Gobernanza de Ciberseguridad

Y Gestión de Riesgos
Conceptos generales
 Riesgo: Es la probabilidad de que una amenaza (de cualquier
naturaleza) se convierta en un desastre. El riesgo de tecnológico y su
subrama el riesgo de ciberseguridad, hacen parte del grupo de
“Riesgos Operativos”
 Riesgo Operativo: Riesgo operativo es aquél que puede provocar
pérdidas debido a errores humanos, procesos internos inadecuados o
defectuosos, fallos en los sistemas y como consecuencia de
acontecimientos externos.
 Gestión de riesgos: Proceso de identificar, analizar y cuantificar las
probabilidades de pérdidas y efectos secundarios que se desprenden
de los desastres, así como de las acciones preventivas, correctivas y
detectivas correspondientes que deben emprenderse.
 Gestión o gobernanza de riesgos de seguridad:
La gestión de riesgos en ciberseguridad es un proceso que tiene como
objetivo identificar, analizar, medir y gestionar los riesgos asociados a
la seguridad de la información. Establece controles de forma
preventiva contra las amenazas que pueden encontrarse y logra
reducirlas. 
¿Cómo se mide el riesgo?
RIESGO = PROBABILIDAD x IMPACTO
 Se mide el riesgo para estimar el impacto que la materialización de
un evento tendrá para la organización.
 La medición puede ser cualitativa o cuantitativa, la más utilizada es
esta última, donde obtendremos un valor multiplicando los
factores probabilidad e impacto: RIESGO = PROBABILIDAD x
IMPACTO.
 Saber que tan alto es un riesgo, nos ayudará a enforcar mejor los
esfuerzos en las contramedidas para evitar su materialización.
Ciberseguridad y Gestión de riesgos
 Sin duda alguna, si queremos «empezar por el principio» en materia de
ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los
trabajos más importantes a la hora de definir proyectos e iniciativas para la
mejora de la seguridad de la información. Si consideramos que las
herramientas tecnológicas y la información que manejamos son de gran valor
para nuestra organización debemos empezar a pensar en poner en práctica
un Plan Maestro de Seguridad.
 Esto nos permite simplificar tanto la definición como la priorización de un
conjunto de proyectos en materia de seguridad de la información, dirigido a
reducir los riesgos a los que está expuesta la organización hasta unos niveles
aceptables a partir de un análisis de la situación inicial.
 Dado que los sistemas son complejos y grandes,
La gestión de riesgos tenemos que tener claridad de cuáles serán los puntos
críticos donde vamos a poner esfuerzos y recursos
en un mundo digital para su protección.

 Todo se resume en la frase de Federico

II El Grande
"Quien trata de defenderlo todo, no logra
proteger nada".
El despliegue de cualquier tecnología
orientada a la prevención, detección o
corrección va a platear preguntas sobre la
infraestructura TI de la organización y su
impacto en el negocio que sólo pueden ser
resueltas desde la visión holística (deben
ser analizados en su conjunto y no solo a
través de las partes que los componen) que
proporciona un análisis de riesgos.
 Mundo Digital Características clave de la gestión
de riesgos en un mundo digitalizado
La gestión de riesgos
en un mundo digital
 Qué es ser digital? - Es transformar el
negocio en su núcleo, incluidos los
procesos de gestión de riesgos, las
personas, la tecnología y la forma en
que opera (modelo operativo y
ecosistema).
 En este sentido la seguridad debe
evolucionar, en especial la función de La gestión de riesgos no sólo monitorea los
Administración de Riesgos debe ser ágil riesgos altos y extremos. También
y efectiva para monitorear, evaluar y proporciona perspectivas de la evolución de
controlar los riesgos, mientras que
analizan los nuevos que surgen de la
los riesgos e informa el apetito de riesgo.
transformación digital.

