1.

Políticas de Ciberseguridad

1.1. Política de Gestión de Riesgos

• Objetivo: Establecer un marco para identificar, evaluar, mitigar y monitorear los riesgos de
ciberseguridad.

• Acciones:

o Realizar una evaluación de riesgos inicial para identificar vulnerabilidades y

amenazas.

o Implementar un sistema de gestión de riesgos (GRC - Governance, Risk, and

Compliance) para monitorear y gestionar riesgos en tiempo real.

o Establecer umbrales de riesgo aceptable y planes de mitigación.

1.2. Política de Seguridad de la Información

• Objetivo: Garantizar la confidencialidad, integridad y disponibilidad de la información.

• Acciones:

o Implementar controles de acceso basados en roles (RBAC) para limitar el acceso a

la información sensible.

o Encriptar datos en reposo y en tránsito.

o Establecer políticas de retención y eliminación segura de datos.

1.3. Política de Continuidad del Negocio

• Objetivo: Asegurar la continuidad de las operaciones críticas en caso de un incidente de

ciberseguridad.

• Acciones:

o Desarrollar un Plan de Continuidad del Negocio (BCP) que incluya procedimientos

de recuperación ante desastres (DRP).

o Realizar pruebas periódicas de los planes de continuidad y recuperación.

o Establecer un centro de operaciones de seguridad (SOC) para monitorear y

responder a incidentes en tiempo real.

1.4. Política de Cumplimiento Normativo

• Objetivo: Asegurar el cumplimiento con las regulaciones locales e internacionales.

• Acciones:

o Implementar un marco de cumplimiento basado en estándares como ISO 27001,

NIST, y PCI-DSS.

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento.

 o Establecer un comité de cumplimiento para supervisar y actualizar las políticas
según los cambios regulatorios.

2. Controles Tecnológicos

2.1. Defensa en Profundidad

• Objetivo: Implementar múltiples capas de seguridad para proteger la infraestructura

crítica.

• Acciones:

o Perímetro de Red: Implementar firewalls de próxima generación (NGFW) y

sistemas de prevención de intrusiones (IPS).

o Red Interna: Segmentar la red utilizando VLANs para aislar tráfico crítico
(servidores, usuarios, impresoras, etc.).

o Endpoint Security: Implementar soluciones de protección de endpoints (EDR) para

detectar y responder a amenazas en dispositivos.

o Aplicaciones: Utilizar Web Application Firewalls (WAF) para proteger aplicaciones

críticas como el CRM y la oficina virtual.

o Datos: Implementar soluciones de prevención de pérdida de datos (DLP) para

evitar fugas de información.

2.2. Resiliencia

• Objetivo: Asegurar que la infraestructura pueda recuperarse rápidamente de un incidente.

• Acciones:

o Implementar sistemas de backup y replicación en tiempo real entre los dos

datacenters (Zona Franca y Siberia).

o Establecer un plan de recuperación ante desastres (DRP) que incluya la

conmutación por fallo automática entre datacenters.

o Realizar pruebas de recuperación periódicas para asegurar la efectividad del DRP.

2.3. Visibilidad

• Objetivo: Monitorear y detectar actividades sospechosas en tiempo real.

• Acciones:

o Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para centralizar y analizar logs de seguridad.

o Establecer alertas automatizadas para actividades anómalas (intentos de acceso

no autorizado, movimientos de datos inusuales, etc.).

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz.

2.4. Cumplimiento

• Objetivo: Asegurar que los controles de seguridad cumplan con las regulaciones y
estándares.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

PCI-DSS para datos de tarjetas de crédito).

o Realizar revisiones periódicas de cumplimiento con la Superfinanciera y otras

entidades reguladoras.

o Documentar y mantener evidencias de cumplimiento para auditorías.

3. Plan de Continuidad del Negocio (BCP)

3.1. Identificación de Procesos Críticos

• Objetivo: Identificar los procesos críticos que deben mantenerse en funcionamiento

durante un incidente.

• Acciones:

o Realizar un análisis de impacto al negocio (BIA) para identificar los procesos

críticos.

o Priorizar los sistemas y aplicaciones que soportan estos procesos (CRM, aplicativo
core, oficina virtual, etc.).

3.2. Estrategias de Recuperación

• Objetivo: Establecer estrategias para recuperar los procesos críticos en el menor tiempo
posible.

• Acciones:

o Implementar soluciones de alta disponibilidad (HA) para aplicaciones críticas.

o Establecer acuerdos de nivel de servicio (SLA) con proveedores de servicios en la

nube (Azure, AWS) para garantizar la disponibilidad.

o Desarrollar procedimientos de recuperación paso a paso para cada proceso crítico.

3.3. Pruebas y Mantenimiento

• Objetivo: Asegurar que el plan de continuidad sea efectivo y esté actualizado.

• Acciones:

o Realizar simulacros de recuperación ante desastres al menos dos veces al año.

o Actualizar el plan de continuidad según los cambios en la infraestructura y los

procesos de negocio.
4. Gestión de Riesgos Operativos

4.1. Identificación de Riesgos

• Objetivo: Identificar los riesgos operativos asociados a la infraestructura y los procesos de

negocio.

• Acciones:

o Realizar un análisis de riesgos operativos que incluya amenazas internas y

externas.

o Identificar riesgos asociados al teletrabajo, como el acceso remoto no seguro y la

posible fuga de información.

4.2. Mitigación de Riesgos

• Objetivo: Implementar controles para mitigar los riesgos identificados.

• Acciones:

o Implementar soluciones de VPN seguras para el acceso remoto de los empleados.

o Establecer políticas de uso aceptable (AUP) para el acceso a datos sensibles desde
dispositivos personales.

o Implementar controles de DLP para prevenir la fuga de información.

5. Capacitación y Concientización

5.1. Programa de Concientización en Seguridad

• Objetivo: Educar a los empleados sobre las mejores prácticas de seguridad.

• Acciones:

o Realizar capacitaciones periódicas sobre phishing, ingeniería social y manejo

seguro de datos.

o Implementar campañas de concientización sobre la importancia de la seguridad de

la información.

5.2. Capacitación en Desarrollo Seguro

• Objetivo: Asegurar que el equipo de desarrollo conozca y aplique prácticas de seguridad

en el ciclo de vida del desarrollo (SDLC).

• Acciones:

o Implementar un programa de capacitación en desarrollo seguro (DevSecOps).

o Integrar herramientas de análisis estático y dinámico de código (SAST/DAST) en el

proceso de desarrollo.

6. Monitoreo y Mejora Continua

6.1. Monitoreo Continuo

• Objetivo: Mantener una visibilidad constante sobre el estado de la seguridad.

• Acciones:

o Implementar un SOC (Security Operations Center) para monitorear y responder a

incidentes en tiempo real.

o Realizar revisiones periódicas de los logs de seguridad y análisis de tendencias.

6.2. Mejora Continua

• Objetivo: Asegurar que los controles de seguridad evolucionen con las nuevas amenazas.

• Acciones:

o Realizar revisiones periódicas de las políticas y controles de seguridad.

o Implementar un proceso de mejora continua basado en feedback y lecciones

aprendidas de incidentes.

7.1. Integración de Controles de Seguridad

• Defensa en Profundidad: La implementación de múltiples capas de seguridad (perímetro,

red interna, endpoints, aplicaciones y datos) asegura que no exista un único punto de
fallo. Esto reduce significativamente el riesgo de brechas de seguridad.

• Resiliencia: La capacidad de recuperación rápida ante incidentes, respaldada por un plan

de continuidad del negocio bien estructurado, garantiza que la operación de la compañía
no se vea interrumpida por eventos adversos.

• Visibilidad: El monitoreo continuo a través de herramientas como SIEM y SOC permite

detectar y responder a amenazas en tiempo real, minimizando el impacto de posibles
ataques.

• Cumplimiento: La alineación con estándares internacionales y regulaciones locales no solo

reduce el riesgo de sanciones, sino que también fortalece la confianza de los clientes y
socios comerciales.

7.2. Gestión de Riesgos y Continuidad del Negocio

• Identificación y Mitigación de Riesgos: La evaluación constante de riesgos operativos y la

implementación de controles adecuados aseguran que la compañía esté preparada para
enfrentar amenazas internas y externas.

