Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Paso 2 – Recopilar la información necesaria

lcspc

Paso 2 – Recopilar la información necesaria

En el Paso 1 definimos el alcance del perfil organizativo:
qué parte de la organización será analizada con el NIST CSF 2.0.

Ahora, en el Paso 2, el objetivo es:

Reunir información suficiente y confiable sobre esa parte de la organización,
para poder construir un perfil organizativo sólido en el siguiente paso.

Si la información recopilada es pobre o incompleta:

  • El perfil actual será incorrecto.

  • El perfil objetivo no será realista.

  • El plan de acción se basará en suposiciones.

Por eso este paso es clave.

¿Qué tipo de información debemos recopilar?

Dentro del alcance definido, necesitas entender al menos cinco cosas:

  1. Contexto y objetivos del negocio.

  2. Activos y procesos clave.

  3. Riesgos y requisitos.

  4. Controles y prácticas de ciberseguridad existentes.

  5. Historial relevante (incidentes, auditorías, cambios importantes).

Veamos cada punto, primero en general y luego aplicado al caso SeguriBank Online.

1. Contexto y objetivos del negocio

En general

Se trata de entender:

  • ¿Qué hace el servicio o proceso dentro del alcance?

  • ¿Qué valor aporta al negocio?

  • ¿Qué pasaría si el servicio se ve comprometido (disponibilidad, integridad, confidencialidad)?

Esto ayuda a priorizar:
no es lo mismo un sistema interno poco crítico que un servicio de cara al cliente con impacto financiero directo.

En SeguriBank Online

  • SeguriBank Online es el canal digital principal del banco.

  • Los clientes lo usan para:

    • Consultar saldos y movimientos.

    • Hacer transferencias.

    • Pagar servicios.

    • Gestionar tarjetas.

  • Es crítico para:

    • Ingresos, porque muchas operaciones pasan por ese canal.

    • Reputación, porque cualquier caída o fraude masivo impacta la confianza.

Conclusión:
SeguriBank Online es un servicio de alta criticidad que exige una protección fuerte y una gestión de riesgos muy cuidadosa.

2. Activos y procesos clave

En general

Hay que identificar:

  • Aplicaciones y servicios (web, móvil, APIs).

  • Bases de datos y sistemas de almacenamiento.

  • Infraestructura (servidores, redes, nube).

  • Procesos de negocio que dependen del servicio (por ejemplo, “procesar pago de servicios”, “ejecutar transferencias”).

  • Proveedores externos relevantes.

No se trata de tener un CMDB perfecto, pero sí un mapa razonable de lo que está “dentro del alcance”.

En SeguriBank Online

Parte de la información a recopilar podría ser:

  • Aplicaciones:

    • Portal web de banca online.

    • Aplicación móvil (Android / iOS).

    • APIs que conectan la app y el portal con sistemas centrales del banco.

  • Datos y almacenamiento:

    • Bases de datos de clientes y cuentas.

    • Registros de transacciones.

    • Logs de acceso y actividad.

  • Infraestructura:

    • Servidores de aplicaciones.

    • Balanceadores de carga.

    • Equipos de seguridad perimetral.

    • Componentes en la nube (si aplica).

  • Proveedores:

    • Pasarela de pagos.

    • Servicio de SMS/OTP.

    • Servicios de correo transaccional.

Esta información será fundamental cuando traduzcamos todo al lenguaje del Core del NIST CSF.

3. Riesgos y requisitos

En general

Aquí buscamos responder:

  • ¿Cuáles son los riesgos de negocio y tecnológicos más importantes dentro del alcance?

  • ¿Qué requisitos regulatorios, legales o contractuales afectan a este entorno?

  • ¿Qué políticas internas condicionan cómo deben protegerse los activos?

En SeguriBank Online

Riesgos típicos:

  • Fraude por robo de credenciales o suplantación de identidad.

  • Ataques que afecten la disponibilidad del servicio (DDoS, fallos de infraestructura, errores de configuración).

  • Fuga de datos de clientes (por fallos de seguridad o errores internos).

Requisitos:

  • Normativa del regulador financiero sobre:

    • Continuidad del servicio.

    • Protección de datos de clientes.

    • Notificación de incidentes graves.

  • Políticas internas del banco sobre:

    • Clasificación de información.

    • Gestión de acceso a datos financieros.

    • Uso de proveedores en la nube.

Toda esta información influirá en el diseño del perfil objetivo y en la priorización de brechas más adelante.

4. Controles y prácticas de ciberseguridad existentes

En general

Antes de pensar en “qué falta”, hay que conocer “qué ya se hace”.
Ejemplos:

  • Autenticación y autorización (contraseñas, MFA, tokens).

  • Cifrado de datos en tránsito y en reposo.

  • Hardening y gestión de parches.

  • Monitoreo, alertas y correlación de eventos.

  • Gestión de incidentes.

  • Copias de seguridad y pruebas de recuperación.

Esta información será el punto de partida del perfil actual.

En SeguriBank Online

Podríamos recopilar, entre otras cosas:

  • Cómo se autentican los clientes:

    • Usuario/contraseña, OTP por SMS, token, biometría, etc.

  • Si las conexiones están cifradas (TLS) y si los datos sensibles están cifrados en bases de datos.

