Metodologías de

análisis de riesgos

UNIDAD 2
Tratamiento del riesgo
Unidad 2: Tratamiento del riesgo.

Introducción

La seguridad ayuda a proteger la

información confidencial,
sensible y valiosa de una
organización, incluyendo datos
de clientes, información
financiera, propiedad intelectual
y otros activos críticos. Esto
evita la pérdida, robo o
exposición no autorizada de la
información, lo que podría tener
graves consecuencias para la
organización y sus partes
interesadas.

Las estrategias en un plan de respuesta a riesgos se relacionan principalmente con la tolerancia al riesgo de
la organización. Esto implica que al igual que algunas personas buscan seguridad en un empleo estable de
por vida, mientras que otras buscan aventuras, algunas organizaciones optan por "digerir" ciertos riesgos
mientras que otras no lo hacen.

Debido a su naturaleza, sector económico o política de negocios, algunas organizaciones pueden estar
dispuestas a asumir ciertos riesgos y "vivir en el peligro", mientras que otras optan por trabajar en un
entorno seguro y tranquilo, como en un paraíso de seguridad. A continuación, veremos las cuatro
estrategias que pueden ser usadas para el tratamiento de riesgos en una organización:

Metodologías de análisis de riesgos.

1
 Unidad 2: Tratamiento del riesgo.

1. Evitar el riesgo
PREGUNTA

¿Qué significa evitar el riesgo?

La evitación de riesgos consiste en parar o no iniciar la actividad que lo

genera. Normalmente, esta estrategia de tratamiento de riesgos se
selecciona cuando el riesgo tiene un impacto negativo muy grande para la
organización. Si bien la eliminación completa de todos los riesgos rara vez
es posible, una estrategia de evitación de riesgos está diseñada para
desviar tantas amenazas como sea posible a fin de evitar las costosas y
perjudiciales consecuencias de un evento dañino. En este caso, una de las
opciones es buscar una actividad o tarea alternativa que suponga un
riesgo menor.

Algunos ejemplos de evitación:

I. No almacenar datos sensibles en dispositivos móviles o en la nube, sino en una ubicación segura y
controlada.
II. No conectarse a redes inseguras o no confiables.
III. No utilizar software o dispositivos que no hayan sido previamente verificados o autorizados por el
departamento de seguridad.
IV. No abrir correos electrónicos o mensajes de texto de remitentes desconocidos o sospechosos.
V. No compartir información confidencial o de cuentas a través de redes sociales o mensajería
instantánea.
VI. No conectar dispositivos desconocidos o sospechosos a la red de la empresa.
VII. No entrar en sitios web dudosos o sospechosos.
VIII. No utilizar dispositivos o software con fallos de seguridad conocidos.
IX. No conectarse a redes Wi-Fi públicas no seguras.
X. No conectarse a redes privadas virtuales (VPN) no autorizadas o de confianza.
XI. Dar de baja sistemas/servidores obsoletos.
XII. No iniciar una nueva línea de productos.
XIII. Aislar ciertos sistemas críticos por completo de la red
XIV. No recopilar ni almacenar datos personales si no se puede cumplir con las regulaciones de privacidad
de datos.

Metodologías de análisis de riesgos.

2
 Unidad 2: Tratamiento del riesgo.

2. Mitigar el riesgo PREGUNTA

¿Cómo podemos mitigar el riesgo?

La mitigación de riesgos se refiere a las

medidas que se toman para reducir la
probabilidad de un ataque exitoso o para
minimizar su impacto si tiene lugar. Una de
las primeras medidas que se deben tomar
para mitigar los riesgos de ciberseguridad es
la identificación de las amenazas.

Una vez identificadas las amenazas, se deben

evaluar los riesgos asociados a cada una de
ellas. Esto ayudará a priorizar qué controles
de seguridad son más importantes y
Esto incluye la evaluación de la organización para determinar seleccionar los que sean apropiados para
los puntos vulnerables y los ataques más probables.
mitigar cada una de las amenazas
identificadas.

Estos controles pueden incluir medidas técnicas, administrativas o físicas. Por ejemplo, se pueden utilizar
firewalls, software antivirus y antimalware, y sistemas de detección de intrusos para proteger los sistemas
de la organización contra los ataques.,

Además de la implementación de controles de seguridad, es importante evaluar periódicamente los

controles implementados para asegurarse de que están funcionando adecuadamente y cumpliendo con sus
objetivos. Esto incluye la realización de pruebas de penetración y auditorías de seguridad para evaluar la
eficacia de los controles existentes.

Otra medida importante para mitigar los riesgos de ciberseguridad es la comunicación y capacitación. Es
importante que los empleados de la organización estén informados sobre las políticas y prácticas de
seguridad de la información, y que se capaciten en cómo proteger la red y los sistemas de la organización.

