Curso: Diseño de la Estrategia de Ciberseguridad

2021 – I PROGRAMA ESPECIALIZADO EN GESTIÓN DE LA CIBERSEGURIDAD

Integrantes:
• Karina Céspedes Vargas
• Leonard Soto Rodriguez
• Joe Cerna Medina
• José Rodríguez Marcelo
Contenido

• Introducción a la compañía

• Definición de la estrategia de
ciberserguridad

• Dashboard para el monitoreo

de la estrategia de
ciberseguridad
Introducción a
la compañía
 Introducción a la compañía
Descripción general

• Banco Sur Peruano es una entidad bancaria con 07 años de presencia en el

mercado peruano y conformado por un total de 600 colaboradores a nivel
nacional.
• Ofrece productos y servicios alineado a las necesidades de sus clientes bajo los
siguientes segmentos: Banca Particular, Negocios y Microempresas, Banca
Empresas, Banca Premium y Banca Privada.
• Cuenta con una red de oficinas físicas que brinda un trato personalizado,
accesible y cercano, así como una amplía red de cajeros automáticos. También
cuenta con canales digitales sobre los cuales la entidad viene mejorando.
• La compañía esta realizando un proceso de transformación digital que abarcará a
las área de negocio para los próximos 3 años.

Nuestra Misión Nuestra Visión

Contribuir al bienestar Ser una de las entidades
financiero de nuestros financieras líderes,
clientes y al progreso de aportando al desarrollo
todo el país. sostenible del Perú.
Definición de la
estrategía de
ciberseguridad
 Definición de la estrategia de ciberseguridad
Paso 1 – Priorización y Alcance

Objetivos Estratégicos Misión Drivers

• OE1: Ofrecer la mejor

experiencia al cliente.
Contribuir al bienestar financiero • Driver #1 - Participación
• OE2: Acelerar la
de nuestros clientes y al progreso de la cartera de clientes Priorización de los segmentos de negocio
transformación digital.
de todo el país.
• OE3: Potenciar una cultura Segmento Driver #1 Driver #2 Driver #3 Prioridad
centrada en las personas, ágil Banca Particular, Negocios
y colaborativa. • Driver #2 - Impacto Alto Alto Alto Alto
y Microempresas
sobre los ingresos
• OE4: Lograr una rentabilidad Banca Empresas Medio Alto Alto Alto
atractiva, manteniendo la Banca Premiun Bajo Bajo Bajo Bajo
solidez financiera. Ser una de las entidades Banca Privada Bajo Medio Bajo Medio
financieras líderes, aportando
• OE5: Ser referentes en
al desarrollo sostenible del • Driver #3 - Crecimiento
gestión responsable y
Perú. / Expansión dentro
compromiso con la
del mercado local
sociedad.

Visión
 Definición de la estrategia de ciberseguridad
Paso 2 – Orientación

Priorización y alcance
Segmento Driver #1 Driver #2 Driver #3 Prioridad
Banca Part/Neg/Microemp Alto Alto Alto Alto
Banca Empresas Medio Alto Alto Alto Requerimientos de ciberseguridad identificados
Banca Premiun Bajo Bajo Bajo Bajo
Banca Privada Bajo Medio Bajo Medio Factor de Diseño Código Requerimiento de Ciberseguridad Importancia
Necesidad de GDI - Contar con un servicio disponible a todo momento
REQ #1 Alto
Clientes y seguro de banca digital.
Requerimientos de stakeholders Necesidad de GDI - Implementar controles gerenciales y técnicos para
REQ #2 Alto
• Contar con los recursos necesarios para brindar el servicio adecuado al cliente (Personal). Servicios proteger los nuevos servicios por implementar.
• Servicios bancarios disponibles en todo momento (Clientes). Desarrollar nuevas políticas, estándares y
Gobernanza REQ #3 procedimientos de ciberseguridad, para proteger Alto
• Tener seguridad en las operaciones financieras realizadas (Clientes). los activos críticos de la organización.
• Asegurar las facilidades para la prestación de servicios (Proveedores). Asegurar el cumplimiento normativo, regulatorio,
• Medios seguros para el intercambio de información (Proveedores). Cumplimiento REQ #4 legal relacionada a la ciberseguridad, en relación Alto
con la SBS, SMV, PCI y SWIFT.
• Mantener protegida a la organización ante las amenazas internas y externas (Accionistas). Reducir la exposición de riesgos relacionados al
• Fortalecer el buen gobierno corporativo (Accionistas). Gestión de Riesgos REQ #5 fraude en las transacciones financieras por accesos Medio
• Cumplir con las normativas asociadas aplicables al sector financiero como PCI, SWIFT, LPDP,
no autorizados a los sistemas.
Reglamentos locales (Reguladores). Revisar y actualizar el DRP para agilizar las acciones
Resiliencia REQ #6 de recuperación ante los escenarios de Medio
interrupción de los servicios.
Necesidades de la compañía
• Mantener una alta disponibilidad del servicio de banca digital.
• Fortalecer la seguridad del servicio de plataformas de pago a través de la red de cajeros automáticos.
Definición de la estrategia de ciberseguridad
Paso 2 – Orientación

