10

Definición y tipologías de Riesgos y Gestión de incidentes

de seguridad de la información

Los riesgos de seguridad de la información se deben identificar basados

en las vulnerabilidades y amenazas y afectar al activo de información
sobre el cual se está haciendo la identificación.
Por Vulnerabilidad entendemos; aquellas debilidades, condiciones o
factores que tenemos o que no tenemos, o que No controlamos y cuya
explotación puede implicar una amenaza.

Por Amenaza entendemos que es una causa potencial de un incidente no

deseado, la cual que puede ocasionar daño a un sistema u organización,
es decir, la posible causa de la materialización de un riesgo (ISO
270001:2018).

Por riesgo entendemos lo que le puede ocurrir, el daño que se puede

causar si se explota una amenaza.

En este punto es importante considerar que la sola presencia de una

vulnerabilidad no causa daños por sí misma, dado que es necesario que
exista una amenaza presente para explotarla. En ese sentido, en la
definición de riesgos se debe considerar que cada tipo de activo puede
llegar a verse afectado por diferentes tipos de riesgos, todos los cuales la
organización debe identificar y gestionar.

A continuación, se relacionan ejemplos de riesgos con sus respectivas

amenazas y vulnerabilidades de acuerdo al tipo de activos.
Fuente: Modelo de Gestión de Riesgos de Seguridad MGRS – MINTIC
Colombia

De acuerdo con el MGRS de Colombia, para la identificación de riesgos se

pueden utilizar diferentes metodologías como lluvia de ideas, análisis de
escenarios y contexto histórico, entrevistas, encuestas, y listas de
chequeo, así mismo se puede tener en cuenta la siguiente clasificación
definida por el Departamento Administrativo de la Función pública:
Gestión de incidentes de seguridad de la información

Una vez realizada la Identificación de riesgos debe procederse a su

valoración, para definir los tipos de control y la forma como se deben
gestionar los incidentes de seguridad.

Para ello se debe valorar del riesgo inherente (riesgo propio del negocio)
de todos los activos e identificarse la probabilidad de ocurrencia y el
impacto asociado a las variables Confidencialidad, Integridad y
Disponibilidad.

Conforme a lo anterior, por cada riesgo inherente identificado, se deben

establecer los controles asociados para su gestión o mitigación,
determinando las acciones y actividades a ejecutar y características
deseadas del mismo, es decir, se debe establecer si el control disminuye
el nivel de riesgo, o lo desplaza en el mapa de calor.

Respecto de las metodologías que se pueden implementar para hacer una

adecuada gestión de incidentes de seguridad ver:

● Guía Seguridad Informática Mintic,

 ● CCN - CERT
● OWASP
12
Análisis Normativo GDPR y CCPA. Modelos de Gestión de
Riesgos de Seguridad
Actualmente en el panorama internacional tenemos dos referentes
normativos que debemos considerar para cualquier despliegue o modelo
de negocios que queramos desarrollar en un entorno digital. Estos son
GDPR y CCPA, en esta clase estaremos revisando las características mas
relevantes de estos dos modelos.
GDPR

1. Protege los datos personales de los Residentes en la Unión Europea

2. Aplica a todas las personas y empresas que traten datos residentes
en la UE.
3. Art. 15. Acceso (30 días)
4. Art. 16. Rectificación
5. Art. 17. Eliminación (olvido)
 6. Art. 18. Restricción de Procesamiento
7. Art. 19. Portabilidad
8. Art. 21. Objeción
9. Art. 22. No ser objeto de decisiones automatizadas
10 Para el tratamiento de datos las empresas deben demostrar que
cuentan con el consentimiento inequívoco de los titulares de los datos