Metodologías de análisis de riesgos.

3
Unidad 2: Tratamiento del riesgo.

2.1. Selección e implementación de los controles

La selección e implementación de un control en el marco de la gestión del riesgo debe responder siempre a
la relación costo/beneficio, por lo tanto, se deben considerar las siguientes premisas:

• El costo del control debe ser menor al costo del activo a proteger. Ejemplo: un software de protección
antimalware no debe costar más que el valor de la información y los computadores que protege.

• El costo del control debe ser menor al costo del activo a proteger. Ejemplo: un software de protección
antimalware no debe costar más que el valor de la información y los computadores que protege.

• El costo del control debe ser menor al costo del beneficio obtenido de ese control: Si al valor que tiene la
información le restamos lo que cuesta el control a implementar la resta debe dar un valor superior a
cero.

• El resultado de la aplicación de un control debe elevar el costo de un ataque por encima del beneficio
que podría obtener el atacante. El control debe dificultarle tanto el ataque que el costo de vulnerarlo sea
muy alto, como por ejemplo cuando se implementa un algoritmo de cifrado fuerte, el cual para romperlo
requiere una fuerza bruta de procesamiento de la cual no disponen la mayoría de los atacantes, por
tanto, robar información mediante un ataque criptográfico muy probablemente tiene un costo muy
superior al de la información que podría robar o modificar fraudulentamente.

• El control seleccionado debe responder a un problema real e identificado en la organización. Nunca se

deben instalar controles simplemente porque están disponibles, tienen mucha publicidad o tienen un
nombre atractivo.

• El beneficio obtenido del control nunca debe depender de su secreto u ocultamiento. Una buena medida
o control de seguridad puede resistir su divulgación y el escrutinio público y por tanto mantener la
protección incluso cuando se conoce. Ejemplo: Si una organización emplea el antivirus “McSeguro” su
nivel de protección no depende que se le oculte al público sobre el uso del mismo. Si se llegara a divulgar
el conocimiento de su uso de igual manera debe tener efectividad en detectar y frenar la mayoría de las
amenazas que detecta un antivirus del mercado.

• El beneficio del control debe ser medible y verificable, de lo contrario no podría evaluarse si está siendo
efectivo para los objetivos de la organización y tampoco podría evaluarse su eficiencia en costos.

• El control debe brindar una protección consistente y uniforme para todas las plataformas, usuarios y
protocolos que protege. En caso de detectar inconsistencias para alguna plataforma o protocolo, se debe
considerar un control complementario.

• El control debe tener poca o ninguna dependencia de otros controles para evitar un fallo en cascada.

Metodologías de análisis de riesgos.

4
Unidad 2: Tratamiento del riesgo.

• El control debe requerir poca o nula intervención humana después de su configuración y puesta en
marcha. Como se vio en la unidad I, mientras mayor sea el componente manual de un control menos
confiable se vuelve y es más propenso a errores o manipulaciones.

• El control debe ser a prueba de manipulaciones.

• La anulación de un control solo debe estar disponible para unos pocos operadores avanzados que estén
debidamente identificados (de manera individual al menos con nombre y apellido) y autorizados por su
jefatura o la directiva.

• El control debe haber sido probado para verificar que no sea vulnerable a fallas.

Es importante destacar que la seguridad debe ser diseñada para soportar y habilitar funciones y tareas del
negocio, por lo tanto, deben ser evaluados en el contexto de un proceso de negocio. Si no hay claridad en
este contexto probablemente el control seleccionado no sea una opción de seguridad efectiva.

2.2. Controles críticos de Ciberseguridad (CIS)

CIS Controls™ es un conjunto de acciones priorizadas que colectivamente forman un conjunto de mejores
prácticas de defensa que mitigan los ataques más comunes contra sistemas y redes. Los Controles CIS son
desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como
defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente. Los
expertos que desarrollan los Controles CIS provienen de una amplia gama de sectores que incluyen retail,
fabricación, salud, educación, gobierno, defensa y otros.

A continuación, se definen de manera resumida cada uno de los 20 controles de la guía CIS Controls:
Control 1

Inventario de Dispositivos autorizados y no

1 autorizados

Es importante administrar de forma activa todos los dispositivos de hardware en la red, incluyendo su
inventario, seguimiento y corrección, para asegurarse de que solo los dispositivos autorizados tengan
acceso, y para detectar y prevenir que los dispositivos no autorizados y no gestionados obtengan acceso.

¿Por qué es importante este control?

Los atacantes, que pueden estar ubicados en cualquier parte del mundo, realizan escaneos constantes en el
espacio de direcciones de las organizaciones que desean atacar, buscando sistemas nuevos y desprotegidos
que se conecten a la red.

Metodologías de análisis de riesgos.

