Webinar: La importancia de realizar un análisis BIA

Webinar: La importancia de realizar un análisis BIA 150 150 HKMX

Privacidad de Información y Cibercrimen

Privacidad de Información y Cibercrimen 150 150 HKMX

Por. Ing. Raúl Jáuregui

CEH / CHFI / ISO 22301 LI /ISO 27001 LA / PCI ISA

En el mundo digital en el que vivimos hoy en día, no podríamos imaginarnos una organización, sector e incluso país el cual no esté habilitado o soportado por tecnología de información. El ciberespacio no está solo limitado a las instituciones privadas o a gobiernos si no que está al alcance de la mayoría de los seres humanos.

El crimen informático o cibercrimen se está convirtiendo cada vez más en algo completamente sofisticado, con tal grado de complejidad y profesionalismo, así como extremadamente redituable para los cibercriminales los cuales buscan causar disrupción en la forma que operamos y vivimos, con el objetivo de causar daño a las personas, empresas e inclusive a gobiernos a nivel mundial o simplemente para obtener un beneficio económico o social.

Esta publicación tiene como objetivo brindar un panorama general de la normatividad vigente en México y el mundo en términos de privacidad y cibercrimen. No pretende ser una descripción a detalle del contenido de las regulaciones si no el brindar una guía o idea del número de regulaciones vigentes a nivel mundial.

Cuando hablamos de privacidad hacemos referencia a la libertad contra la intrusión o divulgación no autorizada de la información de los seres humanos.  A nivel mundial se encuentran vigentes de manera enunciativa más no limitativa leyes o regulaciones o estatutos de privacidad de información en más de 151 países. Entre las más importantes a nivel mundial se encuentran el Reglamento General de Protección de datos (GDPR), HIPPA, entre otras.

En México las principales regulaciones en privacidad de información se encuentran la:

  1. Ley Federal de Protección de Datos Personales en Posesión de Particulares. La cual vela por el correcto tratamiento de la información personal en posesión de terceros.
  2. Ley Federal de Protección de Datos Personales en Posesión de Sujetos Obligados. Para el tratamiento licito de los datos personales por aquellos sujetos o entes obligadas de informar sus acciones y justificarlas.

En términos de regulaciones aplicables al cibercrimen se han identificado las principales regulaciones a nivel mundial.  Actualmente al menos 132 países cuentan con estatutos o leyes relacionadas con el cibercrimen. México reconoce al ciber crimen como riesgo real que afecta a la seguridad del país sin embargo aún no ha publicado una legislación especifica sobre ciberseguridad.

En el Código Penal Federal Titulo Noveno publicado en el Diario Oficial de la Federación se establecen las sanciones para los delitos de revelación de secretos y acceso ilícito a sistemas y equipos de informática en el Artículo 211 bis 1 al 7. Que pueden ir desde tres (3) meses hasta diez (10) años de prisión y desde cincuenta (50) hasta novecientos (900) días de multas según sea el caso. Cabe señalar que las penas previstas se aumentaran hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno.

Con base a la información publicada por el foro económico mundial en su reporte de Riesgos Globales 2021 Decimosexta Edición el cibercrimen se considera entre los principales diez (10) riesgos a nivel mundial y se visualiza que el riesgo de cibercrimen genere un impacto a corto plazo en los próximos 0-2 años y con efectos secundarios a mediano plazo de 3 a 5 años.

Ilustración 1 Foro Económico Mundial Principales riesgos a convertirse en amenazas a corto plazo

Ilustración 2 Foro económico Mundial Principales riesgos a convertirse en amenazas a mediano plazo

En el 2021 el panorama mundial ha cambiado significativamente acelerándose muy rápido a los servicios digitales por lo cual se vuelven más importantes que las leyes de privacidad y cibercrimen sean conocidas por todos los usuarios, participantes e implementadores de tecnologías digitales.

Una correcta identificación de los marcos regulatorios aplicables de privacidad y cibercrimen permitirán a las empresas e individuos a mantener un adecuado nivel de cumplimiento regulatorio. Es responsabilidad de todos el mantener un constante monitorio de las regulaciones.

Si deseas conocer como cumplir con las diferentes regulaciones en materia de privacidad y cibercrimen, ponemos a tu disposición nuestra información de contacto.

