglo XXI.

Caso de éxito en Universitat de València / 92

 Resumimos el caso de éxito
de la Universitat de València en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Fuensanta Domenech
Responsable SIUV de la UV

Julio Martí
Técnico de Seguridad de la UV

Rafa Vidal
Director de Ciberseguridad y Gobierno IT en Nunsys

Combinamos diferentes tecnologías

para ofrecer soluciones únicas
Caso de éxito en Universitat de València / 93
Protección global y quirúrgica en
un entorno heterogéneo,
Más y Más
Un nuevo impulso en el área
de la defensa

Caso de éxito en MasyMas / 94

Juan Fornés Fornés del grupo Supermercados Más y Más
La empresa alicantina Juan Fornés Fornés – Supermercados Más y Más – es una empresa familiar, con
sede en Pedreguer, Alicante, que comenzó con la venta de mercancias al por mayor en poblaciones de la
Marina Alta (Alicante).

En 1918 abrió el primer supermercado y hoy día cuenta con 130 supermercados distribuidos en la
Comunidad Valenciana y la Región de Murcia.

Dos pilares fundamentales que han contribuido a ser la empresa de éxito que es:
• La calidad y cuidado con el trato humano en general (empleados, clientes, proveedores, socios, …)
• Apostar siempre por estar al día en las últimas tecnologías.

El crecimiento de la empresa, la evolución tecnológica, la movilidad, la distribución de la información

y los servicios, requerían un nuevo impulso en el área de la defensa IT en general, y del endpoint y
servidores en particular.

Cuál era el estado de la defensa antes

de acometer mejoras
El equipo IT de la empresa, era consciente de la importancia de dos necesidades:

• Apoyo especializado en materia de Ciberseguridad. Se veían faltos de conocimiento para poder abordar
de manera general y particular la importancia de la Ciberseguridad.

• Contar con un ecosistema puntero para la defensa de sus activos.

El objetivo era claro. Estaban dando un muy buen servicio productivo desde el área técnica, pero tenían
que velar porque ese servicio no se viera alterado en ninguno de los tres fundamentos principales de la
seguridad informática: la confidencialidad, la integridad y la disponibilidad. A estos habría que añadir el
control de la trazabilidad y la autenticidad como refuerzos fundamentales.

Aplicando esa filosofía de emprendimiento e innovación tecnológica de empresa, Ramón Gil -

Responsable de Sistemas Informática – solicitó al equipo de expertos en ciberseguridad de Nunsys el
servicio de CSOC.

El CyberSOC de Nunsys entiende y aplica los procesos necesarios para un servicio de calidad y sin
interrupciones. Para lograrlo, transforma los tres pilares del CyberSOC en único pilar fundamental:

SERVICIO

Herramientas Personas Procesos

Caso de éxito en MasyMas / 95

Nunsys-CERT es la base principal del servicio, con el aporte de conocimiento, experiencia y calidad
humana de los especialistas que lo componen.

Un primer punto a tratar, por parte de los especialistas asignados, fue el refuerzo de la defensa en
endpoints y servidores.

“Debe pertenecer a un gran fabricante, con años de experiencia en el

sector de la ciberseguridad, demostrables en innovación tecnológica
y ataques neutralizados, de cobertura internacional con un potente
equipo de ingenieros, con productos específicos para escenarios muy
concretos, que permita la vigilancia centralizada de sistemas (incluidos
Legacy), con posibilidad de gestión oncloud, que permita la trazabilidad
para el análisis de lo que sucede en el día a día y que se pueda integrar
con un sistema SIEM”.

Estudio detallado y pormenorizado

Para poder seleccionar la mejor plataforma, desde Nunsys, realizamos un estudio detallado
principalmente desde el área de Redes/Comunicaciones, Sistemas y Ciberseguridad.