5
Unidad 2: Tratamiento del riesgo.

En particular, los equipos que se conectan y desconectan de la red, como laptops o dispositivos personales
(BYOD), son de especial interés para los atacantes, ya que podrían estar desactualizados en términos de
parches de seguridad o actualizaciones, o incluso podrían estar comprometidos. Los atacantes pueden
aprovechar el hecho de que el nuevo hardware instalado en la red no esté configurado o actualizado
adecuadamente hasta el día siguiente. Incluso los equipos que no son visibles desde Internet pueden ser
utilizados por los atacantes, que previamente han obtenido acceso a la red interna, como puntos de pivote
para otros ataques. Es importante gestionar cuidadosamente y/o aislar los sistemas adicionales que se
conectan a la red corporativa, como sistemas de demostración, pruebas temporales, invitados, etc., con el
fin de prevenir un acceso no autorizado a través de su vulnerabilidad (Center for Internet Security CIS,
2021).
Control 2

Inventario de Software autorizados y no

2 autorizados

Se debe manejar activamente todo el software en la red, realizando inventario, seguimiento y corrección
para asegurarse de que solo el software autorizado esté instalado y pueda ejecutarse, y para prevenir la
instalación y ejecución de software no autorizado y no gestionado.

¿Por qué es importante este control?

Los atacantes llevan a cabo escaneos continuos en busca de versiones vulnerables de software en las
organizaciones objetivo, y pueden distribuir contenido hostil a través de páginas web propias o de terceros
confiables. Cuando las víctimas acceden a este contenido con un software vulnerable, los atacantes
comprometen sus sistemas e instalan programas maliciosos para mantener el control a largo plazo. Algunos
atacantes utilizan exploits de día cero, que aprovechan vulnerabilidades desconocidas para las cuales no
hay parches disponibles. Sin un adecuado conocimiento y control del software desplegado en una
organización, no se puede proteger de manera efectiva los activos.
Control 3

3 Gestión continua de vulnerabilidades

Es importante adquirir, evaluar y tomar medidas de manera continua basándose en nueva información para
identificar vulnerabilidades, remediarlas y minimizar la ventana de oportunidad para los atacantes. Esto
implica estar al tanto de las últimas actualizaciones y parches de seguridad, evaluar regularmente los
sistemas en busca de posibles vulnerabilidades y tomar medidas rápidas y adecuadas para corregirlas con el
fin de reducir el riesgo de ser objeto de un ataque.

Metodologías de análisis de riesgos.

6
Unidad 2: Tratamiento del riesgo.

¿Por qué es importante este control?

En el ámbito de la defensa cibernética, es crucial operar en un flujo constante de nueva información que
incluye actualizaciones de software, parches, avisos de seguridad, boletines de amenazas, entre otros. La
comprensión y gestión de las vulnerabilidades se ha vuelto una actividad continua que requiere dedicación
de tiempo, atención y recursos significativos. Los atacantes también tienen acceso a la misma información y
pueden aprovechar las brechas entre la aparición del nuevo conocimiento y su corrección. Por ejemplo,
cuando los investigadores informan sobre nuevas vulnerabilidades, se desencadena una carrera entre
distintas partes, incluyendo a los atacantes (para convertirlo en un "arma", desplegar un ataque, explotar), a
los vendedores (para desarrollar, implementar parches o firmas y actualizaciones) y a los defensores (para
evaluar riesgos, probar la compatibilidad de los parches e instalarlos).
Control 4

4 Uso controlado de privilegios administrativos

Los métodos y recursos empleados para supervisar, regular, evitar y corregir la utilización, asignación y
configuración de los privilegios de administrador en computadoras, redes y aplicaciones.

¿Por qué es importante este control?

El abuso de los privilegios administrativos es una táctica comúnmente utilizada por los atacantes para
propagarse dentro de una organización. Dos técnicas de ataque comunes involucran el aprovechamiento de
privilegios administrativos no controlados. En la primera técnica, el usuario de una estación de trabajo que
está ejecutando con privilegios administrativos es engañado para abrir un archivo adjunto malicioso de un
correo electrónico, descargar y ejecutar un archivo desde un sitio web malicioso, o simplemente navegar a
un sitio web que contiene contenido malicioso que puede explotar automáticamente los navegadores. Este
archivo o exploit contiene código ejecutable que se ejecuta automáticamente en la máquina de la víctima o
engaña al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario de la víctima tiene
privilegios administrativos, el atacante puede obtener control completo de la máquina de la víctima e
instalar keyloggers, sniffers y software de control remoto para buscar contraseñas administrativas y otros
datos confidenciales. Ataques similares también ocurren a través del correo electrónico, donde un
administrador puede abrir inadvertidamente un correo electrónico que contiene un archivo adjunto
infectado, lo que permite al atacante obtener un punto de entrada en la red y luego atacar a otros sistemas.
(Center for Internet Security CIS, 2021).