Disposiciones para IFPE-Fintech

Disposiciones para IFPE-Fintech 150 150 HKMX

Disposiciones para IFPE-Fintech

Por. Ing. José Martín Figueroa Cardona

CISSP / CISA / CRISC / ITIL / ECSA / CEH / CHFI / ISO 27001/ ISO 22301 / CBCP / PCI ISA

La Secretaría de Hacienda, a través de la Comisión Nacional Bancaria y de Valores, publicó desde el pasado 28 de enero las reglas que tendrán que cumplir las instituciones de fondos de pago electrónico, o carteras digitales en materia de ciberseguridad, seguridad de la información, uso de medios electrónicos, sistemas automatizados y contratación de servicios con terceros y comisionistas.

http://dof.gob.mx/nota_detalle.php?codigo=5610487&fecha=28/01/2021

En el Diario Oficial de la Federación (DOF) se publicaron las reglas secundarias donde se establecen medidas y directrices que deberán seguir este tipo de instituciones, contempladas en la Ley Fintech, para mantener la seguridad de la información dentro de sus canales de instrucción(nota 1).

Estas con el objetivo de establecen los requerimientos de seguridad de la información respecto de dichos canales de instrucción con el fin de garantizar la confidencialidad y evitar vulnerabilidades, de conformidad con las mejores prácticas y estándares internacionales

Las disposiciones se establecen para los siguientes puntos:

  • DISPOSICIONES GENERALES
  • DE LA SEGURIDAD DE LA INFORMACIÓN
    • De la Infraestructura Tecnológica frente a los Clientes
    • De la celebración de contratos mediante Canales de Instrucción y las Operaciones a través de estos
    • De la Autenticación en los Canales de Instrucción
    • De los requerimientos de seguridad de información en los Canales de Instrucción
    • De la Infraestructura Tecnológica en los procesos internos
    • Disposiciones generales para la Infraestructura Tecnológica
  • DE LA CONTINUIDAD OPERATIVA
  • DISPOSICIONES COMUNES DE SEGURIDAD DE INFORMACIÓN Y DE CONTINUIDAD OPERATIVA
  • DE LA CONTRATACIÓN DE SERVICIOS CON TERCEROS Y COMISIONISTAS
  • DE LA EVALUACIÓN A TRAVÉS TERCEROS INDEPENDIENTES

Estas  Disposiciones entrarán en vigor a los noventa días naturales siguientes al de su publicación en el Diario Oficial de la Federación, por lo cual habría que prepararse antes del 28 de abril 2021.

Nota:

Se conoce como canal de instrucción a los equipos, medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de datos y redes de telecomunicaciones que forman parte de la Infraestructura Tecnológica de la institución de fondos de pago electrónico de que se trate y que, a través de ellos, esta permite al Cliente realizar Operaciones.

Sim Swapping, una práctica funcional más de ingeniería social que es funcional.

Sim Swapping, una práctica funcional más de ingeniería social que es funcional. 150 150 HKMX

La ingeniería social es el arte de manipular al ser humano para conseguir lo que uno desea sin necesidad de que la víctima tenga la intención de darlo, es la práctica que busca vulnerar los puntos débiles de una persona para que brinde información que no debe o no quiere dar. Existen múltiples técnicas derivadas de este ataque como Tailgating que consiste en estar en el fondo escuchando algo que no deberíamos, Shoulder Surfing que es prácticamente estar viendo o escuchando algo que no deberíamos por encima de los hombros de alguien más, phishing el ataque de correo apócrifo que regularmente incita a introducir datos sensibles propios o vishing, su variante que es similar solo que a través de llamada telefónica, pero en esta ocasión se mencionará una técnica que ha estado dando últimamente de qué hablar en México, que es Sim Swapping.

Durante el año 2019 la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) registro cifras de reclamos por “robo de identidad cibernética” los cuales aumentaron 110% en un solo año, pues en 2018 fueron 3 mil 105 y para el año 2019 se dispararon a 6 mil 532.

Imagina que en algún momento te apetece comentar, publicar o compartir tu número telefónico en un grupo público de Facebook, transcurren los días y te olvidas de que realizaste dicha acción. A los 4 días te percatas de que tu cuenta bancaria tiene varios movimientos que no reconoces, y además no puedes acceder mas a tus cuentas de correo electrónico o redes sociales. ¿Qué fue lo que sucedió?