  • Si existe monitoreo específico para SeguriBank Online:

    • Detección de accesos sospechosos.

    • Monitoreo de patrones de fraude.

  • Si hay un proceso de:

    • Gestión de incidentes que incluya incidentes en el canal online.

    • Pruebas periódicas de restauración del servicio (DRP/BCP).

5. Historial relevante (incidentes, auditorías, cambios)

En general

Esta información da contexto real:

  • ¿Qué incidentes han ocurrido en el pasado?

  • ¿Qué dijeron las auditorías internas o externas?

  • ¿Hubo cambios importantes (migraciones, nuevas versiones, cambio de proveedor)?

Sirve para:

  • Detectar patrones.

  • Evitar repetir errores.

  • Aprovechar conocimiento ya ganado.

En SeguriBank Online

Algunos ejemplos a recopilar:

  • Incidentes:

    • Intentos de fraude detectados.

    • Casos de acceso indebido a cuentas.

    • Caídas del servicio y su duración.

  • Auditorías:

    • Observaciones sobre gestión de accesos en banca digital.

    • Hallazgos sobre protección de datos de clientes.

    • Recomendaciones de mejora pendientes.

  • Cambios recientes:

    • Migración de parte del servicio a la nube.

    • Implementación de una nueva app móvil.

    • Cambio de proveedor de pasarela de pagos.

Técnicas para recopilar esta información

Para conseguir todo lo anterior, en la práctica se combinan varias técnicas:

  • Revisión documental

    • Políticas, procedimientos, diagramas, inventarios, informes de auditoría, contratos con proveedores.

  • Entrevistas y talleres

    • Con responsables de banca digital, seguridad, TI, riesgos, cumplimiento, etc.

    • En el caso de SeguriBank, por ejemplo:

      • Jefe de banca digital.

      • CISO.

      • Responsable de infraestructura.

      • Responsable de riesgos operacionales.

  • Evidencias técnicas

    • Configuraciones, reportes de herramientas de seguridad, registros de monitoreo.

  • Walkthroughs o recorridos

    • Ver cómo se ejecutan procesos clave:

      • Alta/baja de usuarios.

      • Respuesta a incidentes en SeguriBank Online.

      • Restauración del servicio desde backups.

Aplicando el Paso 2 al caso SeguriBank Online

Al finalizar este paso, SeguriBank debería tener, como mínimo:

  • Un resumen del contexto de SeguriBank Online:

    • Qué ofrece, quién lo usa, por qué es crítico.

  • Un mapa inicial de activos y procesos clave:

    • Aplicaciones web y móviles, APIs, bases de datos, infraestructura y proveedores críticos.

  • Una lista de riesgos y requisitos principales:

    • Fraude, fuga de datos, indisponibilidad, regulaciones del sector financiero.

  • Un inventario de controles existentes:

    • Autenticación y MFA, cifrado, monitoreo, gestión de incidentes, copias de seguridad, etc.

  • Un registro del historial relevante:

    • Incidentes pasados, hallazgos de auditorías, cambios recientes importantes.

Todo este material será la entrada directa para el Paso 3 – Crear el perfil organizativo, donde traduciremos esta realidad al lenguaje del núcleo del NIST CSF (funciones, categorías y subcategorías) y empezaremos a construir el perfil actual y el perfil objetivo para SeguriBank Online.

Preguntas tipo examen

Pregunta 1

¿Cuál es el objetivo principal del Paso 2 – Recopilar la información necesaria al aplicar el NIST CSF 2.0?

A. Definir qué parte de la organización será analizada.
B. Recoger información suficiente sobre contexto, activos, riesgos, controles e historial para poder construir un perfil organizativo coherente.
C. Ejecutar todas las acciones del plan de mejora.
D. Determinar el nivel de implementación final (tier) para toda la organización.

Pregunta 2

En el caso de SeguriBank Online, ¿cuál de los siguientes elementos sí forma parte de la información a recopilar en este paso?

A. El diseño gráfico de los banners publicitarios del banco.
B. Los diagramas de arquitectura del servicio y la lista de proveedores críticos.
C. La estrategia de marketing en redes sociales para captar nuevos clientes.
D. El manual de identidad visual de la marca.

Pregunta 3

¿Qué combinación de técnicas es más adecuada para recopilar la información necesaria en el Paso 2 para un servicio como SeguriBank Online?

A. Solo encuestas anónimas a todos los empleados.
B. Revisión documental, entrevistas con responsables clave, análisis de evidencias técnicas y walkthroughs de procesos relevantes.
C. Únicamente pruebas de penetración externas.
D. Reuniones informales sin documentación ni revisión de evidencias.

Respuestas correctas y explicación breve

  • Pregunta 1 → Respuesta correcta: B
    El Paso 2 tiene como objetivo reunir información suficiente y confiable sobre el entorno dentro del alcance (contexto, activos, riesgos, controles, historial) para poder construir el perfil organizativo en el Paso 3.

  • Pregunta 2 → Respuesta correcta: B
    Los diagramas de arquitectura y la lista de proveedores críticos son información esencial para analizar la ciberseguridad de SeguriBank Online.

  • Pregunta 3 → Respuesta correcta: B
    Una combinación de revisión documental, entrevistas, evidencias técnicas y walkthroughs proporciona una visión completa y realista del servicio dentro del alcance.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing