UNIVERSIDAD DON BOSCO VICERRECTORÍA ACADÉMICA FACULTAD DE INGENIERÍA TRABAJO DE GRADUACIÓN PARA OPTAR AL GRADO DE Maestro(a) en Seguridad y Gestión de Riesgos Informáticos PROYECTO Implementación de estándar CIS para escaneo de vulnerabilidades en granja de servidores Windows PRESENTADO POR Carlos Samuel Guzmán Barrientos GB212262 José Giovanni Viera López VL211678 ASESOR Rene Humberto Rodríguez Mejía Antiguo Cuscatlán, La Libertad, El Salvador, Centro América Junio 2023 2 índice Objetivos ................................................................................................................................................. 8 Objetivo general .................................................................................................................................. 8 Objetivos específicos ........................................................................................................................... 8 Introducción ............................................................................................................................................ 9 Justificación ........................................................................................................................................... 10 Planteamiento de problemática ............................................................................................................ 11 Situación de las Pymes en cuanto al tema de ciberseguridad ........................................................... 11 Liderazgo para crear cultura de la ciberseguridad ........................................................................ 11 Presupuesto .................................................................................................................................. 12 Organización .................................................................................................................................. 13 Antecedentes de (CIS) ........................................................................................................................... 16 Grupo de implementación 1 (IG1) ..................................................................................................... 17 Grupo de implementación 2 (IG2) ..................................................................................................... 18 Grupo de implementación 3 (IG3) ..................................................................................................... 18 CIS Control 1: ..................................................................................................................................... 23 CIS Control 2: ..................................................................................................................................... 23 CIS Control 3: ..................................................................................................................................... 24 CIS Control 4: ..................................................................................................................................... 24 CIS Control 5: ..................................................................................................................................... 25 CIS Control 6: ..................................................................................................................................... 25 CIS Control 7: ..................................................................................................................................... 25 CIS Control 8: ..................................................................................................................................... 26 CIS Control 9: ..................................................................................................................................... 26 CIS Control 10: ................................................................................................................................... 27 CIS Control 11: ................................................................................................................................... 27 CIS Control 12: ................................................................................................................................... 27 CIS Control 13: ................................................................................................................................... 28 CIS Control 14: ................................................................................................................................... 28 CIS Control 15: ................................................................................................................................... 28 CIS Control 16: ................................................................................................................................... 29 CIS Control 17: ................................................................................................................................... 29 CIS Control 18: ................................................................................................................................... 30 Problemática actual de las pymes ......................................................................................................... 30 3 Problemática nivel regional y estudios .............................................................................................. 31 cuáles son los retos que enfrentan las pymes en latam .................................................................... 35 Los principales problemas y debilidades detectados se refieren a tres aspectos: ........................ 35 La presencia en internet que tienen las pymes, adaptación de las pymes por la pandemia ............. 42 Estadísticas de ataque ....................................................................................................................... 46 POLÍTICA ................................................................................................................................................ 49 Gobierno y Auditoria ............................................................................................................................. 49 Gobierno ........................................................................................................................................... 49 ¿Qué es gobierno de seguridad de la información? ...................................................................... 50 El marco de trabajo de gobierno generalmente consistirá en: ..................................................... 50 Roles y responsabilidades de la alta dirección............................................................................... 51 La seguridad de la información requiere: ...................................................................................... 51 Un programa de GRC de TI generalmente incluye: ....................................................................... 51 Gobierno Corporativo........................................................................................................................ 52 Marco de Referencia para Juntas Efectivas ................................................................................... 52 Solución tecnológica para la gestión integrada de riesgos ................................................................ 53 Marco de la Gestión del Riesgo de Cumplimiento............................................................................. 53 Auditoria ............................................................................................................................................ 54 Tipos de auditoria informática .......................................................................................................... 55 Alcance de auditoria .......................................................................................................................... 55 CONFLICTO DE INTERÉS ..................................................................................................................... 56 Actividades de ejecución de la auditoria ........................................................................................... 56 AGENDAS DE REUNIÓN ..................................................................................................................... 56 Indicadores ........................................................................................................................................ 57 ¿Qué son los indicadores de TI? .................................................................................................... 57 ¿Cómo utilizar los objetivos e indicadores de TI? .......................................................................... 58 ANEXOS ................................................................................................................................................. 59 Política de la seguridad de la información ............................................................................................. 60 Objetivos ........................................................................................................................................... 61 Alcance .............................................................................................................................................. 61 Generalidades ................................................................................................................................... 61 Términos y Definiciones .................................................................................................................... 62 PROCEDIMIENTOS Y RESPONSABILIDADES ........................................................................................ 63 Documentación de aplicaciones en producción ............................................................................ 63 Modificación de Datos y programas .............................................................................................. 63 Segregación de funciones clave..................................................................................................... 63 4 Procedimiento control de cambios ............................................................................................... 63 INTRODUCCIÓN A LA POLÍTICA.............................................................................................................. 63 Acerca de la Seguridad de la Información ......................................................................................... 64 Organización para la Seguridad de la Información ............................................................................ 64 Asesor certificado en seguridad de la información. .......................................................................... 64 Identificación, clasificación y valoración de activos de información. ................................................ 64 Seguridad de la información en el Recurso Humano ......................................................................... 65 Control de Acceso ............................................................................................................................. 65 Responsabilidades de los empleados ................................................................................................ 65 Responsabilidades de Usuarios Externos .......................................................................................... 65 POLÍTICAS GENERALES PARA USUARIOS DE LOS ACTIVOS DE INFORMACIÓN ...................................... 