PRINCIPIOS EN SEGURIDAD DE

INFORMACIÓN

José Carlos Vargas Medina

[email protected]
 Temario
SEMANA UNIDAD CONTENIDO

1 Principios de SI Contexto Empresarial de la Seguridad de la Información

2 Gestión de riesgos de SI
3y4 Cybersecurity framework del NIST
5 Estándar de segurida de TC (PCI)
Seguridad en redes, aplicaciones y
6y7 Gestión de Identidades y principales vectores de ataque
datos
8 PARCIAL
9 y 10 Gestión de Incidentes
11 Gestión de crisis y continuidad de negocio
12 Principios de privacidad Contexto Empresarial de la Privacidad
13 Modelo de gobierno de la privacidad
14 Normativa de privacidad
15 Presentación de trabajo
16 FINAL
 Semana 4
Principios de SI

Cybersecurity framework del NIST

Parte 2
¿Cuáles son los beneficios que tiene una
organización cuando diseña y ejecuta una
estrategia de ciberseguridad?

¿Cuáles son los problemas que pueda tener

una organización para establecer una estrategia
de ciberseguridad?
PSI | Implementación
Paso 1. Priorización y
alcance del programa.
Paso 1. Priorización y Alcance
 Paso 1. Priorización y Alcance
La organización identifica sus objetivos empresariales o de misión y las
prioridades organizacionales de alto nivel. Con esta información, la organización
toma decisiones estratégicas con respecto a las implementaciones de seguridad
cibernética y determina el alcance de los sistemas y activos que respaldan la línea
o proceso comercial seleccionado. Se puede adaptar El Marco para admitir las
diferentes líneas de negocio o procesos dentro de una organización, que pueden
tener diferentes necesidades empresariales y la tolerancia al riesgo asociada. Las
tolerancias de riesgo pueden reflejarse en un Nivel de Implementación Objetivo
 Paso 1. Priorización y Alcance
• Contexto de actual y objetivos empresariales
BANCO ACME es institución Mexicana fundada en 1981, cuenta con 39 años de experiencia en el
sector Financiero, reconocida Nacionalmente por sus clientes como un Banco realmente digital,
brindando servicios vanguardistas.

Presencia en 25 2000 Cajeros 22,5 Millones

estados ATMs de Clientes

10,000 6.5 Millones de

2000 Sucursales
Empleados Inversión
 Paso 1. Priorización y Alcance
• Organigrama del Área de la Seguridad de la Información
Dirección de Seguridad
de Información

Subdirector Subdirector Operaciones

Cumplimiento Seguridad Seguridad

Subdirector Seguridad en Subdir. Seguridad en

Accesos Aplicaciones

Subdirector Seguridad en Subdirector Gestión de

Proyectos Incidentes

Subdirector Inteligencia y
Forense
Visión Misión
Ser la mejor plataforma abierta de servicios Generar confianza al servir más y mejor a nuestra
financieros, actuando de forma responsable y clientela, con transparencia e integridad,
ganándonos la confianza y fidelidad de ofreciendo siempre productos de la más alta
nuestros empleados, clientes, accionistas y calidad.
de la sociedad.

Procesos

 Depósitos  Servicios varios para empresas

 Transferencias  Banca en línea
 Depósitos Plazo  Seguros
 Ahorro  Otras
 Prestamos
 Opciones de inversión
 Paso 1. Priorización y Alcance
• Objetivos empresariales

Mejora de la
Desarrollo de nueva
experiencia al cliente Crecer en colocaciones
oferta de productos
satisfactoria en el uso de productos pasivos
financieros one clic
de plataformas móviles
 Paso 1. Priorización y Alcance
• Procesos críticos de la organización:

Depósitos
Depósitos Transferencias Ahorro
Plazo

Servicios
Opciones de
Prestamos varios para Banca en línea
inversión
empresas

Seguros
 Paso 1. Priorización y Alcance
• Alcance del programa de ciberseguridad
El resultado final del análisis debe brindar como resultado el listado Depósitos
de servicios procesos, repositorios digitales / físicos, transferencias
que serán el alcance del programa.