Nivel de Relación
ID Función Categoría REQ #1 REQ #2 REQ #3 REQ #4 Nivel de Criticidad
1 Gestión de activos (ID.AM) Alto Alto Medio Medio Alto
2 Entorno empresarial (ID.BE) Medio Alto Medio Medio Medio
3 IDENTIFICAR Gobernanza (ID.GV) Medio Medio Alto Alto Alto
4 (ID) Evaluación de riesgos (ID.RA) Medio Medio Bajo Alto Medio
5 Estrategia de gestión de riesgos (ID.RM) Medio Medio Bajo Alto Medio
6 Gestión del riesgo de la cadena de suministro (ID.SC) Alto Medio Medio Medio Medio
7 Gestión de identidades y control de acceso (PR.AC) Medio Medio Bajo Medio Medio
8 Conciencia y capacitación (PR.AT) Medio Medio Medio Medio Medio
9 PROTEGER Seguridad de los datos (PR.DS) Alto Medio Bajo Alto Alto
10 (PR) Procesos y procedimientos de protección de la información (PR.IP) Medio Alto Alto Alto Alto
11 Mantenimiento (PR.MA) Medio Medio Bajo Medio Medio
12 Tecnología de protección (PR.PT) Medio Medio Bajo Medio Medio
13 Anomalías y eventos (DE.AE) Alto Medio Bajo Alto Alto
DETECTAR
14 Monitoreo continuo de la seguridad (DE.CM) Alto Medio Bajo Alto Alto
(DE)
15 Procesos de detección (DE.DP) Medio Medio Alto Medio Medio
16 Planificación de la respuesta (RS.RP) Alto Bajo Bajo Alto Alto
17 Comunicaciones (RS.CO) Alto Bajo Bajo Medio Medio
RESPONDER
18 Análisis (RS.AN) Alto Bajo Bajo Medio Medio
(RS)
19 Mitigación (RS.MI) Alto Bajo Bajo Medio Medio
20 Mejoras (RS.IM) Medio Bajo Bajo Medio Medio
21 Planificación de la recuperación (RC.RP) Alto Bajo Bajo Alto Alto
RECUPERAR
22 Mejoras (RC.IM) Medio Bajo Bajo Medio Medio
(RC)
23 Comunicaciones (RC.CO) Medio Bajo Bajo Medio Medio
 Definición de la estrategia de ciberseguridad
Paso 2 – Orientación

Nivel de
ID Función Categoría Subcategoría
Criticidad
ID.AM-1: Los dispositivos físicos y sistemas dentro de la organización son inventariados.

1 Gestión de activos (ID.AM) Alto ID.AM-2: Las plataformas de software dentro de la organización son inventaridas.
ID.AM-6: Se establecen los roles y responsabilidades de ciberseguridad para toda la fuerza laboral y las
partes interesadas de terceros (p.e. proveedores, clientes, socios)
IDENTIFICAR ID.GV-1: Se establece la política de seguridad de la información organizacional.
ID.GV-2: Los roles y responsabilidades de seguridad de la información están coordinados y alineados con
roles internos y socios externos.
3 Gobernanza (ID.GV) Alto
ID.GV-3: Los requisitos legales y regulatorios relacionados con la ciberseguridad, incluidas las obligaciones de
privacidad y libertades civiles, se comprenden y gestionan.
ID.GV-4: Los procesos de gobierno y gestión de riesgos abordan los riesgos de ciberseguridad.
7 Seguridad de los datos (PR.DS) Alto PR.DS-4: Capacidad adecuada para garantizar que se mantenga la disponibilidad.
PR.IP-5: Se cumplen las políticas y regulaciones con respecto al entorno operativo físico para los activos de la
organización.
PROTEGER Procesos y procedimientos de protección de la PR.IP-9: Los planes de respuesta (Respuesta ante incidentes y Continuidad del negocio) y los planes de
12 Alto recuperación (Recuperación ante incidentes y Recuperación ante desastres) están implementados y
información (PR.IP)
gestionados.
PR.IP-10: Los planes de respuesta y recuperación son probados.
DE.AE-2: Los eventos detectados se analizan para comprender los objetivos y métodos de los ataques.
13 Anomalías y eventos (DE.AE) Alto
DE.AE-4: El impacto de los eventos es determinado.
DETECTAR
DE.CM-2: Se monitorea el entorno físico para detectar posibles eventos de ciberseguridad.
14 Monitoreo continuo de la seguridad (DE.CM) Alto
DE.CM-8: Se realizan análisis de vulnerabilidad.
16 RESPONDER Planificación de la respuesta (RS.RP) Alto RS.RP-1: El plan de respuesta se ejecuta durante o después de un evento.
21 RECUPERAR Planificación de la recuperación (RC.RP) Alto RC.RP-1: El plan de recuperación se ejecuta durante o después de un evento.
Definición de la estrategia de ciberseguridad
Paso 3 – Definir el perfil actual

Para realizar la definición del perfil actual de Banco Sur Peruano, se empleó los niveles de CMMI y los rangos especificados en el siguiente cuadro:

Descripción Nivel Rango % Descripción

La capacidad generalmente no está documentada y se encuentra

en un estado de cambio dinámico, y tiende a ser impulsada de
Inicial 1 [1% - 20%>
manera ad-hoc, incontrolada y reactiva. Nivel de implementación
básico / inicial.