• Plan de Continuidad del Negocio (BCP): La priorización de procesos críticos y la

implementación de estrategias de recuperación garantizan que la compañía pueda
mantener sus operaciones incluso en situaciones de crisis.

7.3. Capacitación y Concientización

 • Concientización en Seguridad: La educación continua de los empleados sobre las mejores
prácticas de seguridad reduce el riesgo de errores humanos, que son una de las principales
causas de brechas de seguridad.

• Desarrollo Seguro (DevSecOps): La integración de seguridad en el ciclo de vida del

desarrollo asegura que las aplicaciones y sistemas estén diseñados con la seguridad como
una prioridad desde el inicio.

7.4. Monitoreo y Mejora Continua

• Monitoreo Continuo: La implementación de un SOC y herramientas de monitoreo

avanzadas permite una respuesta rápida y efectiva ante incidentes de seguridad.

• Mejora Continua: La revisión periódica de políticas y controles, junto con la incorporación

de lecciones aprendidas, asegura que la estrategia de ciberseguridad evolucione con las
nuevas amenazas y desafíos.

8.1. Asignación de Recursos

• Presupuesto: Asegurar que se asigne un presupuesto adecuado para la implementación

de herramientas de seguridad, capacitación y mantenimiento de la infraestructura.

• Personal: Contratar o capacitar a personal especializado en ciberseguridad, incluyendo

analistas de seguridad, ingenieros de redes y expertos en cumplimiento normativo.

8.2. Colaboración con Proveedores

• Proveedores de Servicios en la Nube: Establecer acuerdos claros con proveedores como

Azure y AWS para garantizar que los servicios en la nube cumplan con los estándares de
seguridad requeridos.

• Proveedores de Seguridad: Trabajar con proveedores de soluciones de seguridad

reconocidos para implementar herramientas como firewalls, SIEM, EDR, y DLP.

8.3. Revisión y Actualización Constante

• Auditorías Periódicas: Realizar auditorías internas y externas para verificar el

cumplimiento de las políticas y la efectividad de los controles de seguridad.

• Actualización de Políticas: Mantener las políticas de seguridad actualizadas según los

cambios en el entorno regulatorio y las nuevas amenazas.

8.4. Cultura de Seguridad

• Compromiso de la Alta Dirección: Asegurar que la alta dirección esté comprometida con
la ciberseguridad y apoye la implementación de las políticas y controles.

• Cultura de Seguridad: Fomentar una cultura de seguridad en toda la organización, donde

todos los empleados comprendan su papel en la protección de la información y los
sistemas.

10. Implementación de Controles Específicos por Área

10.1. Datacenter

• Seguridad Física:

o Implementar controles de acceso biométricos y tarjetas de proximidad para

limitar el acceso a las áreas críticas del datacenter.

o Instalar sistemas de vigilancia 24/7, incluyendo cámaras de seguridad y monitoreo

en tiempo real.

o Establecer protocolos de respuesta ante intrusiones físicas.

• Seguridad Lógica:

o Implementar firewalls de próxima generación (NGFW) para proteger el perímetro

del datacenter.

o Utilizar sistemas de detección y prevención de intrusiones (IDS/IPS) para

monitorear el tráfico de red.

o Segmentar la red interna utilizando VLANs para aislar tráfico crítico (servidores,
usuarios, impresoras, etc.).

o Encriptar todos los datos almacenados en los servidores y realizar backups

periódicos.

1. Seguridad Física

• Objetivo: Proteger los datacenters contra accesos no autorizados y amenazas físicas.

• Acciones:

• Implementar controles de acceso biométricos (huella digital, reconocimiento facial)

y tarjetas de proximidad para limitar el acceso a las áreas críticas del datacenter.

• Instalar sistemas de vigilancia 24/7, incluyendo cámaras de seguridad con grabación

continua y monitoreo en tiempo real.

• Establecer protocolos de respuesta ante intrusiones físicas, incluyendo la presencia

de personal de seguridad en el lugar.

• Implementar medidas de control ambiental, como sistemas de detección y extinción

de incendios, control de temperatura y humedad, y suministro eléctrico
ininterrumpido (UPS).

2. Seguridad Lógica

• Objetivo: Proteger los sistemas y datos almacenados en los datacenters contra

amenazas cibernéticas.

• Acciones:
• Implementar firewalls de próxima generación (NGFW) en el perímetro de los
datacenters para filtrar el tráfico entrante y saliente.

• Utilizar sistemas de detección y prevención de intrusiones (IDS/IPS) para monitorear

el tráfico de red y detectar actividades sospechosas.

• Segmentar la red interna utilizando VLANs para aislar el tráfico crítico (servidores,
usuarios, impresoras, etc.) y prevenir movimientos laterales de amenazas.

• Encriptar todos los datos almacenados en los servidores y realizar backups

periódicos para garantizar la disponibilidad y recuperación en caso de incidentes.

3. Resiliencia y Continuidad

• Objetivo: Asegurar que los datacenters puedan recuperarse rápidamente de un

incidente y mantener la continuidad del negocio.

• Acciones:

• Implementar sistemas de backup y replicación en tiempo real entre los dos

datacenters (Zona Franca y Siberia) para garantizar la redundancia de datos.

• Establecer un plan de recuperación ante desastres (DRP) que incluya la conmutación

por fallo automática entre los datacenters en caso de una interrupción.

• Realizar pruebas periódicas de recuperación para asegurar la efectividad del DRP y la

capacidad de recuperación de los sistemas críticos.

4. Monitoreo y Gestión de Incidentes

• Objetivo: Detectar y responder a incidentes de seguridad en tiempo real.

• Acciones:

• Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para centralizar y analizar los logs de seguridad de los
datacenters.

• Establecer alertas automatizadas para actividades anómalas, como intentos de acceso

no autorizado, movimientos de datos inusuales, o fallos en los sistemas de seguridad.

• Realizar análisis forenses en caso de incidentes para identificar la causa raíz y tomar
medidas correctivas.

5. Cumplimiento Normativo

• Objetivo: Asegurar que los datacenters cumplan con las regulaciones y estándares de
seguridad.

• Acciones:
 • Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:
PCI-DSS para datos de tarjetas de crédito, ISO 27001 para la gestión de la seguridad de
la información).

• Realizar auditorías internas y externas periódicas para verificar el cumplimiento con

las regulaciones y estándares aplicables.

• Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

10.2. Comunicaciones (MPLS)

• Protección de Canales de Comunicación:

o Implementar encriptación de datos en tránsito utilizando protocolos seguros

como IPsec o TLS.

o Monitorear el tráfico MPLS en busca de actividades sospechosas o anomalías.

o Establecer controles de acceso para limitar quién puede acceder a la red MPLS.

1. Protección de Canales de Comunicación

• Objetivo: Asegurar que las comunicaciones entre las sedes estén protegidas contra
accesos no autorizados y amenazas cibernéticas.

• Acciones:

o Implementar encriptación de datos en tránsito utilizando protocolos seguros

como IPsec o TLS para proteger la información que viaja a través de los canales
MPLS.

o Configurar túneles VPN entre las sedes para garantizar que el tráfico esté
encriptado y sea seguro.

o Utilizar MPLS con Quality of Service (QoS) para priorizar el tráfico crítico, como
VoIP y aplicaciones empresariales, asegurando un rendimiento óptimo.

2. Monitoreo del Tráfico MPLS

• Objetivo: Detectar actividades sospechosas o anomalías en el tráfico MPLS.

• Acciones:

o Implementar un sistema de monitoreo de red (SIEM - Security Information and

Event Management) para analizar el tráfico MPLS y detectar posibles amenazas.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

acceso no autorizado o movimientos de datos inusuales.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.
 3. Controles de Acceso a la Red MPLS

• Objetivo: Limitar el acceso a la red MPLS a solo aquellos dispositivos y usuarios

autorizados.

• Acciones:

o Implementar listas de control de acceso (ACL) en los routers MPLS para controlar
qué dispositivos y usuarios pueden acceder a la red.

o Utilizar autenticación multifactor (MFA) para el acceso a los dispositivos de red

que gestionan los canales MPLS.

o Restringir el acceso a la configuración de los dispositivos MPLS a solo el personal

autorizado.