Celebración
1. Identificación de servicios / productos estratégicos,
de contratos
identificación de procesos críticos asociados, identificación de
repositorios digitales, físicos, y transferencias.
Opciones de
2. Identificación de procesos críticos en base a criterios de inversión
priorización: cantidad de activos críticos, cantidad de
incidentes ocurridos, ingresos generados, productos
soportados. Banca en
línea
Paso 2. Orientación del
programa
Implementación
 Paso 2. Orientación
Una vez que se ha determinado el alcance del programa de
seguridad cibernética para la línea de negocio o el proceso,
la organización identifica los sistemas y activos relacionados,
los requisitos reglamentarios y el enfoque de riesgo general.
La organización luego consulta las fuentes para identificar las
amenazas y vulnerabilidades aplicables a esos sistemas y
activos
 Paso 2. Orientación
• Activos de información críticos
 Paso 2. Orientación
• FODA de Ciberseguridad (Entorno)

Fortalezas Debilidades
 Gobierno corporativo Solido  Gobierno de ciberriesgos debilitado por
recientes cambios organizacionales.
 Incidentes de seguridad críticos no gestionados.

Oportunidades Amenazas
 Preocupaciones en ciberseguridad priorizado  Incremento de ciberdelito
por la alta gerencia  Entorno Regulatorio creciente en privacidad y
ciberseguridad
 Paso 2. Orientación
• Principales Grupos de Interés y requerimientos de ciberseguridad
Grupo de Interés Requerimiento

Proveer de servicios para realizar las operaciones de manera Segura,

Clientes Confidencial y con alta disponibilidad.

Brindar las herramientas necesarias para otorgar el mejor servicio al

Empleados cliente

Cumplir con los estándares solicitados

Entidades Regulatorias

Brindar confianza y seguridad a los patrimonios invertidos.

Accionistas
 Paso 2. Orientación
• Principales riesgos o vulnerabilidades reportadas
Escenario de riesgo Cantidad
Riesgos de privacidad 1
Riegos de ciberseguridad 3

Vulnerabilidades Cantidad
Riesgos de privacidad 1
Riegos de ciberseguridad 3
 Paso 2. Orientación
• Principales incidentes o eventos de pérdida reportados
 Paso 2. Orientación
• Listado de requerimientos de ciberseguridad
El resultado final del análisis debe brindar como resultado el listado de requerimientos que el programa de ciberseguridad
debe atender para los procesos determinados en el alcance. Los requerimientos puede ser catalogados por su nivel de
importancia de acuerdo al impacto financiero, legal o reputacional que involucra su no cumplimiento, o partir de otros drivers
que se establezcan.

Grupo de
Requerimiento Importancia
Interés
Clientes Proveer de servicios para realizar las operaciones de manera Segura, Confidencial y con alta disponibilidad. Alto

Empleados Brindar las herramientas necesarias para otorgar el mejor servicio al cliente Medio
Entidades
Cumplir con los estándares solicitados Medio
Regulatorias
Accionistas Brindar confianza y seguridad a los patrimonios invertidos. Alto

Regulador Cumplimiento regulatorio de normativa local Medio

Regulador Remediar vulnerabilidades de nivel ALTO dentro de los 6 meses siguientes. Bajo
Paso 3. Crear perfil actual
de capacidades
 Paso 3. Perfil actual
La organización desarrolla un Perfil Actual en que indica qué
resultados de categoría y subcategoría del Núcleo del Marco se
están logrando actualmente. Si se logra parcialmente un
resultado, tomar nota de este hecho ayudará a respaldar los
pasos posteriores al proporcionar información de referencia.
Implementación
 Paso 3. Perfil actual
• Perfil actual de capacidad de ciberseguridad
Total
1. IDENTIFICAR (ID)
80%
70%
La definición de las capacidades actuales 60%
de ciberseguridad requiere valorar un nivel 50%
40%
de madurez.
30%
5. RECUPERAR (RC) 2. PROTEGER (PR)
20%
10%
0% Total

