queadores de contraseñas, macro-herramientas de síntesis de malware avanzado, ciberarmas, etc. 2. Backups redundantes. ¿Realiza copias de seguridad de toda la información crítica, con que frecuencia y grado de redun- dancia? ¿Se encuentran los backups almacenados offline u online? ¿Comprueba la capacidad de revertir los backups durante un ciber-incidente? ¿Los backups los guarda cerca de los sistemas donde se realizan las copias de seguridad o se distribuyen a gran distancia? 3. Análisis de riesgos. ¿Realiza auditorías de código estáticas y dinámicas, valoraciones y análisis de riesgos de ciberse- guridad en su organización de forma regular? Por ejemplo, utilizando frameworks como IEC-62443. ¿Utiliza Magerit, Pilar, Octave? 4. Planes de contingencias y de continuidad de negocios. ¿Puede sostener las operaciones sin acceso a ciertos siste- mas? ¿durante cuánto tiempo? ¿ha comprobado este hecho con baterías de test? ¿utiliza cold-sites y hot-sites fijos y móvi- les? ¿emplea redundancia masiva? 5. Whitelisting de aplicaciones. ¿Sólo permite que los pro- gramas aprobados y autorizados se ejecuten en su red? ¿inhabilita todos los puertos no usados en los firewalls y fuerza la actualización de las contraseñas por defecto en la instalación cada poco tiempo? 6. Escaneo de vulnerabilidades y gestión de parches. ¿Implanta de forma regular escaneos de los sistemas y red y aplica los parches de vulnerabilidades del sistema conocidas? 7. Formación rigurosa del personal. ¿Tiene planes de concien- ciación y de sensibilización mejorados (que dejen huellas permanentes) por capacitación (desarrollos de habilidades) con competencias basadas en la resolución de problemas? ¿Ha formado a su personal sobre códigos y protocolos de buenas prácticas en ciberseguridad? ¿a qué nivel? ¿etiqueta a sus empleados con títulos de diversos niveles (por ejemplo, similares a los de inglés B1, B2, C1), etc. contra phishing, inge- niería social, habilidades en ciberseguridad cognitiva, etc.? 8. Antimalware (antivirus, antispyware, filtrado Web, IPS, etc.). ¿Implementa y exige AVs actualizados en todos sus dispositivos (PLCs, PCs, servidores y controladores SCADA, smartphones, tablets, HMI, BDs históricas, etc.)? 9. IAM. ¿Utiliza IAM? Con autenticación multi-factor, auten- ticación mutua, sin revelar el secreto basado en tecnología ZK, etc. Cuantos factores utiliza: lo que uno sabe (PIN, con- traseña, etc.), lo que uno lleva (smartcard, token-hardware, token-software, implante RFID, etc.), lo que uno es (biometría fisiológica o de comportamiento), su localización (outdoor uti- lizando redes de satélites como GPS, Galileo, Glonass, Beidou, etc. o localización in-door basada en i-Beacon/Bluetooth), su instante de tiempo (fecha, hora, minuto, segundo, etc.), un SMS recibido con un valor secreto como factor adicional a la contraseña, tarjeta de juego de barcos, etc. 10. Otras herramientas de seguridad. ¿Utiliza: IDS/IPS (Intrusion Detection/Prevention Systems), DLP (Data Leak Prevention), NGFW (New Generation Firewalls), IDS/IPS, DDP (Distributed Deception Platforms), UTM (Unified Threats Management), SIEM (Security Information and Event Management), LDAP/ AD, IAM, SOC, zonas de aislamiento-contención, protección multi-nivel, etc.? Categorías de controles ISO/IEC 27002 para ciberseguridad cognitiva intensiva En el estándar ISO/IEC 27002 se pueden identificar las siguientes categorías de controles de ciber-seguridad que se pueden corre- lacionar con los códigos y protocolos de buenas prácticas: 1. Control de acceso. Se trata de los requisitos de control de acceso (de la organización, negocio, industria/ICS/CPS). Se pueden identificar cuatro casos: • Acceso a redes y servicios de red. Se trata de limitar el acceso del usuario a la red y monitorizar de forma persis- tente el uso de los servicios de red. • Gestión de acceso del usuario. A tres niveles: (a) Gestión de derechos de acceso con privilegios. Restringir y controlar la asignación y uso de derechos de acceso privilegiados. (b) Gestión de información de autenticación secreta. Controlar la asignación de contraseñas, cambiar las contraseñas del fabricante por defecto, así como cambiarlas periódicamente. (c) Revisar los derechos de acceso del usuario de forma conti- nuada y después de cualquier cambio. Cada entidad sólo debe tener los privilegios mínimos para poder realizar sus tareas. • Responsabilidades del usuario. Utilizar la información de autenticación secreta. Asegurarse que los usuarios sigan las políticas de contraseñas de la organización (elevada entro- pía, cambios periódicos y mecanismos de límite de pocos reintentos) y las políticas de navegación Web y de no des- carga de software no autorizado. INVESTIGACIÓN 57