CIBERSEGURIDAD 52 la gestión de parches de sistemas operativos como Windows, la gestión de inventario de todos los activos existentes, tanto auto- rizados como ilegales (por ejemplo, APPs descargadas de forma no autorizada en un smartphone de la organización y no auditadas), la reconciliación de reglas de firewall y diagramas de red, etc. Es necesario realizar las auditorias (estáticas y dinámicas) y test de penetración de forma regular para conseguir que se implante el fortalecimiento adecuado y este en consonancia con la política de seguridad establecida. La gestión de parches de sistemas operati- vos necesita inmediata atención en todo tipo de organizaciones. Análogamente, los dispositivos de computación y aplicacio- nes Web necesitan comprobar su ciberseguridad. Por su parte, la ciberforensia se encarga de preservar, recoger, validar, identificar, analizar, interpretar, documentar y presentar ciber-evi- dencias de computación almacenadas en los diversos dispositivos de computación de una organización para anticiparse a acciones no autorizadas que demuestren ser maliciosas-lesivas para las operaciones a realizar, el objetivo es mejorar la ciberseguridad y en su caso poder llevar a cabo procesos legales. El preservar la cadena de ciber-evidencias es una cuestión esencial en ciberforen- sia. En la cadena de custodia de ciber-evidencias para casos legales las evidencias (datos, códigos, aplicaciones, hardware, firmware, metadatos, dispositivos, etc.) necesitan estar integradas, es decir, cualquier acceso necesita documentarse (quién, qué, donde, cuándo y por qué). Comprometer dicho proceso puede causar problemas legales para las partes implicadas. En la gobernanza de ciberseguridad cada entidad gestiona los riesgos de ciberse- guridad y soporta una cultura de ciberseguridad positiva de una manera apropiadamente madura posibilitando líneas claras de res- ponsabilidad, planificación adecuada, investigación y respuesta, aseguramiento y procesos de revisión y proporciona informes a medida personalizados. Métricas y buenas prácticas en gobernanza de la ciberseguridad Algunas de las razones por las que la ciberseguridad es parte de la gobernanza de ciberseguridad son: para definir la postura frente al riesgo, para equilibrar los requisitos locales y globales, para ges- tionar los datos, para responder inteligentemente a los cambios y transformaciones, para aplicar métricas relevantes, etc. Existen diversas buenas prácticas en ciberseguridad como: utilizar un enfoque basado en riesgo para la ciberseguridad, crear una polí- tica de ciberseguridad jerárquica, aplicar a tiempo los parches y actualizaciones de seguridad, realizar backups y comprobarlos periódicamente, utilizar el principio del mínimo privilegio, emplear la autenticación robusta multifactor y mutua, gestionar contrase- ñas de forma segura. Utilizar contraseñas de elevada entropía (si no es posible, sería el caso de los PIN (de cuatro caracteres numéricos, se permite tres reintentos) utilizar un mecanismos de bajo número de reintentos), cambiarlas periódicamente y modificarlas contra- señas por defecto (para todo tipo de dispositivos de computación incluso IoT/IoP/IoE), aplicar medidas de seguridad físicas (como Tempest, compartimentación, armarios con cerradura, habitacio- nes con puertas dotadas de cerraduras con tarjetas de proximidad RFID/NFC, etc.), ejecutar medidas de seguridad de recursos huma- nos, formar-educar-concienciar a los usuarios, implantar el cifrado/ esteganografía/canales subliminares para los datos/códigos, uti- lizar controles de acceso (con mecanismos de autorización como ACLs, listas de capacidades, roles, matrices de control de acceso, BLP, etc.), comprobar la respuesta a ciber-incidentes de forma con- tinuada, proteger las cuentas con privilegios es clave para reducir los ciberataques en las organizaciones, eliminar todas las cuentas huérfanas (son cuentas de usuarios que se han ido de una empresa o han fallecido, etc.), implantar una monitorización de red eficiente, usar herramientas de gestión y analítica, implantar dispositivos de seguridad de red (firewall, IDS/IPS, DLP, UTM/Unified Threats Management, AV de red, etc.), implantar una arquitectura efectiva de ciberseguridad para los puntos finales. En las buenas prácticas de la gobernanza de la ciberseguridad se establecen los objetivos de todo CSIRT (Computer Security Incident Response Team) a nivel organizacional, como una empresa, industria, ecosistema OT/CPS, etc. Los principales objetivos de un CSIRT son definir las políticas, procedimientos y servicios de respuesta a incidentes proporcionados identificando los riesgos, crear una capacidad de reporte de incidentes eficiente y personalizada a medida, identificar (buscar la causa raíz), conte- ner y erradicar el incidente, recuperarse de incidente, investigar el incidente, asistir en la prevención de recurrencia del incidente, integrar todas las lecciones aprendidas. Los servicios CSIRT se agrupan en tres categorías: • Reactivos. Por ejemplo, alertar de vulnerabilidades, gestión de incidentes, etc. • Proactivos. Por ejemplo, detectar intrusiones con anticipación, uso de mecanismos de predicción, uso de mecanismos de bloqueo de ciber-ataques o intentos de intrusión antes de que puedan realizar acciones perversas, implantar auditorias (estáticas y dinámicas) y diseminar la información, empleo de mecanismos de prevención, etc. La planificación de la mitigación de ataques y amenazas, el análisis de tendencias de incidentes y la revisión de arquitecturas de ciberseguridad son algunos de los mecanismos proactivos para valorar amenazas y prevenir los incidentes de ciberseguridad. • Gestión de calidad de seguridad. Por ejemplo, análisis de riesgos,