1. Introducción a la
Gestión de Riesgos
en Ciberseguridad
La ciberseguridad es crucial en el mundo digital actual. Una gestión
efectiva de riesgos es fundamental para proteger a las organizaciones de
amenazas cibernéticas. Este proceso implica identificar, evaluar y mitigar
los riesgos de manera estratégica y continua.
2. Principio 2: Identificar,
Analizar y Responder al
Riesgo
La Administración, debe
identificar, analizar y responder
a los riesgos relacionados con
el cumplimiento de los
objetivos institucionales,
considerando los riesgos de
ciberseguridad.
Principio 3: Identificar,
Analizar y Responder al
Cambio
La Administración, debe
identificar, analizar y responder
a los cambios significativos que
puedan impactar a la
organización y cambiar al
panorama de riesgos actual.
Principio 1:
Definir Objetivos
El titular debe instruir a la
administración y, en su caso,
a las unidades
especializadas la definición
clara de los objetivos
institucionales
PRINCIPIOS
ADMINISTRACIÓN
DE RIESGOS
3. Identificación de Riesgos Cibernéticos
1 Vulnerabilidades de Software
Mantenerse informado sobre
vulnerabilidades conocidas y aplicar
parches de seguridad de manera
oportuna.
2 Ataques de Malware
Estar alerta ante amenazas como virus,
troyanos y ransomware que pueden
comprometer la seguridad de los sistemas.
3 Phishing y Ingeniería Social
Educar al personal sobre técnicas de
engaño que buscan obtener información
confidencial.
4 Amenazas Internas
Considerar riesgos asociados a
empleados o contratistas que puedan
tener acceso privilegiado a datos
sensibles.
4.
5. Evaluación de Riesgos Cibernéticos
Probabilidad
Analizar la frecuencia y
posibilidad de ocurrencia de
cada riesgo identificado.
Impacto
Evaluar las consecuencias
potenciales de la
materialización de cada
riesgo en términos de
pérdidas financieras, daños a
la reputación y otros
aspectos.
Priorización
Clasificar y enfocar los
esfuerzos en los riesgos de
mayor criticidad.
6. GRADO DE IMPACTO DE UN RIESGO
PONDERACIÓN CLASIFICACION DESCRIPCIÓN
10 Catastrófico Impacta en el cumplimiento de la misión de
la organización. Suspende los programas o
servicios.
9
8 Alto Impacta de manera significativa en los
Objetivos Estratégicos.
7
6 Medio - Alto Impacto en los objetivos Estratégicos, pero se
lleva un tiempo importante en solucionarlo.
5
4 Moderado Afecta el cumplimiento de Objetivos
Directivos.
3
2 Insignificante Riesgo que puede tener un efecto mínimo o
nulo en la institución
1
7. PROBABILIDAD DE OCURRENCIA
DE UN RIESGO
PONDERACIÓN CLASIFICACION PROBABILIDAD DE QUE OCURRA
10 Recurrente - 5 Muy Alta
9
8 Probable - 4 Alta
7
6 Posible - 3 Media
5
4 Inusual - 2 Baja
3
2 Remota - 1 Remota
1
Recurrente: más de 10
veces al año
Probable: más de 5 veces y
menos de 10.
Posible: Más de 3 veces y
menos de 5
Inusual: de 2 a 3 veces al
año.
Remota: Al menos 1 vez al
año.
8. Evaluación de Riesgos Cibernéticos
(1) Reconocimiento
(Recognition)
▶Detección
vulnerabilidades
▶Identifica ambientes
▶Identifica roles
▶Compromiso de
credenciales
▶Identifica VPN
▶etc.
(2) Subasta
Auction
▶Hacker ofrece sus
activos en la darknet
▶Le pone un precio
▶Grupo contraoferta y
pide muestra
▶Grupo prueba la
"Mercancía”
▶Cierra acuerdo
(3) Preparación
Preparation
▶Apertura
Cuentas
▶Contrata mulas
▶Contrata insider
▶Canal de C&C
▶Túneles internos
▶Estudia
procesos
internos
▶Identifica
umbrales de
fraude
▶Realizan
algunas pruebas
(4) Ejecución
Attack
▶Alteración de
software (malware)
▶Transferencia desde
cuentas falsas
▶Alteración de
transacciones reales
▶Alteración de
transacciones
rechazadas
▶Suplantación de
roles clave
▶Eliminación de
rastros
▶Disrupción del
negocio (DoS)
Ciber ataque (Cyber Attack) - Modus Operandi
9. Estrategias de Mitigación de Riesgos
1
Evitar
Eliminar o evitar por completo la
actividad o el riesgo asociado.
