Capacitación

INCIDENTES Y RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN

Xenia Cabrejos
ISO27001LA, ISO27001LI

Marzo, 2021
 Sobre el expositor

1. Bach. de Sistemas, ISO27001LI, ISO27001LA

2. +5 años de experiencia especializado en seguridad de
información.
3. Miedo a las alturas
4. Chiclayana de corazón

ccabrejos@kunak.com.pe
www.kunak.com.pe

2
 1.
Riesgos de seguridad de la
información

3
 Riesgos de seguridad de la información
No modificación No interrupción
Mantener intacta, Mantener disponible y
exacta y valida la accesible, cuando se
información de la requiera, la información
organización. de la organización.

No divulgación
Mantener protegida toda la
información confidencialidad
y sensible de (o en) custodia
por la organización.
4
 Riesgos de seguridad de la información
¿Activo de información?
Es aquello que es o contiene información imprescindible para las organizaciones
que se debe proteger frente a riesgos y amenazas. Como, por ejemplo:

➢ Documentos en papel: contratos, guías

➢ Software: aplicativos y software de sistemas
➢ Hardware: equipos informáticos, dispositivos físicos: computadoras, medios
removibles.
➢ Personas: clientes, personal, etc.
➢ Imagen y reputación de la Institución: marca
➢ Servicios: comunicaciones, internet, energía.

5
 Riesgos de seguridad de la información
Riesgo
➢ Posibilidad de que se produzca un contratiempo o una desgracia, de que
alguien o algo sufra perjuicio o daño.

➢ El riesgo se define como la combinación de la probabilidad de que se

produzca un evento y sus consecuencias negativas.

➢ Diversos tipos:
• Riesgo laboral
• Riesgo biológico
• Riesgo financiero

6
 Riesgos de seguridad de la información
¿Riesgo de seguridad de la información?
Es la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información. Como, por ejemplo:

➢ Vulnerabilidad: Un conjunto de ordenadores o

servidores cuyo sistemas antivirus no están
actualizados o una serie de activos para los
que no existe soporte ni mantenimiento por
parte del fabricante.

➢ Amenaza: Hackers, personas malintencionadas,

virus, Ransomware.

7
 Riesgos de seguridad de la información
01 La versión más reciente es la ISO/IEC 27005:2018.

Proporciona una guía para las empresas sobre cómo tratar las exigencias sobre
Tecnologías de Información y Gestión de Seguridad de la Información al mismo
02 tiempo que proporciona un marco de trabajo para gestionar de forma efectiva
los riesgos relacionados con la seguridad de la información a fin de cumplir con
los requisitos específicos de ISO/IEC 27001.

ISO/IEC 03 Adaptación del marco de la norma ISO 3100 para la seguridad de la

información.

27005 04
Alineado con los requisitos de la norma ISO 27001.

Responde al “Por qué” y “Qué” de la gestión de riesgos en

05 seguridad de la información.

Hace referencia a que para el cumplimiento de los requisitos de ISO/IEC 27001

se puede utilizar múltiples enfoques o metodologías de gestión del riesgo, con
06 lo cual el contenido de esta ISO/IEC 27005 es aplicable pero no es el único, se
pueden utilizar otras formas de cumplir los requisitos de gestión del riesgo
dependiendo de las necesidades y recursos de cada organización.

8
 Riesgos de seguridad de la información
Relación con otras ISO

ISO 27005 ISO 31000

ISO 27001, (Marco genérico (Marco genérico
cláusula 6.1.1, de la gestión de de la gestión de
6.1.3 y 8.2, 8.3 riesgos aplicados a riesgos)
la Seguridad de la
Información)

9
 Riesgos de seguridad de la información
Requisitos de la ISO 27001
ISO 27001,
cláusula 6
Asegurar que el SGSI puede logar resultados previstos, prevenir o reducir
efectos no deseados.
Establecer y mantener criterios de riesgo, y asegurar que
Determinar las evaluaciones produzcan resultados consistentes,
riesgos y válidos y comparables.
oportunidades Evaluación del
riesgo de la
seguridad de la
Tratamiento de
información
riesgos de la
seguridad de la
Seleccionar las opciones de tratamiento de riesgo,
determinar los controles . información Objetivos de la
seguridad de la
Coherentes con la política de SI, mensurables tomando en cuenta información
los requisitos, la evaluación de riesgos y tratamiento del riesgo.
10
 Riesgos de seguridad de la información
Definiciones
❑ Amenaza: Causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.