4. RESPONDER (RS) 3. DETECTAR (DE)

 Paso 3. Perfil actual
• Perfil actual de capacidad de ciberseguridad
 Paso 3. Perfil actual
• Perfil actual de capacidad de ciberseguridad
1. IDENTIFICAR (ID) 60%
1. Gestión de activos (ID.AM) 55% Se identifica un nivel de
2. Entorno empresarial (ID.BE) 60%
3. Gobernanza (ID.GV) 60% capacidad actual de 38% de
4. Evaluación de riesgos (ID.RA)
5. Estrategia de gestión de riesgos (ID.RM)
70%
30%
cumplimiento de las prácticas de
6. Gestión del riesgo de la cadena de suministro (ID.SC) 70% ciberseguridad.
2. PROTEGER (PR) 34%
1. Gestión de identidad, autenticación y control de acceso (PR.AC) 10%
2. Concienciación y capacitación (PR.AT) 80%
3. Seguridad de los datos (PR.DS) 30% Las practicas de seguridad de
4. Procesos y procedimientos de protección de la información (PR.IP)
5. Mantenimiento (PR.MA)
30%
60%
datos, procedimientos de
6. Tecnología de protección (PR.PT) 30% protección y planificación de la
3. DETECTAR (DE) 16%
1. Anomalías y Eventos (DE.AE) 20% recuperación son las que se
2. Monitoreo Continuo de la Seguridad (DE.CM) 10%
3. Procesos de Detección (DE.DP) 20%
ubican en el nivel más básico en
4. RESPONDER (RS)
1. Planificación de la Respuesta (RS.RP)
30%
30%
el desarrollo de capacidades.
2. Comunicaciones (RS.CO) 30%
3. Análisis (RS.AN) 30%
4. Mitigación (RS.MI) 30%
5. Mejoras (RS.IM) 30%
5. RECUPERAR (RC) 42%
1. Planificación de la recuperación (RC.RP) 10%
2. Mejoras (RC.IM) 45%
3. Comunicaciones (RC.CO) 50%
Total general 38%
Paso 4. Análisis de riesgo
 Paso 4. Análisis de riesgo
Esta evaluación podría estar guiada por el proceso de gestión
de riesgos general de la organización o actividades previas de
evaluación de riesgos. La organización analiza el entorno
operativo para discernir la probabilidad de un evento de
seguridad cibernética y el impacto que el evento podría
tener en la organización. Es importante que las
organizaciones identifiquen los riesgos emergentes y utilicen
la información de amenazas de seguridad cibernética de
fuentes internas y externas para obtener una mejor
comprensión de la probabilidad y el impacto de los eventos
de seguridad cibernética.
Implementación
 Paso 4. Análisis de riesgo
• Resultado de análisis de riesgo (Nivel Alto)
Nivel de
Impacto Escenario de riesgo P I
Riesgo
Financiero. Escenario de malware. Medio Alto Alto
Indisponibilidad de Encriptación de estaciones de trabajo de CCFF y BD de aplicaciones críticas debido a limitados
servicios bancarios de controles de protección frente a eventos de criptomalware, como son: equipos sin parches de
clientes. actualización, redes no segmentadas, entre otros.
Reputacional / Legal. Escenario de Fuga de Información. Alto Alto Alto
Sanción del regulador Fuga de datos de información financiera de clientes por limitados controles frente a ataques APT,
por fuga de datos como son: uso de contraseñas compartidas o de fácil adivinación, evento de auditoría no
sensibles de clientes. estandarizados en las plataformas y procesos de detección limitados, entre otros.
Legal / Financiero. Vulneración de acceso. Medio Alto Alto
Fraude financiero en Modificación no autorizadas de clientes por limitados controles frente a intentos de intrusión en las
cuentas de clientes. aplicaciones core bancarias o aplicaciones mobile, como son: uso de un (1) solo factor de
autenticación para cuentas privilegiadas, redes de ATM no aisladas, entre otros.
 Paso 4. Análisis de riesgo
• Resultado de análisis de riesgo
Paso 5. Crear el perfil
objetivo de capacidades
 Paso 5. Crear el perfil objetivo de
capacidades
La organización crea un Perfil Objetivo que se centra en la evaluación de las
Categorías y Subcategorías del Marco que describen los resultados deseados de
seguridad cibernética de la organización.