66 Seguridad Física y del entorno........................................................................................................... 66 Control de Acceso a los Sistemas ...................................................................................................... 66 Acceso remoto a la red ...................................................................................................................... 66 Seguridad en los equipos................................................................................................................... 66 ADMINISTRACIÓN INCIDENTES Y OPERACIONES ................................................................................... 66 Reporte e investigación de incidentes de seguridad ......................................................................... 66 PROTECCIÓN CONTRA SOFTWARE MALICIOSO Y HACKING .................................................................. 66 Copias de Seguridad .......................................................................................................................... 67 Administración de Configuraciones de Red ....................................................................................... 67 Internet y Correo Electrónico ............................................................................................................ 67 INSTALACIÓN DE SOFTWARE ................................................................................................................. 67 Inventario de Software ...................................................................................................................... 67 Computación Móvil ........................................................................................................................... 67 AUDITORIA Y SEGUIMIENTO .................................................................................................................. 67 Administración de Continuidad del Negocio ......................................................................................... 68 GESTIÓN DE VULNERABILIDADES .......................................................................................................... 68 Análisis del riesgo .............................................................................................................................. 68 Análisis de vulnerabilidades por equipos ...................................................................................... 68 Categorización de vulnerabilidades ............................................................................................... 68 Excepciones ........................................................................................................................................... 69 CUMPLIMIENTO .................................................................................................................................... 69 Procedimientos ................................................................................................................................. 70 introducción ...................................................................................................................................... 71 Objetivos ............................................................................................................................................... 71 Alcance .................................................................................................................................................. 71 5 Seguridad Física y del entorno............................................................................................................... 72 Control de Acceso a los Sistemas .......................................................................................................... 73 Acceso remoto a la red .......................................................................................................................... 74 Seguridad en los equipos....................................................................................................................... 74 ADMINISTRACIÓN INCIDENTES Y OPERACIONES ................................................................................... 75 Reporte e investigación de incidentes de seguridad ............................................................................. 75 PROTECCIÓN CONTRA SOFTWARE MALICIOSO Y HACKING .................................................................. 75 Copias de Seguridad .............................................................................................................................. 76 Administración de Configuraciones de Red ........................................................................................... 76 Internet y Correo Electrónico ................................................................................................................ 77 INSTALACIÓN DE SOFTWARE ................................................................................................................. 78 Inventario de Software .......................................................................................................................... 78 Computación Móvil ............................................................................................................................... 79 AUDITORIA Y SEGUIMIENTO .................................................................................................................. 79 Administración de Continuidad del Negocio ......................................................................................... 80 GESTIÓN DE VULNERABILIDADES .......................................................................................................... 80 Conclusiones ......................................................................................................................................... 81 Recomendaciones ................................................................................................................................. 81 Bibliografía ............................................................................................................................................ 82 6 Índice de imágenes Imagen 1. Cómo Empezar ------------------------------------------------------------------------------------------------ 17 Imagen 2.Distribución de empresas según tamaño ---------------------------------------------------------------- 33 Imagen 3. Cantidad de empresas según sector ---------------------------------------------------------------------- 34 Imagen 4. Uso de tecnologías digitales según tamaño de empresas ------------------------------------------- 36 Imagen 5. Principales elementos de debilidad ----------------------------------------------------------------------- 42 Imagen 6. Canales digitales usados por los usuarios --------------------------------------------------------------- 45 Imagen 7. Actividades de comercio electrónico --------------------------------------------------------------------- 46 Imagen 8. tipos de malware y servicios de piratería más discutidos ------------------------------------------- 48 Imagen 9. Grupos de ransomware ------------------------------------------------------------------------------------- 48 Imagen 10. Gobierno corporativo de las TIC ------------------------------------------------------------------------- 50 Imagen 11. Marco de referencia para juntas efectivas ------------------------------------------------------------ 52 Imagen 12. Estructura integrada de las líneas de defensa -------------------------------------------------------- 53 Imagen 13. Marco de la gestión del riesgo de cumplimiento ---------------------------------------------------- 53 7 índice de Tablas Tabla 1. Ejemplo clasificación control uno de norma CIS versión 8 --------------------------------------------- 18 Tabla 2. Controles CIS ------------------------------------------------------------------------------------------------------ 19 Tabla 3. Análisis de vulnerabilidades por equipos ------------------------------------------------------------------ 68 Tabla 4. Categorización de vulnerabilidades ------------------------------------------------------------------------- 68 8 Objetivos Objetivo general Proteger los activos de información de las empresas Pyme por medio de la implementación de un proceso operativo de escaneo, categorización y remediación de vulnerabilidades a las que están expuestos los servidores Windows con base al estándar Critical Security Controls (CIS). Objetivos específicos a. Definir un proceso basado en la aplicación de Critical Security Controls (CIS) para reducir vulnerabilidades en la infraestructura tecnológica b. Establecer la clasificación de vulnerabilidades y exposición mediante CVE (Common Vulnerabilities and Exposures) c. Medir el nivel de riesgo a la que está expuesta la infraestructura tecnológica de la institución y definir las medidas remediales correspondientes d. Analizar las normas de seguridad vigentes para que el marco de referencia se encuentre acorde a los lineamientos dictados por los estándares reconocidos de la industria. Tipo de Investigación: Investigación Académica 9 Introducción El presente proyecto de investigación busca establecer un marco de referencia para la implementación de controles críticos de seguridad (CIS-Center Of Internet Security) en una MiPymes, tomando en cuenta que la digitalización de los procesos en las organizaciones abre las puertas a nuevos riesgos en cuanto a la seguridad cibernética se refiere, esto obliga a las empresas a invertir en soluciones tecnológicas de protección digital y en recursos profesionales para crear y gestionar políticas de seguridad informática y herramientas de ciberseguridad, sin embargo, no todas las organizaciones pueden destinar los recursos económicos suficientes para cubrirse ante las amenazas digitales, también es importante considerar que debido a la pandemia de COVID-19 nació la necesidad de las empresas de todo tipo y tamaño de contar con los equipos tecnológicos para realizar teletrabajo, estas situaciones aumentan la probabilidad de ser víctimas de una intrusión cibernética y posteriores delitos informáticos. Por lo cual, se pretende presentar la guía y marco de referencia de CIS el cual comienza a construirse desde el análisis de los antecedentes en términos de seguridad informática de la organización, de este análisis, se determina que no se puede garantizar que las pocas medidas de seguridad tomadas en la compañía cubran a todos los activos que debería proteger y peor aún se encuentren articulados entre ellos, esto implica que es necesario implementar los controles dictados por algún estándar de la industria, en este caso, se eligió la norma CIS, debido a que esta sugiere determinados puntos de control para pequeñas empresas que se encuentran en una etapa temprana de implementación de controles de seguridad informática, el desarrollo del marco de referencia busca proveer a las organizaciones las pautas claras a seguir al momento de implementar algún control de CIS y de esta manera pueda gestionar en un futuro su ciberseguridad con formalidad. 