Un excompañero tuyo de la escuela se encontraba en el grupo de Facebook en el cual decidiste postear tu número telefónico, él conoce tu nombre completo, domicilio, y no fue muy difícil encontrar otros datos personales como el nombre de tus familiares ya que tu posteaste las fotos con ellos durante un evento reciente con toda la familia. El decidió hacerse pasar por ti y llamo a la operadora para llevar a cabo el ataque, convenciéndola de que tú eres el titular y necesitas realizar un cambio de SIM ya que el que tenías fue robado o simplemente se le perdió y todo comenzó porque decidiste compartir tu número telefónico donde se encuentran personas que no tienen necesidad de tenerlo.

Algunas recomendaciones para evitar que este fraude siga sumando víctimas, se presentan a continuación:

  • Evita dar tu número telefónico a menos que tengas la certeza de que el canal o el receptor son de confianza.
  • Ante cualquier anomalía, toma acción de inmediato, para evitar que los problemas causados por un ataque de estos, sea tan grande.

Esta práctica puede erradicarse si las personas fuéramos mas conscientes de la información que brindamos a través de nuestras redes sociales, el uso consciente de la información que en algunas ocasiones nos parecen datos comunes y corrientes como nuestro número telefónico, pueden tener grandes repercusiones como el robo de identidad o robo masivo de información.

Tener en cuenta estos puntos, puede llegar a reducir las posibilidades de sufrir no solamente un ataque del tipo Sim Swapping, si no que complicará aún más al atacante encontrar información relevante nuestra en las redes sociales, inclusive en internet.

Autor: Milton Zermeño C|EH

La importancia de considerar estándares al auditar

La importancia de considerar estándares al auditar 150 150 HKMX

Partamos de la importancia de la ejecución de auditorías dentro de los diversos procesos de gestión de tecnología y seguridad de la información. La auditoría ofrece una visión objetiva e independiente del estado y funcionamiento del proceso de la auditoría, así mismo esta visión permite tener un diagnóstico de la situación actual, saca a la luz deficiencias en actividades que, de no corregirse, representan un riesgo para la organización y consecuentemente afectando el logro de los objetivos del negocio y en algunos casos generando costos excesivos por las deficiencias existentes.

Ahora bien, ¿cómo podemos saber si una actividad se está realizando bajo un marco de mejores prácticas?, ¿cómo podemos medir consistentemente a lo largo del tiempo? La respuesta evidente resulta en basar las metodologías de auditoría en marcos de referencia de aceptación internacional, lo cual permite por una parte, hacer consistente el proceso de revisión a lo largo del tiempo y poder comparar resultados de los temas revisados con otras organizaciones.

El estándar mas reconocido para implementar un Sistema de Gestión de Seguridad de la Información es el ISO-27001, el cual establece una serie de prácticas alrededor de la seguridad de la información dentro de las que podemos mencionar:

  1. Políticas de Seguridad de la Información
  2. Organización de la Función de Seguridad de la Información
  3. Seguridad de los Recursos Humanos
  4. Gestión de Activos de Información
  5. Control de Accesos
  6. Cifrado de Información
  7. Seguridad Física y Ambiental
  8. Seguridad de las Operaciones
  9. Seguridad de las Telecomunicaciones
  10. Seguridad en la Adquisición Desarrollo y Mantenimiento de Sistemas de Información
  11. Seguridad en la Gestión de Terceros
  12. Gestión de Incidentes de Seguridad
  13. Seguridad para la Continuidad de Negocio
  14. Gestión de Cumplimiento Regulatorio

Cada práctica posee a su vez una serie de objetivos de control que la organización debe implementar dentro del ámbito de alcance que tenga declarado para su Sistema de Gestión de Seguridad de la Información, por lo tanto la forma para ejecutar una auditoría es apegarse a las prácticas de control implementadas en la organización y revisar, no solo el cumplimiento, sino ir hacia la verificación del diseño y efectividad operativa de los controles para poder ofrecer una opinión referente al grado en que se está mitigando el riesgo de la seguridad de la información.