Metodologías de análisis de riesgos.

7
Unidad 2: Tratamiento del riesgo.

Configuración segura para hardware y software en

Control 5

5 dispositivos móviles, computadoras portátiles,

estaciones de trabajo y servidores

Establezca, implemente y gestione activamente (rastree, informe, corrija) la configuración de seguridad de

dispositivos móviles, computadoras portátiles, servidores y estaciones de trabajo utilizando una rigurosa
gestión de configuraciones y un proceso de control de cambios para evitar que los atacantes exploten
servicios y configuraciones vulnerables.

¿Por qué es importante este control?

Es importante establecer, llevar a cabo e implementar de forma activa (rastreando, informando y

corrigiendo) la configuración de seguridad en dispositivos móviles, computadoras portátiles, servidores y
estaciones de trabajo, utilizando una gestión rigurosa de configuraciones y un proceso de control de
cambios. Esto tiene como objetivo prevenir la explotación de servicios y configuraciones vulnerables por
parte de los atacantes, garantizando así un nivel adecuado de seguridad en dichos dispositivos.
Control 6

Mantenimiento, monitoreo y análisis de logs

6 de auditora.

Es fundamental recopilar, gestionar y analizar los registros de auditoría de eventos que pueden ser útiles
para la detección, comprensión y recuperación de posibles ataques.

¿Por qué es importante este control?

La falta de adecuado registro y análisis de seguridad permite a los atacantes ocultar su ubicación, malware y
actividades en los sistemas de las víctimas. Incluso si las víctimas son conscientes de que sus sistemas han
sido comprometidos, sin registros de auditoría protegidos y completos, no tienen acceso a los detalles del
ataque ni a las acciones posteriores realizadas por los atacantes. La falta de registros de auditoría sólidos
puede permitir que un ataque pase desapercibido de manera indefinida, y los daños resultantes pueden ser
irreversibles.

8
Metodologías de análisis de riesgos.
Unidad 2: Tratamiento del riesgo.
Control 7

Protección de correo electrónico y navegador

7 web.

Reducir la superficie de ataque y las oportunidades para que los atacantes manipulen el comportamiento
humano a través de la interacción con navegadores web y sistemas de correo electrónico.

¿Por qué es importante este control?

Los navegadores de internet y los programas de correo electrónico son vulnerables a ataques debido a su
complejidad técnica, flexibilidad y su interacción directa con los usuarios y otros sistemas y sitios web, lo
que los convierte en puntos de entrada comunes. El contenido puede ser diseñado con el propósito de
atraer o engañar a los usuarios para que realicen acciones que aumenten significativamente el riesgo,
permitiendo la introducción de código malicioso, la pérdida de datos valiosos y otros tipos de ataques. Estas
aplicaciones son el principal medio a través del cual los usuarios interactúan con entornos no confiables, lo
que las convierte en objetivos potenciales tanto para la explotación de código como para la ingeniería
social.
Control 8

8 Defensa contra malware.

Gestionar la instalación, propagación y ejecución de código malicioso en varios puntos de la organización, al

mismo tiempo que se utiliza la automatización de manera eficiente para permitir una actualización rápida
de las medidas de defensa, la recopilación de datos y la implementación de acciones correctivas.

¿Por qué es importante este control?

El malware, o software malicioso, es una amenaza integral y peligrosa en Internet, ya que está diseñado
para atacar sistemas, dispositivos y datos. Se propaga rápidamente y cambia constantemente, utilizando
diversos puntos de entrada, como dispositivos de usuario, archivos adjuntos de correo electrónico, páginas
web, servicios en la nube, acciones del usuario y medios extraíbles. El malware moderno está diseñado para
evadir las defensas y desactivarlas.

Las defensas contra el malware deben poder operar en este entorno dinámico mediante la automatización
a gran escala, actualizaciones rápidas e integración con procesos de respuesta a incidentes. También es
necesario implementarlas en varios puntos posibles de ataque para detectar, detener o controlar la
ejecución del software malicioso. Las suites de seguridad corporativas para endpoints proporcionan
funciones administrativas para verificar que todas las defensas estén activas y actualizadas en todos los
sistemas administrados. (Center for Internet Security CIS, 2021).

Metodologías de análisis de riesgos. 9

Unidad 2: Tratamiento del riesgo.
Control 9

Limitación y control de puertos de red,

9 protocolos y servicios

Gestionar (rastrear, controlar y corregir) el uso en curso de puertos, protocolos y servicios en dispositivos
de red con el objetivo de reducir al mínimo las posibles ventanas de vulnerabilidad que los atacantes
puedan aprovechar.

¿Por qué es importante este control?