10 Justificación El mundo se encuentra cursando el proceso llamado democratización del acceso a Internet, esto significa que conforme pasa el tiempo es más sencillo que las personas tengan acceso al mundo digital, y nuestro país no es la excepción. Hoy en día la gente se encuentra hiperconectada, ya sea mediante sus computadores o sus dispositivos móviles, la presencia digital es prácticamente de 24 horas, no importa si se encuentran en su lugar de trabajo o en su hogar, las personas permanentemente se encuentran conectadas a la web. Si las personas se encuentran hiperconectadas es lógico que las organizaciones también lo estén, esto implica que las instituciones corren los mismos riesgos que cualquier persona en Internet, porque detrás de todo proceso digital dentro de una empresa, siempre se encontrará una persona. Tarde o temprano las organizaciones llegan a la conciencia de comprender los riesgos y buscan protegerse, crean políticas de seguridad de la información, implementan herramientas digitales que protejan la infraestructura tecnológica y capacitan a su personal, todo esto genera una sensación de protección. Por otro lado, ninguna medida de ciberseguridad es infalible, es aquí donde radica la importancia de implementar controles de seguridad informática, y hoy en día más que nunca, debido a que son más frecuentes las noticias de organizaciones víctimas de ataques cibernéticos. De acuerdo con un estudio de Kasperky las PYMES en Latinoamérica han sufrido 4 veces más ataques cibernéticos en los últimos 3 años (fuente - Las PyMEs de América Latina enfrentan un creciente número de ciberataques - kaspersky.com) Los tres mayores delitos cometidos pueden traer consigo consecuencias tales como: el robo de credenciales de acceso a sistemas informáticos, robo de información, estafas electrónicas o instalación de software malicioso (malware) en los equipos informáticos, todas estas afectan de manera importante a personas y organizaciones, ocasionando pérdidas económicas, ya sea por el robo de dinero, la sustracción o pérdida de información o la imposibilidad de continuidad del negocio, sin mencionar el daño reputacional que las organizaciones sufren, para todo lo mencionado anteriormente, existen formas para defenderse de un ataque o reponerse de uno, sin embargo, no todas las organizaciones le brindan la importancia necesaria, debido a esto es importante implementar controles de seguridad informática para reducir los riesgos a los que se encuentran expuestos los activos y la información de las MiPymes. 11 Planteamiento de problemática Situación de las Pymes en cuanto al tema de ciberseguridad Liderazgo para crear cultura de la ciberseguridad La ciberseguridad no debe ser aplicada exclusivamente a solo sistemas informáticos, sino que también es aplicable a personas. Concientizar y capacitar a todos los empleados/as en protocolos de ciberseguridad, prevención de ciberataques, normativa regulatoria y bienestar digital es parte imprescindible del proceso de transformación digital y de una cultura en ciberseguridad. Para implementar un plan de ciberseguridad en una organización es imprescindible capacitar a cada empleado/a según su relación con la tecnología corporativa. Itinerarios formativos a medida de directivos, mandos intermedios, personal de administración, financiero, técnico, comercial, para capacitar a toda la organización en la prevención de ciberataques, robos de información, estafas online, sanciones regulatorias y el cuidado de la identidad y bienestar digital. Crear Cultura de Ciberseguridad es la inversión más eficaz para conseguir que la organización aproveche la digitalización, sin embargo, la falta de liderazgo o no tener a alguien delegado e inclusive el poco apoyo o nulo de la alta administración dentro de una pyme se vuelve un problema que debe superarse si se desea evitar que un riesgo se materialice; al ser las personas el eslabón más débil en la cadena de ciberseguridad, el tema de cultura debe tratarse con la misma importancia para que el negocio no se vea afectado. La falta de formación del personal es la causa de la mayor parte de las brechas en la seguridad de los datos en empresas. Ciberataques como Ransomware, DDoS, phishing, vishing, ingeniería social, etc., son las técnicas más utilizadas por los ciberdelincuentes para realizar secuestros de dispositivos, estafas online y robos de información confidencial. No existe autenticación, antivirus o firewall que funcione ante errores humanos. Los objetivos de la cultura de ciberseguridad deben ser estratégicos, alineados con los objetivos de la organización y también alineados con la gestión de los riesgos que puedan afectar la consecución de estos objetivos. En este contexto, es necesario comprender cómo es la cultura de ciberseguridad actual 12 dentro de la organización. Pero para conocerla, primero se debe explorarla, analizar su propósito y valores compartidos, y la forma en que impacta el compromiso de las personas en el riesgo cibernético. Asegurar el éxito de estas iniciativas constituye el apoyo del liderazgo. Por este motivo, es importante priorizar el papel que juegan los líderes al dar el ejemplo e inspirar a las personas en las buenas prácticas empresariales. Cuando asumen el compromiso activamente defendiendo la conciencia de la ciberseguridad, las personas los siguen, emulando sus principios. Por el contrario, cuando el discurso de la alta dirección no está alineado, las campañas de concientización no harán eco en el personal destino. Presupuesto En el caso de las pymes, es fundamental mantener los equipos tecnológicos en correcto funcionamiento y a salvo de las amenazas cibernéticas como los ransomware, malware, phishing, entre otros. Toda empresa, ya sea una gran corporación o una pyme, desea contar con una sólida ciberseguridad para defender su estructura informática de posibles ciber atacantes y aprovechar al máximo todos los recursos tecnológicos que tienen a disposición. Ahora más que nunca la ciberseguridad está ganando terreno en las tecnologías cloud y ya no hay marcha atrás, ya que el futuro de las empresas no es regresar a la presencialidad plena. Frente a este panorama, es indispensable un mayor asesoramiento de una pyme en relación con la ciberseguridad, a fin de contar con herramientas necesarias para evitar los ataques cibernéticos. A medida que una pyme crece en número de colaboradores y de carga de trabajo, del mismo modo crecerá en volumen de información. Es por esta razón que se debe de poner mucha atención en diseñar un buen sistema de ciberseguridad para proteger toda esa información de posibles amenazas cibernéticas; ya que, sin medidas de seguridad adecuadas, sería accesible para otras personas vulnerar la confidencialidad de esos datos. Bajo estas circunstancias, no es extraño que muchas pymes requieran ayuda en la implantación de métodos de ciberseguridad para preservar sus estructuras de posibles amenazas. Entonces, la ciberseguridad no solamente debe ser una preocupación de las grandes empresas, sino también de las pymes, ya que un e-mail con phishing puede afectar tanto a una empresa con 5 colaboradores como a una de más de 5 mil. Además, no hay que subestimar el hecho de que una de cada tres filtraciones a la seguridad comienza con un ataque de phishing. De ahí que sea muy importante alejar estos riesgos antes de que se materialicen y represente un costo elevado para la pyme deshacerse de un virus informático o frenar un ciberataque. 13 Para una pyme con presencia digital, es crucial contar con soluciones que preserven las redes informáticas. Además, al operar los flujos de trabajo con una herramienta en la nube que le permita gestionar el negocio desde cualquier lugar con solo conectarse a internet, la seguridad tiene un valor agregado. Pero para lograr esto, se debe contar con una base de datos en un servidor confiable y realizar copias de seguridad diarias, cambiar contraseñas cada cierto tiempo, entre otras actividades que conlleva la ciberseguridad. Hay diversos softwares en el mercado para asegurar la protección de los datos, por ejemplo, un software en la nube es seguro e incorpora muchas protecciones de seguridad, frente a las redes locales que pueden ser más vulnerables frente a ataques cibernéticos. Estas herramientas ofrecen actualizaciones automáticas, generan copias de seguridad diarias y es una opción adecuada en entornos remotos. No obstante, la tecnología en la nube no es la única herramienta disponible para mejorar la ciberseguridad, ya que en ocasiones puede ser costosa y no todas las pymes pueden invertir en ella. Es acá donde surge el siguiente problema, el dinero, ese capital o inversión que se requiere para la implementación o adquisición de una herramienta robusta capaz de cubrir todas las necesidades o brechas del riesgo informático, ya que las pymes no cuentan con un gran presupuesto para tecnologías en la nube de ciberseguridad potentes como firewalls o antivirus, lo que lo limita a realizar acciones sencillas como cambiar claves y contraseñas, cifrar datos confidenciales y restringir el uso de la información a personas ajenas a la empresa o que no necesiten acceso a la información de la empresa para desempeñar sus funciones habituales, son solo algunas alternativas sencillas para proteger la información sin invertir recursos. Muchas pymes y sus clientes se ven afectados por incidentes de ciberseguridad, lo que puede llevarlos a fracasar porque no cuentan con suficientes defensas tanto en términos de soluciones como de procesos de seguridad. A veces, solo teniendo en cuenta unos pocos pasos, ya se puede marcar la diferencia entre información protegida y riesgo de amenaza cibernética. Organización La seguridad cibernética se debe tomar tan en serio como otras funciones de misión crítica, como operaciones y finanzas, la ciberseguridad no es solo un problema de tecnología de información o solo exclusiva del área de TI, ante todo, se trata de una cuestión de personas. Contrario a lo que pudiera suponerse, la ciberseguridad de una organización no inicia con la inversión en herramientas tecnológicas, más bien debe arrancar por crear desde la alta administración una cultura de prevención y prudente obtención, almacenaje, uso y desecho de información en sus diferentes estados y formatos, debido a esto es importante poner a cargo a un ejecutivo (o alguien con 14 autoridad): Es importante que una persona designada encabece los esfuerzos cibernéticos de su empresa. Asignar a una persona para que sea el líder de este tema resalta el compromiso con la seguridad cibernética y proporciona una experiencia profesional adicional y relevante para todos. El líder o cyber líder puede adoptar y compartir las mejores prácticas que los empleados pueden implementar y ser la persona de contacto cuando los empleados tienen preguntas o cuando ocurren incidentes cibernéticos. Como se mencionó anteriormente, el líder o la persona designada debe crear o fomentar una cultura de conciencia cibernética: Esto significa que todos los empleados saben que juegan un papel fundamental en la resiliencia cibernética de una empresa. Este tipo de cultura se puede facilitar mediante la educación y la formación. El líder debe considerar publicar las políticas de ciberseguridad de su empresa en un lugar visible para recordar a los empleados qué hacer y que todos tienen la responsabilidad de la seguridad de la información dentro de la organización. Además, el líder debe recordar, que la cultura se crea cuando los empleados tienen un comportamiento común y que les ayudara a responder de una mejor manera la materialización de un evento que ponga en riesgo la información de la organización. La cultura o conciencia en ciberseguridad se construye mediante comunicaciones breves y frecuentes, Por ejemplo, los boletines informativos semanales, los correos electrónicos regulares, los carteles o los protectores de pantalla pueden ser vitales para mantener a los empleados al tanto de los peligros de las infracciones cibernéticas y cómo prevenirlas. El líder debe identificar lo que es relevante para el negocio