11. Obliga a realizar Evaluaciones de Impacto de Privacidad

12. Quienes traten datos deben tener la capacidad de garantizar:

● Confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
● La capacidad de restaurar la disponibilidad y el acceso a los datos
personales de forma rápida en caso de incidente físico o técnico.
13. Las Autoridades de Protección de Datos de los Países de la
Unión Europea pueden imponer multas según el tipo de infracción:
● Las menos graves se sancionarán con hasta 10 millones de euros o
el 2% del volumen de facturación anual de la empresa (la más alta
de las dos).
● Y las más graves se sancionan con multas que pueden alcanzar
hasta 20 millones de euros o el 4% del volumen de facturación anual
de la empresa (la más alta de las dos)
CCPA
 1. Protege la Privacidad de los Consumidores en el Estado de
California
2. Aplica a grandes empresas que recopilen y/o controlen información
personas residentes de California y además deben cumplir alguna
de estas tres condiciones:
● Ingresos brutos anuales mayores de $25.000.000
● Tratar anualmente información personal de 50.000 o más
residentes, hogares o dispositivos en California (visitas web).
● Obtener el 50% o más de sus ingresos anuales por la venta de
información personal.
3. Acceso - (45 días)
4. Derecho a saber (se deben informar las categorías de información
personal que han vendido o revelado en los últimos 12 meses)
5. Eliminación *
6. A oponerse a la venta - Son los consumidores los que deben hacer
una exclusión voluntaria (Hacer Click en la opción * No vender)
A no ser discriminado
7. Las empresas deben informar las finalidades para las cuales
recolectan datos, si los usan para categorizar o, sí ese uso implica
fines comerciales y/o si se está compartiendo data con terceros
8. Permite a los negocios ofrecer incentivos financieros a los
consumidores por el uso y recopilación de su información personal,
pero los obliga a identificar plenamente los activos y los flujos de
información que posee.
9. Obliga a informar antes de que la información sea recolectada
10. Se debe implementar controles razonables de seguridad.
11. Le otorga la competencia al Procurador General del Estado para
investigar y sancionar hasta con $ 7.500 cuando se den accesos no
autorizados, o filtración de datos, robo o divulgación de información
personal no encriptada o no autorizada por el consumidor.
Estas dos Normas, que si bien no tienen aplicación directa en
Latinoamérica, ya que la mayoría de nuestros países cuentan con su
propia regulación de seguridad y protección de datos personales, se están
convirtiendo en estándares internacionales a tener en cuenta para el uso y
aprovechamiento de información personal en los Negocios Digitales, toda
vez que definen una serie de derechos, prácticas, exigencias, buenas
prácticas y controles que cualquier negocio digital con vocación de
internacionalización debe incorporar.

Conforme a todo lo anterior, para dar cumplimiento al Reglamento

Europeo de Protección de datos y a la Ley de Privacidad del Consumidor
de California, los emprendimientos digitales deben identificar sus activos
de información, analizar cómo los están gestionando e incorporar las
medidas técnicas de prevención de pérdida de datos, que sean necesarias
acorde con la información que se maneje.

Para ello es importante implementar dentro de la organización un modelo

de Gestión de Riesgos de seguridad, como el que estamos estudiando en
este curso.

Para mayor información ver:

ISO 31000

MAGERIT

Introducing OCTAVE Allegro: Improving the Information Security Risk

Assessment Process

Y si deseas profundizar más sobre el GDPR y la CCPA en estos enlaces

encuentras mucha información muy valiosa. Si tienes dudas dejame un
comentario en esta clase.

23
Creación y restauración de copias de seguridad

Para garantizar la continuidad y seguridad de tu negocio debes incorporar

controles de disposición, como la creación, custodia y restauración de
copias de seguridad de acuerdo con lo que establezcas en tu Plan de
Recuperación y Continuidad del Negocio.
Este Plan debe establecer entre otras:

● La periodicidad con la cual debes realizar copias de seguridad,

● Qué tipo de información debes respaldar,
● Si debe usar encriptación o no
● Que tipo de copias debemos hacer; y cómo las debes gestionar,
● La periodicidad con la que debes probar tus mecanismos de
recuperación de datos, y;
● Si necesario implementar otros controles de seguridad de la
información, como por ejemplo realizar ejercicios de hackeo ético,
que te permitan identificar y corregir vulnerabilidades.
Para mayor información puedes ir al sitio del Instituto Nacional de
Ciberseguridad de España, S.A.

24

Tipos de soluciones que se pueden implementar para

prevenir la pérdida de datos

En el mercado existen múltiples soluciones de Prevención de Pérdida de

Datos DLP que pueden ser implementadas para prevenir la pérdida de
datos, estas soluciones varían desde soluciones independientes a
soluciones empresariales que establecen mecanismos integrales de
protección dentro de todos los canales de la organización, incluidos la
recolección, el tratamiento, el alojamiento y la disposición final de la
información.

La generalidad de las soluciones empresariales de DLP permite la

visualización del uso de datos en una organización y la aplicación
dinámica de políticas basadas en gestión de riesgos; para ello a partir de
controles parametrizables permiten monitorear el flujo de información,
filtrar datos, generar alertas o establecer bloqueos que permitan gestionar
los riesgos de pérdida involuntaria o accidental de datos, así como la
exposición o filtración de datos personales o confidenciales.
De acuerdo con estudios realizados TECHRADAR.pro las mejores
soluciones disponibles en el mercado para prevenir la pérdida de datos
son:

1. Symantec Data Loss Prevention

2. SecureTrust Data Loss Prevention
3. McAfee Total Protection for DLP
4. Check Point Data Loss Prevention
5. Digital Guardian Endpoint DLP
Esta clasificación es muy similar a la realizada por GARTNER en 2018.

Esta clasificación es muy similar a la realizada por GARTNER en 2018.

Ver:

Sin embargo GARTNER adicionalmente nos presenta otros dos productos

completos de DLP como son: SearchInform DLP, y Terramind DLP los
cuales cuentan con una clasificación de 5 a pesar de no ser los utilizados
en el mercado.
Para mayor información puedes dar clic aquí.