Los atacantes buscan servicios de red que sean accesibles de forma remota y que sean vulnerables a la
explotación. Ejemplos comunes de estos servicios incluyen servidores web mal configurados, servidores de
correo, servicios de archivo e impresión, y servidores de DNS que vienen instalados por defecto en
diversos tipos de dispositivos, a menudo sin tener un propósito de negocio específico para el servicio en
cuestión. Muchos paquetes de software instalan automáticamente servicios y los activan durante la
instalación sin informar a los usuarios o administradores. Los atacantes buscan estos servicios y tratan de
explotarlos, a menudo utilizando identificaciones de usuario y contraseñas predeterminadas o códigos de
explotación ampliamente disponibles. (Center for Internet Security CIS, 2021).
Control 10

10 Capacidad de recuperación de datos

Los métodos y herramientas empleados para realizar copias de seguridad de manera adecuada de la
información crítica, siguiendo una metodología probada que permita su pronta recuperación en caso de
necesidad.

¿Por qué es importante este control?

Cuando los atacantes comprometen máquinas, suelen realizar cambios significativos en las configuraciones
y el software. Además, en algunos casos, también alteran de manera sutil los datos almacenados en las
máquinas comprometidas, lo que puede poner en riesgo la eficacia de la organización al tener información
contaminada. Cuando se descubre la presencia de los atacantes, puede resultar extremadamente difícil
para las organizaciones sin una capacidad confiable de recuperación de datos eliminar todos los rastros de
los atacantes en la máquina. (Center for Internet Security CIS, 2021).

Metodologías de análisis de riesgos. 10

Unidad 2: Tratamiento del riesgo.

Configuración segura de los equipos de red,

Control 11

11 tales como cortafuegos, enrutadores y

conmutadores

Establecer, implementar y gestionar de manera activa (rastrear, reportar, corregir) la configuración de

seguridad de la infraestructura de red mediante un proceso de gestión de configuración y control de
cambios riguroso, con el fin de prevenir que los atacantes aprovechen servicios y configuraciones
vulnerables.

¿Por qué es importante este control?

Los fabricantes y revendedores configuran los dispositivos de infraestructura de red con el objetivo de
facilitar su despliegue y uso, no pensando en la seguridad. Las configuraciones predeterminadas, como
puertos y servicios abiertos, cuentas y contraseñas predeterminadas y software innecesario, pueden ser
explotables en su estado original. La gestión de configuraciones seguras para dispositivos de red no es un
evento único, sino un proceso continuo que implica revisar periódicamente no solo los elementos de
configuración, sino también los flujos de tráfico permitidos.

Los atacantes buscan configuraciones predeterminadas y vulnerabilidades en los dispositivos de red,

explotándolos para acceder a las redes, redirigir el tráfico o interceptar información. A veces, los usuarios
solicitan excepciones para necesidades específicas de negocio, sin evaluar adecuadamente el riesgo de
seguridad asociado, lo que puede cambiar con el tiempo. Por lo tanto, es importante evaluar regularmente
las configuraciones y flujos de tráfico permitidos en dispositivos de red para evitar que los atacantes
exploten vulnerabilidades y comprometan la seguridad de la organización. (Center for Internet Security CIS,
2021).
Control 12

12 Defensa de borde

Identificar, prevenir y corregir la transferencia de información entre redes de distintos niveles de confianza,
con un enfoque específico en datos que representen un riesgo para la seguridad.

¿Por qué es importante este control?

Los atacantes se enfocan en explotar sistemas que pueden ser alcanzados a través de Internet, incluyendo
no solo los sistemas de la zona desmilitarizada (DMZ), sino también estaciones de trabajo y computadoras
portátiles que acceden a contenido de Internet a través de los límites de la red. Grupos del crimen
organizado y Estados utilizan configuraciones deficientes y vulnerabilidades arquitectónicas presentes en
sistemas perimetrales, dispositivos de red y máquinas cliente que acceden a Internet para obtener acceso
inicial a una organización.

Metodologías de análisis de riesgos.

11
 Unidad 2: Tratamiento del riesgo.

Una vez que tienen una base de operaciones en estas máquinas, los atacantes suelen avanzar dentro del
límite para robar o modificar información, o establecer una presencia persistente para futuros ataques
contra hosts internos. Además, también se registran ataques entre redes de socios comerciales, a veces
denominadas extranets, donde los atacantes saltan de una red de una organización a otra y explotan
sistemas vulnerables en los perímetros de la extranet. (Center for Internet Security CIS, 2021).
Control 13

13 Protección de datos

Los métodos y recursos empleados para evitar la fuga de datos, reducir su impacto y garantizar la
protección y autenticidad de información confidencial.

¿Por qué es importante este control?