4. Resiliencia y Redundancia

• Objetivo: Asegurar que las comunicaciones MPLS sean resilientes y estén disponibles en
caso de fallos.

• Acciones:

o Implementar rutas redundantes en la red MPLS para garantizar la continuidad del

servicio en caso de fallos en un enlace.

o Configurar conmutación por fallo automática entre las rutas MPLS para minimizar
el tiempo de inactividad.

o Realizar pruebas periódicas de la redundancia y resiliencia de la red MPLS.

5. Cumplimiento Normativo

• Objetivo: Asegurar que las comunicaciones MPLS cumplan con las regulaciones y
estándares de seguridad.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

PCI-DSS para datos de tarjetas de crédito, ISO 27001 para la gestión de la
seguridad de la información).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.
10.3. VLANs

• Segmentación de Red:

o Aislar las VLANs por tipo de tráfico (usuarios, impresoras, telefonía IP, servidores,
equipos inalámbricos).

o Implementar controles de acceso entre VLANs para prevenir movimientos

laterales de amenazas.

o Monitorear el tráfico entre VLANs para detectar actividades inusuales.

1. Segmentación de Red

• Objetivo: Aislar el tráfico de diferentes tipos de dispositivos y servicios para mejorar la

seguridad y el rendimiento de la red.

• Acciones:

• Usuarios: Crear una VLAN separada para los dispositivos de los usuarios finales
(computadoras, laptops, etc.) para limitar su acceso a recursos críticos.

• Impresoras: Segmentar las impresoras en una VLAN dedicada para evitar que los usuarios
accedan directamente a estos dispositivos y reducir el riesgo de ataques.

• Telefonía IP: Aislar la telefonía IP en una VLAN separada para garantizar la calidad del
servicio (QoS) y proteger las comunicaciones de voz.

• Servidores (Datacenter): Crear una VLAN exclusiva para los servidores del datacenter, con
controles de acceso estrictos para limitar quién puede acceder a estos recursos críticos.

• Equipos inalámbricos: Segmentar los dispositivos inalámbricos en una VLAN separada

para aislar el tráfico Wi-Fi y reducir el riesgo de accesos no autorizados.

2. Controles de Acceso entre VLANs

• Objetivo: Limitar el tráfico entre VLANs para prevenir movimientos laterales de amenazas.

• Acciones:

• Implementar listas de control de acceso (ACL) en los switches y routers para controlar el
tráfico entre VLANs.

• Restringir el acceso entre VLANs según las necesidades del negocio. Por ejemplo, los
usuarios solo deberían poder acceder a las impresoras y a la telefonía IP, pero no a los
servidores del datacenter.

• Utilizar firewalls internos para filtrar el tráfico entre VLANs y aplicar políticas de seguridad
más granularmente.

3. Monitoreo del Tráfico entre VLANs

• Objetivo: Detectar actividades sospechosas o anomalías en el tráfico entre VLANs.

 • Acciones:

• Implementar un sistema de monitoreo de red (SIEM - Security Information and Event

Management) para analizar el tráfico entre VLANs y detectar posibles amenazas.

• Configurar alertas automatizadas para actividades inusuales, como intentos de acceso no

autorizado entre VLANs o movimientos laterales de amenazas.

• Realizar análisis forenses en caso de incidentes para identificar la causa raíz y tomar
medidas correctivas.

4. Seguridad en la VLAN de Equipos Inalámbricos

• Objetivo: Proteger la red inalámbrica contra accesos no autorizados y amenazas.

• Acciones:

• Implementar autenticación WPA3 para garantizar la seguridad de las conexiones Wi-Fi.

• Utilizar redes Wi-Fi separadas para empleados y visitantes, con políticas de acceso
diferentes.

• Aislar los dispositivos IoT (Internet de las Cosas) en una VLAN separada para reducir el
riesgo de que sean utilizados como punto de entrada para ataques.

5. Gestión de Cambios y Actualizaciones

• Objetivo: Asegurar que la configuración de las VLANs se mantenga actualizada y segura.

• Acciones:

• Establecer un proceso de gestión de cambios para cualquier modificación en la

configuración de las VLANs.

• Realizar auditorías periódicas de la configuración de las VLANs para asegurar que se

cumplan las políticas de seguridad.

• Mantener los firmwares de los switches y routers actualizados para proteger contra
vulnerabilidades conocidas.

10.4. Aplicativo CRM (Azure)

• Protección de Aplicaciones Críticas:

o Implementar un Web Application Firewall (WAF) para proteger el aplicativo CRM

contra ataques como SQL injection, XSS, y DDoS.

o Limitar el acceso al CRM únicamente al equipo comercial mediante autenticación

multifactor (MFA).

o Realizar pruebas de penetración periódicas para identificar y corregir

vulnerabilidades.
 1. Protección del Aplicativo CRM

• Objetivo: Asegurar que el CRM esté protegido contra accesos no autorizados y amenazas
cibernéticas.

• Acciones:

o Implementar un Web Application Firewall (WAF) para proteger el CRM contra

ataques comunes como SQL injection, Cross-Site Scripting (XSS), y DDoS.

o Configurar autenticación multifactor (MFA) para el acceso al CRM, asegurando

que solo usuarios autorizados puedan ingresar.

o Limitar el acceso al CRM únicamente al equipo comercial mediante controles de

acceso basados en roles (RBAC).

2. Seguridad en la Nube (Azure)

• Objetivo: Asegurar que la infraestructura en la nube (Azure) esté configurada de manera

segura.

• Acciones:

o Implementar grupos de seguridad de red (NSG) en Azure para controlar el tráfico

entrante y saliente hacia el CRM.

o Configurar encriptación de datos tanto en reposo como en tránsito para proteger

la información de los clientes.

o Utilizar Azure Security Center para monitorear y gestionar la seguridad de los

recursos en la nube, incluyendo el CRM.

3. Integración Segura con el Aplicativo Core

• Objetivo: Asegurar que la integración entre el CRM y el aplicativo Core en el datacenter

principal sea segura.

• Acciones:

o Implementar túneles VPN o conexiones seguras (IPsec) entre Azure y el

datacenter principal para proteger la transferencia de datos.

o Utilizar APIs seguras con autenticación basada en tokens (OAuth) para las
integraciones entre el CRM y el aplicativo Core.

o Monitorear el tráfico entre el CRM y el aplicativo Core para detectar actividades

sospechosas o anomalías.

4. Monitoreo y Detección de Amenazas

• Objetivo: Detectar y responder a amenazas en tiempo real.

• Acciones:
 o Implementar un sistema de monitoreo continuo (SIEM - Security Information and
Event Management) para analizar los logs de seguridad del CRM.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

acceso no autorizado o movimientos de datos inusuales.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

5. Gestión de Accesos y Auditorías

• Objetivo: Asegurar que solo el personal autorizado tenga acceso al CRM y que todas las
actividades sean auditadas.

• Acciones:

o Implementar controles de acceso basados en roles (RBAC) para limitar el acceso

al CRM únicamente al equipo comercial.

o Realizar auditorías periódicas de los accesos al CRM para detectar accesos no

autorizados o actividades sospechosas.

o Mantener un registro detallado de logs de acceso y actividades dentro del CRM

para fines de auditoría y análisis forense.

6. Cumplimiento Normativo

• Objetivo: Asegurar que el CRM cumpla con las regulaciones y estándares de seguridad.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

PCI-DSS para datos de tarjetas de crédito, GDPR para protección de datos
personales).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

10.5. Oficina Virtual para Clientes (AWS)

• Seguridad en la Nube:

o Implementar controles de acceso basados en roles (RBAC) para limitar el acceso a

la oficina virtual.

o Encriptar todos los datos almacenados en AWS y en tránsito entre AWS y el

aplicativo core.
 o Monitorear el uso de la oficina virtual para detectar actividades sospechosas o
intentos de acceso no autorizado.

1. Protección de la Oficina Virtual

• Objetivo: Asegurar que la oficina virtual esté protegida contra accesos no autorizados y
amenazas cibernéticas.

