PRIME WEBINAR 2020

Gestión de Incidencias Operativas

bajo el Enfoque ISO 27035:2011
03

Econ. Yuri Luna C

Gerente de Consultoría en Gestión de Riesgos de PRIME CONSULTING
INTERNATIONAL LLC
Expositor

Instructor, Asesor y Consultor en Gobierno Corporativo, Gestión de Riesgos

Operativos, Continuidad de negocios, Seguridad de Información y Cumplimiento.

Certificado como
- CPGROp – Profesional en Gestión del Riesgo Operacional
- ORM – Operational Risk Manager - PRMIA
- ISO 31000 Lead Risk Manager
- ISO 22301 Lead Implementador
- ISO 27001 Lead Implementador / ISO 27005 Risk Manager
- ISO 19600 Lead Compliance Manager
- ISO 37001 Anti Bribery Management System Implementador
- Foundation ISO 27032
- Foundation ISO 13053 Six Sigma
03

Temario
➢ Marco de Referencia, Principios y Proceso ISO 27035:2013

➢ Modelo de la Gestión de Incidentes Operativos

➢ Implementando la Gestión de Incidencias Operativas

ISO 27035:2011
Marco de referencia
Gestión de Incidentes de Seguridad
de Información

Bijou Solutions, Inc. | 2020

Procesos Gestion de Incidencias de Seguridad
ISO 27035:2011
Planificación y
Preparación

Detección e
Lecciones aprendidas
Información

Respuesta Evaluación y Decisión

Objetivos

➢ Detectar, informar y evaluar incidentes de seguridad de la información;

➢ Responder a los incidentes de seguridad de la información, incluyendo la activación de

controles apropiados para la prevención, reducción y recuperación de impactos (por
ejemplo, en soporte a las áreas de gestión de crisis);

➢ Informar sobre vulnerabilidades de seguridad de la información que todavía no hayan sido

explotadas para causar eventos de seguridad de la información y posiblemente incidentes
de seguridad de la información, así como evaluarlas y tratarlas apropiadamente;

➢ Aprender de los incidentes y vulnerabilidades de seguridad de la información, instituir

controles preventivos, y hacer mejoras al enfoque general sobre la gestión de incidentes de
seguridad de la información.

Bijou Solutions, Inc. | 2020

Generalidades

➢ Un evento de seguridad de la información es una ocurrencia identificada de un sistema,

aplicación, servicio o estado de la red, que indica una posible ruptura de la política de
seguridad de la información o una falla de los controles, o bien una situación desconocida
previamente que pueda ser relevante para la seguridad.

➢ Un incidente de seguridad de la información es un evento único o una serie de eventos de

seguridad de la información; no deseados o inesperados, que tienen una probabilidad
importante de comprometer las operaciones de negocios y de amenazar la seguridad de la
información, con un impacto que puede comprometer la seguridad, activos o el negocio.

➢ La ocurrencia de un evento de seguridad de la información no significa necesariamente

que un intento haya sido exitoso o que haya cualquier implicación sobre la
confidencialidad, integridad y/o disponibilidad; es decir, no todos los eventos de seguridad
de la información están clasificados como incidentes de seguridad de la información.

Bijou Solutions, Inc. | 2020

Enfoque Estructurado

➢ Detectar eventos de información de seguridad y se los trata eficientemente, en particular identificando

si se les tiene que categorizar y clasificar como incidentes de seguridad de la información o no.
➢ Evaluar los incidentes de seguridad de la información identificados y responder a ellos de la manera
más apropiada y eficiente.
➢ Evaluar las vulnerabilidades reportadas de seguridad de la información y se las trata apropiadamente.
➢ Mitigar los efectos adversos de los incidentes de seguridad de la información sobre la organización y
sus operaciones de negocio, por medio de controles apropiados como parte de la respuesta al incidente,
posiblemente en conjunción con elementos relevantes de un plan o planes de gestión de crisis.
➢ Aprender las lecciones de los incidentes de seguridad de la información, de las vulnerabilidades y de la
gestión que se asocia a ellos, para
✓ incrementar las posibilidades de prevenir la ocurrencia de futuros incidentes de seguridad de la
información,
✓ mejorar la implementación y el uso de los controles de seguridad de la información, y
✓ mejorar el esquema general de gestión de incidentes de seguridad de la información.