La información se encuentra distribuida en múltiples ubicaciones, por lo que es fundamental protegerla

mediante la combinación de técnicas de cifrado, verificación de integridad y prevención de pérdida de
datos. Con la creciente adopción de la computación en la nube y el acceso desde dispositivos móviles, es
crucial tomar medidas de precaución para reducir y notificar sobre la fuga de información, y al mismo
tiempo, mitigar los impactos de la violación de datos.
Control 14

Control de acceso basado en la necesidad de

14 conocer

Los procedimientos y herramientas empleados para supervisar, controlar, prevenir y corregir el acceso
seguro a recursos críticos, como información, sistemas y otros activos, en base a una clasificación
previamente aprobada que establece quiénes, cuáles computadoras y aplicaciones tienen la necesidad y el
derecho de acceder a dichos activos críticos.

¿Por qué es importante este control?

El cifrado de datos ofrece un nivel de seguridad que dificulta el acceso al texto sin autorización, incluso si
los datos se ven comprometidos. Sin embargo, también se deben implementar medidas de control para
reducir el riesgo de filtración de información. Los ataques pueden ocurrir a través de la red o mediante el
robo físico de dispositivos que contienen información confidencial. En muchos casos, las víctimas no
sabían que los datos estaban siendo sacados de sus sistemas porque no estaban monitoreando las salidas
de información. Es importante analizar cuidadosamente el movimiento de datos a través de los límites de
la red, tanto electrónicos como físicos, para minimizar su exposición a posibles atacantes." (Centro para la
Seguridad en Internet CIS, 2021).

Metodologías de análisis de riesgos.

12
Unidad 2: Tratamiento del riesgo.
Control 15

15 Control de acceso inalámbrico

Los procesos y herramientas utilizados para rastrear/controlar/prevenir/corregir el uso seguro de las redes
de área local inalámbricas (WLAN), puntos de acceso y sistemas de clientes inalámbricos.

¿Por qué es importante este control?

Los principales casos de robo de datos han sido causados por atacantes que han conseguido acceso
inalámbrico a la organización desde fuera del edificio, superando los límites de seguridad y conectándose
de forma inalámbrica a los puntos de acceso dentro de la organización. Los clientes inalámbricos que
acompañan a los viajeros suelen infectarse mediante la explotación remota mientras se conectan a redes
inalámbricas públicas en aeropuertos y cafeterías. Los sistemas comprometidos se utilizan como puertas
traseras para volver a conectarse a la red de una organización objetivo. Algunas organizaciones han
descubierto puntos de acceso inalámbricos no autorizados y, en algunos casos, ocultos para acceder sin
restricciones a una red interna. Debido a que no requieren conexiones físicas directas, los dispositivos
inalámbricos son vectores convenientes para que los atacantes mantengan el acceso a largo plazo en un
entorno objetivo. (Centro para la Seguridad en Internet CIS, 2021).
Control 16

16 Monitoreo y control de cuentas

Administre de manera activa el ciclo de vida de las cuentas de sistema y aplicaciones, desde su creación
hasta su eliminación, para minimizar las oportunidades de que los atacantes las exploten.

¿Por qué es importante este control?

Los atacantes a menudo encuentran y aprovechan cuentas de usuarios legítimos pero inactivas para
suplantar a usuarios auténticos, lo que hace que sea difícil para el personal de seguridad detectar su
comportamiento.

Metodologías de análisis de riesgos.

13
Unidad 2: Tratamiento del riesgo.
Control 17

Implementar un programa de concienciación

17 y entrenamiento de seguridad

Se debe identificar los conocimientos, habilidades y capacidades específicos necesarios para soportar la
defensa de la empresa para todos los roles funcionales en la organización, dándole prioridad a aquellos
que son misionales para la organización y su seguridad. Se debe desarrollar y ejecutar un plan integral para
evaluar, identificar brechas y remediar mediante políticas, planificación organizacional, capacitación y
programas de concienciación.

¿Por qué es importante este control?

No se puede subestimar la importancia del factor humano en la defensa cibernética. Las acciones de las
personas, desde desarrolladores de sistemas hasta ejecutivos y propietarios de sistemas, tienen un papel
crítico en el éxito o fracaso de la seguridad de la empresa. Los atacantes saben cómo explotar estas
debilidades, creando mensajes de phishing convincentes, aprovechando la falta de aplicación de políticas,
y trabajando dentro de ventanas de tiempo específicas. Por lo tanto, es importante que se identifiquen los
roles funcionales prioritarios y se desarrollen planes integrales para evaluar, identificar brechas y remediar
a través de políticas, planificación organizacional, capacitación y programas de concienciación.
Control 18

18 Seguridad del software de aplicación

Se debe identificar los conocimientos, habilidades y capacidades específicos necesarios para soportar la
defensa de la empresa para todos los roles funcionales en la organización, dándole prioridad a aquellos
que son misionales para la organización y su seguridad. Se debe desarrollar y ejecutar un plan integral para
evaluar, identificar brechas y remediar mediante políticas, planificación organizacional, capacitación y
programas de concienciación.

