Gerencia Corporativa de Riesgos

Ciberseguridad y gestión de Riesgos

Ivan Alfaro Villalobos Etiquetas: riesgo_ti ciberseguridad riesgos_no_financieros ‎ 1 Comentario ‎ 129 visualizaciones

Ciberseguridad y gestión de Riesgos

Conceptos relacionados a la ciberseguridad y al riesgo

Ciberseguridad o Seguridad del ciberespacio: se define como la protección de la privacidad, integridad y accesibilidad de la información de datos en el Ciberespacio. ¹

Ciberespacio: es un entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación. ¹

La Organización Internacional de Normalización (ISO por sus siglas en inglés) creó el estándar ISO/IEC 27032 para la ciberseguridad, con la cual se pretende garantizar la seguridad en los intercambios de información en la red, que puede ayudar a combatir el cibercrimen con cooperación y coordinación entre las partes involucradas.

Activos de información: Es cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización, pueden ser procesos de negocio, datos, aplicaciones, equipos informáticos, personal, soportes de información, redes, equipamiento auxiliar o instalaciones. Es susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. ²

Ciberriesgo: es una combinación de riesgos que pueden causar daños materiales, pérdidas, daños en intangibles (datos, información, sitios webs, propiedad intelectual, dominios) y daños a terceros en los que entra en juego la responsabilidad civil e incluso penal. ²

Ciberdelincuencia: cualquier tipo de actividad en la que se utilice Internet, una red privada o pública o un sistema informático doméstico con objetivos como destruir o dañar ordenadores, medios electrónicos y redes de Internet. ²

Amenazas: Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad. ²

Vulnerabilidades: Fallos o deficiencias de un programa que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota. Una debilidad inherente de la plataforma tecnológica que la hace susceptible a que un ataque sea exitoso. ²

Controles: conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por la organización para mejorar su nivel de ciberseguridad. ²

Cibercrimen: actores individuales o grupos que dirigen ataques a sistemas para obtener ganancias financieras.²

Ciberguerra: recopilación de información con motivaciones políticas. ²

Ciberterrorismo: el propósito es comprometer los sistemas electrónicos y causar pánico o temor. ²

Marcos de referencia

ISO 27032: es la norma que proporciona algunas guías para la implementación segura, confiable, eficaz, eficiente y de respuesta a incidentes cibernéticos. En este se incluyen elementos como: políticas, métodos y procesos, personas y controles de gestión, y controles técnicos.

NIST: concebido bajo las premisas de identificar las normas y directrices de seguridad aplicables en todos los sectores de infraestructura crítica, proporcionando un enfoque flexible y repetible, que permite la priorización de actividades y apunta a obtener un buen rendimiento de las infraestructuras, manteniéndose rentable para el negocio. ³
Cobit 5: se plantea la idea de que la seguridad de la información es una disciplina transversal, por lo que se consideran distintos aspectos de protección de datos en todas las actividades y procesos llevados a cabo por la empresa. Se puede utilizar como complemento, una guía básica para definir, operar y monitorear un sistema de gestión de seguridad, considerando: APO13: Gestión de la seguridad, DSS04: Gestión de la continuidad, DSS05: Gestión de servicios de seguridad. ⁴

Partes involucradas

Dentro del ciberespacio todo el mundo participa, para los fines del ISO 27032, las partes interesadas en el ciberespacio son los siguientes grupos: consumidores, individuos, organizaciones y proveedores.

La ISO 27032 define los siguientes roles para las partes interesadas:

Roles de los consumidores	Roles de los individuos	Roles de las organizaciones	Roles de los proveedores
Son grupos que pueden transmitir y recibir información específica dentro del ciberespacio.	Pueden ser: usuarios de aplicaciones, compradores o vendedores, blogger, entre otros.	Las organizaciones usan el ciberespacio para mostrar los fines de la empresa y los servicios que prestan.	Proveen información de manera directa a los consumidores o por otros medios dispuestos en el ciberespacio.

Nuevo enfoque en controles de ciberseguridad

Según la ISO/IEC 27032 se deben establecer controles técnicos de ciberseguridad sobre los siguientes elementos:

Malware
Ataques de ingeniería social
Ataques de sitios Web
Hacking
Software malicioso (malware)
Spyware
Redes zombies
Daño físico, robo o pérdida
Amenazas internas
Fuga de información
Robo de identidad
Suplantación de identidad (phising)
Spam
Ranzonware
Kits de explotación
Espionaje cibernético
Otros programas no deseados

Los métodos comunes que usan los ciberatacantes para controlar las computadoras o redes incluyen virus, gusanos, spyware y troyanos. Los virus y los gusanos se pueden autorreplicar y dañar archivos o sistemas, en tanto que el spyware y los troyanos a menudo se utilizan para la recopilación de datos. En general, un usuario promedio entra en contacto con código malicioso a través del archivo adjunto de un correo electrónico no solicitado o cuando descarga programas que parecen legítimos, pero de hecho contienen una carga de software malicioso (malware).

Concientización y capacitación

Un elemento importante dentro de la ciberseguridad son las personas, las cuales deben empezar a formar una consciencia de los riesgos y buscar los medios para comprender y desarrollar (hasta donde les sea posible) destrezas y habilidades para responder antes esos riesgos, y definir acciones para mitigarlos.

Gestión de riesgos

La gestión de riesgos es fundamental dentro de esta situación del ciberriesgo y ciberespacio, ya que ayuda a contextualizar las posibles amenazas, vulnerabilidades, riesgos y posibles criterios de aceptación, en pro de mejorar la seguridad y definir de controles sobre los elementos determinados como riesgos. Para ello se puede hacer mención de la ISO 31000 como norma de apoyo para la implementación del análisis y gestión de riesgos.

Para mejorar el estado de la ciberseguridad, las partes interesadas en el ciberespacio tienen que desempeñar un rol activo en su respectivo uso y desarrollo de la ciberseguridad.

Dentro de la exposición que existe la organización define el modelo de negocios en función de estrategias, procesos, tecnología y recurso humano, entre otros elementos, donde se tiene que tener conciencia de los riesgos que pueden toparse en el camino que no permitan o minimicen el logro de los objetivos. Por lo que es importante darle a la gestión de riesgos el valor y peso dentro de la organización, para permitirle transformar riesgos en oportunidades de mejora o aminorarlos.

Dentro del ámbito de la ciberseguridad se debe tener en cuenta, el proceso, donde el inicio es la realización de un análisis de riesgos, auditorías de su seguridad y revisión de procesos, para poder definir un plan de trabajo que incluya acciones de mitigación al riesgo junto con un plan de continuidad de negocios como parte de un sistema de gestión en seguridad a la información.