La capacidad se realiza de forma regular, pero no está formalizada

ni es coherente. La cobertura no está pactada ni es completa.
Repetible 2 [20% - 40%>
Principalmente a un nivel estándar de implementación, pero aún
básico en algunos lugares.

La capacidad se documenta formalmente, con una propiedad y un

Definido 3 [40% - 60%> alcance acordado, y se utiliza en la mayor parte de la organización.
Nivel estándar de implementación.

La capacidad se mantiene de forma activa y el rendimiento se

informa periódicamente en un formato que puede llevarse a cabo.
Gestionado 4 [60% - 80%>
Nivel avanzado de implementación en lugares, con cobertura casi
total.

La capacidad se mejora continuamente a través de cambios tanto

Optimizado 5 [80% - 100%] incrementales como innovadores. Implementación avanzada / líder
en la industria y cobertura total.
 Definición de la estrategia de ciberseguridad
Paso 3 – Definir el perfil actual

% Actual
ID Función Categoría Subcategoría Justificación / Contexto Nivel Actual (CMMI) Por
Categoría
ID.AM-1: Los dispositivos físicos y sistemas No se cuenta con un inventario de activos centralizado, a
1-Inicial 5%
dentro de la organización son inventariadas. excepción de los sistemas PCI.
No se tiene una vista centralizada e integral de los servicios en la
ID.AM-2: Las plataformas de software dentro de
nube mantenidos por la compañía en el inventario de activos de 1-Inicial 10%
la organización son inventariadas.
1 Gestión de activos (ID.AM) software. 13%
ID.AM-6: Se establecen los roles y
responsabilidades de ciberseguridad para toda Existe una matriz de roles y responsabilidades interna completa,
2-Repetible 23%
la fuerza laboral y las partes interesadas de pero de forma parcial considerando stakeholders terceros.
terceros (p.e. proveedores, clientes, socios)
Actualmente, el banco cuenta con un política de SI documentada
ID.GV-1: Se establece la política de seguridad de y publicada en el site principal donde se encuentran las políticas,
IDENTIFICAR 3-Definido 50%
la información organizacional. normas y procedimientos vigentes. A su vez, esta fue comunicada
(ID) y aplicada en la organización.
ID.GV-2: Los roles y responsabilidades de
No, aún se tiene pendiente el integrar a los stakeholders terceros
seguridad de la información están coordinados y 2-Repetible 23%
a matriz de roles y responsabilidades.
alineados con roles internos y socios externos
3 Gobernanza (ID.GV) 25%
ID.GV-3: Los requisitos legales y regulatorios Se comprende, pero aún hay un trabajo a mediano/largo plazo
relacionados con la ciberseguridad, incluidas las que se debe definir para cubrir los gaps actuales con el fin de
1-Inicial 17%
obligaciones de privacidad y libertades civiles, se poder asegurar el cumplimiento total de los aspectos legales y
comprenden y gestionan. regulatorios del sector en el cual nos desarrollamos.
No, los procesos de gobierno y riesgo no abordan riesgos de
ID.GV-4: Los procesos de gobierno y gestión de
ciberseguridad. Además, el enfoque de riesgos en casi todos los 1-Inicial 10%
riesgos abordan los riesgos de ciberseguridad.
sistemas core del banco no está asociado a ciberseguridad.
 Definición de la estrategia de ciberseguridad
Paso 3 – Definir el perfil actual