¿Por qué es importante este control?

No se puede subestimar la importancia del factor humano en la defensa cibernética. Las acciones de las
personas, desde desarrolladores de sistemas hasta ejecutivos y propietarios de sistemas, tienen un papel
crítico en el éxito o fracaso de la seguridad de la empresa. Los atacantes saben cómo explotar estas
debilidades, creando mensajes de phishing convincentes, aprovechando la falta de aplicación de políticas,
y trabajando dentro de ventanas de tiempo específicas. Por lo tanto, es importante que se identifiquen los
roles funcionales prioritarios y se desarrollen planes integrales para evaluar, identificar brechas y remediar
a través de políticas, planificación organizacional, capacitación y programas de concienciación.

Metodologías de análisis de riesgos.

14
Unidad 2: Tratamiento del riesgo.
Control 19

19 Respuesta y manejo de incidentes

Para proteger tanto la información como la reputación de la organización, es necesario establecer una
infraestructura de respuesta a incidentes que incluya la definición de funciones y planes específicos, así
como programas de capacitación y supervisión de la gestión. El objetivo es detectar rápidamente cualquier
ataque y contener efectivamente el daño, eliminando la presencia del atacante y restaurando la integridad
de los sistemas y la red

¿Por qué es importante este control?

En la actualidad, los incidentes de seguridad cibernética son una realidad en nuestra vida diaria. Incluso las
empresas grandes y técnicamente avanzadas luchan por mantenerse al día con la frecuencia y complejidad
de los ataques. La cuestión no es si una organización sufrirá un ciberataque exitoso, sino cuándo ocurrirá. Es
demasiado tarde para desarrollar los procedimientos adecuados, informes, responsabilidad de gestión,
protocolos legales y estrategias de comunicación cuando un ataque ha sucedido. Si una organización no
tiene un plan de respuesta a incidentes, puede que no detecte un ataque en primer lugar, o si lo hace,
puede que no siga los procedimientos correctos para contener el daño, erradicar al atacante y recuperarse
de manera segura. (Center for Internet Security CIS, 2021).
Control 20

Pruebas de penetración y ejercicios de equipo

20 rojo

Se recomienda evaluar la eficacia de la defensa de una organización (incluyendo tecnología, procesos y

personas) mediante la simulación de las tácticas y objetivos de un atacante, con el fin de determinar la
fortaleza general de la estrategia de defensa.

¿Por qué es importante este control?

El espacio entre las defensas bien diseñadas y las buenas intenciones de implementarlas o mantenerlas a
menudo es explotado por los atacantes. Esto puede suceder cuando hay una demora en la instalación del
parche proporcionado por el proveedor después de anunciar una vulnerabilidad, políticas que no se hacen
cumplir adecuadamente, fallas en la aplicación de configuraciones apropiadas en máquinas dentro y fuera
de la red y falta de comprensión de la interacción entre múltiples herramientas de defensa o con las
operaciones normales del sistema. (Center for Internet Security CIS, 2021).

Metodologías de análisis de riesgos.

15
 Unidad 2: Tratamiento del riesgo.

3. Transferir el riesgo
PREGUNTA

¿Cómo trasnferir el riesgo?

La transferencia de riesgos es una estrategia

de gestión de riesgos que se utiliza para
trasladar la responsabilidad de un riesgo
específico de una entidad a otra. Esto se logra
a través de una variedad de mecanismos,
como el seguro, el contrato o el uso de
terceros especializados.

En primer lugar, puede no tener los recursos

o la capacidad para gestionar un riesgo
Existen varias razones por las que una entidad puede optar por específico. En segundo lugar, puede no
transferir riesgos. querer asumir la responsabilidad financiera o
legal del riesgo. En tercer lugar, puede no
tener la experiencia o el conocimiento
necesarios para gestionar un riesgo
específico.

Una de las formas más comunes de transferir riesgos es a través del seguro. Los seguros proporcionan una
forma de trasladar el riesgo financiero de una pérdida a una compañía de seguros a cambio de una prima.
Esto significa que, si ocurre una pérdida, la compañía de seguros asumirá el costo en lugar de la entidad
asegurada.

Otra forma de transferir riesgos es mediante contratos. Por ejemplo, una empresa puede contratar a un
tercero para que realice una tarea específica y trasladar la responsabilidad del riesgo a ese tercero
mediante un contrato.

Algunos ejemplos de transferencia de riesgos de ciberseguridad incluyen:

Metodologías de análisis de riesgos.

16
Unidad 2: Tratamiento del riesgo.

Ejemplos de transferencia de riesgos

Seguro de ciberseguridad: Una empresa puede asegurar sus activos cibernéticos, como sistemas de información,
1 bases de datos y responsabilidad civil, para transferir el riesgo financiero de una pérdida a una compañía de seguros
a cambio de una prima.

