Traducido del inglés al español - www.onlinedoctranslator.

com

Realizar
evaluaciones de
riesgos de seguridad
cibernética

ICTCYS608
Exposición relacionada con la seguridad
de la infraestructura crítica

• La exposición comercial se puede evaluar observando las

siguientes categorías: -
• Comercio electrónico Ventas minoristas
• Transacción de empresa a empresa (B2B)
• Sensibilidad de datos
• Intercambio electrónico de datos con empresas y
consumidores.
• Mano de obra dispersa
 • La cultura corporativa se define como un
conjunto de valores, conocimientos,
percepciones, creencias o costumbres que se
comparten, aprenden y transmiten de
miembro a miembro dentro de una
organización.
• Las costumbres, procedimientos y protocolos
Cultura de las industrias de energía, transporte y
comunicación existen y pueden compartirse

corporativ
dentro de una organización de manera
formal e informal, como conocer la reacción
de los miembros de la organización a las

a
vulnerabilidades del sistema, cómo
reaccionan y cuál es la respuesta que siguen.
para reducir la falla de la infraestructura.
• Refleja la aceptación de que el
comportamiento de una organización
depende de las creencias, los valores y las
actividades compartidas de sus empleados, y
esto incluye sus actitudes hacia la seguridad
de la infraestructura crítica.
Cuatro
principios
fundamentales
de las políticas • Regir
de • Proteger

ciberseguridad • Detectar
• Responder
1.1 Analizar la cultura de riesgo de las
organizaciones y documentar los hallazgos de
acuerdo con los requisitos de la organización
 • El término Infraestructura crítica suele describir los activos
esenciales para el funcionamiento de las actividades o los
ingresos de la organización.
• Las organizaciones dependen de diferentes formas de
infraestructura, como equipos operativos,
telecomunicaciones, servicios públicos y redes.
• Para la mayoría de las organizaciones, la infraestructura se
Infraestructu considera como las estructuras físicas necesarias para
ejecutarla, pero cada organización debe reconocer que la
ra crítica amenaza del terrorismo es duradera y requiere esfuerzos
sostenidos de mitigación.
• Es necesario un enfoque basado en inteligencia y basado
en riesgos para desarrollar niveles de seguridad de
protección adecuados para la infraestructura crítica de la
organización, puntos únicos mínimos de falla y arreglos de
recuperación probados.
Componentes
de
infraestructur Operaciones
a crítica

telecomunicaciones

Utilidades

Edificios
1.2 Investigar y documentar los
requisitos de riesgo de ciberseguridad
legislativos y organizacionales

• Si una entidad o agencia protegida por el

marco regulatorio y legislativo pertinente
tiene motivos fundados para sospechar
que se ha producido una violación
calificada de datos, una violación de la
seguridad o un incidente de
ciberseguridad, deberá alertar de
inmediato a la persona designada y a la
unidad comercial para gestionar los
riesgos de seguridad.
• También debe notificar a cualquier
organización gubernamental o privada
que gestione o se ocupe de los ataques
de ciberseguridad.
 An entity or agency may have unauthorised
Se produce access to or disclosure of personal information
(or information is lost in circumstances in which
una brecha de unauthorised access or disclosure is likely).
seguridad
calificada o un This can cause significant damage to any person
incidente de or entity to whom the information relates.
ciberseguridad
si se cumplen
Through corrective action, the company or
las siguientes entity was unable to avoid the possible risk of
condiciones: serious injury.
1.3 Obtener y analizar el registro de riesgos de la organización y determinar
su vigencia frente a los requisitos legislativos de la organización

• Cuando ocurre un incidente de seguridad,

cada segundo importa.
• Las infecciones de malware se propagan
rápidamente, el ransomware puede causar
daños catastróficos y las cuentas
comprometidas se pueden usar para escalar
privilegios, lo que lleva a los atacantes a
activos más confidenciales.
• Cualquiera que sea el tamaño de su
organización, debe tener un equipo de
respuesta a incidentes capacitado encargado
de tomar medidas inmediatas cuando
ocurran incidentes.
 • La respuesta a incidentes (IR) es una
Respuesta técnica estandarizada para abordar
eventos, infracciones y ciberamenazas a la

a
seguridad de su organización.
• Un plan de respuesta bien definido para
incidentes lo ayuda a detectar

incidentes rápidamente, mitigar el daño y reducir el

costo de un ataque cibernético mientras
reconoce y repara la causa para disuadir
(IR) futuros incidentes.
 When a cybersecurity incident is confirmed by security
¿Por qué analysts, it is important to inform relevant parties as soon
as possible.
debería Privacy laws such as GDPR and California’s CCPA require
reportar public notification, and in some cases personal notification
to data subjects, in the event of a data breach.
inmediatamen
Depending on the severity of the breach, legal, press and
te un incidente executive management should be involved.

de
cibersegurida In many cases, other departments such as customer
service, finance or IT need to take immediate action.

d? Your incident response plan should clearly state,

depending on the type and severity of the breach, who
should be informed.
 The SOCI Act is designed to manage national security risks
from foreign involvement in Australia’s critical infrastructure
Ley de in the electricity, gas, water and ports sectors.