❑ Vulnerabilidad: Debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

❑ Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en
un activo de información.
❑ Impacto: El costo para la organización de un incidente -de la escala que sea-, que puede o no ser medido en términos
estrictamente financieros, por ejemplo, pérdida de reputación, implicaciones legales, entre otros.
❑ Probabilidad de ocurrencia: Identifica la probabilidad de que un riesgo se materialice, es decir, que la amenaza tome
ventaja de la vulnerabilidad.

❑ Nivel de Riesgo: Indicador que se obtiene de la combinación del impacto y la probabilidad de ocurrencia del riesgo.

11
 Riesgos de seguridad de la información
Definiciones
❑ Evaluación de riesgos: Proceso de la comparación de los resultados del análisis de riesgos con los criterios de riesgo
para determinar si el riesgo o su magnitud es aceptable o tolerable.

❑ Riesgo Inherente: Riesgo que queda después de controles actuales.

❑ Tratamiento de riesgos: Proceso de selección e implementación de medidas para modificar el riesgo.

❑ Control : Contramedida para reducir o mitigar un riesgo.

❑ Riesgo Residual: Nivel de riesgo que subsiste luego de evaluar controles propuestos.

❑ Proceso de gestión de riesgos: Aplicación sistemática de políticas, procedimientos y prácticas a las actividades de
comunicación, consulta, estableciendo el contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y
revisión de riesgo.

12
 Riesgos de seguridad de la información
Proceso de gestión de riesgos de seguridad de la información según la
ISO/IEC 27005

El proceso de gestión de riesgos de seguridad de la

información consiste en establecer el contexto
(cláusula 7), evaluación de riesgos (cláusula 8), el
tratamiento de riesgos (cláusula 9), aceptación de
riesgos (cláusula 10), la comunicación de riesgos
(cláusula 11), y control y revisión de riesgos (Cláusula
12).

13
Riesgos de seguridad de la información
Metodología de gestión de riesgos

1.-Identificación 2.-Análisis 3.-Estimación

3.-Evaluación 4.-Tratamiento 5.-Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos

1. Identificación de activos
2. Identificación de amenazas
3. Identificación de los
controles existentes
4. Identificación de
vulnerabilidades
5. Identificación de las
consecuencias

14
Riesgos de seguridad de la información

1. Evaluación de las
consecuencias
2. Evaluación de la
probabilidad de
incidentes
3. Determinación del
nivel de riesgos

1.-Identificación
1. Identificación 2.-Análisis
2. Análisis 3.-Estimación
3. Estimación 4.-Tratamiento
4. Tratamiento 5.-Aceptación
5. Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos

1. Identificación de activos
2. Identificación de amenazas
3. Identificación de los
controles existentes
4. Identificación de
vulnerabilidades
5. Identificación de las
consecuencias

15
 Riesgos de seguridad de la información
2.3. Determinación del nivel riesgo

➢ Probabilidad: ¿Cual es la
probabilidad que ocurra?

➢ Impacto: ¿Cual es la impacto

si ocurre?

16
Riesgos de seguridad de la información

1. Evaluación de las
consecuencias
2. Evaluación de la
probabilidad de
incidentes
3. Determinación del
nivel de riesgos

1.-Identificación
1. Identificación 2.-Análisis
2. Análisis 3.-Estimación
3. Evaluación 4.-Tratamiento
4. Tratamiento 5.-Aceptación
5. Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos

1. Identificación de activos
2. Identificación de amenazas 1. Evaluación de los niveles
3. Identificación de los de riesgo sobre la base
controles existentes de criterios de
4. Identificación de evaluación del riesgo.
vulnerabilidades
5. Identificación de las
consecuencias

17
 Riesgos de seguridad de la información
3.1. Evaluación de los niveles de riesgos
Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupos
de activos y por lo tanto causará daño a la organización.
Nota: se mide en términos de una combinación de la probabilidad de un evento y
sus consecuencias.

Probabilidad Consecuencia Nivel del

(Ocurrencia) (Impacto) riesgo

18
 Riesgos de seguridad de la información
3.1. Evaluación de los niveles de riesgos
ISO 27005,
anexo E, tabla E

Priorización de riesgos

Valor de Probabilidad de Medida del Orden de

Amenaza consecuencia ocurrencia de la riesgo (nivel de prioridad de
(activo) amenaza riesgo) la amenaza
Escenario A 5 2 10 2
Escenario B 2 4 8 3
Escenario C 3 5 15 1
Escenario D 1 3 3 5
Escenario E 4 1 4 4
Escenario F 2 4 8 3