• Acciones:

o Implementar un Web Application Firewall (WAF) para proteger la oficina virtual

contra ataques comunes como SQL injection, Cross-Site Scripting (XSS), y DDoS.

o Configurar autenticación multifactor (MFA) para el acceso de los clientes,

asegurando que solo usuarios autorizados puedan ingresar.

o Utilizar certificados SSL/TLS para encriptar las comunicaciones entre los clientes y
la oficina virtual.

2. Seguridad en la Nube (AWS)

• Objetivo: Asegurar que la infraestructura en la nube (AWS) esté configurada de manera

segura.

• Acciones:

o Implementar grupos de seguridad (Security Groups) en AWS para controlar el

tráfico entrante y saliente hacia la oficina virtual.

o Configurar encriptación de datos tanto en reposo como en tránsito para proteger

la información de los clientes.

o Utilizar AWS Shield para proteger contra ataques DDoS y AWS WAF para filtrar el
tráfico malicioso.

o Habilitar AWS CloudTrail para monitorear y registrar todas las actividades

relacionadas con la oficina virtual.

3. Integración Segura con el Aplicativo Core

• Objetivo: Asegurar que la integración entre la oficina virtual y el aplicativo core en el

datacenter principal sea segura.

• Acciones:

o Implementar túneles VPN o conexiones seguras (IPsec) entre AWS y el datacenter

principal para proteger la transferencia de datos.

o Utilizar APIs seguras con autenticación basada en tokens (OAuth) para las
integraciones entre la oficina virtual y el aplicativo core.

o Monitorear el tráfico entre la oficina virtual y el aplicativo core para detectar

actividades sospechosas o anomalías.
 4. Monitoreo y Detección de Amenazas

• Objetivo: Detectar y responder a amenazas en tiempo real.

• Acciones:

o Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para analizar los logs de seguridad de la oficina virtual.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

acceso no autorizado o movimientos de datos inusuales.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

5. Gestión de Accesos y Auditorías

• Objetivo: Asegurar que solo los clientes autorizados tengan acceso a la oficina virtual y
que todas las actividades sean auditadas.

• Acciones:

o Implementar controles de acceso basados en roles (RBAC) para limitar el acceso a

la oficina virtual únicamente a los clientes autorizados.

o Realizar auditorías periódicas de los accesos a la oficina virtual para detectar

accesos no autorizados o actividades sospechosas.

o Mantener un registro detallado de logs de acceso y actividades dentro de la

oficina virtual para fines de auditoría y análisis forense.

6. Cumplimiento Normativo

• Objetivo: Asegurar que la oficina virtual cumpla con las regulaciones y estándares de
seguridad.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

PCI-DSS para datos de tarjetas de crédito, GDPR para protección de datos
personales).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

10.6. App Móvil (AWS)

• Protección de Aplicaciones Móviles:

 o Implementar autenticación multifactor (MFA) para el acceso a la app móvil.

o Encriptar los datos almacenados en dispositivos móviles y en tránsito.

o Realizar pruebas de seguridad en la app móvil para identificar vulnerabilidades y

corregirlas antes de su lanzamiento.

1. Protección de la App Móvil

• Objetivo: Asegurar que la aplicación móvil esté protegida contra accesos no autorizados y
amenazas cibernéticas.

• Acciones:

o Implementar autenticación multifactor (MFA) para el acceso de los usuarios,

asegurando que solo usuarios autorizados puedan ingresar.

o Utilizar certificados SSL/TLS para encriptar las comunicaciones entre la aplicación

móvil y los servidores backend.

o Implementar protección contra ingeniería inversa y tampering mediante técnicas

como ofuscación de código y detección de root/jailbreak en los dispositivos.

2. Seguridad en la Nube (AWS)

• Objetivo: Asegurar que la infraestructura en la nube (AWS) que soporta la aplicación móvil
esté configurada de manera segura.

• Acciones:

o Implementar grupos de seguridad (Security Groups) en AWS para controlar el

tráfico entrante y saliente hacia los servidores backend de la aplicación móvil.

o Configurar encriptación de datos tanto en reposo como en tránsito para proteger

la información de los usuarios.

o Utilizar AWS Shield para proteger contra ataques DDoS y AWS WAF para filtrar el
tráfico malicioso.

o Habilitar AWS CloudTrail para monitorear y registrar todas las actividades

relacionadas con la aplicación móvil.

3. Integración Segura con el Aplicativo Core

• Objetivo: Asegurar que la integración entre la aplicación móvil y el aplicativo core en el

datacenter principal sea segura.

• Acciones:

o Implementar túneles VPN o conexiones seguras (IPsec) entre AWS y el datacenter

principal para proteger la transferencia de datos.
 o Utilizar APIs seguras con autenticación basada en tokens (OAuth) para las
integraciones entre la aplicación móvil y el aplicativo core.

o Monitorear el tráfico entre la aplicación móvil y el aplicativo core para detectar

actividades sospechosas o anomalías.

4. Monitoreo y Detección de Amenazas

• Objetivo: Detectar y responder a amenazas en tiempo real.

• Acciones:

o Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para analizar los logs de seguridad de la aplicación móvil.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

acceso no autorizado o movimientos de datos inusuales.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

5. Gestión de Accesos y Auditorías

• Objetivo: Asegurar que solo los usuarios autorizados tengan acceso a la aplicación móvil y
que todas las actividades sean auditadas.

• Acciones:

o Implementar controles de acceso basados en roles (RBAC) para limitar el acceso a

la aplicación móvil únicamente a los usuarios autorizados.

o Realizar auditorías periódicas de los accesos a la aplicación móvil para detectar

accesos no autorizados o actividades sospechosas.

o Mantener un registro detallado de logs de acceso y actividades dentro de la

aplicación móvil para fines de auditoría y análisis forense.

6. Cumplimiento Normativo

• Objetivo: Asegurar que la aplicación móvil cumpla con las regulaciones y estándares de
seguridad.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

PCI-DSS para datos de tarjetas de crédito, GDPR para protección de datos
personales).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.
10.7. Transferencias de Información con Terceros

• Protección de Datos en Transferencia:

o Establecer acuerdos de confidencialidad (NDA) con terceros que reciban

información confidencial.

o Utilizar protocolos seguros como SFTP o HTTPS para transferir información.

o Monitorear las transferencias de información para detectar posibles fugas de

datos.

1. Protección de Datos en Transferencia

• Objetivo: Asegurar que la información confidencial esté protegida durante su

transferencia a terceros.

• Acciones:

o Implementar protocolos seguros de transferencia de datos, como SFTP (Secure

File Transfer Protocol), HTTPS, o AS2 (Applicability Statement 2) para garantizar
que los datos estén encriptados durante la transferencia.

o Utilizar encriptación de extremo a extremo para proteger la información

confidencial, asegurando que solo el destinatario autorizado pueda descifrar los
datos.

o Configurar túneles VPN o conexiones seguras (IPsec) para transferencias de datos

sensibles entre la compañía y los terceros.

2. Acuerdos de Confidencialidad (NDA)

• Objetivo: Establecer compromisos contractuales con terceros para proteger la

información compartida.

• Acciones:

o Firmar acuerdos de confidencialidad (NDA - Non-Disclosure Agreement) con

todos los terceros que reciban información confidencial de la compañía.

o Incluir cláusulas específicas en los contratos que establezcan las responsabilidades

de los terceros en cuanto a la protección de la información confidencial.

o Realizar auditorías periódicas a los terceros para verificar el cumplimiento de los

acuerdos de confidencialidad y las políticas de seguridad.

3. Monitoreo y Control de Transferencias

• Objetivo: Detectar y prevenir transferencias no autorizadas o sospechosas de información

confidencial.
 • Acciones:

o Implementar soluciones de prevención de pérdida de datos (DLP - Data Loss

Prevention) para monitorear y controlar las transferencias de información
confidencial.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

transferencia de grandes volúmenes de datos o transferencias a destinos no
autorizados.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

4. Gestión de Riesgos con Terceros

• Objetivo: Evaluar y mitigar los riesgos asociados con la transferencia de información a

terceros.

• Acciones:

o Realizar evaluaciones de riesgos de los terceros antes de compartir información

confidencial, incluyendo revisiones de sus políticas de seguridad y controles de
protección de datos.

o Establecer planes de respuesta a incidentes con los terceros para asegurar una
coordinación efectiva en caso de una brecha de seguridad.

o Monitorear continuamente el nivel de seguridad de los terceros y requerir

actualizaciones de sus controles de seguridad según sea necesario.