y adaptar las comunicaciones en consecuencia. Alguna sugerencia puede ser elegir un tema cibernético del mes en el que enfocarse, por ejemplo, reconocer los intentos de phishing o usar contraseñas seguras e informar de ellos a los empleados. Otra de las tareas del líder debe ser, realizar listados de datos y sistemas que para el negocio son más importantes y críticos, de los cuales se debe priorizar y brindar mayor seguridad. Como parte de la evaluación de riesgos, se debe pensar en lo que sucedería si perdiéramos datos importantes o si el sistema fallara. Esta preparación ayudará a priorizar qué proteger. Toda organización, por pequeña que sea, debe identificar su información más sensible y asegurarse de crear copias de seguridad de esos datos, así como planificar la periodicidad con la que se deben realizar estas evaluaciones. El líder debe desarrollar y probar un plan de respuesta a incidentes cibernéticos, tener un plan de respuesta a incidentes para dirigir sus acciones si ocurre una violación cibernética es vital. El plan de respuesta a incidentes debe cubrir la preparación en caso de un incidente, la respuesta y la rápida recuperación, es especialmente importante tener un plan de recuperación que se comunique adecuadamente a todos los empleados. Además, la realización de ejercicios o simulacros que prueben 15 el plan de respuesta a incidentes ayudará a los empleados a identificar sus responsabilidades durante los incidentes y les permitirá actuar de manera eficaz y segura si se producen ataques cibernéticos. La parte más importante de la preparación es tener copias de seguridad actuales que se hayan probado, especialmente para los datos más importantes. Como podemos observar la persona designada para esta actividad se enfoca solamente en el ámbito de la ciberseguridad, lo que le demanda mucho tiempo, es acá donde surge la tercera problemática, las pymes en la mayoría de los casos o en su totalidad, no cuentan con divisiones en las áreas informáticas, mucho menos un equipo para cada una de ellas, el personal dedicado al área de TI está limitado a pocas personas, las cuales deben cubrir las necesidades que el área conlleva como por ejemplo: mantenimiento de la red, atención al usuario final, mantenimiento de servidores, control de acceso, desarrollo y pruebas, etc. Lo que los limita a enfocarse en el tema de ciberseguridad, ya que como se mencionó anteriormente entre las actividades que la persona designada debe desarrollar están: crear y fomentar la cultura de ciberseguridad, transmitir y comunicar los temas desarrollados, evaluar riesgos e identificar los datos más importantes del negocio, desarrollar y probar planes de contingencia. Todas estas tareas del líder de la gestión de riesgo de seguridad y ciberseguridad se vuelven cada vez más complejas, por lo que es necesario que este líder se apoye en buenas prácticas reconocidas por la industria, las que le permitan organizar mejor las tareas y capitalizar experiencias de otras organizaciones. Una de las principales mejores prácticas disponibles son los Controles de Seguridad Críticos-CIS Los Controles de Seguridad Críticos (CIS por sus siglas en inglés) son un conjunto de controles y buenas prácticas que buscan fortalecer la postura de ciberseguridad que permitan mitigar los ataques cibernéticos más frecuentes contra sistemas y redes. Están referenciados por múltiples marcos legales regulatorios y políticas. CIS ha ido mejorando con el paso del tiempo a fin de mantenerse actualizado con los sistemas y software de vanguardia. Tomando en cuenta la migración de información y procesos en la nube, la virtualización, la movilidad, la subcontratación de profesionales, el trabajo remoto y la actualización de tácticas de los atacantes, hacen necesario respaldar la seguridad de una empresa sin importar su tamaño o giro, esto a medida que avanza hacia entornos híbridos; ya que, no puede permitirse adoptar un enfoque pasivo frente a este tipo de amenazas. CIS simplificó el proceso para brindar orientación a las empresas sobre cómo organizar los activos, ayudando a establecer y mantener un inventario detallado de los mismos, esto a fin de mantener control sobre la infraestructura administrada. 16 Con la implementación de estos controles, las empresas dejarán de llevar controles manuales en hojas de cálculo o herramientas similares, las verificaciones y remediación de vulnerabilidades en los servidores serán no solo más eficientes sino que a la vez podremos tener más visibilidad sobre el nivel de obsolescencia en la infraestructura; ya que, no se dependerán de procesos manuales, lo que a su vez se convierte en una ventaja competitiva para el área de operaciones a la hora de solventar vulnerabilidades. Es de hacer notar que genera una mejor retroalimentación con el área de seguridad o ciberseguridad, es decir, en un proceso cíclico de mejora continua mientras el departamento de seguridad realiza el escaneo de vulnerabilidades y este es enviado al departamento de operaciones conteniendo la clasificación de vulnerabilidades, exposición a la que están expuestos los servidores Common Vulnerabilities Exposures (CVE). Posterior a la recepción, el departamento de operaciones evaluará los controles que aplicar para llevar a cabo la remediación de vulnerabilidades, y luego de finalizada la aplicación en los servidores Windows, solicitará nuevamente al área de seguridad realizar un nuevo escaneo con el fin de obtener un detalle de vulnerabilidades resueltas y conocer el nivel de exposición de la infraestructura. ¿Cómo pueden administrar las MiPymes sus riesgos de vulnerabilidades en infraestructura de una forma eficiente, practica y bajo estándar? Antecedentes de (CIS) Los Controles de Seguridad Críticos de CIS (Controles de CIS) son un conjunto prescriptivo, priorizado y simplificado de mejores prácticas de ciberseguridad que, cuando se implementan, proporcionan un programa de ciberseguridad efectivo. Estos tratan de ayudar a las organizaciones a dar los primeros pasos en el mundo de la ciberseguridad. En mayo de 2021 CIS actualizo estos, liberando la versión v8. Dicha versión cuenta con 18 controles de seguridad críticos, estos se encuentran organizados en tres grupos de implementación (IG1, IG2, IG3), dependiendo el tamaño de la organización y su experiencia en ciberseguridad se puede optar por empezar por uno de estos grupos.  IG1 – Organizaciones con recursos y poca o nula experiencia en ciberseguridad  IG2 – Empresas que emplean a personal exclusivamente para administrar y proteger la infraestructura tecnológica  IG3 – Empresas que emplean personal especializado en ciberseguridad CIS se encarga de monitorear en tiempo real los ciberataques (no potenciales) que ocurren a nivel mundial, para, a partir de su análisis, generar conocimiento y experiencia que ayude a los profesionales 17 de la ciberseguridad a proteger mejor a sus organizaciones. Básicamente, consiguen generar algo positivo de una situación negativa, convirtiéndola en conocimiento. Los controles son parte de ese conocimiento, y establecen una serie de “controles” o “cosas que deberíamos hacer” para conseguir que nuestra infraestructura sea un poco más segura. No se meten tanto en el “cómo”, pero sí establecen un “qué” bastante claro. No quiere decir que haya que hacerlo todo al pie de la letra, ni tampoco exactamente en ese orden, pero sí plantean una hoja de ruta muy razonable. Los Grupos de Implementación (IG) son la guía recomendada para priorizar la implementación de los Controles de seguridad Críticos (CIS). Imagen 1. Cómo Empezar (Fuente: https://learn.cisecurity.org/cis-controls) Grupo de implementación 1 (IG1) Representa un estándar mínimo emergente de seguridad de la información para todas las empresas. IG1 es la vía de acceso a los controles y consta de un conjunto fundamental de 56 medidas de ciberdefensa. Las medidas de seguridad incluidas en IG1 son las que toda empresa debe aplicar para defenderse de los ataques más comunes. En la mayoría de los casos, una empresa IG1 suele ser de tamaño pequeño a mediano con experiencia limitada en TI y ciberseguridad para dedicarse a proteger los activos y el personal de TI. Una preocupación común de estas empresas es mantener el negocio operativo, ya que tienen una tolerancia limitada al tiempo de inactividad. La sensibilidad de los datos que están tratando de proteger es baja y principalmente rodea la información financiera y de los empleados. Las medidas seleccionadas para IG1 deben poder implementarse con experiencia limitada en seguridad cibernética y estar destinadas a frustrar ataques generales no dirigidos. Estas medidas de seguridad también se diseñarán normalmente para trabajar en conjunto con hardware y software comercial listo para usar (COTS, por sus siglas en inglés) para pequeñas empresas. https://learn.cisecurity.org/cis-controls 18 Grupo de implementación 2 (IG2) IG2 se compone de 74 medidas adicionales y se basa en las 56 medidas identificadas en IG1. Las 74 medidas seleccionadas para IG2 pueden ayudar a los equipos de seguridad a hacer frente a una mayor complejidad operativa. Algunas medidas de seguridad dependerán de la tecnología de nivel empresarial y la experiencia especializada para instalarlas y configurarlas correctamente. Una empresa IG2 emplea a personas que son responsables de administrar y proteger la infraestructura de TI. Estas empresas suelen respaldar varios departamentos con diferentes perfiles de riesgo según la función y la misión del trabajo. Las unidades de pequeñas empresas pueden tener cargas de cumplimiento normativo. Las empresas IG2 a menudo almacenan y procesan información confidencial de clientes o empresas y pueden soportar breves interrupciones del servicio. Una de las principales preocupaciones es la pérdida de la confianza del público si se produce una infracción. Grupo de implementación 3 (IG3) IG3 se compone de 23 medidas adicionales. Se basa en las medidas de seguridad identificadas en IG1 (56) e IG2 (74) que suman las 153 medidas de seguridad en CIS. Una empresa IG3 suele emplear expertos en seguridad que se especializan en las diferentes facetas de la ciberseguridad (p. ej., gestión de riesgos, pruebas de penetración, seguridad de aplicaciones). Los activos y datos de IG3 contienen información o funciones confidenciales que están sujetas a supervisión normativa y de cumplimiento. Una empresa IG3 debe abordar la disponibilidad de los servicios y la confidencialidad e integridad de los datos confidenciales. Los ataques exitosos pueden causar un daño significativo al bienestar público. Las medidas de seguridad seleccionadas para IG3 deben reducir los ataques dirigidos de un adversario sofisticado y reducir el impacto de los ataques de día cero. Por ejemplo, como se puede observar en la Tabla 1, en el control uno de CIS sus subcontroles se encuentra clasificados en los grupos de implementación en los que se deben aplicar, en este caso, los subcontroles 1.1 y 1.2 deben ser implementados en todos los grupos, mientras tanto, el 1.5 solamente si se selecciona el grupo de implementación tres. Tabla 1. Ejemplo clasificación control uno de norma CIS versión 8 Control CIS Sub control CIS Título IG1 IG2 IG3 1 Inventario y control de activos empresariales x x x 1 1.1 Establecer y mantener un inventario detallado de activos empresariales x x x 1 1.2 Abordar activos no autorizados x x 1 1.3 Utilizar una herramienta de detección activa x x 19 1 1.4 Usar el registro del Protocolo de configuración dinámica de host (DHCP), para actualizar el inventario de activos empresariales x x 1 1.5 Usar una herramienta de descubrimiento pasivo de activos x Fuente: cisecurity.org A continuación, mostramos el listado de controles recomendados por CIS: Tabla 2. Controles CIS CIS Control Nombre Descripción 1 Inventario y control de activos empresariales Establecer y mantener un inventario preciso, detallado y actualizado de todos los activos de la empresa con el potencial de almacenar o procesar datos 2 Inventario y control de activos de software Establecer y mantener un inventario detallado de todo el software con licencia instalado en los activos de la empresa. 