La organización también puede considerar las influencias y los requisitos de las

partes interesadas externas, como las entidades del sector, los clientes y los socios
empresariales, al crear un Perfil objetivo.

Las organizaciones también pueden desarrollar sus propias Categorías adicionales

y Subcategorías para tener en cuenta los riesgos únicos de la organización.

El Perfil Objetivo debe reflejar adecuadamente los criterios dentro del Nivel de
Implementación objetivo.
 Paso 5. Crear el perfil objetivo de
capacidades
La creación del perfil objetivos requiere las siguientes actividades:

• Determinar la misión y visión de ciberseguridad alineada a las necesidad de la

organización.

• Definir objetivos estratégicos / específicos basados en el listado de requerimientos

de la organización, los riesgos asociados y las capacidades actuales en
ciberseguridad. En este punto, se deben definir los indicadores KPI relacionados.

• Definir entregables para que permitan alcanzar los objetivos previstos.

 Paso 5. Crear el perfil objetivo de
capacidades
• Definir misión y visión del programa
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Objetivos Estratégicos / Específicos del programa por cada función

KPI deben ser definidos

por cada objetivo y los
valores objetivos definidos
actuales y los esperados
al final del programa.

• % Cobertura de procesos
de la gestión de riesgos

• % Proveedores críticos
evaluados en la gestión
de riesgos

• % Personal con
evaluación satisfactoria o
sobresaliente
 Paso 5. Crear el perfil objetivo de
capacidades
• Definir Entregables por cada Objetivo Específico del programa

Defina ejemplos de KPI

 Paso 5. Crear el perfil objetivo de
capacidades
• Definir niveles de madurez objetivo para las capacidades de seguridad
1. IDENTIFICAR (ID) 60% 95%
1. Gestión de activos (ID.AM) 55% 80%
2. Entorno empresarial (ID.BE) 60% 90%
3. Gobernanza (ID.GV) 60% 100%
4. Evaluación de riesgos (ID.RA) 70% 100%
5. Estrategia de gestión de riesgos (ID.RM) 30% 100%
6. Gestión del riesgo de la cadena de suministro (ID.SC) 70% 90%
2. PROTEGER (PR) 34% 95% La definición del perfil
1. Gestión de identidad, autenticación y control de acceso (PR.AC) 10% 80% objetivo requiere cruzar los
2. Concienciación y capacitación (PR.AT) 80% 90%
3. Seguridad de los datos (PR.DS) 30% 100% objetivos establecidos
4. Procesos y procedimientos de protección de la información (PR.IP) 30% 100% versus los objetivos para
5. Mantenimiento (PR.MA) 60% 100%
6. Tecnología de protección (PR.PT) 30% 90% establecer un nivel de
3. DETECTAR (DE) 16% 95%
1. Anomalías y Eventos (DE.AE) 20% 100%
PRIORIDAD y el VALOR
2. Monitoreo Continuo de la Seguridad (DE.CM) 10% 90% OBJETIVO DE MADUREZ
3. Procesos de Detección (DE.DP) 20% 95%
4. RESPONDER (RS) 30% 95%
para cada una de las
1. Planificación de la Respuesta (RS.RP) 30% 95% capacidades.
2. Comunicaciones (RS.CO) 30% 95%
3. Análisis (RS.AN) 30% 95%
4. Mitigación (RS.MI) 30% 95%
5. Mejoras (RS.IM) 30% 95%
5. RECUPERAR (RC) 42% 100%
1. Planificación de la recuperación (RC.RP) 10% 100%
2. Mejoras (RC.IM) 45% 100%
3. Comunicaciones (RC.CO) 50% 100%
Total general 38% 95%
Paso 6. Determinar,
Analizar y priorizar GAPS
Paso 6. Determinar, Analizar y priorizar
GAPS
La organización compara el Perfil Actual y el Perfil Objetivo para determinar las
brechas. A continuación, crea un plan de acción priorizado para abordar las
brechas (que reflejan los impulsores, los costos y los beneficios, y los riesgos de la
misión) para lograr los resultados en el Perfil Objetivo.

Luego, la organización determina los recursos necesarios para abordar las

brechas, que incluyen los fondos y la fuerza laboral.