% Actual
ID Función Categoría Subcategoría Justificación / Contexto Nivel Actual (CMMI) Por
Categoría
Se cuenta con procedimientos de backup para la correcta
generación de respaldos y se consideran pruebas periódicas de los
Seguridad de los datos PR.DS-4: Capacidad adecuada para garantizar backups a fin de validar la disponibilidad e integridad de ellos. Por
7 3-Definido 50%
(PR.DS) que se mantenga la disponibilidad otro lado, se cuenta con una solución de integridad de archivos
con la cual se monitorea recursos críticos definidos bajo su
alcance
Sí, se cumplen. Dentro de los controles existentes se abordan
accesos a entornos físicos, este control tiene bajo su alcance
PR.IP-5: Se cumplen las políticas y regulaciones
ingresos a la sede principal, a áreas restringidas dentro de la sede
PROTEGER con respecto al entorno operativo físico para los 4-Gestionado 70%
principal, así como a nuestro CPD principal y de contigencia. Para 48%
(PR) activos de la organización.
cada contexto se aplican checklist personalizados que facilitan la
Procesos y procedimientos autorización o la denegación de accesos físicos.
12 de protección de la
PR.IP-9: Los planes de respuesta (Respuesta ante
información (PR.IP) Se cuenta con planes de respuesta y recuperación
incidentes y Continuidad del negocio) y los
implementados, pero desde hace 2 años no han pasado por una
planes de recuperación (Recuperación ante 2-Repetible 35%
revisión a fin de garantizar que están cubriendo las necesidad de
incidentes y Recuperación ante desastres) están
recuperación y respuesta que necesita el negocio.
implementados y gestionados.
PR.IP-10: Los planes de respuesta y recuperación En el último año no se ha probado los planes y tampoco se han
2-Repetible 35%
son probados. actualizado.
 Definición de la estrategia de ciberseguridad
Paso 3 – Definir el perfil actual

% Actual
ID Función Categoría Subcategoría Justificación / Contexto Nivel Actual (CMMI) Por
Categoría
Los eventos detectados se analizan, pero con el fin de tomar un
DE.AE-2: Los eventos detectados se analizan
desición antes que pueda traer un daño a la organización, en la
para comprender los objetivos y métodos de los 2-Repetible 40%
Anomalías y eventos mayoría de caso no se llega a investigar a fondo debido a que las
13 ataques.
(DE.AE) capacidades forenses son limitadas.
DE.AE-4: El impacto de los eventos es Existe una matriz de clasificación de incidentes en relación al
3-Definido 45%
determinado. impacto que haya podido tener durante su desarrollo.
Actualmente, algunas de las herramientas de seguridad para
DETECTAR monitorear continuamente los sistemas ante actividades
DE.CM-2: Se monitorea el entorno físico para maliciosas no se han implementado en los dispositivos 37%
(DE) 2-Repetible 30%
detectar posibles eventos de ciberseguridad. corporativos críticos. También, no se han implementado
herramientas de tipo DLP para prevenir/detectar/bloquear la
Monitoreo continuo de la
14 extracción de datos por parte de insiders.
seguridad (DE.CM)
Al día de hoy se ejecuta un escaneo mensual de vulnerabilidades
el cual contempla las diferentes familias de activos definidos en el
DE.CM-8: Se realizan análisis de vulnerabilidad. banco, pero no se lográ un alcance cercano de los escaneos 2-Repetible 33%
debido a que deficiencias en los inventarios que se toman como
base para los escaneos.
Se han definido canales de comunicación con los stakeholders en
los tiempos de crisis, pero se tienen canales de comunicación sin
RESPONDER Planificación de la RS.RP-1: El plan de respuesta se ejecuta durante
16 personalizar en función del tamaño y la gravedad del incidente. Al 2-Repetible 25% 25%
(RS) respuesta (RS.RP) o después de un evento.
día de hoy, los incidentes de seguridad no son alertados
oportunamente.
Los planes de continuidad del negocio no se evalúan ni se
prueban periódicamente. Además, las estrategias de recuperación
RECUPERAR Planificación de la RC.RP-1: El plan de recuperación se ejecuta
21 se diseñan a nivel de sitio o de aplicación con una integración 2-Repetible 20% 20%
(RC) recuperación (RC.RP) durante o después de un evento.
limitada. Por otro lado, no se han considerado escenarios de
recuperación frente a ataques cibernéticos.
NIVEL ACTUAL 31%
Definición de la estrategia de ciberseguridad
Paso 4 – Análisis de Riesgo

Para realizar el análisis de los riesgos de Banco Sur Peruano, se empleó los siguientes niveles para definir la probabilidad:

Probabilidad
• Ha ocurrido al menos una vez en el último semestre y/o ocurrirá en el siguiente semestre.
Casi Cierta
• Existen condiciones que favorecen altamente la materialización del riesgo.
• Ha ocurrido al menos una vez en el último año y/o es probable que ocurra el próximo año
Altamente Probable
• Existen condiciones que favorecen medianamente la materialización del riesgo.
• Ha ocurrido en los últimos 3 años y/o es probable que ocurra el próximo año
Probable
• Existen pocas condiciones para la materialización del riesgo.
• Ha ocurrido en los últimos 5 años y/o es poco probable que ocurra el próximo año
Improbable
• No existen condiciones para la materialización del riesgo.
• No ha ocurrido en los últimos 5 años y/o no ocurrirá durante el próximo año
Remota
• No existen condiciones para la materialización del riesgo.
Definición de la estrategia de ciberseguridad
Paso 4 – Análisis de Riesgo

Para realizar el análisis de los riesgos de Banco Sur Peruano, se empleó los siguientes niveles para definir el impacto:

