INVESTIGACIÓN 60 piadamente (es decir auditoría interna y externa) puede valorar la implantación y efectividad del plan-programa de cibersegu- ridad de la organización. Esto puede incluir valoración de los controles y procesos de ciberseguridad de la organización para determinar si funcionan como se espera y para evaluar si los controles son apropiados al grado de riesgo de la organización. Frentes y objetivos en las arquitecturas de ciberseguridad cognitiva intensiva En una arquitectura de ciberseguridad se pueden identificar diversos frentes: 1. Procesos. Reacción dinámica frente a ciber-incidentes (con mapas cognitivos, multi-agentes, teoría de juegos, sistemas de soporte de toma de decisiones, etc.), redes de sensores, explo- radores, gestión de cambios, evaluación de riesgos, gestión de parches-actualizaciones, avatares de protección, planes direc- tores de protección y ciberseguridad, gestión del rendimiento, gestión de eventos, reparación, políticas de acceso, restauración de backups redundantes, backups, archivo, instalación, etc. 2. Tecnologías. Inteligencia artificial, antivirus, IAM, gestión de parches, firewall, NGFW, SIEM, IPSec, PKI, Kerberos, AAA, SSL/ TLS, cifrado de ficheros, directorios LDAP/AD, supervisión, IDS, SOC, IPS, DLP, DDP, honeypot, honeynet, clustering, HA, failover, hot-site, cold-site, sistemas operativos, hipervisores, sandboxing, deep-learning, machine-learning, VPN, VLAN, DMZs, RAID, PUF, cloud-computing, fog-computing, edge-computing, BigData/ Analytics, realidad virtual, realidad aumentada, etc. 3. Personas. Usuarios, administradores, desarrolladores, administra- dor de dominio, soporte del servicio, administrador corporativo, invitados, auditores internos y externos, etc. Correlación entre la familia de controles y códigos- protocolos de buenas prácticas para ciberseguridad congnitiva intensiva La familia de controles de ciberseguridad debería cubrir todas las necesidades de protección y correlacionarse con los códigos-protoco- los de buenas prácticas implantados. Se puede identificar un número creciente de funciones de controles: 1. Detección. Aquí se integran como posibles categorías de dicha función: comportamiento del usuario, comportamiento de la aplicación, heurística de la aplicación, firma de la aplicación, comportamiento de la red, heurística de la red, firma de la red, comportamiento del end-point, heurística del end-point, firma del end-point, sistemas de correo electrónico (no en end-point), etc. 2. Protección. Aquí se integran como posibles categorías de dicha función: Autorización, autenticación, validación del protocolo y entrada a la aplicación, prevención de malware, fortalecimiento del API, aplicar el mínimo privilegio, fortalecimiento del sistema, integridad del sistema/whitelisting de aplicaciones, integridad de los datos, cifrado de los datos (en reposo, transito), permitir cifrado/ esteganografía de datos, aplicar aislamientos y limitaciones, ser- vicios de no repudio, disponibilidad y resiliencia, concienciación, formación y educación, 3. Inventario. Aquí se integran como posibles categorías de dicha función (que exige herramientas de descubrimiento automatizado de activos tanto autorizados como ilegales que permite crear el inventario completo): descubrimiento y reconciliar, catalogar y organizar, detección anómala, desmantelar/cierre, eliminar. 4. Recolección. Las entidades que producen inteligencia de ciber- seguridad son de especial relevancia por su capacidad de crear conocimientos. Aquí se integran como posibles categorías de dicha función: el descubrimiento de datos y del tráfico, logging del sistema y almacenamientos (con herramientas como SIEM, servi- dores syslog, etc.), fuentes de logging, descifrado del tráfico (por ejemplo: SSH, SSL, TLS), requisitos de logging, integridad el logging. Uso de herramientas contra la esteganografía. 5. Gestión. Aquí se integran como posibles categorías: control de configuración, verificación y auditoría, gestión de vulnerabilidades, gestión de parches, gestión de cuentas, gestión de riesgos, defini- ción de la línea de fondo, etc. 6. Respuesta. Aquí se integran como posibles categorías de dicha función: las alertas selectivas, la gestión de ciber-incidente y la ciber-forensia, el sistema de gestión de inteligencia, los ali- mentadores de inteligencia, las TTPs adversarias, los planes de respuesta para los N escenarios mas relevantes, la recuperación y restauración (por ejemplo, de backups, recursos redundantes, canales de respaldo, etc.). Correlación entre gobernanza y políticas de ciberseguridad para ciberseguridad cognitiva intensiva La gobernanza en IT/OT se ocupa de los aspectos estratégi- cos y operacionales de la ciberseguridad, cubre cumplimientos (GDPR, PCI-DSS, SOX, etc.), normativas como ISO-27000/27001, BS-7799-3 (Gestión de riesgos de ciberseguridad), auditoría, con- troles contra malware, gestión de activos, etc. El objetivo de una política de ciberseguridad es proporcionar directrices para la ges- tión y el apoyo de la ciberseguridad de acuerdo con los requisitos del negocio/organización/industria y las leyes/normas aplicables. La política de ciberseguridad constituye por tanto la herramienta clave para: • Materializar la declaración de intenciones de la alta dirección en relación a la ciberseguridad de la organización. • Proporcionar soporte y guía por parte de la alta dirección para establecer una ciberseguridad sincronizada con los requisitos del negocio/organización/industria y con el cumplimiento de las leyes/normas que le sean de aplicación. • Mejorar la concienciación sensibilidad de la organización/ industria en relación a la ciberseguridad. La política de ciberseguridad debe contener al menos los siguien- tes aspectos: 1. Una definición de ciberseguridad de los objetivos que persigue y de su ámbito de aplicación. 2. El respaldo/apoyo/compromiso explícito de los responsables finales de los procesos de negocio/industria que se desea proteger. 3. Una definición de las responsabilidades generales y explícitas en materia de ciberseguridad incluyendo la comunicación de inci- dentes de ciberseguridad. 4. Mención a los mecanismos existentes para identificar y gestio- nar el riesgo.