El uso de Perfiles de esta manera alienta a la organización a tomar decisiones

informadas sobre las actividades de seguridad cibernética, respalda la gestión de
riesgos y permite a la organización realizar mejoras específicas y rentables.
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Determina y analizar el GAP entre el perfil actual y el perfil objetivo

La definición del GAP requiere la

comparación del perfil actual y
objetivo. Los GAPS deben ser
valorados en su magnitud
(cuantitativo o cualitativo).
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Determina y analizar el GAP entre el perfil actual y el perfil objetivo
1. IDENTIFICAR (ID) 60% 95%
1. Gestión de activos (ID.AM) 55% 80%
2. Entorno empresarial (ID.BE) 60% 90%
3. Gobernanza (ID.GV) 60% 100%
4. Evaluación de riesgos (ID.RA) 70% 100%
5. Estrategia de gestión de riesgos (ID.RM) 30% 100%
6. Gestión del riesgo de la cadena de suministro (ID.SC) 70% 90%
2. PROTEGER (PR) 34% 95% La definición del GAP requiere la
1. Gestión de identidad, autenticación y control de acceso (PR.AC) 10% 80%
2. Concienciación y capacitación (PR.AT) 80% 90% comparación del perfil actual y
3. Seguridad de los datos (PR.DS) 30% 100% objetivo. Los GAPS deben ser
4. Procesos y procedimientos de protección de la información (PR.IP) 30% 100%
5. Mantenimiento (PR.MA) 60% 100% valorados en su magnitud
6. Tecnología de protección (PR.PT) 30% 90% (cuantitativo o cualitativo).
3. DETECTAR (DE) 16% 95%
1. Anomalías y Eventos (DE.AE) 20% 100%
2. Monitoreo Continuo de la Seguridad (DE.CM) 10% 90%
3. Procesos de Detección (DE.DP) 20% 95%
4. RESPONDER (RS) 30% 95%
1. Planificación de la Respuesta (RS.RP) 30% 95%
2. Comunicaciones (RS.CO) 30% 95%
3. Análisis (RS.AN) 30% 95%
4. Mitigación (RS.MI) 30% 95%
5. Mejoras (RS.IM) 30% 95%
5. RECUPERAR (RC) 42% 100%
1. Planificación de la recuperación (RC.RP) 10% 100%
2. Mejoras (RC.IM) 45% 100%
3. Comunicaciones (RC.CO) 50% 100%
Total general 38% 95%
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Definir acciones estratégicas por lograr el perfil objetivo
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Definir acciones estratégicas por lograr el perfil objetivo
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Definir acciones estratégicas por lograr el perfil objetivo
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Consolidar las estrategias en proyectos y costear
 Paso 6. Determinar, Analizar y priorizar
GAPS
• Analizar y Priorizar GAPS

El análisis y priorización de GAPS

requiere la identificación de Qick
Wins basados en el nivel de
mitigación que tiene
Paso 7. Implementar Plan
de acción
Paso 7. Implementar Plan de acción
La organización determina qué acciones tomar para abordar las
brechas,
si las hay, identificadas en el paso anterior y luego ajusta sus
prácticas actuales de seguridad cibernética para lograr el Perfil
Objetivo.

Para proveer más dirección, el Marco identifica ejemplos de

referencias informativas sobre las Categorías y Subcategorías, pero
las organizaciones deben determinar qué normas, directrices y
prácticas, incluidas aquellas que son específicas del sector,
funcionan mejor para sus necesidades.
 Paso 7. Implementar Plan de acción
• Ejecutar plan
 ITERACIÓN
• Una organización repite los pasos según sea necesario para evaluar
y mejorar continuamente su seguridad cibernética. Por ejemplo, las
organizaciones pueden encontrar que una repetición más
frecuente del paso orientación mejora la calidad de las
evaluaciones de riesgos.

• Las organizaciones pueden supervisar el progreso a través de

actualizaciones iterativas al Perfil Actual, y luego compararlo con el
Perfil Objetivo. Las organizaciones también pueden utilizar este
proceso para alinear su programa de seguridad cibernética con su
Nivel de Implementación del Marco deseado.