Impacto
• Afecta irreversiblemente el proceso, no pudiendo continuar con su operación normal.
• Genera una pérdida económica no esperada como consecuencia de su materialización.
Extremo
• Genera incumplimiento de los objetivos y obligaciones de la compañía.
• Genera impacto significativo a nivel de sanciones, penalidades, cumplimiento regulatorio y daño reputacional.
• Afecta seriamente el proceso, el cual puede continuar operando con dificultades por un tiempo limitado.
• Genera una pérdida económica no esperada como consecuencia de su materialización.
Mayor
• Genera interrupciones o errores en los procesos operativos que pueden afectar el cumplimiento de objetivos y obligaciones.
• Tiene un impacto no significativo a nivel de sanciones, penalidades, cumplimiento regulatorio y daño reputacional.
• Afecta al proceso, el cual puede continuar operando sin dificultades por un tiempo limitado.
• Genera una pérdida económica esperada como consecuencia de su materialización.
Moderado
• Genera interrupciones moderadas o errores en los procesos operativos que afectan el cumplimiento de objetivos y obligaciones.
• No tiene un impacto a nivel de sanciones, penalidades, cumplimiento regulatorio o daño reputacional.
• El proceso puede seguir operando sin dificultades por un tiempo prolongado.
Menor • Puede originar una pérdida económica mínima como consecuencia de su materialización.
• Causa mínimas interrupciones o errores en los procesos operativos que afectan el cumplimiento de objetivos y obligaciones.
• No afecta la operatividad del proceso.
Mínimo • No origina pérdidas económicas como consecuencia de su materialización.
• No causa interrupciones o errores en los procesos operativos que afecten el cumplimiento de objetivos y obligaciones.
Definición de la estrategia de ciberseguridad
Paso 4 – Análisis de Riesgo

Tipo de
ID del Riesgo Escenario de riesgo Probabilidad Impacto Nivel de Riesgo
Afectación
Inadecuada asignación de responsabilidad y rendición de cuentas, derivado de la no designación de
Operativo
R1 un responsable de ciberseguridad, genera el riesgo de incumplimiento de las iniciativas y principios Probable Moderado Moderado
Financiero
de ciberseguridad.
La ausencia de un marco de gestión de riesgos bien definido puede resultar en la incapacidad de:
Operativo
- Identificar amenazas/eventos potenciales que pueden afectar los procesos.
R2 Financiero Improbable Mayor Mayor
- Gestionar el riesgo para estar dentro del apetito de riesgo definido.
Legal
- Proporcionar una seguridad razonable con respecto al logro de los objetivos organizacionales.
Inadecuada definición de los requisitos mínimos de seguridad para cada servicio proporcionado por
Operativo
terceros, puede resultar en que la organización no sepa si los controles internos están operando de
Financiero
R3 manera efectiva para garantizar la seguridad y resiliencia de los datos. Esto puede resultar en la Improbable Extremo Mayor
Reputacional
filtración de información, implicaciones de privacidad y responsabilidad debido a la interrupción del
Legal
servicio.
Sin protección contra malware y a nivel de puerta de enlace para el tráfico web y correo electrónico,
los sistemas y activos de información pueden estar expuestos a varios tipos de amenazas, incluidos Altamente
R4 Operativo Extremo Extremo
los ataques de ransomware. Esto puede provocar la indisponibilidad de los servicios brindados a los Probable
clientes.
Ausencia de una estrategia de protección contra ataques sofisticados junto con la falta de hardening Operativo
sobre los componentes de infraestructura que soportan la banca por internet genera el riesgo que Financiero
R5 Probable Extremo Extremo
un atacante puede comprometer este servicio crítico mediante ataques de tipo DDoS, generando Reputacional
interrupciones. Legal
Ausencia de una solución DLP y controles para restringir el acceso de los empleados a repositorios
Reputacional
R6 públicos en la nube, puede conllevar a filtraciones intencionales de información sensible y Improbable Mayor Mayor
Legal
confidencial de la organización.
Falta de conocimientos de los empleados respecto a las diferentes amenazas de ciberseguridad Operativo
R7 genera el riesgo de que sean victimas de ataques como correos electrónicos de phishing llegando Reputacional Probable Mayor Mayor
infectar sus equipos portátiles y provocando la filtración/pérdida de información confidencial. Legal
Modificaciones no autorizadas a información de clientes derivado del inadecuado control sobre la Financiero
R8 asignación, uso y monitoreo de los usuarios privilegiados dentro de los sistemas core bancarios de la Reputacional Remota Mayor Moderado
organización. Legal
Definición de la estrategia de ciberseguridad
Paso 4 – Análisis de Riesgo
Definición de la estrategia de ciberseguridad
Paso 5 – Crear el perfil objetivo de capacidades