5. Cumplimiento Normativo

• Objetivo: Asegurar que las transferencias de información cumplan con las regulaciones y
estándares de protección de datos.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

GDPR para protección de datos personales, PCI-DSS para datos de tarjetas de
crédito).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

10.8. Teletrabajo

• Seguridad en el Acceso Remoto:

 o Implementar una VPN segura para el acceso remoto de los empleados.

o Exigir autenticación multifactor (MFA) para acceder a los sistemas de la compañía

desde fuera de la red corporativa.

o Establecer políticas de uso aceptable (AUP) para el acceso remoto, incluyendo la

prohibición de usar dispositivos personales no autorizados.

1. Acceso Remoto Seguro

• Objetivo: Asegurar que los empleados puedan acceder de manera segura a los recursos de
la compañía desde ubicaciones remotas.

• Acciones:

o Implementar una VPN (Red Privada Virtual) segura para que los empleados
accedan a la red corporativa de manera encriptada.

o Configurar autenticación multifactor (MFA) para el acceso remoto, asegurando

que solo usuarios autorizados puedan conectarse.

o Limitar el acceso remoto a solo aquellos empleados que lo necesiten,

utilizando controles de acceso basados en roles (RBAC).

2. Protección de Dispositivos Remotos

• Objetivo: Asegurar que los dispositivos utilizados para el teletrabajo estén protegidos
contra amenazas cibernéticas.

• Acciones:

o Implementar soluciones de protección de endpoints (EDR - Endpoint Detection

and Response) en todos los dispositivos utilizados para el teletrabajo.

o Exigir que los dispositivos tengan software antivirus y firewalls

personales instalados y actualizados.

o Encriptar los discos duros de los dispositivos para proteger la información en caso
de pérdida o robo.

3. Políticas de Uso Aceptable (AUP)

• Objetivo: Establecer reglas claras para el uso de los recursos de la compañía durante el
teletrabajo.

• Acciones:

o Desarrollar y comunicar una Política de Uso Aceptable (AUP) que defina las
expectativas y responsabilidades de los empleados durante el teletrabajo.

o Prohibir el uso de dispositivos personales no autorizados para acceder a los

recursos de la compañía.
 o Establecer directrices claras sobre el manejo de información confidencial fuera de
las instalaciones de la compañía.

4. Monitoreo y Detección de Amenazas

• Objetivo: Detectar y responder a amenazas relacionadas con el teletrabajo en tiempo real.

• Acciones:

o Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para analizar los logs de seguridad de las conexiones
remotas.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

acceso no autorizado o movimientos de datos inusuales.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

5. Capacitación y Concientización

• Objetivo: Asegurar que los empleados estén conscientes de los riesgos y mejores prácticas
de seguridad durante el teletrabajo.

• Acciones:

o Realizar capacitaciones periódicas sobre seguridad en el teletrabajo, incluyendo

temas como phishing, ingeniería social, y manejo seguro de datos.

o Promover la concientización sobre la importancia de la seguridad en el entorno

remoto.

o Proporcionar guías y recursos para ayudar a los empleados a configurar y

mantener un entorno de trabajo remoto seguro.

6. Cumplimiento Normativo

• Objetivo: Asegurar que el teletrabajo cumpla con las regulaciones y estándares de

seguridad.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

GDPR para protección de datos personales, PCI-DSS para datos de tarjetas de
crédito).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.
10.9. Equipos de Trabajo (Portátiles)

• Protección de Dispositivos:

o Implementar soluciones de protección de endpoints (EDR) en todos los equipos

portátiles.

o Encriptar los discos duros de los portátiles para proteger la información en caso de
pérdida o robo.

o Establecer políticas de actualización automática de software y parches de

seguridad.

1. Protección de Dispositivos Portátiles

• Objetivo: Asegurar que los equipos portátiles estén protegidos contra accesos no
autorizados y amenazas cibernéticas.

• Acciones:

o Implementar soluciones de protección de endpoints (EDR - Endpoint Detection

and Response) en todos los equipos portátiles para detectar y responder a
amenazas en tiempo real.

o Configurar software antivirus y firewalls personales en los dispositivos para

protegerlos contra malware y otros tipos de ataques.

o Encriptar los discos duros de los portátiles para proteger la información en caso
de pérdida o robo.

2. Gestión de Accesos y Autenticación

• Objetivo: Asegurar que solo los empleados autorizados puedan acceder a los equipos
portátiles y a los recursos de la compañía.

• Acciones:

o Implementar autenticación multifactor (MFA) para el acceso a los equipos

portátiles y a los sistemas de la compañía.

o Configurar controles de acceso basados en roles (RBAC) para limitar el acceso a

los recursos de la compañía según las responsabilidades de cada empleado.

o Establecer políticas de contraseñas seguras que requieran cambios periódicos y el

uso de contraseñas complejas.

3. Políticas de Uso Aceptable (AUP)

• Objetivo: Establecer reglas claras para el uso de los equipos portátiles dentro y fuera de la
compañía.

• Acciones:
 o Desarrollar y comunicar una Política de Uso Aceptable (AUP) que defina las
expectativas y responsabilidades de los empleados en el uso de los equipos
portátiles.

o Prohibir el uso de dispositivos personales no autorizados para acceder a los

recursos de la compañía.

o Establecer directrices claras sobre el manejo de información confidencial en los

equipos portátiles, especialmente cuando se utilizan fuera de las instalaciones de
la compañía.

4. Monitoreo y Detección de Amenazas

• Objetivo: Detectar y responder a amenazas relacionadas con los equipos portátiles en

tiempo real.

• Acciones:

o Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para analizar los logs de seguridad de los equipos portátiles.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

acceso no autorizado o movimientos de datos inusuales.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

5. Capacitación y Concientización

• Objetivo: Asegurar que los empleados estén conscientes de los riesgos y mejores prácticas
de seguridad en el uso de equipos portátiles.

• Acciones:

o Realizar capacitaciones periódicas sobre seguridad en el uso de equipos

portátiles, incluyendo temas como phishing, ingeniería social, y manejo seguro de
datos.

o Promover la concientización sobre la importancia de la seguridad en el uso de

dispositivos móviles.

o Proporcionar guías y recursos para ayudar a los empleados a configurar y

mantener sus equipos portátiles de manera segura.

6. Cumplimiento Normativo

• Objetivo: Asegurar que el uso de equipos portátiles cumpla con las regulaciones y
estándares de seguridad.

• Acciones:
 o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:
GDPR para protección de datos personales, PCI-DSS para datos de tarjetas de
crédito).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

10.10. Fuga de Información

• Prevención de Pérdida de Datos (DLP):

o Implementar soluciones DLP para monitorear y controlar el flujo de información

confidencial.

o Establecer políticas claras sobre el manejo de datos sensibles y realizar

capacitaciones periódicas para los empleados.

o Monitorear el uso de dispositivos de almacenamiento externo (USB, discos duros)

y limitar su uso según sea necesario.

1. Prevención de Pérdida de Datos (DLP)

• Objetivo: Implementar controles para prevenir la fuga de información confidencial.

• Acciones:

o Implementar soluciones de prevención de pérdida de datos (DLP - Data Loss

Prevention) para monitorear y controlar el flujo de información confidencial
dentro y fuera de la compañía.

o Configurar reglas DLP para detectar y bloquear intentos de transferencia no

autorizada de datos sensibles, como información de clientes, datos financieros, o
propiedad intelectual.

o Utilizar DLP en endpoints para monitorear y controlar el uso de dispositivos de

almacenamiento externo (USB, discos duros) y la impresión de documentos
confidenciales.

2. Encriptación de Datos

• Objetivo: Asegurar que la información confidencial esté protegida, incluso en caso de

fuga.

• Acciones:

o Encriptar todos los datos confidenciales tanto en reposo como en tránsito,

utilizando algoritmos de encriptación robustos (AES-256, TLS).
 o Implementar encriptación de correos electrónicos para proteger la información
enviada por este medio.

o Asegurar que los dispositivos móviles y portátiles tengan discos duros

encriptados para proteger la información en caso de pérdida o robo.