Por Cristina Caballero. CRISC & ISO27001 LA

Terrorismo Digital ¿Teoría conspirativa o nuevo escenario de riesgo?

Terrorismo Digital ¿Teoría conspirativa o nuevo escenario de riesgo? 150 150 HKMX

Antecedentes

El 11 de Septiembre del 2001, 19 hombres secuestraron 4 aviones comerciales de líneas áreas estadounidenses los cuales tenían rutas de vuelo hacia la costa oeste. Un total de 2,977 personas fallecieron en la ciudad de Nueva York, Washington – DC y en las afueras de Shanksville, Pennsylvania. (CNN – Sep 18, 2020).

Impacto

Si uno considera que este evento catastrófico terminó con la muerte del líder terrorista Osama bin Laden (Mayo 02 del 2011) y la salida de la fuerza militar de Afganistán (2014), debemos revisar los efectos que a nivel mundial los cambios realizados por el gobierno americano dejaron hasta nuestros días.

Sin el afán de realizar un análisis geopolítico a detalle, podemos identificar algunos efectos que tienen una impacto directo y permanente hacia las estrategias de ciberseguridad, la economía digital y los derechos de los ciudadanos.

Gobierno:

  • Gasto militar en la campaña militar en Afganistán (US – 2001 al 2014) como una respuesta frontal al grupo terrorista Al-Quaeda.
  • Fundación de la oficina de Home Land Security (25-Nov-2002) para coordinar la protección y respuesta efectiva dentro del territorio americano.
  • Replanteamiento de leyes de privacidad (USA Patriot Act – 2001) con el objetivo fortalecer las herramientas para interceptar y obstruir al terrorismo.

Economía:

  • Cambio permanente en los protocolos de seguridad y eficiencia en los tiempos de abordaje y transbordo a nivel mundial. [3]
  • Sanciones económicas severas a cualquier entidad comercial o gobierno con sospecha de relación a grupos con actividades terroristas.[5]
  • Afectaciones en las cadenas de suministros por controles de importación/exportación más severos y extensos.[4]

Sociedad y derechos:

  • La erosión de los derechos de privacidad bajo la sospecha de actividad o asociación con grupos terroristas.[6]
  • El cambio de la política de migración hacia residentes y turistas que son parte de la comunidad islámica.
  • Aumento en actos de violencia y discriminación hacia la comunidad islámica con residencia o ciudadanía en Estados Unidos [3]
  • El registro, análisis y datos generados por aplicaciones de uso masivo por la población en general (mensajes, fotos, llamadas y videollamadas)[6]

      Figura 1: Registro de actos violentos en contra de la comunidad musulmana del 2001 al 2016.

Tendencias tecnológicas

Mucho ha sucedido en la esfera tecnológica y de ciberseguridad desde el 2001 hasta nuestros días, sin embargo, se destacan las siguientes 3 tendencias a nivel mundial:

Hiperconectividad (5G): la implementación de redes 5G y la explosión de dispositivos personales y corporativos generará grandes retos para los profesionales de ciberseguridad. Por mencionar algunos factores críticos relacionados con 5G tenemos: un modelo de seguridad descentralizado en las redes 5G, un mayor ancho de banda limitará severamente la capacidad de monitoreo y la falta de cifrado en las primeras fases generará un ambiente fértil para diversos ataques como las Botnets y ataques de denegación del servicio.[7]

Figura 2: Red 5G – Una promesa de 20Gbps desde nuestros celulares.

                IOT: el Internet de las cosas, es un paradigma en el cual todos los objetos que usamos en la vida diaria están conectados a internet y son capaces de compartir información con otros dispositivos [8]. El grave problema es que la mayoría de los dispositivos IOT no contemplan una arquitectura segura y/o protocolos de seguridad al nivel de una computadora debido a que esto incrementa el precio unitario, lo cual se contrapone al objetivo tradicional de conseguir el precio más bajo posible. Si consideramos que el pronóstico es que para 2025 tendremos alrededor de 100 billones de dispositivos conectados, esto representa 100 billones de posibles puntos de entrada y generados de tráfico que tienen el potencial de afectar nuestra red y las operaciones del negocio.

Figura 3: IOT- Cuando todo está conectado todos somos vulnerables.