Nivel Objetivo
ID Función Categoría Subcategoría Nivel Actual (CMMI)
(CMMI)
ID.AM-1: Los dispositivos físicos y sistemas dentro de la organización son inventariadas. 1-Inicial 5% 2-Repetible 25%

ID.AM-2: Las plataformas de software dentro de la organización son inventariadas. 1-Inicial 10% 3-Definido 40%
1 Gestión de activos (ID.AM)
ID.AM-6: Se establecen los roles y responsabilidades de ciberseguridad para toda la fuerza
2-Repetible 23% 3-Definido 50%
laboral y las partes interesadas de terceros (p.e. proveedores, clientes, socios)

IDENTIFICAR ID.GV-1: Se establece la política de seguridad de la información organizacional. 3-Definido 50% 4-Gestionado 65%
(ID)
ID.GV-2: Los roles y responsabilidades de seguridad de la información están coordinados y
2-Repetible 23% 3-Definido 50%
alineados con roles internos y socios externos
3 Gobernanza (ID.GV)
ID.GV-3: Los requisitos legales y regulatorios relacionados con la ciberseguridad, incluidas
1-Inicial 17% 2-Repetible 35%
las obligaciones de privacidad y libertades civiles, se comprenden y gestionan.

ID.GV-4: Los procesos de gobierno y gestión de riesgos abordan los riesgos de

1-Inicial 10% 2-Repetible 30%
ciberseguridad.
Seguridad de los datos
7 PR.DS-4: Capacidad adecuada para garantizar que se mantenga la disponibilidad 3-Definido 50% 4-Gestionado 60%
(PR.DS)
PR.IP-5: Se cumplen las políticas y regulaciones con respecto al entorno operativo físico
4-Gestionado 70% 5-Optimizado 85%
para los activos de la organización.
PROTEGER
Procesos y procedimientos PR.IP-9: Los planes de respuesta (Respuesta ante incidentes y Continuidad del negocio) y
(PR)
12 de protección de la los planes de recuperación (Recuperación ante incidentes y Recuperación ante desastres) 2-Repetible 35% 4-Gestionado 50%
información (PR.IP) están implementados y gestionados.

PR.IP-10: Los planes de respuesta y recuperación son probados. 2-Repetible 35% 3-Definido 50%
Definición de la estrategia de ciberseguridad
Paso 5 – Crear el perfil objetivo de capacidades

Nivel Objetivo
ID Función Categoría Subcategoría Nivel Actual (CMMI)
(CMMI)
DE.AE-2: Los eventos detectados se analizan para comprender los objetivos y métodos de
Anomalías y eventos 2-Repetible 40% 3-Definido 55%
13 los ataques.
(DE.AE)
DETECTAR DE.AE-4: El impacto de los eventos es determinado. 3-Definido 45% 4-Gestionado 60%
(DE)
Monitoreo continuo de la DE.CM-2: Se monitorea el entorno físico para detectar posibles eventos de ciberseguridad. 2-Repetible 30% 3-Definido 55%
14
seguridad (DE.CM)
DE.CM-8: Se realizan análisis de vulnerabilidad. 2-Repetible 33% 3-Definido 55%
RESPONDER Planificación de la
16 RS.RP-1: El plan de respuesta se ejecuta durante o después de un evento. 2-Repetible 25% 3-Definido 40%
(RS) respuesta (RS.RP)
RECUPERAR Planificación de la
21 RC.RP-1: El plan de recuperación se ejecuta durante o después de un evento. 2-Repetible 20% 3-Definido 40%
(RC) recuperación (RC.RP)
NIVEL PERFIL
31% 50%
ACTUAL OBJETIVO
Definición de la estrategia de ciberseguridad
Paso 5 – Crear el perfil objetivo de capacidades
 Definición de la estrategia de ciberseguridad
Paso 5 – Crear el perfil objetivo de capacidades

CAPACIDADES Y OBJETIVOS ESTRATÉGICOS DE CIBERSEGURIDAD KEY RISK INDICATOR (KRI) KEY PERFORMANCE INDICATOR (KPI)
Objetivo estratégico Nivel Meta
ID Función Categoría Definición operacional OKR KRI KPI Responsable
(OKR) actual Esperada
Porcentaje de Jefe de
Porcentaje de identificación
Lograr un inventario confiabilidad e 92% 98% Infraestructura y
Activos activos críticos.
en calidad y cantidad integridad de los datos Comunicaciones
Gestión de activos informáticos no
1 de activos relacionados al 96.50% 96.50%
(ID.AM) identificados y Jefe de
informáticos del inventario de activos Porcentaje de identificación
clasificados 78% 95% Infraestructura y
banco. informáticos del activos no críticos.
Comunicaciones
banco.
Porcentaje de actualización
Lograr un alto detalle
Requerimientos de las políticas, normas y Responsable de
del entendimiento y 83% 97%
Aumento de visibilidad regulatorios y procedimientos de acuerdo Cumplimiento
IDENTIFICAR gestión de los
y comprensión de 96.50% legales no 96.50% al contexto actual del banco.
aspectos normativos,
nuestro entorno. identificados ni Porcentaje de cambios
regulatorios y legales Responsable de
comunicados comunicados a los 78% 96%
del entorno del banco. Cumplimiento
2 Gobernanza (ID.GV) stakeholders.
Lograr la inclusión de Porcentaje de riesgos de RCA de
50% 96%
riesgos de Mejora de la ciberseguridad gestionados Ingeniería
Riesgos de
ciberseguridad en evaluación de riesgos Porcentaje de proyectos
97.00% ciberseguridad no 97.00%
procesos de gestión a de ciberseguridad en aprobados que cuentan con RCA de
gestionados 60% 98%
finales del Q3 en el el banco. una evaluación de riesgos de Ingeniería
2022. ciberseguridad.