2 Transferir
Trasladar el riesgo a terceros, como
aseguradoras o proveedores.
3
Mitigar
Implementar controles y medidas para
reducir la probabilidad o el impacto del
riesgo.
10. Implementación de Controles de
Seguridad
Firewall
Protege la red contra
accesos no
autorizados.
Antivirus
Detecta y elimina
malware que pueda
comprometer la
seguridad.
Cifrado
Protege la
confidencialidad de la
información sensible.
Respaldos
Asegura la
disponibilidad de la
información ante
incidentes.
11. Monitoreo y Revisión Continua
Recopilación de Datos
Monitorear actividades,
eventos y tendencias en la
infraestructura cibernética.
Análisis y Evaluación
Revisar periódicamente la
efectividad de los controles
implementados.
Mejora Continua
Ajustar y actualizar las
estrategias de gestión de
riesgos según sea
necesario.
12. Respuesta y Recuperación ante
Incidentes
Plan de Respuesta
Establecer protocolos y procedimientos para
detectar, contener y mitigar incidentes de
seguridad.
Respuesta Oportuna
Actuar de manera rápida y eficaz para
minimizar el impacto de un incidente.
Recuperación y Lecciones
Aprendidas
Restaurar la operatividad y analizar el
incidente para mejorar la preparación futura.
Comunicación
Mantener informados a las partes
interesadas y autoridades competentes
durante y después del incidente.
13. ISO 27.001
Contexto, liderazgo, planeación, soporte
Operación
Evaluación del
desempeño
Mejora
continua
Sistema de Gestión de Seguridad de la Informacion
Modelo conceptual de relaciones y de evaluación de riesgo (Model of
relations and risk assessment)
14. Modelo conceptual de relaciones y de evaluación de riesgo (Model of
relations and risk assessment)
15. RIESGO
Es la posibilidad de que un evento pueda ocurrir y afecte
negativamente en el logro de Objetivos
Administrativo
Legal
Financiero
Operativos
Imagen
TIC´s
Entre otros
16. CÓMO ESTRUCTURAR UN RIESGO?
Connotación
Negativa +
verbo
Adjetivo o
complemento
circunstancial
Sustantivo
Sustantivo
Adjetivo o
adverbio
negativo/
complemento
circunstancial
Verbo en
participio
Ó
17. Construir carreteras con calidad
OBJETIVO
Ejemplo:
Imposibilidad de construir carreteras con calidad
RIESGO
Connotación
Negativa +
verbo
Adjetivo o
complemento
circunstancial
Sustantivo
Sustantivo
Adjetivo o adverbio
negativo/
complemento
circunstancial
Verbo en
participio
Carreteras Construidas con mala calidad
RIESGO
18. Ejemplos de riesgo
Riesgos
Impacto en
Programa Anual de capacitación no
cumplido.
Procedimientos del área
no actualizados
No se realice un trabajo
correctamente
El personal no tenga la competencia
requerida
Actualizar los Procedimientos del
área
Objetivo
Cumplir el Programa Anual de
Capacitación
Objetivo
Riesgos
Impacto en
19. ¡Recapitulemos!
La Gestión de Riesgos juega un papel muy importante en la implementación de las
Estrategias de Ciberseguridad y los planes asociados.
“EL MAYOR DE LOS RIESGOS, ES
TENER DEBILIDADES
DESCONOCIDAS”……
20. Conclusiones y Recomendaciones
1 Enfoque Integral
La gestión de riesgos en ciberseguridad
debe ser un proceso holístico que
involucre a toda la organización.
2 Mejora Continua
La revisión y actualización constante de
las estrategias es fundamental para
mantener la seguridad.
3 Concientización y Capacitación
Educar y sensibilizar a los empleados
sobre buenas prácticas de ciberseguridad
es clave.
4 Colaboración y Alianzas
Trabajar en conjunto con expertos y
autoridades mejora la capacidad de
respuesta ante amenazas.