19
Riesgos de seguridad de la información

1. Evaluación de las 1. Opciones de

consecuencias tratamiento de
2. Evaluación de la riesgos
probabilidad de 2. Plan de tratamiento
incidentes de riesgos
3. Determinación del 3. Estimación del
nivel de riesgos riesgo residual

1.-Identificación 2.-Análisis 3.-Estimación

3. Evaluación 4.-Tratamiento 5.-Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos

1. Identificación de activos
2. Identificación de amenazas 1. Evaluación de los niveles
3. Identificación de los de riesgo sobre la base
controles existentes de criterios de
4. Identificación de evaluación del riesgo.
vulnerabilidades
5. Identificación de las
consecuencias

20
 Riesgos de seguridad de la información
4.1. Opciones de tratamiento de riesgos
ISO 27005,
cláusula 9

Mitigar del riesgo

Mitigar del riesgo Presentar, retirar o modificar los controles de modo que
el riesgo residual puede ser evaluado como aceptable.

Aceptar el riesgo
Evitar el Aceptar La dirección decidió aceptar el nivel real de riesgo.
riesgo del riesgo

Evitar el riesgo
Cancelación o modificación de una actividad o conjunto
de actividades relacionadas con riesgos.
Compartir del
riesgo
Compartir el riesgo
Decisión de compartir riesgos con las partes externas:
seguros o tercerización
21
 Riesgos de seguridad de la información
4.2. Plan de tratamiento de riesgos
ISO 27005,
cláusula 9.1

Se deben
Identificar y asignar los
planificar el recursos
tratamiento de necesarios al
riesgos plan de
Las actividades tratamiento
deberían
clasificarse en
orden de
prioridad

22
 Riesgos de seguridad de la información
4.3. Estimación del riesgo residual
ISO 27005,
cláusula 3.8
El riesgo residual es el riesgo que queda después de que el riesgo ha sido tratado. La noción de riesgo
residual puede ser definida como el riesgo que queda después de la aplicación de los controles con el
objetivo de reducir el riesgo inherente, y puede resumirse de la siguiente manera:
El riesgo residual = riesgo inherente – riesgo tratado por los controles

1. Riesgos residuales
Riesgo resultante del tratamiento
1
de riesgo
Riesgo inherente
Todos los riesgos sin tener en
cuenta los controles
2. Riesgo tratado
2
Riesgo eliminado con controles

23
Riesgos de seguridad de la información

1. Evaluación de las 1. Opciones de

consecuencias tratamiento de
2. Evaluación de la riesgos
probabilidad de 2. Plan de tratamiento
incidentes de riesgos
3. Determinación del 3. Estimación del
nivel de riesgos riesgo residual

1.-Identificación 2.-Análisis 3.-Estimación

3. Evaluación 4.-Tratamiento 5.-Aceptación
de de de de de
riesgos riesgos riesgos riesgos riesgos

1. Identificación de activos
2. Identificación de amenazas 1. Evaluación de los niveles
3. Identificación de los de riesgo sobre la base 1. Aceptación del plan
controles existentes de criterios de de tratamiento de
4. Identificación de evaluación del riesgo. riesgos
vulnerabilidades 2. Aceptación del riesgo
5. Identificación de las residual
consecuencias

24
 2.
Eventos e incidentes de
seguridad de la información

25
Evento e incidente de seguridad de la información
¿Cómo reportar?

OSI Julius Villavicencio

Correo segurinfo@adinelsa.com.pe

Llamada Julius Villavicencio

TI Canal de reporte

26
Evento e incidente de seguridad de la información
¿Qué es un evento de seguridad de la información?
Un evento de seguridad de la información indica que el sistema, la seguridad o los servicios de red y de
infraestructura han sido comprometidos o vulnerados. Esto indica que los controles implementados han
fallado y/o que no se ha seguido la política de seguridad de la información de la organización.

27
Evento e incidente de seguridad de la información
¿Qué reportar?
Correos, mensajes o llamadas
01 maliciosas
Confidencialidad

02 Error de carga de un archivo Integridad

Eventos
Falla del equipo informático, falla al
03 ingreso de un servicio
Disponibilidad

Contraseñas escritas en pos-it o

04 cuadernos Otros
28
Evento e incidente de seguridad de la información
¿Qué es un incidente de seguridad de la información?
Es un o una serie de eventos de seguridad de la información no deseados o inesperados que tiene una
probabilidad significativa de comprometer operaciones de negocio y amenazar la seguridad de la información
(CID).