Bijou Solutions, Inc. | 2020

Beneficios de la Gestión de Incidentes

Mejora general de la Tratamiento de la

seguridad de evidencias para su
información conservación

Reducción de impactos Eficiente asignación de

adversos al negocio recursos y presupuesto
Gestión de
Incidentes
Fortalecimiento del ISO 27035
enfoque de prevención Mejora de la gestión de
de incidentes de incidentes
seguridad

Mejora de la percepción
Fortalecimiento de de cultura de seguridad
priorización y capacitación
Modelo de la Gestión
de Incidentes
Operativos
Casuística de Incidencias Operativas
Procesos
➢ Errores por mala o inadecuada definición en el diseño de Estructuras organizativas.
➢ Aplicación de procedimientos, actividades y controles de forma incorrecta, inadecuada
o de forma no oportuna.
➢ Problemas vinculados con aspectos laborales, como procesos de desvinculación
inadecuados, actos de discriminación,
Tecnológicos
➢ Incidencias por fallas en aplicaciones, caída de comunicación, pérdidas de enlaces,
indisponibilidad de servicios tecnológicos, caída de base de datos, etc.
Humanos
➢ Actos de dolo, apropiación de activos, mal uso de recursos, fraude, etc.
Externos
➢ Problemas con proveedores, factores del entorno socio política, etc.
➢ Incumplimiento de leyes, contratos, normativas internas, etc.
Modelo de Gestión de Incidentes Operativos

Planificación y
Preparación
Detección e
• Definir alcance de la
gestión
Información; Evaluación y
• Definir metodologías y • Captura descentralizada, Decisión Respuesta
procedimientos para administración
recolectar información centralizada • Analizar las causas de las • Evaluar el nivel del riesgo Comunicación,
incidencias. y determinar la estrategia
• Sensibilizar y capacitar a • Registrar incidencias
• Relacionar incidencias a de tratamiento del
Consulta,
usuarios reporte de operativas y consolidar
incidencias información. riesgos, procesos, incidente. Aprendizaje
controles, productos, • Determinar si amerita
• Definir canal de
servicios. • Aprender de los
comunicación de priorización su errores. Atender
incidencias. • Evaluar impactos sobre tratamiento. consultas
riesgo operativo • Diseñar plan correctivo
relacionado. • Reforzar mecanismos
sobre las incidencias de control interno
operativas priorizadas.
• Reforzar cultura de
• Implementar las acciones riesgos,
correctivas comunicación
• Evaluar efectividad del • Monitorear
plan de acción luego de incidentes similares
implementación
Planificación de la Gestión de Incidentes Operativos