De este estudio pudimos obtener conocimiento del despliegue de activos, la topología funcional y física
de la infraestructura, la dependencia entre sí de esos activos y su nivel de criticidad, el acceso a la gestión
de los mismos, …

Con todo ello obtuvimos los datos necesarios para abordar todos los enfoques posibles en la seguridad:

• Recursos disponibles de los activos. Vital para saber el impacto que puede tener el despliegue de un
agente para no afectar en la producción del mismo.

• Misión del activo. Para aplicar el producto del fabricante más focalizado a su defensa.

• Sistemas operativos. De cara a saber si estamos defendiendo un sistema actualizable o es un sistema

Legacy sin más soporte del fabricante a las vulnerabilidades.

• Cantidades. La cantidad de servidores, endpoints y móviles a proteger, así como sus funciones y
ubicaciones.

• Estudio del impacto global. Se estudia cómo implementar las soluciones y verificar que no existe
ningún impacto crítico en producción a la hora de desplegar conjuntamente la solución.

Se implementa el módulo de Virtual Patching, que va a velar por la

vigilancia ante Sistemas Operativos y Aplicaciones no parcheadas.

Caso de éxito en MasyMas / 96

Resultados obtenidos y satisfacción del cliente
Tras la puesta en marcha del servicio CSOC y la implementación de las soluciones del fabricante, el cliente
adquirió una visión completa de la defensa de sus activos. Con la ayuda del asesoramiento de nuestros
especialistas en ciberseguridad, trabajando conjuntamente con el equipo técnico del cliente y el apoyo
de los especialistas en Redes/Comunicaciones y Sistemas de Nunsys, Juan Fornés Fornés se siente más
tranquilo en un tema tan preocupante como es la seguridad IT.

Periódicamente se asesora para mantener viva esa cadena de control, en varios aspectos: apuntalando
con más fuerza una configuración de un activo concreto o atendiendo a un comportamiento anómalo en
la red, … En caso de alerta se analiza y de ser necesario se pone en marcha el protocolo para trabajar en
el evento.

Spyware fille cleaned 21

Spyware access denied

Conrent Violation Quarantie 4

Intrusion Prevention bloks 1402

Web Violations 56

Virus Malware 4
Virtual Analyzer 2

Predictive Machine Learning 1

Network Content Inspiration 251

Data Lose Prevention 1633

C&C Callback 251

Behavior Monitoring 14

0 200 400 600 800 1000 1200 1400 1600 1800

EVENTOS AGOSTO 2021

El equipo de Sistemas de Juan Fornés Fornés no necesita llevar un control estricto frente al parcheo
de vulnerabilidades, tanto de Sistemas Operativos como de Aplicaciones. Tener la defensa activa con
el Virtual Patching, les evita dedicar mucho tiempo al parcheo en entorno de pruebas, estudio de
resultados, ventanas de corte de servicio y aplicación frecuente de esos parcheos, pudiendo con ello
planificar estos trabajos a más largo plazo y con menos frecuencia.

El cliente ha mejorado en la madurez de la defensa de la infraestructura, el sistema de detección y gestión

de incidencias, así como el respaldo por parte de un equipo especializado en ciberseguridad.

Con el seguimiento especializado de Nunsys, ahora se tiene mayor

control sobre las amenazas, pudiendo adelantarse ante la sospecha
de un ataque y disponiendo de visión general para corregir técnica y
humanamente los puntos débiles que el sistema pueda detectar.

Caso de éxito en MasyMas / 97

 Resumimos el caso de éxito
en Más y Más en 1 minuto

¿Quieres conocer las soluciones de Ciberseguridad que ofrece Nunsys?

SEGURIDAD
GESTIONADA

TRANSFORMACIÓN GOBIERNO IT CISO

DIGITAL

Ramón Gil
Responsable de Sistemas Informática en Más y Más

Enrique Rodríguez
Responsable Técnico de Ciberseguridad

Combinamos diferentes tecnologías

para ofrecer soluciones únicas

Caso de éxito en MasyMas / 98

 960 500 631
nunsys.com

[email protected]