Verde >= 99%

Ambar >= 96%
Rojo < 96%
 Definición de la estrategia de ciberseguridad
Paso 5 – Crear el perfil objetivo de capacidades

CAPACIDADES Y OBJETIVOS ESTRATÉGICOS DE CIBERSEGURIDAD KEY RISK INDICATOR (KRI) KEY PERFORMANCE INDICATOR (KPI)
Objetivo estratégico Nivel Meta
ID Función Categoría Definición operacional OKR KRI KPI Responsable
(OKR) actual Esperada
Porcentaje de la Nivel de Disponibilidad del
Lograr una alta Planes de 98% 99.8%
disponibilidad del canal digital Subgerente de
Seguridad de los disponibilidad del contingencia sin
3 PROTEGER servicio de banca 99.10% 99.10% Soporte de
datos servicio de Banca cobertura para la Porcentaje de cobertura de
digital brindado a los 75% 98.4% Sistemas
Digital. banca digital la contingencia del servicio
usuarios
Cantidad de Porcentaje de eventos
Lograr potenciar la Nivel de seguridad del
cajeros gestionados vs eventos 98% 100%
seguridad de las servicio de Subgerente de
automáticos sin reportados.
4 DETECTAR Anomalías y eventos transacciones adquirencia (ATMs) 99.00% 99.00% Soporte de
controles para la Porcentaje de capacidad de
mediante la red de brindado a los Sistemas
protección de sus cobertura del monitoreo de 95% 98%
cajeros automáticos. usuarios
datos seguridad del servicio
Porcentaje de incidentes que
fueron comunicados
Garantizar la 93% 95%
Efectividad de los Plan de mediante los canales Jefe de Gestión
comunicación
Planificación de la canales de comunicación en adecuados de Crisis y
5 RESPONDER oportuna de los 96.00% 96.00%
respuesta comunicación hacia crisis Porcentaje de incidentes Respuesta a
eventos de crisis para
los stakeholders desactualizado críticos que fueron Ciberincidentes
su gestión 95% 97%
notificados a los interesados
dentro del umbral definido

Verde >= 99%

Ambar >= 96%
Rojo < 96%
 Definición de la estrategia de ciberseguridad
Paso 6 – Determinar, analizar y priorizar GAPs

% Actual
Nivel Objetivo % Objetivo por
ID Función Categoría Subcategoría Nivel Actual (CMMI) por GAP
(CMMI) Categoría
Categoría
ID.AM-1: Los dispositivos físicos y sistemas
1-Inicial 5% 2-Repetible 25% 20%
dentro de la organización son inventariadas.
ID.AM-2: Las plataformas de software dentro de
1-Inicial 10% 3-Definido 40% 30%
Gestión de activos la organización son inventariadas.
1 13% 26%
(ID.AM) ID.AM-6: Se establecen los roles y
responsabilidades de ciberseguridad para toda la
2-Repetible 23% 3-Definido 50% 27%
fuerza laboral y las partes interesadas de
terceros (p.e. proveedores, clientes, socios)
ID.GV-1: Se establece la política de seguridad de 4-
IDENTIFICAR 3-Definido 50% 65% 15%
la información organizacional. Gestionado
(ID)
ID.GV-2: Los roles y responsabilidades de
seguridad de la información están coordinados y 2-Repetible 23% 3-Definido 50% 27%
alineados con roles internos y socios externos
Gobernanza
3 ID.GV-3: Los requisitos legales y regulatorios 25% 20%
(ID.GV)
relacionados con la ciberseguridad, incluidas las
1-Inicial 17% 2-Repetible 35% 18%
obligaciones de privacidad y libertades civiles, se
comprenden y gestionan.
ID.GV-4: Los procesos de gobierno y gestión de
1-Inicial 10% 2-Repetible 30% 20%
riesgos abordan los riesgos de ciberseguridad.