Objetivo organizacionales y Modelo de Gobierno de

Priorización de procesos
prioridades Riesgos

Marco de referencia,
procedimientos para
Alcances y objetivos de la Evaluar Nivel de apetito y
recolección, análisis,
gestión de incidentes tolerancia con respecto a
evaluación, tratamiento y
operativos evolución de incidencias
monitoreo de incidencias
operativas.
Aspecto del Gobierno de Incidentes
• Incluir en la política y manual de la gestión de riesgos operativos, procedimientos
para el tratamiento de los incidentes operativos. Muchas veces se recolecta
información como parte de la base de eventos de pérdida, pero no se le un
debido tratamiento, monitoreo o análisis de los mismos.
• Diseñar procedimientos para asegurar la recolección de incidentes operativos y
mantener.
• Definir y documentar los incidentes operativos (sobre aspectos legales,
tecnológicos, operativos, negocio, procesos y controles).
• Definir roles y funciones para la administración de incidentes operativos
• Asignar responsabilidades para la administración de incidentes operativos (desde
la recolección, evaluación, análisis, tratamiento, monitoreo y reporte)
• Para el tratamiento de incidentes tecnológicos, evaluar las prácticas de ITIL, para
que se integren con incidentes operativos y de negocio.
I. Detección de Incidencias Operativas
➢ Implementar procedimientos para detectar de forma descentralizada y administrar de
forma centralizada las incidencias operativas.
➢ Tipificar y catalogar las incidencias para organizar la información
➢ Registrar las incidencias en una base de datos, contemplando información que permita
la gestión de los mismos (causas, productos, servicios, canales, procesos, aplicaciones,
etc.)
➢ Asegurar que los responsables de la detección de incidentes (responsables del
proceso, usuarios, coordinadores de riesgos), registren apropiadamente todas los
componentes del incidente; actividades afectadas, resultados, participantes, acciones
implementadas, etc.
➢ Recopilar información necesaria que permita realizar el análisis posterior.
II. Evaluación de Incidentes Operativos

➢ Diagnosticar los factores claves del incidente:

▪ Causa raíz
▪ Procesos, producto, servicio, canal
▪ Aspectos tecnológicos
▪ Factores externos
➢ Determinar las implicancias del incidente operativo
▪ Estratégicos, financieros, operativos, negocio
▪ Regulatorios, legales, normativos
▪ Imagen, reputacional
➢ Evaluar escalamiento del incidente
➢ Analizar componentes del incidente, con información relevada
III. Respuesta
Se deben considerar los siguientes factores al elegir una opción apropiada para el
tratamiento del incidente operativo:
➢ La política de gestión de riesgos, los objetivos estratégicos, apetito y tolerancia de la
organización así como criticidad de la incidencia;
➢ Análisis costo-beneficio de la respuesta;
➢ Percepción de las partes interesadas, la actitud ante el riesgo y los niveles de
tolerancia, así como su preferencias sobre determinadas estrategias de tratamiento de
las incidencias operativas;
➢ La disponibilidad y asignación de recursos necesarios para gestionar el incidente.
➢ Sobre la base del análisis realizado, determinar la mejor estrategia para tratamiento
del incidente, determinando un nivel de priorización para su respuesta.
IV. Diseño de Plan Correctivo
Después de seleccionar la estrategia de respuesta y definir las acciones de
tratamiento adecuado para el incidente, la organización debe evaluar si se puede
aceptar o tolerar la exposición, luego de implementado la acción correctiva.
De lo contrario, se requieren implementan acciones correctivas adicionales para
evitar se vuelva a materializar en el futuro dicha incidencia.
Consideraciones:
▪ Si la incidencia es inaceptable, la organización debe implementar acciones
correctivas priorizando el mismo, y reevaluar el riesgo después de considerar
este ajuste y sus efectos hasta que el riesgo residual está dentro de un nivel
aceptable.
▪ Si los riesgos residuales son aceptables, la organización puede dar por aceptado
las acciones correctivas y/o proponer acciones compensatorias para reducir la
frecuencia o impacto del incidente.
IV. Diseño de Plan Correctivo

Al implementar un plan correctivo, la organización debe considerar lo siguiente.

