1.

¿Qué regulación se ve afectada en este incidente de Ciberseguridad del Caso del BCP
y cómo impacta al BCP? Sustente brevemente

La regulación afectada en el caso, fue la Ley de Protección de datos personales N°

29733, afectando directamente a los sistemas de información financiera, accediendo a
los datos de los clientes como sus números de tarjetas, cuentas y saldos. Impactando
mediante la publicación de la información en la “Deep web”, en donde se publica
información ilegal o peligrosa a nivel mundial, buscando de esta manera vender la
base de datos que se obtuvo en el ciberataque (Del Risco, 2019).

2. Asuma que el incidente se debe a un Data Breach originado por una inapropiada
configuración de la red. De acuerdo con ISO/IEC 27002 ¿Qué Objetivo de Control y
Controles de Seguridad propone implementar para el tratamiento del incidente?
Sustente por lo menos haciendo referencia a 01 Objetivo de Control y 01 Control

Para el presente caso, propongo que se debe implementar los siguientes objetivos de
control:

9.4 Control de acceso a sistemas y aplicaciones.

9.4.1. Restricción del acceso a la información: Las funciones del sistema utilizado en
este caso debe considerar las diferentes restricciones de control de acceso
determinadas por cada política de control definidos en la organización (ISO 27002.
S.f.).

12.4 Registro de actividad y supervisión.

12.4.2. Protección de los registros de información: Los registros deben tener un nivel
de protección apropiados para evitar pérdidas, corrupciones o cambios no
autorizados, detectando instrucciones (ISO 27002. S.f.).

3. Explique con un ejemplo la diferencia entre Data Leaks y Data Breaches. De acuerdo
con ISO/IEC 27002 ¿Qué Objetivo de Control y Controles de Seguridad propone
implementar para el tratamiento de las amenazas anteriores? Sustente por lo menos
haciendo referencia a 01 Objetivo de Control y 01 Control para el Data Leak y para el
Data Breaches.

DATA LEAK DATA BREACH

Perú: Se filtran datos sensibles de
usuarios a través de plataformas del
Gobierno.
Filtración de datos personales de
diferentes usuarios que eran
administradores por entidades en el
sector público. Información altamente
sensible, comercializada en internet al
mejor postor (Villar, 2022).
El Inai, el órgano autónomo garante de
la transparencia y la protección de datos
personales, sufrió más de 27 millones de
incidentes de seguridad a mediados del
2021.
La más reciente versión de la Plataforma
Nacional de Transparencia (PNT), que
administra el Inai, fue el objetivo de esta
serie de ataques que tenían como
objetivo obtener el control de la
plataforma para aprovechar sus recursos
(Riquelme, 2022).

13.2 Intercambio de información con partes externas.

 13.2.1 Políticas y procedimientos de intercambio de información: Definir
procedimientos y políticas para proteger la información que se va a transmitir donde
se tenga en cuenta todos los aspectos (ISO 27002. S.f.).

12.7 Consideraciones de las auditorías de los sistemas de información.

12.7.1 Controles de auditoría de los sistemas de información: Se debe evaluar el
impacto o consumo de recursos de auditorías que supongan un consumo de recursos
importante dentro de los sistemas (ISO 27002. S.f.).

REFERENCIAS

Del Risco, J. (2019). Ciberseguridad y datos personales: el caso del BCP. Recuperado de:
https://www.enfoquederecho.com/2019/12/12/ciberseguridad-y-datos-personales-el-
caso-del-bcp/

ISO 27002 (s.f.). NORMA ISO 27002. Recuperada de: https://normaiso27001.es/

Riquelme, R. (2022). Ciberseguridad México 2021: ransomware y robo de credenciales.

Recuperado de: https://www.eleconomista.com.mx/tecnologia/Ciberseguridad-Mexico-
2021-ransomware-y-robo-de-credenciales-20220107-0046.html

Villar, P. (2022). Perú: Se filtran datos sensibles de usuarios a través de plataformas del
Gobierno. Recuperado de: https://www.bloomberglinea.com/2022/05/20/peru-se-
filtran-datos-sensibles-de-usuarios-peruanos-por-plataformas-del-gobierno/