Leyenda de criticidad
Alto Medio Bajo
 Definición de la estrategia de ciberseguridad
Paso 6 – Determinar, analizar y priorizar GAPs

% Actual por Nivel Objetivo % Objetivo

ID Función Categoría Subcategoría Nivel Actual (CMMI) GAP
Categoría (CMMI) por Categoría
Seguridad de los datos PR.DS-4: Capacidad adecuada para garantizar
7 3-Definido 50% 4-Gestionado 60% 10%
(PR.DS) que se mantenga la disponibilidad
PR.IP-5: Se cumplen las políticas y regulaciones
con respecto al entorno operativo físico para los 4-Gestionado 70% 5-Optimizado 85% 15%
activos de la organización.
PROTEGER PR.IP-9: Los planes de respuesta (Respuesta ante
Procesos y procedimientos 48% 14%
(PR) incidentes y Continuidad del negocio) y los
12 de protección de la
planes de recuperación (Recuperación ante 2-Repetible 35% 4-Gestionado 50% 15%
información (PR.IP)
incidentes y Recuperación ante desastres) están
implementados y gestionados.
PR.IP-10: Los planes de respuesta y recuperación
2-Repetible 35% 3-Definido 50% 15%
son probados.
DE.AE-2: Los eventos detectados se analizan
para comprender los objetivos y métodos de los 2-Repetible 40% 3-Definido 55% 15%
Anomalías y eventos
13 ataques.
(DE.AE)
DE.AE-4: El impacto de los eventos es
DETECTAR 3-Definido 45% 4-Gestionado 60% 15%
determinado. 37% 19%
(DE)
DE.CM-2: Se monitorea el entorno físico para
2-Repetible 30% 3-Definido 55% 25%
Monitoreo continuo de la detectar posibles eventos de ciberseguridad.
14
seguridad (DE.CM)
DE.CM-8: Se realizan análisis de vulnerabilidad. 2-Repetible 33% 3-Definido 55% 22%
RESPONDER Planificación de la RS.RP-1: El plan de respuesta se ejecuta durante
16 2-Repetible 25% 25% 3-Definido 40% 15% 15%
(RS) respuesta (RS.RP) o después de un evento.
RECUPERAR Planificación de la RC.RP-1: El plan de recuperación se ejecuta
21 2-Repetible 20% 20% 3-Definido 40% 20% 20%
(RC) recuperación (RC.RP) durante o después de un evento.
NIVEL PERFIL
31% 50%
ACTUAL OBJETIVO
Leyenda de criticidad
Alto Medio Bajo
 Definición de la estrategia de ciberseguridad
Paso 7 – Implementar el plan de acción

CAPACIDADES Y OBJETIVOS ESTRATÉGICOS DE

ROADMAP
CIBERSEGURIDAD

Estrategias de Ciberseguridad Líder de

ID Función Categoría Entregables Prioridad Fecha inicio Fecha fin
(iniciativas/proyectos) implementación

Implementar una CMDB para la gestión Reporte por familia de activos y

1 Gestión de activos (ID.AM) 2 Jefe de Tecnología Abr-2022 Sep-2022
de activos. criticidad.

Actualización de las normas,

Implementar un comité multidisciplinario
para la evaluación legal y regulatoria.
IDENTIFICAR
2 Gobernanza (ID.GV)
Establecer e integrar una gestión de
riesgo de ciberseguridad en la
organización.
procedimientos y políticas.
Jefe de
1 Ene-2022 Mar-2022
Actas de reunión donde se Cumplimiento
informe de los cambios a los
diferentes stakeholders.
Plan de gestión de riegos de
ciberseguridad.
Actas de reunión periódica del
2 Jefe de Riesgos Abr-2022 Sep-2022
comité de gestión de riesgos.
Actas de aceptación de riesgos
de proyectos evaluados.
 Definición de la estrategia de ciberseguridad
Paso 7 – Implementar el plan de acción

CAPACIDADES Y OBJETIVOS ESTRATÉGICOS DE

ROADMAP
CIBERSEGURIDAD

Estrategias de Ciberseguridad Líder de

ID Función Categoría Entregables Prioridad Fecha inicio Fecha fin
(iniciativas/proyectos) implementación

Implementar arquitectura redundante Programa de aseguramiento de

Jefe de Soporte
3 PROTEGER Seguridad de los datos para la infrestructura de soporte a la disponibilidad de servidores 4 Oct-2022 Feb-2023
de Sistemas
servidores web. web.

Solución de integridad de
Implementar una solución de integridad
4 DETECTAR Anomalías y eventos archivos y procesos desplegada y 3 Jefe de Seguridad Jun-2022 Ago-2022
de archivos y procesos.
operativa.

Plan de respuesta ante Jefe de Gestión de

Fortalecimiento del proceso de gestión y
5 RESPONDER Planificación de la respuesta ciberincidentes actualizado y 3 Crisis y Respuesta Ago-2022 Oct-2022
respuesta ante ciberincidentes.
probado. a Ciberincidentes
Dashboard para
monitoreo de la
estrategia de
ciberseguridad
Dashboard para el monitoreo de la estrategia de ciberseguridad
Gracias