INVESTIGACIÓN 58 • Control de acceso al sistema y a las aplicaciones. A tres nive- les: (a) Restricción de acceso a la información. Se trata de restringir el acceso a la información y aplicaciones en base a una política de control de acceso. (b) Procedimientos de log-on seguros. Se trata de controlar el acceso a los siste- mas y aplicaciones por un procedimiento de log-on seguro. Utilizar autenticación MF (multi-factor) y mutua. (c) Sistema de gestión de contraseñas. Los sistemas de gestión de con- traseñas deberían asegurar la calidad de las contraseñas (si se permite contraseñas de baja entropía se debería integrar un mecanismo de limitación del número de reintentos con bajo valor, para un PIN de cuatro caracteres numéricos sólo se permiten tres veces para equivocarse). 2. Seguridad de las comunicaciones. Se trata de la gestión de seguridad de red. A dos niveles: (a) Segregación en redes (compartimentando la red en subredes VLAN y uso de SDN/ Software Defined Networking). Se trata de segregar grupos de servicios de información, usuarios y sistemas en redes. La herramienta Metasploit automatiza la tarea de compro- bar si la segmentación de red es operativa y efectiva. (b) Procedimientos y políticas de transferencia de información. Se trata de proteger la transferencia de información a través de todos los tipos de facilidades de comunicación y uso de VPN, cifrado y esteganografía. 3. Seguridad de las operaciones. Se pueden identificar tres casos: (i) Protección contra malware estableciendo controles contra malware. Se trata de implantar controles de detección y pre- vención para protegerse contra malware. Se escanean equipos (para comprobar que el filtrado de URLs y el escaneo de repu- tación Web se encuentra habilitada, que los clientes de correo electrónico se configuran para bloquear ciertos adjuntos, que el software anti-malware se encuentra instalado, habilitado y actualizado), se detectan y bloquean procesos maliciosos en todos los endpoints y pendrives. (ii) Logging y monitorización. A tres niveles: (a) Registro de logs. Se trata de registrar las actividades de los usuarios y de los eventos de ciberseguridad. (b) Protección de la información de logs. Se trata de proteger la información de los logs contra modificaciones y accesos no autorizados. (c) Logs del administrador y operador. Se trata de logear y revisar las actividades del administrador y operador del sistema de forma regular. (iii) Gestión de vulnerabilidades técnicas. Se trata de evaluar la exposición de la organización a las vulnerabilidades y los riesgos asociados. 4. Gestión de ciber-incidentes. Se pueden identificar cuatro casos: (i) Responsabilidades y procedimientos. Se trata de establecer responsabilidades y procedimientos para responder a los inci- dentes de ciberseguridad. (ii) Valorar y decidir sobre los eventos de ciberseguridad. Se trata de valorar los eventos para decidir si tienen que ser clasificados como incidentes de ciberseguri- dad. (iii) Responder a los incidentes de ciberseguridad. Se trata de responder a los incidentes de ciberseguridad de acuerdo a los procedimientos documentados. Se utilizan servicios de respuesta a ciber-incidentes para contenerlos. (iv) Recogida de evidencias. Se trata de definir y aplicar procedimientos para identificar y recoger evidencias. Se correlaciona con la ciber- forensia (cadena de custodia de ciber-evidencia con hash). 5. Adquisición, desarrollo y mantenimiento del sistema. Se trata de la protección en el desarrollo y soporte de procesos. Se pue- den identificar tres casos: (i) Revisión técnica de aplicaciones después de cambios de la plataforma de operación. Se trata de revisar y testear aplicaciones críticas del negocio cuando se cambian las plataformas de operación para identificar vul- nerabilidades. (ii) Testear la seguridad del sistema. Se trata de realizar test de la funcionalidad de seguridad durante el ciclo de vida del desarrollo para identificar vulnerabilidades. Se uti- lizan servicios de test de penetración. (iii) Test de la aceptación del sistema. Se trata de realizar test de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones. Se utilizan servicios de test de penetración, escaneo dinámico de nuevas aplicaciones (Web y APPs móviles) y nuevas versio- nes para identificar debilidades y vulnerabilidades. 6. Políticas de seguridad de la información. Se trata de un elemento de la gobernanza en ciberseguridad. Permite establecer una dirección de gestión en ciberseguridad. Se pueden identificar dos casos: (i) Políticas para la política de información. Se trata de definir, aprobar y comunicar un conjunto de políticas para la seguridad de la información. Como servicios a utilizar desarrollo de programas de ciber- seguridad. (ii) Revisión de las políticas de ciberseguridad. Se revisan las políticas a intervalos planificados o si ocurren cambios significativos. Se pueden utilizar herramientas como valoración de madurez en ciberseguridad. 7. Gestión de los activos. Se trata de la trazabilidad de los acti- vos. Se pueden identificar tres casos: (i) Trazabilidad para los activos. A dos niveles: (a) Inventario de activos. Se trata de identificar los activos de la organización y mantener un inven-