Seguridad It introduced three key measures to address and manage

these risks:

de
Infraestruct A reporting obligation and asset register

ura Crítica An information gathering power

(SOCI) de
2018 Directions powers
 A responsible entity
Tipos de A direct interest holder
entidades Telecommunications Act 1997
que deben The TSS reforms

informar A security obligation

en virtud Notification obligation

de la Ley An information gathering power

Directions powers
1.4 Desarrollar y documentar un plan
de evaluación de riesgos de acuerdo
con los requisitos de la organización

• Se debe evaluar la efectividad de

las estrategias implementadas.
• Un plan de gestión y evaluación
de riesgos puede ofrecerle un
marco coherente y sistemático
para el reconocimiento, la
evaluación y la gestión de las
estrategias implementadas.
 • Opera en un ciclo en el que la evaluación se actualiza y
revisa con frecuencia en función de nuevos desarrollos o
acciones realizadas.
• Un enfoque de gestión de riesgos para una organización
multinacional con múltiples sitios puede ser creado e
implementado incluso por los grupos o iniciativas más
Evaluación de pequeños, o integrado en una estrategia compleja.
• El mecanismo mediante el cual se identifican y verifican los
riesgos riesgos a los que se enfrenta se conoce como evaluación de
riesgos.
• Al evaluar los riesgos, será consciente de dónde hay
ambigüedad sobre los incidentes o los resultados e
identificará las acciones que se pueden tomar para
proteger a la empresa, las personas y los activos en
cuestión.
1.5 Comunicar el plan de evaluación de riesgos con el personal requerido y buscar y responder comentarios
Comunicar el
plan de • Debido a la complejidad de las amenazas a la seguridad
cibernética, algunos responsables de la toma de decisiones
evaluación de pueden creer que esto por sí solo es una preocupación
para el departamento de TI.
riesgos • Los conceptos erróneos populares incluyen creer que el
departamento de TI es el principal responsable de manejar
las amenazas cibernéticas, así como de hacer frente a sus
implicaciones después de que se haya producido un ataque
o una violación de la seguridad cibernética.
 A breach could expose data about your employee
or customer to nefarious actors. 

Pasos para A malware or ransomware attack could leave your

IT systems frozen for days, causing your customers
defenderse and your workers to interrupt service. 

de un Failure to follow the appropriate protocol or

neglect your cybersecurity may result in large
ciberataque fines as well as a loss of consumer confidence.

Combination of all of these factors usually affects

the potential of your business to grow and
develop in a proper way.
 El equipo de respuesta a
incidentes

Incident response is
CIRTs are usually composed
typically conducted by the
of security and general IT
Computer Incident
staff, as well as legal, human
Response Team (CIRT) of an
resources and
organisation, also known as
administrative public
a response team for cyber-
relations teams. 
incidents.
CAPÍTULO 2:
REALIZAR
UNA
EVALUACIÓ • Iniciar la evaluación de riesgos de acuerdo con el plan
N DE • Documentar el proceso y los resultados de la evaluación de
riesgos de acuerdo con las políticas y procedimientos de la
RIESGOS organización.
 • El monitoreo de las amenazas a la
seguridad cibernética es la base de
cualquier programa de seguridad de la
información.
Monitoreo • Los analistas deben tomarse el tiempo
para comprender mejor sus propios
de amenazas entornos tecnológicos y los riesgos
externos que amenazan la protección de

de sus sistemas de seguridad.

• Una evaluación integral de riesgos de

cibersegurid seguridad cibernética incorpora

conocimiento sobre variables internas y
externas para ayudar a los analistas a
ad reconocer las amenazas de su
organización y luego desarrollar un
conjunto adecuado de controles para
contrarrestar esas amenazas.
2.1. Iniciar la evaluación de • Inicio de la evaluación de riesgos
• Las organizaciones comienzan a iniciar la
riesgos de acuerdo con el plan evaluación de riesgos e implementan el
proceso de estrategias de mitigación de
riesgos cibernéticos mediante la
identificación de los tipos de amenazas
que existen en su entorno comercial.
• Aunque algunas amenazas, como el
malware y el spam, afectan a todas las
organizaciones, otras amenazas están
dirigidas contra tipos específicos de
organizaciones.
• Por ejemplo, los atacantes de amenazas
persistentes avanzadas (APT)
patrocinados por el gobierno suelen
tener como objetivo agencias
gubernamentales, organizaciones
militares y empresas que operan en
campos relacionados.
• Es poco probable que un atacante APT
tenga como objetivo una escuela
primaria.
Diferentes Adversarial threats
categorías de
amenazas Accidental threats
que una
organización Environmental
podría threats
enfrentar
durante NIST Structural threats
2.2
Documentar el
proceso y los
resultados de
la evaluación
de riesgos de
acuerdo con
las políticas y
procedimiento
s de la
organización
 Include all the relevant information that you have identified have
been compromised in the security breach or cybersecurity incident:
¿Qué debe
incluirse en su Name and contact information of your company or department