3 Protección de datos Establecer y mantener un proceso de gestión de datos. En el proceso, abordar la sensibilidad de los datos, el propietario de los datos, el manejo de los datos, los límites de retención de datos y los requisitos de eliminación basados en la sensibilidad y las normas de retención de la empresa 20 4 Configuración segura de activos y software empresariales Establecer y mantener un proceso de configuración seguro para los activos de la empresa (dispositivos de usuario final, incluidos los portátiles y móviles; dispositivos no informáticos/IoT; y servidores) y el software (sistemas operativos y aplicaciones). 5 Gestión de cuentas Utilice procesos y herramientas para asignar y administrar la autorización de las credenciales de las cuentas de usuario, incluidas las cuentas de administrador, así como las cuentas de servicio, para los activos y el software empresarial. 6 Gestión de control de acceso Usar procesos y herramientas para crear, asignar, administrar y revocar credenciales y privilegios de acceso para cuentas de usuario, administrador y servicio para activos empresariales y software. 7 Gestión continua de vulnerabilidades Desarrollar un plan para evaluar y dar seguimiento continuo a las vulnerabilidades en todos los activos dentro de la infraestructura de la empresa, con el fin de remediar y reducir la ventana de oportunidad para los atacantes. Monitorear las fuentes de la industria pública y privada en busca de nueva información sobre amenazas y vulnerabilidades 21 8 Gestión de registros de auditoría Recopilar, alertar, revisar y conservar registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque 9 Protecciones de correo electrónico y navegador web Mejorar la protección y detección de amenazas del correo electrónico y vectores web, ya que estas son oportunidades para que los atacantes manipulen el comportamiento humano a través de su compromiso. 10 Defensas contra malware Prevenir o controlar la instalación, propagación y ejecución de aplicaciones, códigos o scripts maliciosos en activos empresariales. 11 Recuperación de datos Establecer y mantener prácticas de recuperación de datos suficientes para restaurar los activos empresariales incluidos en el alcance a un estado de confianza previa al incidente. 12 Gestión de infraestructura de red Establecer, implementar y administrar activamente (rastrear, informar, corregir) dispositivos de red, con el fin de evitar que los atacantes exploten los servicios de red y los puntos de acceso vulnerables 13 Supervisión y defensa de la red Operar procesos y herramientas para establecer y mantener la supervisión y defensas integrales de la red contra las amenazas de seguridad en toda la infraestructura de red y la base de usuarios de la empresa. 22 14 Concienciación sobre seguridad y capacitación en habilidades Establecer y mantener un programa de concientización sobre seguridad para influir en el comportamiento de la fuerza laboral para que sea consciente de la seguridad y esté debidamente capacitado para reducir los riesgos de ciberseguridad para la empresa. 15 Gestión de proveedores de servicios Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o que son responsables de las plataformas o procesos de TI críticos de una empresa, para garantizar que estos proveedores protejan esas plataformas y datos de manera adecuada. 16 Seguridad del software de aplicación Administrar el ciclo de vida de seguridad del software desarrollado, alojado o adquirido internamente para prevenir, detectar y corregir las debilidades de seguridad antes de que puedan afectar a la empresa. 17 Gestión de respuesta a incidentes Establecer un programa para desarrollar y mantener una capacidad de respuesta a incidentes (por ejemplo, políticas, planes, procedimientos, roles definidos, capacitación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque. 23 18 Pruebas de penetración Pruebe la eficacia y la resistencia de los activos empresariales mediante la identificación y explotación de debilidades en los controles (personas, procesos y tecnología) y la simulación de los objetivos y acciones de un atacante. A continuación, se detallan los sub- controles de cada uno de los controles CIS: CIS Control 1: Resumen: Gestione activamente (inventario, seguimiento y corrección) todos los activos de la empresa (dispositivos de usuarios finales, incluidos equipos portátiles y teléfonos móviles; dispositivos de red; Dispositivos no informáticos/Internet de las Cosas (IoT); y servidores) conectados a la infraestructura física, virtualmente, remotamente, y aquellos del ambiente de la nube, para conocer con precisión la totalidad de los activos que necesitan ser monitoreados y protegidos dentro de la empresa. Esto también apoyará la identificación de activos no autorizados y no administrados para eliminar o remediar.  1.1: Establecer y mantener un inventario detallado de los activos de la empresa  1.2: Tratar los activos no autorizados  1.3: Utilizar una herramienta de detección activa  1.4: Utilizar el registro del protocolo de configuración dinámica de host (DHCP) para actualizar el inventario de activos de la empresa  1.5: Utilizar una herramienta de descubrimiento pasivo de activos CIS Control 2: Resumen: Gestione activamente (inventario, seguimiento y corrección) todo el software (sistemas operativos y aplicaciones) dentro de la red. Únicamente el software autorizado debe ser instalado y ejecutado, y aquellos software no autorizados ni gestionados que se encuentren se impida la instalación y/o ejecución.  2.1: Establecer y mantener un inventario de software  2.2: Asegúrese de que el software autorizado es actualmente compatible  2.3: Abordar el software no autorizado  2.4: Utilizar herramientas automatizadas de inventario de software  2.5: Software autorizado por lista de aplicaciones permitidas 24  2.6: Lista permitida de bibliotecas autorizadas  2.7: Lista de scripts autorizados CIS Control 3: Resumen: Desarrollar procesos y controles técnicos para identificar, clasificar, manejar, retener y eliminar de forma segura los datos.  3.1: Establecer y mantener un proceso de gestión de datos  3.2: Establecer y mantener un inventario de datos  3.3: Configurar listas de control de acceso a los datos  3.4: Hacer cumplir la retención de datos  3.5: Eliminar los datos de forma segura  3.6: Cifrar los datos en los dispositivos de los usuarios finales  3.7: Establecer y mantener un esquema de clasificación de datos  3.8: Documentar los flujos de datos  3.9: Cifrar los datos en medios extraíbles  3.10: Cifrar datos sensibles en tránsito  3.11: Cifrar los datos sensibles en reposo  3.12: Segmentar el procesamiento y el almacenamiento de datos en función de su sensibilidad  3.13: Implantar una solución de prevención de pérdida de datos  3.14: Registrar el acceso a datos sensibles CIS Control 4: Resumen: Establecer y mantener la configuración segura de los activos empresariales (Dispositivos de usuarios, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos/IoT; y servidores) y software (Sistemas operativos y aplicaciones).  4.1 Establecer y mantener un proceso de configuración seguro  4.2 Establecer y mantener un proceso de configuración seguro para la infraestructura de red  4.3 Configurar el bloqueo automático de la sesión en los activos de la empresa  4.4 Implementar y gestionar un firewall en los servidores  4.5 Implementar y gestionar un firewall en dispositivos de usuario final  4.6 Gestionar de forma segura los activos y el software de la empresa  4.7 Gestionar las cuentas por defecto en los activos y el software de la empresa  4.8 Desinstalar o desactivar servicios innecesarios en los activos y software de la empresa  4.9 Configurar servidores DNS de confianza en activos empresariales  4.10 Aplicar el bloqueo automático de dispositivos en los dispositivos portátiles de los usuarios finales  4.11 Reforzar la capacidad de borrado remoto en dispositivos portátiles de usuario final 25  4.12 Separar los espacios de trabajo de la empresa en los dispositivos móviles de los usuarios finales CIS Control 5: Resumen: Utilice procesos y herramientas para asignar y administrar la autorización de las credenciales de las cuentas de usuario, incluidas las cuentas de administrador, así como las cuentas de servicio, para los activos y el software empresarial.  5.1: Establecer y mantener un inventario de cuentas  5.2: Utilice contraseñas únicas  5.3: Deshabilitar cuentas inactivas  5.4: Restringir privilegios de administrador a cuentas de administrador dedicadas  5.5: Establecer y mantener un inventario de cuentas de servicio  5.6: Centralizar la gestión de cuentas CIS Control 6: Resumen: Usar procesos y herramientas para crear, asignar, administrar y revocar credenciales y privilegios de acceso para cuentas de usuario, administrador y servicio para activos empresariales y software.  6.1: Establecer un proceso para conceder accesos  6.2: Establecer un proceso de revocación de acceso  6.3: Exigir MFA para aplicaciones expuestas externamente  6.4: Exigir MFA para el acceso remoto a la red  6.5: Exigir MFA para el acceso administrativo  6.6: Establecer y mantener un inventario de sistemas de autenticación y autorización  6.7: Control de Acceso Centralizado  6.8: Definir y mantener el control de acceso basado en roles CIS Control 7: Resumen: Desarrollar un plan para evaluar y dar seguimiento continuo a las vulnerabilidades en todos los activos dentro de la infraestructura de la empresa, con el fin de remediar y reducir la ventana de oportunidad para los atacantes. Monitorear las fuentes de la industria pública y privada en busca de nueva información sobre amenazas y vulnerabilidades.  7.1: Establecer y mantener un proceso de gestión de vulnerabilidades  7.2: Establecer y mantener un proceso de remediación  7.3: Realice una gestión automatizada de parches del sistema operativo  7.4: Realizar la administración automatizada de parches de aplicaciones  7.5: Realizar análisis automatizados de vulnerabilidades de activos internos de la empresa 26  7.6: Realice análisis automatizados de vulnerabilidades de activos empresariales expuestos externamente  7.7: Remediar las vulnerabilidades detectadas CIS Control 8: Resumen: Recopilar, alertar, revisar y conservar registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.  8.1: Establecer y mantener un proceso de gestión de registros de auditoría  8.2: Recopilar registros de auditoría  8.3: Garantizar un almacenamiento adecuado del registro de auditoría  8.4: Estandarizar la sincronización de hora  8.5: Recopilar registros de auditoría detallados  8.6: Recopilar registros de auditoría de consultas de DNS  8.7: Recopilar registros de auditoría de solicitudes de URL  8.8: Recopilar registros de auditoría de la línea de comandos  8.9: Centralice Audit Logs  8.10: Conservar registros de auditoría  8.11: Realizar revisiones de registros de auditoría  8.12: Recopilar registros de auditorías para proveedores de servicios CIS Control 9: Resumen: Mejorar la protección y detección de amenazas del correo electrónico y vectores web, ya que estas son oportunidades para que los atacantes manipulen el comportamiento humano a través de su compromiso.  