Outsourcing de seguridad: Una empresa puede contratar a un proveedor externo especializado en seguridad
2 cibernética para realizar tareas como la monitorización de amenazas, la gestión de incidentes y la protección de
datos, y transferir el riesgo de incumplimiento o fallas en el sistema a ese proveedor.

Contratos de servicios: Una empresa puede transferir el riesgo de incumplimiento de las normas de seguridad
3 cibernética a sus proveedores mediante contratos de servicios con cláusulas específicas de seguridad.

Certificaciones de seguridad: Una empresa puede transferir el riesgo de incumplimiento de normas y regulaciones
4 mediante la obtención de certificaciones de seguridad reconocidas, como PCI-DSS o ISO 27001.

Cobertura de cumplimiento: Una empresa puede transferir el riesgo de incumplimiento de regulaciones y normativas
5 mediante la adquisición de cobertura de cumplimiento, como la cobertura de cumplimiento de normas de protección
de datos.

Cloud Security: Una empresa puede transferir el riesgo de seguridad de sus sistemas y datos a un proveedor de
6 servicios en la nube, que se encarga de la gestión y protección de los mismos.

Fuente: elaboración propia

Es importante tener en cuenta que la transferencia de riesgos de ciberseguridad no implica la eliminación

completa del riesgo, ya que siempre existen incertidumbres y amenazas cambiantes. Por lo tanto, es
importante seguir monitoreando y actualizando continuamente las medidas de seguridad y las estrategias
de gestión de riesgos.

4. Aceptar el riesgo

La aceptación del riesgo es una estrategia de gestión de riesgos en la que una entidad decide
conscientemente asumir un riesgo específico en lugar de tratar de mitigarlo o transferirlo. Esto significa que
la junta directiva de la organización ha evaluado el riesgo y ha decidido que el costo de mitigarlo o
transferirlo supera el beneficio potencial.

Existen varias razones por las que una organización puede optar por aceptar un riesgo. En primer lugar,
puede ser demasiado costoso o imposible mitigar o transferir el riesgo. En segundo lugar, el riesgo puede
ser considerado como aceptable en comparación con los beneficios potenciales. En tercer lugar, la entidad
puede tener la capacidad y los recursos para asumir el riesgo.

Metodologías de análisis de riesgos.

17
Unidad 2: Tratamiento del riesgo.

Es importante tener en cuenta que la aceptación del riesgo no significa que la entidad no tome medidas
para gestionar el riesgo. Por el contrario, la entidad debe monitorear continuamente el riesgo y estar
preparada para actuar si el riesgo se materializa.

En resumen, la aceptación del riesgo es una estrategia de gestión de riesgos en la que una entidad decide
conscientemente asumir un riesgo específico en lugar de tratar de mitigarlo o transferirlo. Esto se hace
después de evaluar el riesgo y considerar que el costo de mitigar o transferirlo supera el beneficio potencial.

A continuación, se muestra un ejemplo de un formulario de aceptación de riesgos

Fuente: elaboración propia

Metodologías de análisis de riesgos.

18
Unidad 2: Tratamiento del riesgo.

Fuente: elaboración propia

Metodologías de análisis de riesgos.

19
Unidad 2: Tratamiento del riesgo.

Conclusión

En esta unidad vamos a estudiar las cuatro estrategias de tratamiento de riesgo, cuya aplicación se resume
según el siguiente cuadro:

Formulario de Levantamiento de Procedimientos:

Coste-Beneficio Tratamiento

El coste del tratamiento es muy Evitar el riesgo, por ejemplo, dejando de realizar esa actividad.
superior a los beneficios.

El coste del tratamiento es Reducir o mitigar el riesgo: seleccionando e implementando los controles o
adecuado a los beneficios. medidas adecuadas que hagan que se reduzca la probabilidad o el
impacto.

El coste del tratamiento por Reducir o mitigar el riesgo: seleccionando e implementando los controles
terceros es más beneficioso que o medidas adecuadas que hagan que se reduzca la probabilidad o el
el tratamiento directo. impacto.

El nivel de riesgo está muy Retener o aceptar el riesgo sin implementar controles adicionales.
alejado Monitorizarlo para confirmar que no se incrementa.

Fuente: elaboración propia

Metodologías de análisis de riesgos.

20
Unidad 2: Tratamiento del riesgo.

Referencias bibliográficas

Center for Internet Security CIS, (2021). CIS Controls Spanish Translation. [Archivo PDF]
[Link]
[Link]

IBM. (s.f). ¿Qué es la gestión de riesgo?. [Link]

Instituto Nacional de Normalización Chile. (2018). NCh ISO 31.000 Gestión del Riesgo.
[Link]

Metodologías de análisis de riesgos.

21