                Industria 4.0: el concepto promete generar ciudades inteligentes, redes de distribución de energía más eficientes, cómputo en la nube, el internet de las cosas y la inteligencia artificial son algunos de los elementos que se integran en esta tendencia. Desde el punto de vista del ciberterrorismo tenemos que considerar escenarios como:

  • La defensa de sistemas de transporte computarizados.
  • La interrupción de redes eléctricas gestionadas por computadora.
  • Secuestro de supercomputadoras por grupos terroristas o activistas políticos.
  • Vigilancia sobre “monedas digitales” para evitar el financiamiento de actividades terroristas.
  • Redes de comunicación “fantasma” a través de consolas de videojuegos.
  • Uso de drones para bloquear/retrasar el tráfico aéreo en aeropuertos con flujo masivo de pasajeros.

Figura 4: Industria 4.0 – Cuando tu BCP es un itinerario impreso en la estación del tren.

Pronóstico y comentarios finales

Si usted fuera un líder o miembro de una organización terrorista en un país subdesarrollado y con acceso limitado a recursos financieros y tecnológicos, podemos teorizar que tiene dos opciones para continuar su lucha ideológica:

1. Genera una red de financiamiento, entrenamiento, logística y buscar la siguiente oportunidad para burlar los esfuerzos de inteligencia y coordinar un ataque presencial en territorio enemigo;

Figura 5: Grupo terrorista – Unidad de ataque terrestre.

2. Invierte una cantidad limitada de recursos humanos y financieros para tratar de afectar 1 servicio crítico desde el otro lado del mundo.

Figura 6: Grupo terrorista – Unidad de ciberataques.

¿Usted cuál opción seguiría?

Cierre del artículo

Déjenos su opinión y nos gustaría saber si el escenario de ciberterrorismo lo considera un exceso de los amantes de la teoría de la conspiración o un escenario válido para las compañías mexicanas en el desarrollo de una estrategia de continuidad de negocio (BCP/DRP).

El contenido de este artículo refleja únicamente la opinión del autor, y no representa la postura oficial de la casa consultora HKMX.

HKMX ofrece este canal en apoyo a la libertad de expresión y la diversidad de pensamiento con el objetivo de generar un intercambio libre de ideas que desarrolle la comunidad de ciberseguridad en México y el mundo.

Fernando Díaz forma parte del equipo consultivo de HKMX. Tiene más de 15 años de experiencia en la definición e implementación de proyectos en tecnología educativa, sistemas audiovisuales y automatización de procesos con el objetivo de implementar estrategias de negocio y programas de innovación.

Ha contribuido en la implementación de marcos de referencia como COBIT, ITIL, PCI DSS e ISO 27001 para empresas del sector financiero, manufactura, automotriz, venta al menudeo, telecomunciaciones y educación. Actualmente se desempeña como líder de la práctica de continuidad de negocio y privacidad para HKMX.

Es egresado del Tecnológico de Monterrey, Campus Monterrey donde obtuvo su grado profesional como Ingeniero en Electrónica y Comunicaciones, así como su título de Maestro en Ciencias de Automatización y Control por el mismo instituto.

Referencias

[1] Barnes, J. E, Y Sanger, D. E. (11 de marzo de 2020). Congress, Warning of Cybersecurity Vulnerabilities, Recommends Overhaul. The New York Times. Recuperado de https://www.nytimes.com/2020/03/11/us/politics/congress-cyber-solarium.html

[2] CNN Editorial Research. (18 de septiembre de 2020). September 11 Terror Attacks Fast Facts. CNN. Recuperado de https://edition.cnn.com/2013/07/27/us/september-11-anniversary-fast-facts/index.html

[3] Santhanam, L y Epatko, L. (2019, 10 de septiembre). 9/11 to today: Ways we have changed. PBS NewsHour. Recuperado de https://www.pbs.org/newshour/nation/9-11-to-today-ways-we-have-changed

[4] Sheffi, Y. (2001). Supply Chain Management under the Threat of International Terrorism, The International Journal of Logistics Management, 12(2), pp. 1-11. doi: https://doi.org/10.1108/09574090110806262

