Autor: Thiago de Oliveira Teodoro<\/p>\n\n\n\n
Las Entidades Fiscalizadoras Superiores (EFS) desempe\u00f1an un papel esencial en la evaluaci\u00f3n de la eficacia de las pol\u00edticas gubernamentales. En una era marcada por r\u00e1pidos cambios tecnol\u00f3gicos, las pol\u00edticas que rigen la ciberseguridad y la protecci\u00f3n de datos est\u00e1n sometidas a una inmensa presi\u00f3n para cumplir con unos altos est\u00e1ndares de resiliencia y conformidad. El presente art\u00edculo pretende ampliar nuestra comprensi\u00f3n del tema a trav\u00e9s del examen de nuevas perspectivas susceptibles de complementar las orientaciones existentes formuladas por la Organizaci\u00f3n Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) y descritas, principalmente, en los siguientes documentos:<\/p>\n\n\n\n
En particular, la Gu\u00eda para la auditor\u00eda de ciberseguridad y protecci\u00f3n de datos enumera una serie de mejores pr\u00e1cticas del Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (National Institute of Standards and Technology<\/em>; NIST) que fueron utilizadas como base para mostrar c\u00f3mo agregar funcionalidades de seguridad a las orientaciones actuales de la INTOSAI. El marco de ciberseguridad del NIST proporciona un entorno integral y un cat\u00e1logo flexible y personalizable de controles de seguridad y privacidad para ayudar a las organizaciones a gestionar los riesgos asociados a los sistemas, hacer frente a las ciberamenazas y dar soporte a una gesti\u00f3n integral de riesgos a todos los niveles organizativos.<\/p>\n\n\n\n El presente repaso resaltar\u00e1 las que se pueden considerar las cinco familias de controles de seguridad y privacidad m\u00e1s cr\u00edticas del NIST, referenciadas en las orientaciones de la INTOSAI y susceptibles de correlacionarse con ciberataques de alto impacto. <\/p>\n\n\n\n La gesti\u00f3n de riesgos de la cadena de suministro (Supply Chain Risk Management<\/em>; <\/em>SR) se ha convertido en una preocupaci\u00f3n cr\u00edtica debido a la creciente prevalencia de ciberataques contra las cadenas de suministro que amenazan tanto a entidades del sector p\u00fablico como del privado. Un ejemplo a destacar es el ataque a SolarWinds de 2020, en el que los adversarios se infiltraron en las actualizaciones de software y comprometieron la seguridad de numerosos sistemas, incluidos los de organismos gubernamentales. Tales incidentes demuestran la importancia de una rigurosa supervisi\u00f3n y evaluaci\u00f3n de riesgos a la hora de tratar con proveedores externos. Para mitigar estos riesgos, las EFS deber\u00edan establecer orientaciones claras a efectos de evaluar las vulnerabilidades de dichos proveedores y verificar la autenticidad de componentes y servicios. La implementaci\u00f3n de est\u00e1ndares como los recogidos en la Gu\u00eda NIST 800-161<\/a> puede reforzar la seguridad al aportar marcos de ciberseguridad estructurados para identificar y gestionar los riesgos de la cadena de suministro.<\/p>\n\n\n\n La gesti\u00f3n de la respuesta a incidentes (Incident Response<\/em>; IR) resulta esencial para minimizar el impacto de las brechas de seguridad, particularmente de cara al ransomware y las amenazas persistentes avanzadas (Advanced Persistent Threats<\/em>; APT). Un ejemplo simple de ello es el ataque del grupo de ransomware Conti a Costa Rica de abril de 2022, que afect\u00f3 gravemente a m\u00faltiples organismos gubernamentales, entre ellos el Ministerio de Hacienda del pa\u00eds, y paraliz\u00f3 la recaudaci\u00f3n de impuestos y otros servicios cr\u00edticos. Este tipo de incidentes evidencian la necesidad de una planificaci\u00f3n proactiva de la respuesta a