3. Monitoreo y Detección de Fugas

• Objetivo: Detectar y responder a fugas de información en tiempo real.

• Acciones:

o Implementar un sistema de monitoreo continuo (SIEM - Security Information and

Event Management) para analizar los logs de seguridad y detectar actividades
sospechosas relacionadas con fugas de información.

o Configurar alertas automatizadas para actividades inusuales, como intentos de

transferencia de grandes volúmenes de datos o acceso no autorizado a
información confidencial.

o Realizar análisis forenses en caso de incidentes para identificar la causa raíz y

tomar medidas correctivas.

4. Políticas de Uso Aceptable (AUP) y Concientización

• Objetivo: Establecer reglas claras y concientizar a los empleados sobre el manejo seguro
de la información.

• Acciones:

o Desarrollar y comunicar una Política de Uso Aceptable (AUP) que defina las
expectativas y responsabilidades de los empleados en el manejo de información
confidencial.

o Realizar capacitaciones periódicas sobre la importancia de la protección de datos

y las mejores prácticas para prevenir fugas de información.

o Promover la concientización sobre el phishing y otras técnicas de ingeniería social

que podrían llevar a fugas de información.

5. Control de Accesos y Auditorías

• Objetivo: Limitar el acceso a la información confidencial y auditar su uso.

• Acciones:

o Implementar controles de acceso basados en roles (RBAC) para limitar el acceso a

la información confidencial únicamente a aquellos empleados que lo necesiten
para realizar sus funciones.

o Realizar auditorías periódicas de los accesos a la información confidencial para

detectar accesos no autorizados o actividades sospechosas.
 o Mantener un registro detallado de logs de acceso y actividades relacionadas con
la información confidencial para fines de auditoría y análisis forense.

6. Cumplimiento Normativo

• Objetivo: Asegurar que la compañía cumpla con las regulaciones y estándares de

protección de datos.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

GDPR para protección de datos personales, PCI-DSS para datos de tarjetas de
crédito).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

10.11. Desarrollo de Software

• Seguridad en el Ciclo de Vida del Desarrollo (SDLC):

o Implementar prácticas de DevSecOps para integrar la seguridad en todas las fases

del desarrollo de software.

o Utilizar herramientas de análisis estático y dinámico de código (SAST/DAST) para

identificar vulnerabilidades durante el desarrollo.

o Realizar revisiones de código y pruebas de seguridad antes de desplegar nuevas

aplicaciones.

1. Capacitación en Desarrollo Seguro (DevSecOps)

• Objetivo: Asegurar que el equipo de desarrollo conozca y aplique prácticas de seguridad

en el ciclo de vida del desarrollo de software (SDLC).

• Acciones:

o Implementar un programa de capacitación en DevSecOps (Desarrollo Seguro) para

integrar la seguridad desde las primeras fases del desarrollo.

o Capacitar al equipo en prácticas de codificación segura, como la validación de

entradas, manejo seguro de errores, y prevención de vulnerabilidades comunes
(SQL injection, XSS, etc.).

o Incluir módulos específicos sobre seguridad en aplicaciones web y móviles, dado

que la compañía tiene aplicativos críticos en la nube (CRM, oficina virtual, app
móvil).
2. Integración de Herramientas de Análisis de Código

• Objetivo: Identificar y corregir vulnerabilidades en el código antes de que llegue a

producción.

• Acciones:

o Implementar herramientas de análisis estático de código (SAST) para revisar el

código en busca de vulnerabilidades durante la fase de desarrollo.

o Utilizar herramientas de análisis dinámico de código (DAST) para probar las

aplicaciones en tiempo de ejecución y detectar vulnerabilidades en entornos de
prueba.

o Integrar estas herramientas en el pipeline de CI/CD (Integración

Continua/Despliegue Continuo) para automatizar la detección de vulnerabilidades.

3. Revisiones de Código y Pruebas de Seguridad

• Objetivo: Asegurar que el código cumpla con los estándares de seguridad antes de ser
desplegado.

• Acciones:

o Establecer revisiones de código periódicas, donde el equipo de desarrollo y los

expertos en seguridad revisen el código en busca de vulnerabilidades.

o Realizar pruebas de penetración en las aplicaciones antes de su lanzamiento para

identificar y corregir posibles fallos de seguridad.

o Implementar pruebas de seguridad automatizadas en cada release para

garantizar que no se introduzcan nuevas vulnerabilidades.

4. Implementación de un Marco de Desarrollo Seguro

• Objetivo: Establecer un marco de trabajo que integre la seguridad en todas las fases del
SDLC.

• Acciones:

o Adoptar un marco de desarrollo seguro como Microsoft Security Development

Lifecycle (SDL) o OWASP Software Assurance Maturity Model (SAMM).

o Definir checkpoints de seguridad en cada fase del SDLC (diseño, desarrollo,

pruebas, despliegue, mantenimiento).

o Establecer políticas de seguridad para el desarrollo de software, como la

prohibición de usar librerías o componentes no verificados.

5. Concientización y Cultura de Seguridad

• Objetivo: Fomentar una cultura de seguridad dentro del equipo de desarrollo.

 • Acciones:

o Realizar campañas de concientización sobre la importancia de la seguridad en el

desarrollo de software.

o Promover la colaboración entre los equipos de desarrollo y seguridad para

asegurar que la seguridad sea una prioridad en todos los proyectos.

o Establecer incentivos para los desarrolladores que identifiquen y corrijan

vulnerabilidades en el código.

6. Monitoreo y Mejora Continua

• Objetivo: Asegurar que las prácticas de desarrollo seguro evolucionen con las nuevas
amenazas.

• Acciones:

o Realizar auditorías de seguridad periódicas en el código y las aplicaciones

desplegadas.

o Monitorear las amenazas emergentes y actualizar las prácticas de desarrollo

seguro según sea necesario.

o Implementar un proceso de mejora continua basado en feedback y lecciones

aprendidas de incidentes de seguridad.

11. Plan de Respuesta a Incidentes

11.1. Detección y Análisis

• Monitoreo Continuo: Utilizar herramientas SIEM y SOC para detectar actividades

sospechosas en tiempo real.

• Análisis Forense: Realizar análisis forenses en caso de incidentes para identificar la causa
raíz y el alcance del ataque.

11.2. Contención y Erradicación

• Contención: Aislar los sistemas afectados para prevenir la propagación del incidente.

• Erradicación: Eliminar la amenaza y corregir las vulnerabilidades que permitieron el

incidente.

11.3. Recuperación

• Restauración: Restaurar los sistemas afectados a partir de backups seguros.

• Verificación: Verificar que los sistemas estén libres de amenazas antes de volver a
ponerlos en producción.

11.4. Lecciones Aprendidas

 • Revisión Post-Incidente: Realizar una revisión detallada del incidente para identificar
áreas de mejora.

• Actualización de Políticas: Actualizar las políticas y controles de seguridad basándose en

las lecciones aprendidas.

1. Identificación de Riesgos Operativos

• Objetivo: Identificar los riesgos operativos que podrían afectar la infraestructura y los
procesos de la compañía.

• Acciones:

o Realizar un análisis de riesgos operativos que incluya amenazas internas y

externas.

o Identificar riesgos asociados a:

▪ Infraestructura tecnológica: Fallos en los sistemas, interrupciones del

servicio, vulnerabilidades de seguridad.

▪ Procesos de negocio: Errores humanos, fallos en los procesos, falta de

redundancia.

▪ Terceros: Riesgos asociados con proveedores, socios comerciales y otros

terceros que interactúan con la compañía.

▪ Cumplimiento normativo: Riesgos relacionados con el incumplimiento de

regulaciones y estándares de seguridad.

2. Evaluación de Riesgos

• Objetivo: Evaluar la probabilidad y el impacto de los riesgos identificados.

• Acciones:

o Utilizar una matriz de riesgos para clasificar los riesgos según su probabilidad de
ocurrencia y su impacto potencial en la compañía.

o Priorizar los riesgos que requieren atención inmediata basándose en su nivel de

criticidad.

o Documentar los riesgos identificados y su evaluación en un registro de riesgos.

3. Mitigación de Riesgos

• Objetivo: Implementar controles para mitigar los riesgos identificados.