9.1: Garantizar el uso de solo navegadores y clientes de correo electrónico totalmente compatibles  9.2: Usar servicios de filtrado DNS  9.3: Mantener y aplicar filtros de URL basados en la red  9.4: Restringir extensiones innecesarias o no autorizadas de navegador y cliente de correo electrónico  9.5: Implementar DMARC  9.6: Bloquear tipos de archivos innecesarios  9.7: Implementar y mantener protecciones antimalware del servidor de correo electrónico 27 CIS Control 10: Resumen: Prevenir o controlar la instalación, propagación y ejecución de aplicaciones, códigos o scripts maliciosos en activos empresariales.  10.1: Implementar y mantener software antimalware  10.2: Configurar actualizaciones automáticas de firmas de Antimalware  10.3: Deshabilitar la ejecución y la reproducción automática para medios extraíbles  10.4: Configurar el análisis antimalware automático de medios extraíbles  10.5: Habilitar funciones anti-explotación  10.6: Administrar de forma centralizada el software antimalware  10.7: Utilice el software antimalware basado en el comportamiento CIS Control 11: Resumen: Establecer y mantener prácticas de recuperación de datos suficientes para restaurar los activos empresariales incluidos en el alcance a un estado de confianza previo al incidente.  11.1: Establecer y mantener un proceso de recuperación de datos  11.2: Realice copias de seguridad automatizadas  11.3: Proteja los datos de recuperación  11.4: Establecer y mantener una instancia aislada de datos de recuperación  11.5: Prueba de recuperación de datos CIS Control 12: Resumen: Establecer, implementar y administrar activamente (rastrear, informar, corregir) dispositivos de red, con el fin de evitar que los atacantes exploten los servicios de red y los puntos de acceso vulnerables.  12.1: Asegúrese de que la infraestructura de red esté actualizada  12.2: Establecer y mantener una arquitectura de red segura  12.3: Gestione de forma segura la infraestructura de red  12.4: Establecer y mantener diagramas de arquitectura  12.5: Centralice la autenticación, la autorización, y la auditoría de la red (AAA)  12.6: Uso de protocolos seguros de administración de redes y comunicaciones  12.7: Asegúrese de que los dispositivos remotos utilicen una VPN y se conecten a la infraestructura AAA de una empresa  12.8: Establecer y mantener recursos informáticos dedicados para todo el trabajo administrativo 28 CIS Control 13: Resumen: Operar procesos y herramientas para establecer y mantener la supervisión y defensa integrales de la red contra las amenazas de seguridad en toda la infraestructura de red y la base de usuarios de la empresa.  13.1: Centralizar alertas de eventos de seguridad  13.2: Implemente una solución de detección de intrusiones basada en host  13.3: Implementación de una solución de detección de intrusiones en la red  13.4: Realizar filtrado de tráfico entre segmentos de red  13.5: Gestionar el control de acceso para activos remotos  13.6: Recopilar registros de flujo de tráfico de red  13.7: Implementar una solución de prevención de intrusiones basada en host  13.8: Implementar una solución de prevención de intrusiones en la red  13.9: Implementar el control de acceso a nivel de puerto  13.10: Realizar el filtrado en la capa de aplicación  13.11: Ajustar los umbrales de alerta de eventos de seguridad CIS Control 14: Resumen: Establecer y mantener un programa de concientización sobre seguridad para influir en el comportamiento de la fuerza laboral para que sea consciente de la seguridad y esté debidamente capacitado para reducir los riesgos de ciberseguridad para la empresa.  14.1: Establecer y mantener un programa de concientización sobre seguridad  14.2: Capacitar a los miembros de la plana laboral para que reconozcan los ataques de ingeniería social  14.3: Capacitar a los miembros de la plana laboral sobre las mejores prácticas de autenticación  14.4: Capacitar a la fuerza laboral en las mejores prácticas de manejo de datos  14.5: Capacitar a los miembros de la plana laboral sobre las causas de la exposición involuntaria de datos  14.6: Capacitar a los miembros de la plana laboral sobre el reconocimiento y la notificación de incidentes de seguridad  14.7: Capacitar al personal sobre cómo identificar e informar si sus activos empresariales carecen de actualizaciones de seguridad  14.8: Capacitar a la plana laboral sobre los peligros de conectarse y transmitir datos empresariales a través de redes inseguras  14.9: Llevar a cabo capacitación en habilidades y concientización sobre seguridad para roles específicos CIS Control 15: Resumen: 29 Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o que son responsables de las plataformas o procesos de TI críticos de una empresa, para garantizar que estos proveedores protejan esas plataformas y datos de manera adecuada.  15.1: Establecer y mantener un inventario de proveedores de servicios  15.2: Establecer y mantener una política de gestión de proveedores de servicios  15.3: Clasificar proveedores de servicios  15.4: Asegúrese de que los contratos de los proveedores de servicios incluyan requisitos de seguridad  15.5: Evaluar proveedores de servicios  15.6: Supervisar proveedores de servicios  15.7: Dar de baja de forma segura a los proveedores de servicios CIS Control 16: Resumen: Administrar el ciclo de vida de seguridad del software desarrollado, alojado o adquirido internamente para prevenir, detectar y corregir las debilidades de seguridad antes de que puedan afectar a la empresa.  16.1: Establecer y mantener un proceso de desarrollo de aplicaciones seguro  16.2: Establecer y mantener un proceso para aceptar y abordar las vulnerabilidades del software  16.3: Realice un análisis de la causa raíz de las vulnerabilidades de seguridad  16.4: Establecer y administrar un inventario de componentes de software de terceros  16.5: Utilice componentes de software de terceros actualizados y confiables  16.6: Establecer y mantener un sistema y proceso de clasificación de gravedad para las vulnerabilidades de las aplicaciones  16.7: Usar plantillas de configuración de protección estándar para la infraestructura de aplicaciones  16.8: Sistemas de producción separados y sistemas de no producción  16.9: Capacitar a los desarrolladores en conceptos de seguridad de aplicaciones y codificación segura  16.10: Aplicar principios de diseño seguro en arquitecturas de aplicaciones  16.11: Aprovechar los módulos o servicios examinados para los componentes de seguridad de las aplicaciones  16.12: Implementar verificaciones de seguridad a nivel de código  16.13: Realizar pruebas de penetración de aplicaciones  16.14: Realizar modelado de amenazas CIS Control 17: Resumen: Establecer un programa para desarrollar y mantener una capacidad de respuesta a incidentes (por ejemplo, políticas, planes, procedimientos, roles definidos, capacitación y comunicaciones) para preparar, detectar y responder rápidamente a un ataque. 30  17.1 Designar personal para administrar el manejo de incidentes  17.2 Establecer y mantener información de contacto para informar incidentes de seguridad  17.3 Establecer y mantener un proceso empresarial para informar de incidentes  17.4 Establecer y mantener un proceso de respuesta a incidentes  17.5 Asignar Roles Claves y Responsabilidades  17.6 Definir mecanismos de comunicación durante la respuesta a incidentes  17.7 Realizar ejercicios rutinarios de respuesta a incidentes  17.8 Realizar revisiones posteriores a un incidente  17.9 Establecer y mantener umbrales de incidentes de seguridad CIS Control 18: Resumen: Pruebe la eficacia y la resistencia de los activos empresariales mediante la identificación y explotación de debilidades en los controles (personas, procesos y tecnología) y la simulación de los objetivos y acciones de un atacante.  18.1 Establecer y mantener un programa de pruebas de penetración  18.2 Realizar pruebas periódicas de penetración externa  18.3 Corregir los resultados de la prueba de penetración  18.4 Valide las medidas de seguridad  18.5 Realice pruebas periódicas de penetración interna Problemática actual de las pymes El objetivo de esta investigación es plantear un proceso práctico y sencillo de implementar para proteger los activos de información de las PYME categorizando y remediando las vulnerabilidades a las que están expuestos los servidores de la empresa. Los ataques cibernéticos no solo son sufridos exclusivamente de las grandes empresas, para los atacantes es más fácil atacar 50 PYMES con una baja seguridad informática y lograr su objetivo, que atacar una multinacional con seguridad robusta y que probablemente le demandara más tiempo e ingenio para lograr su cometido o inclusive no lo logre. Los procesos manuales es el enfoque en esta investigación ya que el esperado es que la PYME no realiza sus escaneos de forma automática o utilizando la herramienta adecuada, sino que utilizan un listado (checklist) en donde van colocando si cumple o no cumple con la seguridad, esta forma de hacer el proceso les impide conocer realmente el nivel de riesgo a la que están expuestos, ya que no existe un criterio, ni mucho menos una escala que les ayude a categorizar el riesgo para su correcto 31 tratamiento y remediación, dejándolos desprotegidos ante cualquier ataque que sea dirigido a la empresa. Problemática nivel regional y estudios Las pymes juegan un papel muy importante en la económica de un país, ellas contribuyen al PIB de cada país, generan empleo, aportan en el desarrollo de la economía en un país, etc. Los principales estudios realizados sobre las tendencias actuales, tanto en modelos teóricos como empíricos, hechos por destacados especialistas en el campo de la administración y dirección de empresas en los últimos 20 años han sido focalizados en los negocios de gran dimensión, olvidando en gran medida a las pequeñas y medianas empresas (Pymes). A pesar de los escasos estudios en las empresas de menor magnitud, las Pymes siguen contribuyendo a la economía (generación de empleos y producción de riqueza) en la mayoría de las regiones de diferentes países. Por ello la importancia de desarrollar estudios que contemplen el comportamiento de estas variables en el campo de las MiPymes. (fuente - La gestión del conocimiento y las TIC, su efecto en la innovación y el rendimiento de las pymes / Luis Enrique Valdez Juárez - 2017 url: https://dialnet.unirioja.es/servlet/tesis?codigo=172547) Las pymes representan actores claves para incrementar el crecimiento potencial de América Latina. Estas empresas se caracterizan por una gran heterogeneidad en su acceso a mercados, tecnologías y capital humano, así como su vinculación con otras empresas, factores que afectan su productividad, capacidad de exportación y potencial de crecimiento. (fuente - Acerca de Microempresas y Pymes Url: https://www.cepal.org/es/temas/pymes/acerca-microempresas-pymes) Por un lado, constituyen un componente fundamental del entramado productivo en la región: representan alrededor de 99% del total de empresas y dan empleo a cerca de 67% del total de trabajadores. Por otro lado, su contribución al PIB es relativamente baja, lo que revela deficiencias en los niveles de productividad de estas. Por ejemplo, las empresas grandes en la región tienen niveles de productividad hasta 33 veces la productividad de las microempresas y hasta seis para las pequeñas, mientras que en los países OCDE estas cifras oscilan entre un 1.3 y 2.4 veces. (fuente - Acerca de Microempresas y Pymes Url:https://www.cepal.org/es/temas/pymes/acerca-microempresas- pymeshttps://www.cepal.org/es/temas/pymes/acerca-microempresas-pymes) https://dialnet.unirioja.es/servlet/tesis?codigo=172547 https://www.cepal.org/es/temas/pymes/acerca-microempresas-pymes https://www.cepal.org/es/temas/pymes/acerca-microempresas-pymes https://www.cepal.org/es/temas/pymes/acerca-microempresas-pymes 32 Las MiPymes no pueden quedar al margen de este proceso. Más aún, su peso en el tejido productivo (el 99% de las empresas formales latinoamericanas son pymes) y en el empleo (el 61% del empleo formal es generado por empresas de ese tamaño) las vuelve un actor central para garantizar la viabilidad y eficacia de la transformación generadora de una nueva dinámica de desarrollo que permita un crecimiento económico más rápido y continuo, que al mismo tiempo sea incluyente y sostenible. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Las pymes son un componente fundamental del tejido empresarial en América Latina, lo que se manifiesta en varias dimensiones, como su participación en el número total de empresas o la creación de empleo. Ello se contrapone a una participación en el producto interno bruto (PIB) regional de tan solo el 25%, situación que contrasta con la de los países de la Unión Europea, donde esta cifra alcanza, en promedio, el 56%. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Un aspecto fundamental de las pymes latinoamericanas es su heterogeneidad. En primer lugar, encontramos microempresas cuya gestación suele responder a necesidades individuales de autoempleo y que a menudo se encuentran en una situación de informalidad, que incluye bajos niveles de capital humano, dificultad para acceder a recursos financieros externos, escasa internacionalización y realización de actividades con bajos requerimientos técnicos. En el otro extremo, se encuentran las pymes de alto crecimiento, que se caracterizan por tener un comportamiento mucho más dinámico, tanto respecto de la facturación como de la creación de puestos de trabajo, y cuyo desempeño responde al aprovechamiento de oportunidades de mercado a través de una gestión empresarial eficiente e innovadora. El concepto de tamaño de empresa, por tanto, oculta realidades muy diversas en este tipo de unidades productivas. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) La información cuantitativa sobre las pymes de América Latina es bastante escasa y, a menudo, de mala calidad. Por esta razón es difícil analizar la evolución del desempeño de estas empresas y, a veces, 33 existen problemas para estimar correctamente su peso en la producción y el empleo. Esto se debe a las definiciones de pymes que se utilizan en los países de la región, pero también a la frecuencia y a los criterios empleados para recolectar la información, en la región es posible encontrar criterios basados en el personal ocupado, las ventas anuales (en ocasiones con límites distintos según el sector de actividad económica), y el valor de los activos o de las exportaciones, a veces combinados entre sí. En algunos casos no existe una definición nacional y se utiliza la de una institución internacional. También puede ocurrir que en el mismo país coexistan varias definiciones de pymes; tradicionalmente, una basada en la cantidad de empleados y utilizada por los institutos de estadística y otra que sigue los criterios de las instituciones de fomento a las empresas, como volumen de ventas y activos. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Considerando la economía formal, las pymes representan el 99,5% de las empresas de la región y la gran mayoría son microempresas (88,4% del total). Esta distribución se ha mantenido relativamente estable a lo largo de la última década, aunque ha habido un incremento relativo de las pequeñas y medianas empresas y una ligera reducción de las microempresas. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Imagen 2.Distribución de empresas según tamaño (Fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) 34 Imagen 3. Cantidad de empresas según sector (Fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) La presencia de microempresas es mayoritaria en todos los sectores de la economía y en algunos casos supera el 90% del total de las empresas: por ejemplo, en el comercio y en el sector de “otras actividades comunitarias, sociales y personales”. En particular, el comercio es un sector en que se concentra la mayor cantidad de microempresas formales. Las bajas barreras a la entrada favorecen, en este caso, la proliferación de empresas de tamaño muy reducido que, a menudo, responden más a estrategias de autoempleo y sobrevivencia económica que a un verdadero proceso de desarrollo empresarial. En el comercio también está presente una cantidad importante de pymes; sin embargo, en el caso de estas empresas, la industria, en particular al tratarse de las empresas medianas, y las “actividades inmobiliarias, empresariales y de alquiler” concentran una cantidad significativa de unidades productivas. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Para entender a cabalidad estos fenómenos es necesario considerar la inserción de las pymes en la estructura productiva de los países de la región. En términos generales, puede decirse que el empleo de las microempresas se concentra sobre todo en el comercio y en algunos servicios de escaso valor agregado. En el segmento de las pequeñas empresas, los rubros más importantes son el comercio minorista, en menor medida la industria manufacturera, y, en algunos casos, la construcción. En 35 cambio, si se consideran las empresas medianas, la industria puede llegar a ser el sector con el porcentaje más grande de ocupados, a pesar de que el comercio sigue manteniendo un peso relativo importante, aunque en general inferior al de la industria. En las grandes empresas, el empleo se concentra principalmente en la manufactura y en algunos servicios de mayor valor agregado. Esta distribución del empleo presenta cierta variabilidad de acuerdo con las características específicas de la estructura productiva de cada país de la región; por ejemplo, en los países de menor desarrollo industrial, el comercio puede ser relevante en términos de empleo también para el conjunto de las grandes empresas y llegar a igualar, o hasta superar, la importancia de la industria. Igualmente, en ese mismo segmento de empresas, los servicios de telecomunicaciones e intermediación financiera pueden tener un peso mayor en aquellas economías de menor tamaño y más especializadas en los sectores mencionados. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) cuáles son los retos que enfrentan las MiPymes en Latam El desarrollo de las pymes abarca problemáticas muy heterogéneas, que van desde aspectos laborales y tributarios, a temas relacionados con el financiamiento, el desarrollo y la difusión de nuevas tecnologías, la constitución de estrategias colectivas, políticas arancelarias, de educación e investigación, inversiones en infraestructura, etc. Cada una de estas áreas tiene a menudo especificidades sectoriales relevantes, en las cuales intervienen varios organismos reguladores y de fomento, como bancos, agencias de innovación, instituciones de promoción de las exportaciones, institutos públicos de formación, entidades ministeriales de distintas carteras (economía o industria, trabajo, relaciones exteriores y política interior), gobiernos locales y universidades. Todo esto configura un entramado complejo de entidades cuya coordinación representa uno de los grandes desafíos para el desarrollo de una política de fomento efectiva. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Los principales problemas y debilidades detectados se refieren a tres aspectos: • La institucionalidad de fomento sigue siendo frágil en muchos países. Con pocas excepciones, no hay entidades públicas especializadas que logren desarrollar estrategias de largo plazo, y la participación 36 del mundo empresarial en el diseño e implementación de las políticas es aún muy esporádica e incipiente. • Falta una visión estratégica sobre el rol de las pymes en la transformación productiva, lo que hace muy difícil la integración de las acciones de apoyo a las micro, pequeñas y medianas empresas con los programas más generales de transformación productiva. Más aún, como no quedan claras las metas y los objetivos de las políticas, a menudo no se logra garantizar la convergencia de las acciones emprendidas por las entidades que, desde perspectivas distintas, concurren a su cumplimiento. • A pesar de los esfuerzos realizados por parte de las entidades públicas, la fragmentación de la acción de apoyo en centenares de actividades de reducido alcance limita su capacidad de producir impactos visibles. Imagen 4. Uso de tecnologías digitales según tamaño de empresas (fuente - Base de Banco Mundial, Enterprise Surveys, base de datos en línea, http://www.enterprisesurveys.org) Entender la génesis de estos problemas es una condición necesaria para impulsar una nueva generación de políticas de fomento que permitan a los países de la región enfrentar los desafíos en el camino hacia un nuevo estilo de desarrollo. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) http://www.enterprisesurveys.org/ 37 En este escenario, cabe preguntarse dónde se colocan las pymes y cuáles factores inciden en determinar su colocación en el proceso de transición entre los dos mundos. La falta de datos actualizados y pertinentes no permite un análisis exhaustivo del nivel alcanzado por la penetración de las tecnologías digitales en su organizaciones productivas y modelos de negocio. Una luz parcial sobre este punto es brindada por las Encuestas Empresariales del Banco Mundial en una decena de países de América Latina que analizan la incorporación de tecnologías digitales maduras (véase el gráfico América Latina (ocho países): uso de tecnologías digitales básicas según tamaño de empresa, 2010 y 2017). En particular, el estudio compara el porcentaje de pymes y grandes empresas que tenían su propia página web y que utilizaban el correo electrónico para comunicarse con clientes y proveedores, en 2010 y 2017. Las tendencias que destacan con claridad son, en primer lugar, que en ambas variables el grado de penetración de las tecnologías incrementa con el aumentar del tamaño de las empresas. En segundo lugar, que la observación correspondiente a 2017 registra generalmente avances significativos en las dos variables. No obstante, también hay señales de alerta preocupantes: el uso del mail se ha masificado entre las empresas, pero no entre las pequeñas. Especialmente en países con menor grado de desarrollo, como Nicaragua y el Paraguay, las brechas con las grandes empresas aún bordean los 30-40 puntos. Por lo que concierne el uso de páginas web la distribución es mucho menos homogénea y las diferencias alcanzan valores aún más altos. Particularmente llamativo parece ser el hecho que entre las medianas empresas (y, en algunos países, hasta entre las grandes) la penetración de esta tecnología relativamente poco sofisticada aún sea tan baja, con numerosos países entre 70% y 80%. En cuanto al desarrollo de nuevos emprendimientos intensivos en tecnología de la información y gestión de datos, los estudios sugieren igualmente un bajo desempeño de la región en cuanto a emprendimientos digitales. Según el Global Entrepreneurship Monitor (GEM), el análisis de la actividad emprendedora en la región revela una muy frágil dinámica de las industrias digitales locales y la persistencia de modelos de negocios en sectores de baja intensidad tecnológica. América Latina destaca por ser una de las regiones con el mayor nivel de emprendimientos tempranos en el mundo (TEA por sus siglas en ingles), con un 18,5% de la población en edad de trabajar que emprende, y ser, al mismo tiempo, una de las regiones que menos emprende en el sector de las TIC (2,8% de la tasa de emprendimiento temprano, aproximadamente la mitad de lo que registran los países más industrializados). 