Buscar

06 octubre 2025

NITS CSF en la vida real

  octubre 06, 2025 akil3s   No comments   Edit

 Hace poco me preguntaba un compañero cómo sería implementar desde cero el CSF (Ciber Security Framework) en una empresa de unos 500 empleados, en la que tienen poco o ningún conocimiento de ciberseguridad.

Aquí os dejo una pequeña idea de lo que le conté, que se podría hacer. Como siempre digo, esta es la forma en que yo lo haría, obviamente no tiene por qué ser la buena, ni la mejor opción, pero si te sirve o ayuda en algo, a mi ya me hace feliz.

Contenido del artículo
Imagen de la web del NIST

Cronograma Resumido y Coste Estimado

Cronograma (17 semanas / ~4 meses)

  • Semana 1: Fase 0 ("Venta" al CEO).
  • Semanas 2-4: Fase 1 (Identificar).
  • Semanas 5-12: Fase 2 (Proteger y Detectar).
  • Semanas 13-16: Fase 3 (Responder y Recuperar).
  • Semana 17: Presentación final y plan de futuro.

Estimación de Coste y Tiempo

- Tiempo Total: 4 meses para tener una base sólida.

- Coste de Recursos Internos:

  • Tu dedicación: 50% de tu tiempo durante 4 meses.
  • Equipo de trabajo: 10% del tiempo de 4 personas (IT, RRHH, Legal, Operaciones) durante 4 meses (esto es una inversión en horas de tu gente, no un coste externo directo).

- Coste de Herramientas/Inversión (Aproximado):

  • Herramientas de 2FA: Desde 0€ (si usas la versión de Microsoft 365/Google), o hasta 3-4€ por usuario/año para soluciones más avanzadas. Para 500 usuarios (en este ejemplo): ~1.500€/año.
  • Plataforma de formación en concienciación: Entre 15-30€ por usuario/año. Para 500 users: ~7.500-15.000€/año. Esto (o parte) te lo podrías ahorrar si eres capaz de implementar un GOPHISHING o similar.
  • Asesoría externa (opcional): Para ayudar en la Fase 1 o 3, podría costar entre 5.000€ y 15.000€.
  • Total Estimado (Inversión Externa Anual): Entre 9.000€ y 20.000€ para una empresa de 500 personas (en nuestro ejemplo), dependiendo de las herramientas y demás opciones que elijas.

Fase 0: Preparación y "Venta" Interna (Semana 1)

Objetivo: Obtener el respaldo del CEO y los mandos intermedios. Sin esto, el proyecto está condenado al fracaso.

Acciones Concretas:

  1. Reunión con el CEO (30 minutos): Consejo, no le hables de tecnicismos. Habla en su idioma.

El Gancho: "Me gustaría presentarle un plan para proteger nuestros activos más críticos, como [es importante mencionarle un dato o proceso que sea clave, como: la base de datos de clientes, los diseños de producto, la facturación…] y asegurar la continuidad de nuestro negocio frente a ciberamenazas."

  • El Problema: "Actualmente, no tenemos una visión clara de nuestros riesgos digitales. Es como conducir un Ferrari sin seguro y con el piloto de combustible roto. No sabemos si estamos protegidos o si ya hemos sido atacados."
  • La Solución (NIST CSF): "Me gustaría seguir un marco internacional, como el NIST CSF, que no es una normativa per se, sino un plan de sentido común. Esto nos permitirá, con un lenguaje común, saber dónde estamos, dónde queremos estar y cómo llegar allí, priorizando la inversión en lo que realmente importa."
  • La Petición: "Necesito su aval para poder formar un pequeño equipo de trabajo con representantes de IT, Legal, RRHH y Operaciones, además de 30 minutos de su tiempo dentro de un mes para presentarle los resultados y el plan de acción."

Resultado de esta Fase: El "SÍ" del CEO y la comunicación a toda la empresa de que este proyecto es una prioridad.

Fase 1: Identificar - "Conocernos a Nosotros Mismos" (Semanas 2-4)

Objetivo: Crear el "Perfil Actual" de la empresa. Saber qué tenemos, qué es importante y qué nos podría pasar.

Acciones Concretas (Cómo lo hacemos):

  1. Formar el "Equipo de Ciberseguridad": Un representante de IT, uno de RRHH, uno de Legal/Compliance, y un mando de un área de negocio clave (ventas o producción). Tú serías el coordinador.
  2. Inventario de Activos (IT lo lidera):

  • ¿Qué? Listar todos los sistemas críticos: servidores, software en la nube (Office 365, Salesforce), bases de datos, líneas de producción, etc. TODO lo que tenegamos.
  • ¿Cómo? Usando herramientas automáticas de descubrimiento de red y haciendo reuniones con los jefes de departamento. Le podemos preguntar: "¿Sin qué sistema no podrías trabajar mañana?".

3. Identificación de Riesgos (equipo completo):

  • ¿Qué? Listar las principales amenazas. No hace falta ser un hacker, hagámonos preguntas simples:

- RRHH: "¿Y si un empleado, sin mala intención, pierde un portátil o hace clic en un enlace fraudulento?"

- Legal: "¿Y si nos roban datos de clientes? ¿Cumplimos con el RGPD?"

- Operaciones: "¿Y si un ataque paraliza nuestra web o nuestra línea de producción?"

  • ¿Cómo? En una reunión de brainstorming, en una pizarra anotamos todo.

Entregable de esta Fase: Un documento de unas 3-5 páginas con:

  • Lista de los 10-15 activos más críticos.
  • Lista de los 5-10 riesgos más probables y dañinos.