La gestión de riesgos debe integrarse en la 1

línea de defensa (Gerencia), al mismo tiempo
que realiza un monitoreo de riesgos y crea
un modelo ágil y eficiente para su gestión.
La gestión de riesgos
en un mundo digital
La gestión de riesgos
en un mundo digital
 ¿Tenemos claramente identificados ¿Estamos aprovechando los datos
en la organización los activos para realizar inteligencia de Ciber
Preguntas clave que críticos y la infraestructura que la
soporta?
riesgos y apoyar la toma de
decisiones?
debe hacer la gestión
de ciber riesgos ¿Estamos identificando y mitigando
Pueden los procesos de gestión de
Ciber riesgos apoyar la creación de
proactivamente los ciber riesgos
servicios omnicanal en tiempo
 Las empresas están (actuales, nuevos y emergentes)?
real?
transformando el marco de
gestión de ciber riesgos con el
objetivo de protegerse, y Está nuestro personal preparado
Están nuestros recursos y
permitir la innovación y capacidades preparadas para un
para satisfacer las necesidades
cambiantes de la función de ciber
búsqueda de oportunidades en rápido cambio tecnológico?
riesgo?
un ambiente competitivo. Para lo
anterior, la gestión de los ciber
riesgos debe plantear las Estamos ejecutando la gestión de
Podemos demostrar a los
siguientes preguntas. reguladores e inversionistas que la
ciber riesgos de manera eficiente y transformación mejora la postura
eficaz? Cómo lo sabemos? de ciber riesgo?

Estamos aprovechando la
tecnología emergente para
mitigar los ciber riesgos?
¿Cómo empezamos?
Materializar la visión integrada de gestión de
ciber riesgo
 Establecer un modelo de riesgo que priorice los activos de valor, comprenda
los riesgos críticos, el nivel de exposición y supervise las áreas de negocios;
requiere trabajar en los siguientes frentes:

Esto deberá estar formalizado a través de una política o metodología documentada.

1. Estrategia y Gobierno

Es común el enfoque de múltiples niveles y en cascada para el desarrollo de

las evaluaciones de riesgo, sin embargo, este enfoque es extenso en
implementación y e incluso en empresas de gran tamaño se puede perder la
visión del propósito que se busca y no lograr el apoyo de la alta dirección.

Defina la estrategia para

adoptar un modelo . . .
con enfoque Agile
 Desarrolle el modelo en olas,
adicionando nuevos stakeholders
y vistas.
 Involucre a toda la organización,
pero siga un enfoque top - down
1. Estrategia y Gobierno

Retos para un enfoque Agile de ciber riesgos

 Los procesos de gestión de riesgos son rígidos y no permite la flexibilidad para
soportar la mentalidad ágil.
 La gestión de ciber riesgo se realiza con los responsables de seguridad en la
organización y no se comunica constantemente al negocio.
 Debe establecerse una política general que brinde
orientación sobre los componentes estructurales de la
1. Estrategia y Gobierno gestión de ciber riesgo.
Recomendaciones:
 Apoyarse en proveedores con experiencia.
 Involucre a los equipos que harán la
gestión del riesgo en las etapas de diseño y
desarrollo del modelo.
 Asignar responsabilidades de supervisión a
todos los niveles y comités.
 Apóyese en estándares internacionales
(ISO, NIST, COBIT), para extraer lo más útil
de cada mundo.
1. Estrategia y Gobierno
 Deben establecerse roles y responsabilidades claras, a todos los niveles, que
permitan engranar los diferentes componentes del modelo.

Consideraciones clave:
 Identifique los stakeholders del modelo.
 Líneas de reporte oportunas y agiles
1. Estrategia y Gobierno
 Es necesario un enfoque de gestión del riesgo de ciber seguridad que vaya
mas allá del grupo de seguridad de la información. El desafío es permear la
organización a través del modelo de las “tres líneas de defensa”.
1. Estrategia y Gobierno
Actores clave sobre las tres líneas de defensa
 Un sólido marco de ciber riesgo identifica claramente el riesgo, la responsabilidad, el
gobierno y el monitoreo en las 3 LoD.
 2. Modelo
 La gestión del ciber riesgo tiene
como propósito la aplicación
sistemática e iterativa de políticas,
procedimientos y prácticas a las
actividades de identificación,
análisis, valoración y tratamiento
en materia de ciber riesgo.
 El proceso de gestión de ciber Amenazas y
riesgo debe ser una parte integral ciber riesgos
en toma de decisiones
estratégicas y debe integrarse a la
estructura, la operación y los
procesos.
 Durante el proceso de gestión del
ciber riesgo se considera los
contextos internos y externos y la
interacción dinámica del
comportamiento humano y de la
Metodología para la
cultura organizacional que lo
gestión del ciber riesgo
rodea, con el objetivo que esta
sea eficiente, eficaz y coherente.
2. Modelo
2. Modelo

 No puede defenderse todo y todo no es crítico para el negocio.