29
 Evento e incidente de seguridad de la información
¿Cuánto pierde una
organización ante
un incidente de SI? Daño Daño
reputacional económico

Pérdida de Acciones
Despidos
clientes legales
Evento e incidente de seguridad de la información
Incidentes de seguridad de la información en el Perú…

31
Evento e incidente de seguridad de la información
¿Qué reportar?
Acceso no autorizado, envío de archivos
01 confidenciales sin contraseña,
divulgación de credenciales de acceso
Confidencialidad

Cambios no controlados en los sistemas, falla

en las herramientas o servicios, errores en la
02 carga de información al sistema, Integridad
modificación de la información
Incidentes
Indisponibilidad del servicio, sobrecarga
03 en sistemas, ciberataque informático Disponibilidad

Incumplimiento de políticas, uso

04 inadecuado del correo electrónico, ataques
de ingeniería social
Otros
32
Evento e incidente de seguridad de la información
Incidentes de seguridad de la información en el Perú…
❑ Acceso no autorizado: Es un incidente que involucra a una persona, sistema o código malicioso que
obtiene acceso lógico o físico sin autorización adecuada del dueño a un sistema, aplicación, información o
un activo de información.

33
Evento e incidente de seguridad de la información
Tipos de incidentes de seguridad de la información
❑ Fuga de información: Incidente que pone en poder de una persona ajena a la organización, información
confidencial y que sólo debería estar disponible para integrantes de la misma (tanto todos como un grupo
reducido). Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no.

Algunos ejemplos de fuga de información:

• Un empleado vendiendo información confidencial a la competencia (incidente interno e intencional).
• La pérdida de un documento en un lugar público (incidente interno y no intencional).
• La pérdida de una laptop o un pen drive (USB).
• El acceso externo a una base de datos en la organización o un equipo infectado con un Spyware que
envíe información a un delincuente.

❑ Incumplimiento de políticas y/o procedimientos de seguridad de la información: Es un incidente

relacionado al incumplimiento de las políticas y/o procedimientos de seguridad de la información por parte
del personal de EMPRESA y/o terceros.

34
Evento e incidente de seguridad de la información
Tipos de incidentes de seguridad de la información
❑ Ataques de ingeniería social: Es un incidente de seguridad que intenta o ha vulnerado la disponibilidad,
integridad y confidencialidad. Existen diferentes tipos, como, por ejemplo:

PHISHING SMISHING VISHING REDES SOCIALES

35
 3.
¿Qué debo hacer?

36
 ¿Qué debo hacer?
¿Quién es el principal elemento que permite
garantizar que tengamos la información segura?

37
 ¿Qué debo hacer?
Seguir los lineamientos generales establecidos por ADINELSA…

1. Cumplir los procedimientos y políticas establecidas en seguridad de la información.

2. Identificar incidentes y reportarlos al Oficial de Seguridad de la Información (Julius

Villavicencio) o al correo segurinfo@adinelsa.com.pe.

3. Identificar posibles riesgos de SI y mejoras al sistema SGSI y comunicándolas.

4. Reportar infracciones a la política y procedimientos de seguridad de información para que

sean sancionados según lo establecido en el Proceso disciplinario y/o contratos.

5. Mantener la responsabilidad sobre la información a la que tuvo acceso mientras labora en la

empresa incluso luego del cese laboral.

38
 ¿Qué debo hacer?
Seguir los lineamientos establecidos por ADINDELSA…

Hacer uso de los equipos Asegurar que la clave WI-Fi

corporativos, los cuáles tienen doméstica sea difícil de descifrar
implementados medidas de para evitar conexiones no
seguridad adecuadas. autorizadas y peligrosas.

Cerrar sesión cuando no se está

Evitar conectarse a redes
utilizando las conexiones
inalámbricas públicas con
remotas ni los sistemas de
dispositivos del trabajo.
información y/o plataformas.

39
 ¿Qué debo hacer?
Seguir los lineamientos establecidos por ADINDELSA…
Verificar que tenga instalado y
actualizado el antivirus, para esto Proteger los equipos móviles mediante
deben observar un ícono de un escudo el uso de contraseñas, patrones o
amarillo con un punto verde al controles biométricos.
costado de la hora.

No ingresar a los enlaces enviados por

Evitar compartir información de la
correos electrónicos de remitentes
empresa y personal (correo
desconocidos o sospechosos, mucho
electrónico) en sitios como redes
menos descargando o abriendo sus
sociales.
archivos adjuntos.

40
+51(1) 206-4204 Av. Dos de Mayo 516 Of. 201,Miraflores, Lima. info@kunak.com.pe

41