incidentes en aras de asegurar la capacidad de las organizaciones para detectar, contener y recuperarse de los ciberataques. Las EFS deber\u00edan promover estrategias integrales de gesti\u00f3n de incidentes, incluidos marcos de asistencia, planes de respuesta estructurados y simulacros peri\u00f3dicos de los protocolos de actuaci\u00f3n frente a incidentes. La adopci\u00f3n de est\u00e1ndares sectoriales como los de la publicaci\u00f3n especial NIST SP 800-61<\/a> puede fortalecer a\u00fan m\u00e1s las capacidades de respuesta y mejorar la resiliencia general en materia de ciberseguridad.<\/p>\n\n\n\n La privacidad y la protecci\u00f3n de datos se han convertido en aspectos primordiales a medida que regulaciones como el Reglamento General de Protecci\u00f3n de Datos (RGPD) est\u00e1n imponiendo requisitos estrictos de gesti\u00f3n y protecci\u00f3n de la informaci\u00f3n de identificaci\u00f3n personal (personally identifiable information<\/em>; PII). El hecho de no proteger los datos confidenciales puede dar lugar a brechas severas, tal y como se vio en 2020, cuando los adversarios pusieron en peligro las comunicaciones gubernamentales y la informaci\u00f3n pol\u00edtica cr\u00edtica del Parlamento noruego. Incidentes de esta \u00edndole ponen de relieve la importancia de una s\u00f3lida gobernanza de la privacidad y de las correspondientes medidas de conformidad. Las EFS deber\u00edan implementar evaluaciones de impacto sobre la privacidad y establecer marcos integrales de protecci\u00f3n de datos para mitigar los riesgos. La incorporaci\u00f3n del Marco de Privacidad del NIST<\/a> brinda a las EFS la posibilidad de desarrollar un enfoque estructurado para la gobernanza de la privacidad, asegurando su conformidad, la rendici\u00f3n de cuentas y la preservaci\u00f3n de la confianza p\u00fablica en el tratamiento de los datos.<\/p>\n\n\n\n El monitoreo continuo y las operaciones de seguridad automatizadas (Continuous Monitoring and Automated Security Operations;<\/em> Assesment, Authorization and Monitoring<\/em> – CA; System and Information Integrity<\/em> – SI) son esenciales para identificar y mitigar las vulnerabilidades en tiempo real, especialmente en los sistemas cr\u00edticos. Un ejemplo significativo de ello lo constituye la explotaci\u00f3n de vulnerabilidades de la aplicaci\u00f3n MOVEit Transfer en 2023, donde los adversarios lograron incrustar malware en transferencias de datos leg\u00edtimas, con el consiguiente impacto en numerosas organizaciones, incluido el Departamento de Energ\u00eda de EE.UU. Este incidente muestra la importancia de un monitoreo de seguridad proactivo y automatizado para poder detectar y responder a las amenazas antes de que escalen. Las EFS deber\u00edan adoptar herramientas automatizadas, metodolog\u00edas de seguridad adaptativas y marcos de monitoreo continuo a fin de reforzar la ciberresiliencia. Aprovechar las orientaciones de la NIST 800-137A<\/a> en este sentido puede ayudar a instaurar pr\u00e1cticas de seguridad robustas que respondan de forma din\u00e1mica a las amenazas y vulnerabilidades emergentes.<\/p>\n\n\n\n El Internet de las cosas (Internet of Things<\/em>; IoT) y la tecnolog\u00eda operativa (Operational Technology<\/em>; OT; Physical and Environmental Protection <\/em>\u2013 PE; System and Communications Protection <\/em>– SC) ostentan un papel central en las infraestructuras cr\u00edticas, pero la debilidad de sus configuraciones los convierte en blancos prioritarios de ciberamenazas. Aqu\u00ed, sirva como ejemplo singular el ataque de ransomware al oleoducto Colonial Pipeline en 2021, en el que los adversarios interrumpieron la distribuci\u00f3n de combustible