• Acciones:

o Desarrollar un plan de mitigación de riesgos que incluya controles técnicos,

administrativos y físicos.
 o Implementar controles de seguridad como firewalls, sistemas de detección de
intrusiones (IDS/IPS), y soluciones de prevención de pérdida de datos (DLP).

o Establecer políticas y procedimientos para gestionar los riesgos operativos, como

políticas de acceso, políticas de uso aceptable (AUP), y planes de continuidad del
negocio.

4. Monitoreo y Revisión Continua

• Objetivo: Asegurar que los riesgos operativos sean monitoreados y gestionados de

manera continua.

• Acciones:

o Implementar un sistema de monitoreo continuo para detectar cambios en el

entorno de riesgo y responder de manera proactiva.

o Realizar revisiones periódicas del registro de riesgos y actualizarlo según los

cambios en la infraestructura y los procesos de la compañía.

o Establecer un proceso de mejora continua basado en feedback y lecciones

aprendidas de incidentes.

5. Comunicación y Concientización

• Objetivo: Asegurar que todos los empleados estén conscientes de los riesgos operativos y
su papel en la gestión de estos riesgos.

• Acciones:

o Realizar capacitaciones periódicas sobre la identificación y gestión de riesgos

operativos.

o Promover la concientización sobre la importancia de la gestión de riesgos en toda

la organización.

o Establecer canales de comunicación para que los empleados reporten riesgos

potenciales o incidentes de seguridad.

6. Cumplimiento Normativo

• Objetivo: Asegurar que la gestión de riesgos operativos cumpla con las regulaciones y
estándares aplicables.

• Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

ISO 27001, NIST, PCI-DSS).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.
 o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones
regulatorias.

Plan de Continuidad del Negocio (BCP)

1. Identificación de Procesos Críticos

• Objetivo: Identificar los procesos y sistemas críticos que deben mantenerse en

funcionamiento durante un incidente.

• Acciones:

o Realizar un Análisis de Impacto al Negocio (BIA - Business Impact Analysis) para

identificar los procesos críticos y su priorización.

o Identificar los sistemas y aplicaciones que soportan estos procesos (CRM,

aplicativo core, oficina virtual, app móvil, etc.).

o Establecer el Tiempo de Recuperación Objetivo (RTO - Recovery Time

Objective) y el Punto de Recuperación Objetivo (RPO - Recovery Point
Objective) para cada proceso crítico.

2. Estrategias de Recuperación

• Objetivo: Establecer estrategias para recuperar los procesos críticos en el menor tiempo
posible.

• Acciones:

o Implementar soluciones de alta disponibilidad (HA - High Availability) para

aplicaciones críticas, como el CRM y la oficina virtual.

o Establecer acuerdos de nivel de servicio (SLA) con proveedores de servicios en la

nube (Azure, AWS) para garantizar la disponibilidad de los sistemas críticos.

o Configurar backups automáticos y replicación en tiempo real entre los dos

datacenters (Zona Franca y Siberia) para garantizar la redundancia de datos.

o Desarrollar procedimientos de recuperación paso a paso para cada proceso

crítico, incluyendo la restauración de sistemas y datos.

3. Plan de Respuesta a Incidentes

• Objetivo: Establecer un marco para responder a incidentes que puedan afectar la

continuidad del negocio.

• Acciones:

o Crear un equipo de respuesta a incidentes con roles y responsabilidades

claramente definidos.

o Establecer protocolos de comunicación para informar a empleados, clientes y

proveedores durante una crisis.
 o Definir umbrales de activación para el plan de continuidad, basados en la
gravedad del incidente.

4. Pruebas y Simulacros

• Objetivo: Asegurar que el plan de continuidad sea efectivo y esté actualizado.

• Acciones:

o Realizar simulacros de recuperación ante desastres al menos dos veces al año

para probar la efectividad del plan.

o Evaluar los resultados de los simulacros y realizar ajustes al plan según sea
necesario.

o Realizar pruebas de restauración de backups para asegurar que los datos puedan
ser recuperados en el tiempo establecido (RPO).

5. Capacitación y Concientización

• Objetivo: Asegurar que todos los empleados estén preparados para implementar el plan
de continuidad.

• Acciones:

o Realizar capacitaciones periódicas sobre el plan de continuidad del negocio y los

roles específicos de cada empleado.

o Promover la concientización sobre la importancia de la continuidad del negocio y

la respuesta a incidentes.

o Proporcionar guías y recursos para ayudar a los empleados a entender y ejecutar

el plan.

6. Monitoreo y Mejora Continua

• Objetivo: Asegurar que el plan de continuidad evolucione con los cambios en la

infraestructura y los procesos de la compañía.

• Acciones:

o Realizar revisiones periódicas del plan de continuidad para asegurar que esté
alineado con los cambios en el negocio.

o Actualizar el plan según los resultados de las pruebas y simulacros.

o Implementar un proceso de mejora continua basado en feedback y lecciones

aprendidas de incidentes reales.

7. Cumplimiento Normativo

• Objetivo: Asegurar que el plan de continuidad cumpla con las regulaciones y estándares
aplicables.
 • Acciones:

o Implementar controles de acceso basados en políticas de cumplimiento (ejemplo:

ISO 22301 para continuidad del negocio, PCI-DSS para datos de tarjetas de
crédito).

o Realizar auditorías internas y externas periódicas para verificar el cumplimiento

con las regulaciones y estándares aplicables.

o Documentar y mantener evidencias de cumplimiento para auditorías y revisiones

regulatorias.

13. Plan de Implementación y Cronograma

13.1. Fase 1: Evaluación y Planificación (Mes 1-2)

• Acciones:

o Realizar una evaluación inicial de riesgos y un análisis de impacto al negocio (BIA).

o Identificar los procesos críticos y los sistemas que los soportan.

o Definir los requisitos de cumplimiento normativo y los estándares de seguridad a

seguir (ISO 27001, NIST, PCI-DSS, etc.).

o Establecer un comité de ciberseguridad para supervisar la implementación.

o Asignar recursos (presupuesto, personal, herramientas) para la implementación.

13.2. Fase 2: Implementación de Controles Básicos (Mes 3-6)

• Acciones:

o Implementar controles de seguridad perimetral (firewalls, IDS/IPS) y segmentación

de red (VLANs).

o Configurar y desplegar soluciones de protección de endpoints (EDR) en todos los

dispositivos.

o Establecer políticas de acceso basadas en roles (RBAC) y autenticación multifactor

(MFA).

o Implementar soluciones de prevención de pérdida de datos (DLP) y encriptación

de datos.

o Configurar sistemas de backup y replicación entre los dos datacenters.

13.3. Fase 3: Implementación de Controles Avanzados (Mes 7-9)

• Acciones:
 o Desplegar un sistema de monitoreo continuo (SIEM) y establecer un SOC (Security
Operations Center).

o Implementar Web Application Firewalls (WAF) para proteger aplicaciones críticas

(CRM, oficina virtual, app móvil).

o Realizar pruebas de penetración y auditorías de seguridad en aplicaciones y

sistemas.

o Establecer un plan de respuesta a incidentes y realizar simulacros de recuperación

ante desastres.

o Implementar controles de seguridad en la nube (Azure, AWS) y asegurar la

integración con los sistemas locales.

13.4. Fase 4: Capacitación y Concientización (Mes 10-12)

• Acciones:

o Desarrollar e implementar un programa de capacitación en seguridad para todos

los empleados.

o Realizar talleres específicos para el equipo de desarrollo en prácticas de

DevSecOps.

o Lanzar campañas de concientización sobre phishing, ingeniería social y manejo

seguro de datos.

o Establecer un programa de capacitación continua para mantener actualizados a

los empleados en las mejores prácticas de seguridad.

13.5. Fase 5: Monitoreo y Mejora Continua (A partir del Mes 13)

• Acciones:

o Monitorear continuamente el entorno de seguridad utilizando herramientas SIEM

y SOC.

o Realizar revisiones periódicas de las políticas y controles de seguridad.

o Actualizar los planes de continuidad del negocio y realizar pruebas periódicas.

o Realizar auditorías internas y externas para verificar el cumplimiento normativo.

o Implementar un proceso de mejora continua basado en feedback y lecciones

aprendidas de incidentes.