[5] Hufbauer, G. C., Schott, J. J. y Oegg, B. (2001). Using Sanctions to Fight Terrorism. Peterson Institute for International Economics. Recuperado de https://www.piie.com/publications/policy-briefs/using-sanctions-fight-terrorism

[6] Schwartz, M. J. (2001). How 9/11 changed privacy. The Privacy Advisor – IAPP, 11(7). Recuperado de https://peterswire.net/archive/PA_09-11_how_9-11_changed_privacy.pdf

[7] Kaspersky Resource Center (2020). 5G and Cyber security – All You Need to Know. Recuperado de https://www.kaspersky.com/resource-center/threats/5g-pros-and-cons

[8] Tzezana, R. (2016). Scenarios for crime and terrorist attacks using the internet of things. Eur J Futures Res, 4(18). doi: https://doi.org/10.1007/s40309-016-0107-z

[9] Manescu, R. (s. f.) Terrorist threats in the 4.0 industry era. Vision of Humanity. Recuperado de http://visionofhumanity.org/terrorism/terrorist-threats-in-the-4-0-industry-era/

8 principios de un análisis de riesgo efectivo

8 principios de un análisis de riesgo efectivo 150 150 HKMX

Por. Ing. José Martín Figueroa Cardona

CISSP / CISA / CRISC / ITIL / ECSA / CEH / CHFI / ISO 27001/ ISO 22301 / CBCP / PCI ISA

24 de Septiembre 2020

La norma ISO 31000 es la norma internacional para la gestión del riesgo. Al proporcionar principios integrales y directivas, esta norma ayuda a las organizaciones con su análisis y evaluación de riesgos.

La norma ISO 31000 consta de unos principios para la Gestión de Riesgos, un Marco de Trabajo y el Proceso de Gestión de RiesgosISO 31000:2018 se basa en 8 principios que encajan con toda la estructura de la organización y que están relacionadas con las normativas de la implementación de riesgos.

Al implementar los principios y directivas de BS ISO 31000 en su organización, será capaz de mejorar la eficiencia operativa, gobernanza y confianza de las partes interesadas, a la vez que minimiza las pérdidas ante entornos volátiles, inciertos, complejos y ambiguos (VUCA).

Esta norma internacional también le ayuda a impulsar el desempeño de la seguridad, establecer un fuerte fundamento para la toma de decisiones y alentar la gestión proactiva en todas las áreas.

Existen tres cláusulas principales de ISO 31000:

  • Principios – Cláusula 4
  • Marco de Referencia – Cláusula 5
  • Proceso – Cláusula 6

Ilustración 1. Cláusulas de principios marco y proceso

El propósito de la gestión del riesgo según la norma ISO 31000:2018 es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.

Los principios descritos en la cláusula 4 del ISO 3100:2018 proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.

Ilustración 2. Principios de gestión de riesgos

Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.

La gestión eficaz del riesgo requiere la implementación de los principios y se puede explicar de la siguiente forma.

Integrado. La gestión de riesgos es una parte integral de todas las actividades de la empresa.

Estructurado y completo. Un enfoque estructurado e integral de la gestión de riesgos que contribuye a la coherencia y a los resultados comparables.

Personalizado. El marco y el proceso de gestión de riesgos son personalizados y proporcionales al contexto externo e interno de la empresa relacionado con sus objetivos.

Inclusivo. La participación adecuada y oportuna de los interesados permite su conocimiento, puntos de vista y percepciones a considerar. Esto se traduce en una mejor conciencia y una gestión de riesgos informada.

Dinámico. Los riesgos pueden surgir, cambiar o desaparecer a medida que cambia el contexto externo o interno de la empresa. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios y efecto de una forma apropiada y oportuna.

La mejor información disponible. Las aportaciones a la gestión de riesgos se basan en información histórica y actual, así como en expectativas a futuro. La gestión de riesgos tiene en cuenta cualquier limitación e incertidumbre asociada a la información y expectativas. La información debe ser oportuna, clara y disponible para las partes interesadas relevantes.

Factores humanos y culturales. El comportamiento humano y la cultura influyen de forma significativa en todos los aspectos de la gestión del riesgo en cada nivel o etapa.

Mejora continua. La gestión del riesgo se mejora de forma continua mediante el aprendizaje y la experiencia.

