Miguel Alvariño Blanes Linkedin

  • Asesoría – Consultoría Ciberseguridad || Ciberinteligencia || OSINT
  • Alumno de la 9ª edición del Máster en Ciberinteligencia del Campus Internacional de Ciberseguridad.
Eduard Domenech Ruda
Eduard Domenech Ruda

Miguel Alvariño Blanes Linkedin

  • Asesoría – Consultoría Ciberseguridad || Ciberinteligencia || OSINT
  • Alumno de la 9ª edición del Máster en Ciberinteligencia del Campus Internacional de Ciberseguridad.

“No hay conocimiento que no sea poder”, afirmación atribuida al escritor, filósofo y poeta estadounidense Ralph Waldo Emerson, ha cobrado más significado que nunca en la era digital.

En la coyuntura actual, en todos los ámbitos (militar, político, empresarial, social, etc.), se libran batallas silenciosas en el ciberespacio por la obtención y control de la información, lo que puede marcar la diferencia entre la victoria y la derrota en una batalla, ganar o perder un contrato multimillonario, detectar una amenaza para nuestra organización antes de que se materialice o evitar un atentado.

El objetivo de este documento es argumentar la necesidad de implantar una unidad de ciberinteligencia y demostrar que los beneficios que proporcionará a la organización están alineados a la estrategia y objetivos de la misma.

La metodología utilizada en el documento se centra en la mejora continua e iterativa, basada en el ciclo de Deming (PDCA), que comienza en la planificación de la unidad, pasando por la definición de la operativa y el análisis de rendimiento de la misma y terminando con acciones de mejora en el servicio.

Una vez creado y puesto en marcha el servicio, el objetivo es alcanzar una reducción significativa del nivel de riesgo inicial de la organización en cuanto a la protección de su información lo que se traducirá en una mayor seguridad en la operativa de la organización y, en definitiva, aumentará la confianza y tranquilidad del consejo directivo, empleados, clientes y proveedores.

El año 2024 continúa la tendencia alcista en cuanto al crecimiento de ciberamenazas. Según el informe de tendencias del CCN-Cert del año 2023, la ciberamenazas son más elaboradas y complejas de detectar siendo el ramsomware una de las que más ha aumentado. Esta exposición de información puede provocar gran impacto económico, legal, reputacional e incluso humano de en las organizaciones, muchas de las cuales no llegan a recuperarse y se ven obligadas a cesar sus actividades.

A diferencia de la ciberseguridad, la cual adopta medias proactivas y reactivas para ser resiliente ante ciberataques, la ciberinteligencia tiene por objeto conocer el origen y comportamiento de los actores detrás de las amenazas así como intentar prever escenarios de impacto con el fin poder tomar las medidas proactivas adecuadas y estar preparados ante una amenaza.La ciberinteligencia intenta prever el futuro y esto se consigue mediante la obtención y filtrado de la información obtenida de diversas fuentes en el ciberespacio para luego, mediante un complejo proceso de análisis, transformarla en información útil o producto de inteligencia, el cuál se entrega al jefe o decisor en base a las necesidades de información de éste para que pueda tomar la mejores decisiones: desde saber, como se ha indicado anteriormente, a qué escenarios de amenazas se enfrenta la organización o conocer cómo operan los ciberdelincuentes (motivaciones, recursos, infraestructura, operativa, herramientas, etc.) hasta saber cuán expuesta está la información o recursos que la organización tiene publicada en Internet, sea o no consciente de ello.

En 2024, la ciberinteligencia en las organizaciones tiene un bajo nivel de penetración puesto que, o bien sus funciones no acaban de ser comprendidas por parte de las organizaciones y/o se confunden con las de ciberseguridad o bien no es percibida como algo que pueda aportar beneficios a la organización del mismo modo que sucedía con la ciberseguridad hace unos años, hoy en día con un alto nivel de adopción en la mayoría de las empresas.

EL SERVICIO DE CIBERINTELIGENCIA

El servicio de ciberinteligencia tiene como objetivo la obtención de información de diversas fuentes del ciberespacio para analizarla y transformarla en inteligencia la cual ayudará a la toma de decisiones en la organización e intentar evitar la materialización de amenazas y obtener ventaja competitiva.

Este servicio ayudará a:
• Identificar ciberamenazas de forma proactiva
• Monitorizar la información de la organización en el ciberespacio
• Detectar posibles vulnerabilidades de los sistemas de información de la organización
• Conocer el comportamiento de actores de ciberamenazas
• Plantear posibles escenarios sobre ciberamenazas a los que se pueda enfrentar la organización

Algunos de los beneficios que aportaría la creación de un servicio de inteligencia son:
• Conocimiento profundo de los activos de información y sus vulnerabilidades
• Evitar la materialización de ciberamenazas o y tener resiliencia ante posibles impactos
• Evitar las consecuencias económicas, legales y reputacionales derivadas de un ciberataque
• Tener ventaja competitiva adelantándose a hipotéticos escenarios futuros

Existen dos opciones para implementar un servicio de ciberinteligencia: crear un servicio dentro de la organización o bien externalizar el servicio.

VENTAJAS E INCONVENIENTES DE EXTERNALIZAR EL SERVICIO DE CIBERINTELIGENCIA

ventajas e inconvenientes externalizar servicio ciberinteligencia

En este documento, se ha optado por la creación de un servicio interno de ciberinteligencia y se indicarán los pasos necesarios para su implantación y puesta en marcha.

CICLO PDCA

La creación y desarrollo del servicio interno de ciberinteligencia (en adelante “el servicio”) se basará en el ciclo de Deming, también llamado ciclo de mejora continua o ciclo PDCA.
Este método se utiliza para planificar, implementar, verificar y mejorar procesos de forma continua. El objetivo es que los procesos se optimicen y aumente su eficiencia en cada iteración del método.
Consta de 4 fases: planificación (PLAN), implementación (DO), verificación (CHECK) y mejora (ACT). A continuación, se describirá brevemente cada fase:
Planificación: en esta fase se definen los objetivos, requisitos, recursos y necesidades para la creación y mantenimiento del servicio.
Implementación: aquí se describe detalladamente la operativa del servicio, los procesos y procedimientos que forman parte de ésta.
Verificación: en esta fase, se verificará si se están cumpliendo los objetivos fijados.
Mejora: por último, en esta fase se analizan los procesos que son susceptibles de mejora en base a los resultados obtenidos en la fase de comprobación

PLANIFICACIÓN

En esta primera fase, se realizarán las siguientes acciones:
• Definir el objetivo y alcance del servicio
• Establecer la ubicación del servicio dentro del organigrama empresarial y sus dependencias
• Definir la estructura, funciones y perfiles necesario para poner en marcha el servicio
• Identificar, inventariar y valorar los activos de información de la organización
• Realizar un análisis de riesgos en base a la valoración de activos
• Establecer los indicadores de rendimiento
• Realización del presupuesto destinado al servicio

Objetivo del servicio
• Proteger a la organización de posibles ciberamenazas, internas o externas a la misma, que puedan suponer un impacto negativo en cuanto a la integridad, confidencialidad y disponibilidad de la información corporativa.
• Detectar cualquier tipo de información que pueda suponer una ventaja competitiva o de cualquier otro tipo a la organización.

Alcance
El objetivo del servicio está alineado con los objetivos de la organización por lo que el alcance abarca a todos los procesos y departamentos de la organización.

Organigrama
El servicio formará parte del departamento de ciberseguridad ya que ambos tienen como objetivo proteger a la organización contra ciberamenazas.
El servicio reportaría al responsable de la Seguridad de la Información o CISO o, en su defecto, se reportar directamente al director ejecutivo o CEO:

Herramientas

Estructura y funciones
El servicio de ciberinteligencia estaría formada por dos unidades: la unidad de inteligencia de fuentes abiertas (unidad OSINT) y la unidad de inteligencia de amenazas (unidad CTI).
La unidad OSINT tendrá por misión monitorizar y detectar toda actividad en el ciberespacio que afecte negativamente a la organización en términos de confidencialidad de la información e imagen corporativa con el fin de detectar aquellas que afecten negativamente a la misma.

Sus funciones son:
• Monitorizar y detectar posibles filtraciones no deseadas de información corporativa en el ciberespacio (RRSS, aplicaciones de mensajería, foros, Dark Web, etc.)
• Detectar posibles menciones nocivas o campañas de desinformación que puedan tener un impacto negativo en la organización
• Identificar y actualizar fuentes de información
• Categorizar fuentes de información en base a su fiabilidad y credibilidad
• Realizar seguimiento de las cuentas y perfiles oficiales de la organización en redes sociales
• Colaborar con la unidad CTI

La unidad CTI, por su parte, será responsable de analizar el comportamiento y contexto de los diferentes grupos de ciberamenazas con el fin de predecir sus ciberataques y asesorar en la aplicación de medidas proactivas para evitarlos.

Sus funciones son:
• Conocer el comportamiento sobre actores de ciberamenazas
• Proponer medidas proactivas para evitar o mitigar el impacto de ciberamenazas
• Búsqueda de vulnerabilidades que afecten a las tecnologías de la organización
• Correlacionar eventos de herramientas de monitorización para detectar patrones maliciosos
• Categorizar fuentes de información en base a su fiabilidad y credibilidad
• Elaboración de escenarios de ciberamenazas y proponer acciones preventivas
• Colaboración e intercambio de inteligencia con otras organizaciones, asociaciones o entidades gubernamentales.
• Colaborar con la unidad OSINT

Ambas unidades realizarán reuniones semanales con el CISO en la que se tratarán los siguientes puntos:
• Analizar el estado actual de ciberamenazas que puedan afectar a la organización
• Analizar los ciberincidentes de seguridad detectados y neutralizados
• Propuesta de mejoras operacionales (agregación o eliminación de fuentes, seguimiento de actores de amenazas emergentes, cambios en la operativa, etc.)
• Plantear dudas y/o consultas

Fuentes de información
Las fuentes son los diferentes canales en el ciberespacio en los que se obtienen los datos e información que posteriormente habrá que analizar, verificar y transformar en inteligencia útil para poder identificar amenazas.

Estas fuentes se pueden dividir en dos grupos:
Fuentes públicas (OSINT): fuentes de acceso libre y público. A su vez pueden ser gratuitas o de pago. Por ejemplo: RRSS, frameworks, foros, aplicaciones de mensajería, páginas web, etc.

Fuentes privadas: fuentes de acceso restringido sólo accesibles si se pertenece a un determinado sector o grupo (empresas, gobiernos, fuerzas y cuerpos de seguridad, lobbies, altas esferas mediáticas, etc.) o si se está suscrito a algún medio especializado.

Más adelante, se detallarán las fuentes que utilizará cada unidad.

Si quieres ver el proyecto completo de Miguel Alvariño, rellena el formulario y te lo mandamos a tu correo electrónico.

¿Quieres obtener el mismo conocimiento que Miguel?

APRENDE MÁS CON EL MÁSTER EN CIBERINTELIGENCIA

Comparte este post