14. Indicadores de Desempeño (KPIs)

Para medir la efectividad de la implementación de los controles de ciberseguridad, se deben

establecer indicadores clave de desempeño (KPIs). Algunos ejemplos incluyen:

14.1. Indicadores de Seguridad

 • Tiempo de Detección de Incidentes: Medir el tiempo promedio que tarda el SOC en
detectar un incidente de seguridad.

• Tiempo de Respuesta a Incidentes: Medir el tiempo promedio que tarda el equipo de

seguridad en contener y erradicar un incidente.

• Número de Incidentes Detectados: Monitorear el número de incidentes de seguridad

detectados y resueltos en un período determinado.

• Tasa de Cumplimiento Normativo: Medir el porcentaje de cumplimiento con las

regulaciones y estándares de seguridad.

14.2. Indicadores de Resiliencia

• Tiempo de Recuperación (RTO): Medir el tiempo promedio que tarda la compañía en

recuperar sus operaciones críticas después de un incidente.

• Tasa de Éxito en Pruebas de Recuperación: Monitorear el porcentaje de éxito en las

pruebas de recuperación ante desastres.

14.3. Indicadores de Concientización

• Participación en Capacitaciones: Medir el porcentaje de empleados que completan las

capacitaciones en seguridad.

• Tasa de Incidentes Relacionados con Errores Humanos: Monitorear el número de

incidentes causados por errores humanos y comparar con períodos anteriores.

15. Riesgos y Mitigaciones

Durante la implementación de los controles de ciberseguridad, es importante identificar los

riesgos potenciales y establecer medidas de mitigación:

15.1. Resistencia al Cambio

• Riesgo: Los empleados pueden resistirse a adoptar nuevas políticas y controles de

seguridad.

• Mitigación: Realizar campañas de concientización y capacitación para explicar la

importancia de las nuevas medidas de seguridad.

15.2. Falta de Recursos

• Riesgo: La implementación de controles avanzados puede requerir recursos adicionales

(presupuesto, personal, herramientas).

• Mitigación: Priorizar las iniciativas de seguridad y asignar recursos de manera estratégica.

Considerar la externalización de ciertas funciones de seguridad si es necesario.

15.3. Complejidad Técnica

• Riesgo: La implementación de controles avanzados como SIEM, WAF y DLP puede ser
técnicamente compleja.
 • Mitigación: Contar con personal especializado o trabajar con proveedores de seguridad
con experiencia en la implementación de estas soluciones.

17. Anexos

17.1. Anexo A: Estándares y Marcos de Referencia

• ISO/IEC 27001: Estándar internacional para la gestión de la seguridad de la información.

• NIST Cybersecurity Framework: Marco de referencia para la gestión de riesgos de

ciberseguridad desarrollado por el Instituto Nacional de Estándares y Tecnología de EE.UU.

• PCI-DSS: Estándar de seguridad para la protección de datos de tarjetas de pago.

• COBIT: Marco de gobierno de TI que incluye mejores prácticas para la gestión de

seguridad de la información.

17.2. Anexo B: Herramientas de Seguridad Recomendadas

• Firewalls de Próxima Generación (NGFW): Soluciones como Palo Alto Networks, Fortinet,
o Cisco Firepower.

• Sistemas de Detección y Prevención de Intrusiones (IDS/IPS): Herramientas como Snort,

Suricata, o Darktrace.

• Protección de Endpoints (EDR): Soluciones como CrowdStrike, SentinelOne, o Microsoft

Defender for Endpoint.

• Prevención de Pérdida de Datos (DLP): Herramientas como Symantec DLP, McAfee DLP, o
Microsoft Information Protection.

• Monitoreo Continuo (SIEM): Plataformas como Splunk, IBM QRadar, o ArcSight.

17.3. Anexo C: Plantillas de Políticas de Seguridad

• Política de Acceso a la Red: Define quién puede acceder a la red corporativa y bajo qué
condiciones.

• Política de Uso Aceptable (AUP): Establece las reglas para el uso adecuado de los recursos
tecnológicos de la compañía.

• Política de Backup y Recuperación: Define los procedimientos para realizar backups y

recuperar datos en caso de incidentes.

• Política de Respuesta a Incidentes: Establece los pasos a seguir en caso de un incidente de

seguridad.

17.4. Anexo D: Ejemplo de Plan de Continuidad del Negocio (BCP)

• Identificación de Procesos Críticos: Lista de procesos críticos y su priorización.

 • Estrategias de Recuperación: Procedimientos detallados para recuperar cada proceso
crítico.

• Plan de Comunicación: Protocolos para comunicarse con empleados, clientes y

proveedores durante una crisis.

• Pruebas y Mantenimiento: Calendario de pruebas de recuperación y actualizaciones del

plan.

17.5. Anexo E: Ejemplo de Plan de Capacitación en Seguridad

• Módulos de Capacitación: Temas como phishing, ingeniería social, manejo seguro de

datos, y desarrollo seguro.

• Frecuencia: Calendario de capacitaciones periódicas (trimestrales, semestrales).

• Evaluación: Pruebas y evaluaciones para medir el conocimiento de los empleados después

de cada capacitación.

18. Glosario de Términos

Para facilitar la comprensión de los términos técnicos utilizados en este documento, se incluye un
glosario con las definiciones clave:

• Ciberseguridad: Conjunto de prácticas y tecnologías diseñadas para proteger sistemas,

redes y datos de ciberataques.

• Defensa en Profundidad: Estrategia de seguridad que implementa múltiples capas de

protección para prevenir y mitigar amenazas.

• Resiliencia: Capacidad de un sistema para recuperarse rápidamente después de un

incidente.

• SIEM (Security Information and Event Management): Herramienta que centraliza y

analiza logs de seguridad para detectar y responder a incidentes.

• DLP (Data Loss Prevention): Soluciones diseñadas para prevenir la fuga de información
confidencial.

• MFA (Multi-Factor Authentication): Método de autenticación que requiere múltiples

formas de verificación para acceder a un sistema.

19. Referencias

• ISO/IEC 27001:2013: Estándar internacional para la gestión de la seguridad de la

información.

• NIST Cybersecurity Framework: Marco de referencia para la gestión de riesgos de

ciberseguridad.

• PCI-DSS: Estándar de seguridad para la protección de datos de tarjetas de pago.

 • COBIT 2019: Marco de gobierno de TI que incluye mejores prácticas para la gestión de
seguridad de la información.

La implementación de una estrategia de ciberseguridad robusta en MIA S.A. es esencial para

proteger su infraestructura crítica, garantizar el cumplimiento normativo y mantener la confianza
de los clientes. Los controles tecnológicos propuestos, basados en defensa en profundidad,
resiliencia, visibilidad y cumplimiento, junto con un plan de continuidad del negocio bien
estructurado, asegurarán que la compañía esté preparada para enfrentar los desafíos del entorno
digital actual.

La capacitación y concientización de los empleados, junto con un enfoque de mejora continua,

garantizarán que la organización no solo esté protegida contra las amenazas actuales, sino que
también esté preparada para adaptarse a los desafíos futuros. Con la asignación adecuada de
recursos y el compromiso de la alta dirección, MIA S.A. podrá establecer un marco de
ciberseguridad que no solo proteja sus activos, sino que también impulse la innovación y el
crecimiento del negocio.

Este documento proporciona una guía detallada para la implementación de controles de

ciberseguridad en MIA S.A., asegurando que la compañía esté bien preparada para proteger su
infraestructura y datos en un entorno financiero altamente regulado y expuesto a ciberamenazas.
La combinación de controles tecnológicos avanzados, políticas claras, capacitación de empleados y
un enfoque en la mejora continua, asegurará que la organización esté preparada para enfrentar
los desafíos del entorno digital actual y futuro.

Con un plan de implementación bien estructurado y un enfoque en la medición de resultados a

través de KPIs, MIA S.A. no solo protegerá sus activos críticos, sino que también fortalecerá la
confianza de sus clientes y cumplirá con las regulaciones financieras. La ciberseguridad no es solo
una necesidad, sino una ventaja competitiva en un mundo cada vez más digitalizado y expuesto a
ciberamenazas.