- Rediseño o mejora de las políticas y/o, procesos relacionados con el incidente.
- Desarrollar indicadores operativos para que se monitoree el incidente,
revaluando el riesgo operativo relacionado.
- Evaluar y cuantificar los potenciales impactos de ser el caso.
- Realizar actividades de optimización, rediseño o mejoramiento sobre controles
existentes que pudieron verse vulnerados.
- Brindar capacitación sobre las mejorar implementadas para mejorar las
habilidades sobre el incidente.
- Desarrollar plan de comunicación interna para generar conciencia y
sensibilización en áreas usuarias.
- Evaluar la efectividad del Plan Correctivo.
V. Monitoreo, Registro, Reporte
El seguimiento y revisión de los incidentes requiere se incluya lo siguiente:
▪ Mantenerse al tanto de incidentes relacionados, a fin de ajustar la estrategia correctiva de ser el
caso.
▪ Monitorear los eventos desencadenados por el incidente, analizar su frecuencia y consecuencias
y definir conclusiones de ellos.
▪ Considerar un sistema de alerta temprana, para identificar si las incidencias operativas
continúan y/o requiera alguna acción adicional de tratamiento;
▪ Monitorear y revisar:
a. Resultados posteriores al tratamiento de las acciones correctivas;
b. Cambios en el entorno;
c. Resultados de los planes correctivos;
d. Designación de las partes responsables, para monitoreo de incidencias
e. Comparación de planificación y progresos reales del plan correctivo de la incidencia, por si se
tratase de un riesgo significativo
f. Revisar y actualizar el plan correctivo de manera oportuna, para buscar idoneidad y eficacia
en relación a la gestión del incidente.
V. Monitoreo, Registro, Reporte

➢ La organización debe establecer esquema de escalamiento por si la naturaleza

del incidente amerita informar al Comité de Riesgos, y tomar acciones
correctivas por si su naturaleza lo requiere.
➢ informar sobre el progreso de las acciones implementados sobre la gestión de la
incidencia operativa.
➢ Mantener informado al Comité de Riesgos sobre incidencias relacionadas o
posibles consecuencias, sobre la base del incidente operativo inicial.
➢ Informar sobre la efectividad de las acciones implementadas.
➢ Actualizar el mapa de riesgos operativos, sobre la base de las incidencias
presentadas;
• incrementa la ocurrencia de incidencias operativas,
• incrementa la probabilidad del riesgo
V. Comunicación, Consulta y Aprendizaje

Se debe tomar en cuenta los siguientes criterios:

▪ La organización debe comunicar y atender consultas de manera oportuna con las partes
interesadas relevantes en cada etapa del proceso afectado por el incidente, para asegurar
que estas comprendan plenamente los efectos sobre los riesgos relacionados.
▪ Implementar actividades de control de manera efectiva y eficientemente.
▪ Establecer mecanismos de comunicación y consulta con las partes interesadas durante el
proceso de toma de decisiones para tratar el incidente.
▪ Incluir procesos de aprendizaje, supervisión y revisión, para asegurar conocimiento
aprendido
▪ Mantener registros de las prácticas implementadas para el tratamiento del incidente, a
través de una bitácora, que permita la gestión del mismo.
Implementando la
Gestión de Incidentes
Operativos
Implementando la Gestión de Incidentes Operativos

➢ La gestión de incidencias operativas debe estar integrada en las actividades y operaciones

de la gestión del riesgo operativo, para garantizar que su resultado sea parte del proceso de
toma de decisiones de la organización.

➢ La implementación de la gestión de incidencias debe estar integrada con la estrategia del

riesgo operativo, los objetivos y los sistemas de gestión dentro de la organización.

➢ Esto incluye el desarrollo de la política para la gestión de incidencias operativas, funciones

organizativas, responsabilidades, procedimientos para la integración con otros procesos,
asignación de recursos y mecanismos de comunicación, entre otras herramientas de
gestión.

➢ Monitoreo de la evolución de incidencias operativas, para revaluar los riesgos relacionados.

Modelo de Implementación

Política de Gestión del

Riesgo Operacional

Reforzar cultura del riesgos Manual de Gestión del

Reforzar entorno de control Riesgo Operacional

Monitoreo de Incidencias Metodología de

Operativas Administración de Eventos
de Pérdida e Incidencias
Alertas Tempranas Operativas
Matriz de Riesgos Operativos

Muy Alto

Alto
Probabilidad

Frecuencia
Medio de
Incidentes

Bajo Probabilidad
del Riesgo

Muy Bajo

Muy Bajo Bajo Medio Alto Muy Alto

Impacto
Gracias
Econ. Yuri Luna C.
Gerente de Consultoría en Gestión de Riesgos No
Financieros
Email: [email protected]
Telf. (51) 947290726