Diplomado en Seguridad de la Información y Ciberseguridad para el Sector Público

Gestión de Riesgos
de Ciberseguridad
Parte 2: Conceptos Generales de Riesgos
Gestión de Riesgos
Conceptos Generales

DAVID LOPEZ CARREÑO

Magister en Control de Gestión (c), Ingeniero en Información y Control de Gestión de la

Universidad Diego Portales y Diplomado en Dirección de Proyecto de la Universidad de
Santiago de Chile. Especialista la implementación de modelos de gestión y mecanismos
de control de gestión. Certificado en COBIT, MTA Specialist, MOS Expert,
Implementador ISO 9001, Auditor Líder ISO 27001 y Cybersecurity Fundamentals de
ISACA.

Email: david.lopez.c@usach.cl
LinkedIn: https://www.linkedin.com/in/davidlc/
Introducción al Módulo

1. Conceptos Generales de Riesgos

2. Activos y Controles: Casos Específicos

3. Línea Base de Riesgos

 Repaso Clase Anterior

“Generic Risk Model with Key Risk Factors”, NIST SP 800-30 R1 Guide for Conducting Risks Assessments
Procesos, Servicios y Activos

Sara y Bastián deben elegir cómo invertir el presupuesto para mejorar la atención al
cliente al interior de un centro asistencial

Para poder tomar la mejor decisión, comienzan a estudiar los indicadores

relacionados con el área de servicios, solicitando al área de BI que genere un panel
de información útil.

El equipo de BI entregó a Sara y Bastián un dashboard PowerBI para analizar y

presentar los datos necesarios, conectado a una Base de Datos en la nube que
mantiene toda la información de la institución.
Procesos, Servicios y Activos

Proceso de Negocio
Sara y Bastián deben elegir cómo invertir el presupuesto para mejorar la atención al
cliente al interior de un centro asistencial

Servicio de TI
Para poder tomar la mejor decisión, comienzan a estudiar los indicadores
relacionados con el área de servicios, solicitando al área de BI que genere un panel
de información útil.

Activos de TI
El equipo de BI entregó a Sara y Bastián un dashboard PowerBI para analizar y
presentar los datos necesarios, conectado a una Base de Datos en la nube que
mantiene toda la información de la institución.
Procesos, Servicios y Activos

Procesos de Negocios

Los proceso de negocios son conjuntos de tareas entre

sí, destinadas a ofrecer un servicio o un producto a un
cliente. Las actividades de un proceso de negocio, una
vez terminados consiguen un objetivo de la empresa.
Procesos de Negocios
Servicios TI

Servicios

Un servicio de TI es un conjunto de actividades que

buscan responder a las necesidades de un cliente (en
nuestro caso, cliente interno) por medio de un
cambio de condición activos de TI, potenciando el
valor de estos y reduciendo su riesgo inherente.
Servicios TI

¿Qué cosas necesito para que el proceso de “Gestión de

Personas” funcione correctamente? ¿Cómo pago los
sueldos? ¿Cómo me comunico con las personas?

Desde el punto de vista de las TI, muchas veces

respondemos a “clientes internos” quienes consumen
nuestros servicios.
Servicios TI
Procesos, Servicios y Activos
Activo de Información

▪ Información
“La información es un activo que, al igual que otros activos importantes del
negocio, es esencial para el negocio de una organización y, por consiguiente
necesita ser debidamente protegida.” (ISO 27.000:2016)

▪ Activo
“Los activos son elementos tangibles e intangibles que son valiosos para el
logro de la misión u objetivos de negocios.” (NIST 800-37)

▪ Activo de Información
“Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la
organización. Incluye: información, datos, servicios, aplicaciones (software),
equipos (hardware), comunicaciones, recursos administrativos, recursos
físicos y recursos humanos.” (Magerit).
Procesos, Servicios y Activos

PROCESO SERVICIO ACTIVO

Cobro a Clientes

Envio de Mail de
Marketing

Operar un paciente
VULNERABILIDAD

“Es una debilidad o fallo en un activo o control que pone en riesgo la

seguridad de la información pudiendo permitir que un atacante pueda
comprometer la integridad, disponibilidad o confidencialidad de la misma,
por lo que es necesario encontrarlas y eliminarlas lo antes posible” (INCIBE,
2019)
Análisis: Ataque al EMCO

RIESGOS POTENCIALES

▪ Accesos no autorizados (Internos)

▪ Fuga de información
▪ Fallas de Equipamiento
▪ Obsolescencia de Hw/Sw
▪ Exposición de Información
▪ Robo
▪ Codigo Malicioso
▪ Ciberataque
▪ Teletrabajo
Análisis: Ataque al EMCO

RIESGOS POTENCIALES

▪ Accesos no autorizados (Internos)

▪ Fuga de información
▪ Fallas de Equipamiento ¿Cómo
▪ Obsolescencia de Hw/Sw me
▪ Exposición de Información protejo?
▪ Robo
▪ Codigo Malicioso
▪ Ciberataque
▪ Teletrabajo
Análisis: Ataque al EMCO

RIESGO CONTROL

1. Política y procedimiento de control de acceso

2. VPN
3. Doble Factor de Autenticación
Accesos no 4. Capacitación y Concientización
autorizados 5. Gestión de Contraseñas
(Internos) 6. Protector de Pantalla
7. Respaldo de Información
8. Acceso físico controlado
Análisis: Ataque al EMCO

RIESGO CONTROL

1. DLP
2. Cifrado de Disco
Fuga de 3. Monitoreo de trafico
información 4. SOC
5. Roles y perfiles en sistemas
6. Antivirus
7. EDR
Análisis: Ataque al EMCO
¿Son todos los activos de información igual de importantes?