informe o Data infringement overview

documentación
? The type of information compromised 

Recommendations on steps to be taken in response to security

breach or cybersecurity incident
CAPÍTULO 3:
FINALIZAR • Analice y documente los hallazgos contra el registro de
LA riesgos y determine las operaciones fuera del apetito de
riesgo de la organización.
EVALUACIÓ • Desarrollar y documentar medidas operativas para alinear
las operaciones con los requisitos del registro de riesgos.
N DE • Comunicar los hallazgos de la evaluación de riesgos al
RIESGOS personal requerido y resaltar las áreas de incumplimiento y
las soluciones.
• Presentar la documentación de acuerdo con los requisitos
de la organización
3.1 Analizar y documentar los hallazgos contra el registro de riesgos y determinar
operaciones fuera del apetito de riesgo de la organización
 Risk management strategies should
be approved before
implementation.
Estrategias
de gestión All the process of reviewing and
de riesgos understanding the threats,
identifying the best risk
management strategy should be
documented according to the
organisational policy and
procedures. 
 • La documentación debe cubrir
observaciones, procedimientos, técnicas,
conclusiones, procesos, fuentes de datos
y resultados.
• La documentación debe incluir objetivos,
fuentes de información, conclusiones y
decisiones tomadas sobre la información
en cada punto del proceso.
Documentación • En determinados casos, puede ser
necesaria una declaración de
cumplimiento y diligencia debida en
función del tamaño de una organización,
para que los directivos reconozcan
oficialmente su obligación de cumplir con
las políticas y procedimientos de gestión
de riesgos.
 • Tener evidencia de que los procesos y procedimientos han
cumplido con los lineamientos regulatorios y legislativos
• Demostrar que los procesos se han llevado a cabo de forma
Los motivos de adecuada y sistemática.
la • Mostrar un enfoque proactivo y riguroso para la
identificación y análisis de riesgos.
documentació • Proporcionar un registro de riesgos y establecer una base
n son los de conocimientos para la organización.
• Proporcionar una estrategia de gestión de riesgos para su
siguientes: aceptación y eventual implementación a los tomadores de
decisiones apropiados.
• Proporcionar un proceso e instrumento de rendición de
cuentas
• Fomentar la vigilancia y el análisis continuos
• Proporcionar la pista de auditoría, y
• Compartir y revelar conocimientos.
3.2 Desarrollar y documentar medidas operativas para
alinear las operaciones con los requisitos del registro de
riesgos

• La detección, evaluación y corrección exitosas de las

vulnerabilidades de los endpoints son esenciales para el
desarrollo de un programa efectivo de seguridad
cibernética y para la reducción de las amenazas
organizacionales.
• La gestión de amenazas y vulnerabilidades actúa como una
arquitectura para reducir la visibilidad de la organización,
fortalecer la vulnerabilidad y mejorar la resiliencia de la
organización.
 • Una visión general de la estrategia.
• Una lista de funciones y responsabilidades.
• Una lista de sucesos que necesitan
intervención.
La • Estado actual de la infraestructura de red y

documentación
precauciones de seguridad.
• Procedimientos de identificación,

debe incluir investigación y contención.

• Avanzar hacia la erradicación.
pero no • Avanzar hacia la recuperación.

limitarse a lo
• El método de notificación de las infracciones.
• Una lista de actividades para el seguimiento.

siguiente: • Una lista de contactos.

• Comprobación del plan de respuesta a
incidentes.
• Cualquier revisión requerida.
3.3 Comunicar los
hallazgos de la
evaluación de
riesgos al personal
requerido y
resaltar las áreas
de incumplimiento
y las soluciones
 Documenting and reporting the security breaches and violations
should occur according to the compliance requirements in
accordance with applicable internal and external requirements and
organisational policies and procedures.

Documentac You are required to maintain, save and store documentation of

violations according to the applicable regulatory criteria. 

ión e You may be responsible for documenting the steps taken to rectify

informes
reported violations in regulatory criteria and the consequences of
the steps, you will also be required to notify the required personnel
according to the timelines agreed or prescribed.

Documenting and disseminating the updates on violation prevention

to appropriate internal and external staff is the responsibility of
nominated personnel.   
3.4 Presentar
la
documentació
n según los
requisitos de
la
organización
 • Paso 1: Consulta
• Paso 2: Adapte la documentación de ciberseguridad a su
organización
Pasos para • Paso 3: Defina metas y obligaciones claramente – ¡sea
presentar la claro!
• Paso 4: Haga que la documentación de ciberseguridad,
documentació incluido el plan de respuesta a incidentes de
n ciberseguridad, sea realista
• Paso 5: Publicar la documentación de ciberseguridad,
incluido el plan de respuesta a incidentes
• Paso 6: Capacitar a todos los empleados en el uso de la
documentación de ciberseguridad, incluido el plan de
respuesta a incidentes de ciberseguridad
¿Alguna pregunta?