38 Los altos niveles de emprendimiento parecieran explicarse en buena medida, por el alto índice de emprendimiento por necesidad que existe en la región: en 2017, casi el 30% de los emprendedores tempranos declararon emprender por necesidad y no por oportunidad. En cuanto al débil desempeño de la región en emprendimientos digitales, las causas podrían estar relacionadas con un sistema de apoyo aún incipiente. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Documentos de Proyectos (LC/TS.2018/75/ Rev.1), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2020.) Desde este punto de vista, cabe destacar que las tecnologías digitales no representan simplemente una nueva área tecnológica que se suma a las muchas otras que influencian el desarrollo de las empresas. Los cambios que estas tecnologías están generando son mucho más profundos y transversales, y están alterando radicalmente la esencia misma del quehacer empresarial, las estrategias competitivas y las modalidades de aprendizaje de las empresas. Para que las políticas de fomento se adecúen a esta transformación es preciso disponer de un marco conceptual que permita entender las modalidades específicas de esta evolución y los factores que la condicionan. Esta sección se propone dar un paso en esta dirección, esbozando algunas piezas de este marco de referencia para lo que concierne a las pymes. En primer lugar, estas tecnologías generan tanto impactos positivos como negativos en las empresas de menor tamaño. En el lado positivo, la disminución de los precios de las tecnologías informáticas y la continua mejora de las tecnologías de comunicación seguirán siendo un factor de expansión de estas herramientas, favoreciendo una penetración cada vez más capilar, especialmente importante para las áreas que por el momento tienen escaso acceso a internet (CEPAL, 2016a y 2016b). Estas herramientas amplían significativamente las potencialidades de negocio de las empresas y, en el caso de las empresas de menor tamaño, su impacto resulta en la reducción de los costos de acceso al mercado, la eliminación de los intermediarios, una conexión más directa con los clientes y una retroalimentación continua desde los mercados (CCI, 2016). Otro aspecto que puede incidir en la realidad de las pymes es la posibilidad de que se bajen las barreras de entradas para la creación de empresas que contemplen modelos de negocios intensivos en tecnología de información y gestión de datos. Las tecnologías digitales generan también nuevos obstáculos para las pequeñas empresas. De prevalecer sobre los incentivos, estos podrían determinar un atraso muy importante en el proceso de incorporación de las tecnologías y la ampliación de las brechas competitivas que ya existen con las empresas más grandes. 39 El primer obstáculo concierne las economías de escala asociadas con la incorporación de la digitalización del conjunto de funciones productivas, administrativas y comerciales de las empresas. Si bien ha habido una disminución relevante de los costos de los aparatos (hardware), en paralelo se ha incrementado significativamente la complejidad de los sistemas necesarios para integrar la gestión productiva. La complejidad de dichos sistemas genera dos barreras importantes: la primera es de carácter financiero, pues la reorganización de toda la estructura de gestión y producción puede requerir de una renovación significativa de maquinarias, inversiones en nuevos sistemas de control y calidad, transformaciones importantes de layout y logística, etc. La segunda, posiblemente aún más significativa, es de tipo estratégico y concierne la capacidad de las empresas de entender las posibilidades que las nuevas tecnologías les ofrecen para reinventar su modelo de negocio, ajustar sus sistemas de gestión, reorganizar su estructura productiva, etc. Los límites que padecen las empresas pequeñas en estos frentes son múltiples y van desde la escasa profesionalización en temas de gestión, hasta la falta de contacto con entidades (como los centros tecnológicos) que puedan asistirlos en este proceso. El segundo aspecto por considerar es que el impacto final de las tecnologías digitales no ha sido y no será uniforme. Cada empresa reacciona de forma distinta y, en cada caso, puede generarse tanto un impacto positivo que incrementa la competitividad de las empresas, como un impacto negativo que la reduce. La posibilidad de evolucionar en un sentido u otro depende del historial y de la capacidad instalada en las empresas y, especialmente en el caso de las pymes, del rol que desempeñan los distintos actores del ecosistema productivo e institucional en el que las empresas estén insertas y del grado de coherencia de sus actividades de apoyo. Un esquema interpretativo muy simple, podría considerar dos variables: el grado de especialización de las empresas y el grado de cohesión y dinamismo del sistema productivo en el cual estas operan. En términos generales, debería reconocerse que la digitalización no tiene necesariamente que anular los factores competitivos que permiten a las pymes más calificadas competir de forma exitosa, inclusive en mercados abiertos. En particular, una de las características que permite a dichas empresas alcanzar niveles importantes de dinamismo, consiste en el dominio de competencias altamente sofisticadas, especialmente en las fases productivas. Estas capacidades se desarrollan mediante aprendizajes en gran medida tácitos (y por lo tanto escasamente permeables a los procesos de digitalización); gracias a procesos de división externa del trabajo, que posibilitan un alto grado de especialización; y en contextos caracterizados por relaciones de confianza muy estrechas entre empresas, instituciones de investigaciones, asociaciones empresariales, entidades de formación técnica, etc. lo que permite la complementación productiva. 40 Estos sistemas de relaciones conforman capitales intangibles, externos a las empresas individuales, pero internos al territorio de pertenencia, que son fundamentales para el desempeño competitivo de las empresas que los conforman. La evolución de estos complejos conjuntos de empresas e instituciones es el resultado de un equilibrio inestable que se balancea entre cohesión y apertura: la apertura hacia nuevos sujetos y nuevas ideas, y la cohesión de los actores locales que se identifican con el sistema productivo local al que pertenecen. La digitalización puede mejorar la cohesión, así como ampliar las posibilidades de apertura de estos sistemas o generar un efecto centrífugo que termina desarticulando el sistema local. Entre los factores que mayormente determinan su evolución y el equilibrio final, está la capacidad de orientación de los líderes locales que, en el caso de sistemas de pequeñas empresas pueden ser: las grandes empresas (en el caso de una integración en cadenas productivas dinámicas) o las instituciones de investigación y apoyo que operan en el territorio, en beneficio del sistema productivo y que asesoran a las empresas más pequeña en la interpretación y adopción de estas tecnologías. En síntesis, para empresas calificadas e integradas en sistemas dinámicos, es probable que las potencialidades del proceso de digitalización superen las dificultades, abriendo oportunidades reales para reforzar sus estrategias de diversificación y consolidar o ampliar su posición en viejos y nuevos mercados. Estas empresas podrán mejorar la eficiencia de los sistemas de comunicación y logística que las interconectan, desarrollar nuevos servicios comunes, potenciar las plataformas de gestión de las estrategias mancomunadas, perfeccionar los sistemas de control y supervisión para reducir rechazos y tiempos muertos, entre otros. De no existir un adecuado soporte en estas direcciones, difícilmente los artesanos podrán aprovechar adecuadamente las potencialidades de la tecnología digital. Las pymes que están insertas en sistemas productivos, en funciones escasamente especializadas, gracias a la tecnología digital pueden verse expuestas a una competencia más directa de parte de competidores tecnológicamente más desarrollados, pero, al mismo tiempo, pueden también mejorar su posibilidad de acceso e informaciones y conocimientos, y a instrumentos de up-grade tecnológico. Las pymes que están insertas en sistemas productivos, en funciones escasamente especializadas, gracias a la tecnología digital pueden verse expuestas a una competencia más directa de parte de competidores tecnológicamente más desarrollados, pero, al mismo tiempo, pueden también mejorar su posibilidad de acceso e informaciones y conocimientos, y a instrumentos de upgrade tecnológico. Si bien las pymes de estas categorías pueden incrementar el número de sus clientes potenciales, mejorar su gestión de costo o potenciar su capacidad de promocionar sus productos y servicios; al 41 mismo tiempo, pueden experimentar de forma aún más dramática el impacto de nuevos competidores y especialmente de empresas grandes que, gracias a las nuevas tecnologías, alcanzan una productividad significativamente mayor, una capacidad de producción por pequeños lotes y una enorme flexibilidad que les permite penetrar en todos los mercados anteriormente descuidados por su escaso tamaño. Un segundo elemento importante es la falta de una estrategia que diferencie los instrumentos o programas de apoyo para la incorporación de las tecnologías digitales según las características de las empresas atendidas. Con la excepción de las políticas que han sido diseñadas, en algunos países de la región, para apoyar a las empresas de las áreas marginales, en general, no existen esfuerzos sistemáticos para adaptar las medidas de apoyo a las distintas necesidades y potencialidades de las empresas. Un último aspecto por destacar concierne al objetivo predominante en las acciones de fomento de las tecnologías digitales. Los resultados preliminares del estudio que está desarrollando la CEPAL sobre este tema indican que los instrumentos que prevalecen son los que apuntan a incrementar las posibilidades de acceso a Internet y a estimular en los actores el desarrollo de capacidades básicas en el manejo de las tecnologías digitales (alfabetización digital). La problemática del acceso, que sigue siendo un obstáculo de especial relevancia para la población marginal, especialmente en las zonas rurales más alejadas, se ha enfrentado mediante la acción de apoyo de centros comunitarios, centros empresariales u otras oficinas de atención descentralizada, que ofrecen a las comunidades y a las empresas puntos de contacto a internet e instructivos básicos para el manejo de las herramientas más simples, como navegar en la web, uso del correo electrónico y creación de cuentas personales en las redes sociales. Mucho más escasos son los programas o las políticas que promueven la incorporación de estas tecnologías en los procesos productivos de las empresas. La transformación digital de una empresa se desarrolla en períodos de tiempo largos y requiere tanto de apoyo técnico como de un financiamiento adecuado. En relación con esto último, tan sólo en la Argentina se identificaron programas de financiamiento explícitamente relacionados con la incorporación de tecnologías digitales. Hay varias iniciativas de fomento del comercio digital, mientras que el uso de las tecnologías digitales para la reconfiguración de las cadenas productivas es aún incipiente y ha tenido lugar en muy pocos países. (fuente - M. Dini y G. Stumpo (coords.), “MiPymes en América Latina: un frágil desempeño y nuevos desafíos para las políticas de fomento”, Docume