¿Son todos los activos de información igual de importantes? Preguntémonos: ¿Qué podría pasar si
le roban el PC a un asistente contable? ¿Qué podría pasar si le roban el PC a un CFO? A esto lo
denominamos “la criticidad del activo de información”

Asistente Contable CFO

Criticidad de los Activos

¿Cómo poder diferenciar o priorizar?

▪ Valor para el negocio
▪ Datos Personales
▪ Continuidad
▪ Necesidad de CID

CFO Valor para el negocio: ¿Qué tan caro es este activo?

¿Tiene alguna característica especial que lo hace
muy muy relevante para la organización? ¿Qué tan
especial será la formula secreta de la CocaCola?

¿Cuál será la variable clave? ¿Podrían ser más de una? ¿Podrían ser los Riesgos y su
criticidad un factor diferenciador?

Analista Contable
Criticidad de los Activos

¿Cómo poder diferenciar o priorizar?

▪ Valor para el negocio
▪ Datos Personales
▪ Continuidad
▪ Necesidad de CID

CFO
Información de Identificación Personal: ¿Contiene
el activo de información PII? ¿Estoy afecto a
normativa relacionada? ¿Qué pasa si se filtran la PII
que almaceno?

¿Cuál será la variable clave? ¿Podrían ser más de una? ¿Podrían ser los Riesgos y su
criticidad un factor diferenciador?

Analista Contable
Criticidad de los Activos

¿Cómo poder diferenciar o priorizar?

▪ Valor para el negocio
▪ Datos Personales
▪ Continuidad
▪ Necesidad de CID

CFO
Continuidad: Si el activo de información sufre un
daño ¿Detiene toda mi operación? ¿Cuánto me
puedo demorar en recuperarlo antes de que no
haya vuelta atrás?

¿Cuál será la variable clave? ¿Podrían ser más de una? ¿Podrían ser los Riesgos y su
criticidad un factor diferenciador?

Analista Contable
Criticidad de los Activos

¿Cómo poder diferenciar o priorizar?

▪ Valor para el negocio
▪ Datos Personales
▪ Continuidad
▪ Necesidad de CID

CFO CID: ¿Cuál es la necesidad de CID que tiene mi

activo de información? ¿Qué tan necesario es
resguardar la confidencialidad, Integridad o
Disponibilidad de la información en el activo? (o del
activo)

¿Cuál será la variable clave? ¿Podrían ser más de una? ¿Podrían ser los Riesgos y su
criticidad un factor diferenciador?

Analista Contable
En caso de olvido, vea la diapo

Confidencialidad: Solo quienes tienen acceso pueden

acceder y ver los datos.

Integridad: Solo las personas autorizadas pueden

modificar o añadir más datos.

Disponibilidad: La información está disponible en el

minuto en la que la necesito.
Criticidad de los Activos

¿Cómo poder diferenciar o priorizar?

▪ Valor para el negocio
▪ Datos Personales
▪ Continuidad
▪ Necesidad de CID

CFO CID: ¿Cuál es la necesidad de CID que tiene mi

activo de información? ¿Qué tan necesario es
resguardar la confidencialidad, Integridad o
Disponibilidad de la información en el activo? (o del
activo)

¿Cuál será la variable clave? ¿Podrían ser más de una? ¿Podrían ser los Riesgos y
su criticidad un factor diferenciador?

Analista Contable
Criticidad de los Activos

CFO Analista Contable

Antivirus
COMPUTADOR

Bloqueo Pantalla

Agente EndPoint

Firewall

Biometría
Criticidad de los Activos

Personal Personal Personal de Personal de Personal

Riesgos Controles estratégico crítico negocio TI/Ciberseguridad administrador
Politica y procedimiento de control de acceso Aplica Aplica Aplica Aplica Aplica
VPN Aplica Aplica Aplica Aplica Aplica
Doble Factor de Autenticación Aplica Aplica Aplica Aplica Aplica
Accesos no autorizados Capacitación y Concientización Aplica Aplica Aplica Aplica Aplica
(Internos) Gestión de Contraseñas Aplica Aplica Aplica Aplica Aplica
Protector de Pantalla Aplica Aplica Aplica Aplica Aplica
Respaldo de Información Aplica Aplica Aplica Aplica Aplica
Acceso fisico controlado Aplica Aplica Aplica Aplica Aplica
DLP Aplica Aplica Aplica Aplica Aplica
Cifrado de Disco Aplica Aplica Aplica Aplica Aplica
Monitoreo de trafico Aplica Aplica Aplica Aplica Aplica
Fuga de información SOC No aplica No aplica No aplica No aplica No aplica
Roles y perfiles en sistemas Aplica Aplica Aplica Aplica Aplica
Antivirus Aplica Aplica Aplica Aplica Aplica
EDR Aplica Aplica Aplica Aplica Aplica
Mantenciones Aplica Aplica Aplica Aplica Aplica
Plan de cambios de equipamiento Aplica Aplica Aplica Aplica Aplica
Fallas de Equipamiento Redundancia de equipamiento Aplica Aplica No aplica No aplica Aplica
Respaldo de Información Aplica Aplica Aplica Aplica Aplica
Soporte Tecnico Aplica Aplica Aplica Aplica Aplica
Diplomado en Seguridad de la Información y Ciberseguridad para el Sector Público
Gestión de Riesgos
de Ciberseguridad
Parte 2: Conceptos Generales de Riesgos