Esto es nuestro "Perfil Actual" en bruto. Sabemos que estamos en un "Nivel 1 (Parcial)".

Fase 2: Proteger y Detectar - "Construir los Cimientos" (Semanas 5-12)

Objetivo: Implementar las medidas de seguridad básicas y esenciales. No se busca la perfección, sino un nivel de seguridad decente.

Acciones Concretas (Cómo lo implementamos):

  1. Protección Básica (Enfocado en lo fácil y con mayor impacto):

  • Gestión de Accesos (IT): Implantar la autenticación en dos pasos (2FA) para todos, especialmente para el correo y los sistemas críticos. Es la medida número 1 en eficacia vs coste.
  • Copia de Seguridad (IT): Verificar que las copias de seguridad de los sistemas críticos se hacen correctamente y están aisladas (para que un ransomware no se las cargue). Hacer una prueba de restauración (esto es vital).
  • Formación y Concienciación (RRHH/Coordinador): Realizar una campaña inicial de concienciación. Un email mensual con ejemplos de phishing reales, y un pequeño test online. El objetivo es que la gente sepa identificar un correo sospechoso y que lo reporten.
  • Actualizaciones (IT): Asegurar que todos los sistemas tienen las actualizaciones de seguridad automáticas activadas (parece una obviedad, ¿verdad?)

2. Detección Básica:

  • Monitorización (IT): Configurar alertas básicas en los sistemas críticos (ej.: múltiples intentos de acceso fallidos, cambios en archivos importantes, etc.).
  • Procedimiento de Reporte (Todos): Crear un canal simple (se puede crear un email como incidentes.cyber@empresa.com) para que cualquier empleado pueda reportar actividad que crea que es sospechosa.

Entregable de esta Fase: La empresa tiene ya un nivel de seguridad básico operativo. Hemos pasado de un "Nivel 1", a un sólido "Nivel 2".

Fase 3: Responder y Recuperar - "Prepararnos para lo Inevitable" (Semanas 13-16)

Objetivo: Tener un plan para cuando algo salga mal. La pregunta no es "¿y si nos atacan?" sino "¿cuándo nos atacarán y qué haremos?".

Acciones Concretas (Cómo lo implementamos):

  1. Plan de Respuesta a Incidentes (Equipo completo):

  • ¿Qué? Un documento simple que responda:

-¿Quién es el responsable de declarar el incidente? (Tú o el CIO).

-¿A quién llamamos? (Lista de teléfonos: IT interno, proveedor externo de seguridad, asesor legal...).

-¿Qué hacemos primero? (Aislar los sistemas afectados, cambiar contraseñas, etc.).

-¿Quién se comunica con los clientes/empleados/prensa? (Normalmente Dirección o Marketing).

  • ¿Cómo? En una reunión de 2 horas, se redacta un borrador en una plantilla. No hace falta que sea perfecto, sino que exista.

2. Plan de Recuperación (IT):

  • ¿Qué? Un anexo al plan anterior que detalle cómo restaurar los sistemas críticos desde las copias de seguridad (crucial).
  • ¿Cómo? Documentar los pasos para recuperar el servidor de correo o la base de datos pedidos. Hacer un simulacro de recuperación de un servidor no crítico.

Entregable de esta Fase: Un "Plan de Acción para Crisis Cibernéticas" de 5 páginas, probado y conocido por el equipo directivo.

Presentación Final al CEO (Semana 17)

Duración: 45 minutos. Formato: Presentación simple (máximo 10 diapositivas).

Estructura de la Presentación:

  1. Diapositiva 1 (Situación Inicial): "Hace cuatro meses, éramos un Ferrari sin seguro. No sabíamos lo que teníamos, ni los riesgos a los que nos enfrentábamos."
  2. Diapositiva 2 (Lo que Hemos Hecho - Identificar): "Ahora lo sabemos. Tenemos un mapa de nuestros 12 activos críticos y nuestros 8 principales riesgos. Ésta es nuestra nueva visibilidad."
  3. Diapositiva 3 (Lo que Hemos Hecho - Proteger/Detectar): "Hemos blindado la empresa. El 100% de la plantilla tiene la doble verificación activada, hemos formado a todos en phishing y nuestras copias de seguridad son robustas. Hemos pasado de un nivel 1 a un nivel 2 de madurez."
  4. Diapositiva 4 (Lo que Hemos Hecho - Responder/Recuperar): "Estamos preparados. Tenemos un plan claro y probado para actuar si, al final, sufriesemos un incidente. Sabemos cómo contenerlo y recuperarnos."
  5. Diapositiva 5 (El Resultado): "Hoy, podemos gestionar nuestro riesgo cibernético de forma inteligente. Hemos reducido la probabilidad y el impacto de un ataque de forma drástica."
  6. Diapositiva 6 (El Futuro - Mejora Continua): "Esto no termina aquí. El siguiente paso es institucionalizar este proceso. Proponemos:

  • Realizar un simulacro de ataque de phishing controlado cada 6 meses.
  • Revisar y actualizar el plan de respuesta anualmente.
  • Asignar un presupuesto anual para ir mejorando nuestras herramientas de detección."

7. Diapositiva 7 (Petición): "Necesitamos su apoyo para comunicar estos logros a la organización y para mantener este ciclo de mejora activo. La ciberseguridad es ahora una capacidad de nuestra empresa."

Conclusión: Por una inversión relativamente "modesta" (pero significativa en tiempo y compromiso interno), en solo 4 meses puedes transformar la postura de ciberseguridad de una empresa de "vulnerable" a "con control y preparación".

Este plan es realista, pragmático y está diseñado para mostrar resultados tangibles rápidamente, ganando la confianza del CEO para las fases futuras.

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)