 Es necesaria la identificación y cuantificación de activos críticos

Inventariar + clasificar activos tecnológicos y de información.

2. Modelo

 Identificar y clasificar los activos

Inventariar + clasificar activos tecnológicos y de información.

2. Modelo
La definición del ambiente de control para los ciber
 Una vez inventariado los activos y riesgo debe partir del análisis detallado de los escenarios
definida su criticidad, se debe de riesgo a los cuales se expone la organización y los
valorar los controles activos críticos que son afectados
implementados actualmente para
su protección, definiendo
plantillas y criterios que se usaran
para esto.
 Definir como se realizará la
identificar posibles puntos de
ingreso de amenazas.
 Basado en información historia
de gestión interna de
incidentes, situación global de
amenazas, determinar o
estimar probabilidad de
ocurrencia, etc.
 Definir que tecnología apoyará la
implementación del modelo
también es relevante.
2. Modelo
Herramienta que apoya el proceso de identificación
Analítica de Eventos de Seguridad
2. Modelo
Definición del ambiente de control
 No es posible prevenir o mitigar todas las amenazas o vulnerabilidades, las
organizaciones deben orientar su estrategia de ciber riesgos a obstruir los
ataques, detectar actividad maliciosa, responder a los eventos y educar a los
usuarios.
  Llegado a este punto disponemos de los
siguientes elementos:

2. Modelo 

 Evaluar el riesgo

Inventario de activos y su clasificación.
Conjunto de amenazas a las que está expuesta
cada activo.
 Conjunto de vulnerabilidades asociadas a cada
activo (si corresponde).
 Conjunto de medidas de seguridad implantadas
Con esta información, nos encontramos en
condiciones de calcular el riesgo. Para cada par
activo-amenaza, estimaremos la probabilidad de que
la amenaza se materialice y el impacto sobre el
negocio que esto produciría. El cálculo de riesgo se
puede realizar usando tanto criterios cuantitativos
como cualitativos.

**Los controles son medidas atenuantes, que ayudan a reducir

el valor del riesgo
2. Modelo
 Valoración cuantitativa del riesgo:

RIESGO = PROBABILIDAD x IMPACTO

2. Modelo
 En resumen, identificar y valorar
los ciber riesgos requiere ejecutar
los siguientes pasos:
2. Modelo
Tratar el riesgo
 Una vez calculado el riesgo,
debemos tratar aquellos riesgos
que superen un límite que nosotros
mismos hayamos establecido. Por
ejemplo, trataremos aquellos
riesgos cuyo valor sea superior a
“4” o superior a “Medio” en caso
de que hayamos hecho el cálculo
en términos cualitativos. A la hora
de tratar el riesgo, existen cuatro
estrategias principales:
•Transferir el riesgo a un tercero. Por ejemplo,
contratando un seguro que cubra los daños a
terceros ocasionados por fugas de información.
•Eliminar el riesgo. Por ejemplo, eliminando un
proceso o sistema que está sujeto a un riesgo
elevado. Un caso práctico sería, podríamos
eliminar la wifi de cortesía para dar servicio a los
clientes si no es estrictamente necesario.
•Asumir el riesgo, siempre justificadamente. Por
ejemplo, el coste de instalar un nuevo firewall de
última generación puede ser demasiado alto y
por tanto, la organización puede optar por
asumir.
•Implantar medidas para mitigarlo. Por
ejemplo, contratando un acceso a internet de
respaldo para poder acceder a los servicios en la
nube en caso de que la línea principal haya caído.
2. Monitoreo y mejora continua
 Es de suma importancia establecer un programa de medición que permita poder
valorar la efectividad de los controles y definir planes de mejora en el modelo de
gestión de riesgos.
 Las métricas para el seguimiento y monitoreo a la gestión del ciber riesgo se pueden
definir bajo dos enfoques, con una vista tecnológica o con una vista de negocio :
Beneficios
 Optimización de recursos disponible.
 Enfocar esfuerzos en los recursos realmente críticos para la
organización.
 Mayor control y monitoreo de los procesos de sistemas críticos.
 Identificación proactiva de amenazas y controles para su mitigación.
 Involucramiento de todos los niveles de la organización en el proceso.
 Rápida, eficiente y sistemática respuesta ante la aparición de
incidentes.
 Establecimiento de un proceso de mejora continua de la gestión y
tratamiento eficiente del riesgo.