en todo Estados Unidos, provocando un desabastecimiento generalizado y desencadenando, a su vez, una respuesta a nivel federal para mejorar la seguridad de las infraestructuras cr\u00edticas. Este incidente ilustra la necesidad de proteger los entornos IoT y OT con miras a prevenir disrupciones similares. Las Entidades Fiscalizadoras Superiores (EFS) deber\u00edan adoptar estrategias de la auditor\u00eda basada en riesgos que contemplen las vulnerabilidades de IoT y TO, inclusive la autenticaci\u00f3n de dispositivos, el encriptado y la seguridad de las comunicaciones. A estos efectos, utilizar las orientaciones de las publicaciones especiales NIST SP 1800-25<\/a>, 1800-26<\/a>, 800-82<\/a> puede fortalecer la resiliencia y la seguridad de dichos sistemas.<\/p>\n\n\n\n Las cinco \u00e1reas de seguridad descritas abordan amenazas clave; sin embargo, cabr\u00eda considerar otras muchas familias de controles de seguridad y privacidad NIST. Se podr\u00eda aplicar una metodolog\u00eda similar para ampliar el an\u00e1lisis, centr\u00e1ndose en controles de seguridad espec\u00edficos y ofreciendo recomendaciones m\u00e1s focalizadas. Tal aproximaci\u00f3n permite aprovechar las orientaciones existentes de la INTOSAI e incorporar, al mismo tiempo, elementos concretos de otras normas y est\u00e1ndares, como el NIST.<\/p>\n\n\n\n En definitiva, si las EFS potencian los controles de ciberseguridad, podr\u00e1n auditar y reforzar mejor los controles de seguridad, lo que, en \u00faltima instancia, redunda en una mayor resiliencia de los sistemas de informaci\u00f3n del sector p\u00fablico.<\/p>\n","protected":false},"excerpt":{"rendered":" Las Entidades Fiscalizadoras Superiores (EFS) desempe\u00f1an un papel esencial en la evaluaci\u00f3n de la eficacia de las pol\u00edticas gubernamentales. En una era marcada por\u00a0 r\u00e1pidos cambios tecnol\u00f3gicos, las pol\u00edticas que rigen la ciberseguridad y la protecci\u00f3n de datos est\u00e1n sometidas a una inmensa presi\u00f3n para cumplir con unos altos est\u00e1ndares de resiliencia y conformidad. El presente art\u00edculo pretende ampliar nuestra comprensi\u00f3n del tema a trav\u00e9s del examen de nuevas perspectivas susceptibles de complementar las orientaciones existentes formuladas por la Organizaci\u00f3n Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) y descritas, principalmente, en los siguientes documentos:<\/p>\n","protected":false},"author":377,"featured_media":35300,"template":"","meta":{"_acf_changed":false,"footnotes":""},"journal-categories":[4274],"content-tags":[1027,1036,4281,1197,1207],"country":[2899],"region":[2872],"section":[1346],"coauthors":[4155],"class_list":["post-35919","journal-entry","type-journal-entry","status-publish","has-post-thumbnail","hentry","journal-categories-q2-2025-es","content-tags-cybersecurity-es","content-tags-digitalization-es","content-tags-emerging-risks-es","content-tags-risk-based-approach-es","content-tags-science-and-technology-es","country-brazil-5-es","region-olacefs-de-es","section-spotlight-on-science-and-technology-es"],"acf":[],"yoast_head":"\nLas cinco familias de controles NIST esenciales: lecciones aprendidas de ciberataques de alto impacto<\/h2>\n\n\n\n
1. Gesti\u00f3n de riesgos de la cadena de suministro (SR)<\/h3>\n\n\n\n
2. Respuesta a incidentes (IR)<\/h3>\n\n\n\n
3. Tratamiento de la informaci\u00f3n de identificaci\u00f3n personal (PII) y transparencia (PT)<\/h3>\n\n\n\n
4. Monitoreo continuo y operaciones de seguridad automatizadas (CA, SI)<\/h3>\n\n\n\n
5. Seguridad del Internet de las cosas (IoT) y la tecnolog\u00eda operativa (OT) – (PE, SC)<\/h3>\n\n\n\n
Conclusi\u00f3n<\/h2>\n\n\n\n