En resumen, la aplicación de los principios de riesgos aplicados tanto al marco de gestión de riesgos, como al proceso de análisis de riesgos, llevarán al cumplimiento del objetivo esperado de creación de valor y protección hacia la organización acorde a sus objetivos, incluso en los entornos actuales volátiles, inciertos, complejos y ambiguos.

José Martín, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de prácticas de seguridad y ciberseguridad apegados a marcos de referencia como COBIT, ITIL, PCI DSS, ISO 27001 e ISO 22301.

En 2008 fundó HK México. Desde entonces ha ejecutado y liderado proyectos exitosos relacionados con la gestión de riesgos, ciberseguridad, sistemas de gestión de seguridad de información, continuidad de negocio, auditoría y capacitación en diversos sectores como comercio, retail, servicios, comunicaciones, manufactura, tecnología y el financiero, abordando temas de cumplimiento regulatorio, así como de certificación en estándares internacionales de seguridad de información.

Es egresado del Instituto Tecnológico de Saltillo, donde obtuvo su grado profesional de Ingeniero Electrónico con especialidad en Sistemas Digitales. Posteriormente en ITESM curso la Maestría en Ciencias en Ingeniería Electrónica. Cuenta además con distintas certificaciones reconocidas internacionalmente relacionadas con la seguridad de información, auditoría TI/SI, hackeo ético, procesos TI/SI, continuidad de negocio y seguridad en medios de pago electrónicos.

Las 5 verticales de seguridad de información para Fintech

Las 5 verticales de seguridad de información para Fintech 150 150 HKMX

5 pasos esenciales para que tu análisis de riesgos de TI sea exitoso

5 pasos esenciales para que tu análisis de riesgos de TI sea exitoso 150 150 HKMX

Por. Ing. José Iván Ramírez Carreño

CISSP / ITIL / ISO 27001 LA / CEH / PCI ISA

16 de septiembre 2020

Uno de los recursos más importantes con los que cuenta un responsable de seguridad de información (CISO) para la elaboración de su estrategia de seguridad alineada a los objetivos y prioridades del negocio, es el análisis de riesgos de TI.

El análisis de riesgos de TI permite identificar cuáles son las principales vulnerabilidades en los servicios de TI que pueden ser explotadas por diferentes amenazas, tanto internas como externas, y que potencialmente pueden generar un impacto importante en la confidencialidad, integridad y disponibilidad de la información que es utilizada en los procesos del negocio.

Existen diferentes marcos de referencias o guías para la realización de un análisis de riesgos. Uno de los más utilizados por su enfoque y alineación al contexto de seguridad de información es el ISO/IEC 27005:2008 Information Security Risk Management, el cual forma parte de la familia de los estándares de seguridad de la serie ISO 27000.

Fig. 1 – Proceso de gestión de riesgos ISO 27005:2008

La norma ISO/IEC 27005 proporciona las directrices para gestionar los riesgos que puede sufrir la información de una empresa, básicamente se apoya en el  ISO/IEC 27001, centrándose principalmente en los requisitos de seguridad de la información.

En la práctica es muy importante identificar las figuras y roles que se deben involucrar durante la ejecución de este proceso, con el objetivo de obtener resultados más asertivos y alineados a los requerimientos de la organización. Uno de los principales desafíos para el responsable de seguridad de información o CISO, será el traducir cómo afectan las amenazas y riesgos tecnológicos en impactos tangibles y reales para la organización ante una audiencia que tomará decisiones y que no tiene regularmente una formación o experiencia técnica.

A continuación se enumeran los 5 pasos importantes que se recomienda seguir con el objetivo de generar un vínculo entre las áreas de negocio y los especialistas en TI durante el proceso de análisis de riesgos:

Fig 2. Metodología para análisis y evaluación de riesgo tecnológico

1.- Identificación de servicios críticos de TI: El primer paso es entender el contexto de la organización e identificar con apoyo de los usuarios claves de negocio, cuáles servicios de TI son críticos para soportar los procesos que forman parte de la columna vertebral de la empresa, procesos clave que al verse comprometidos o interrumpidos generarían un impacto inmediato en las operaciones del negocio; aquí es donde inicia la alineación entre TI y el negocio, identificando las piezas importantes que deben ser analizadas. En este primer paso es recomendable enumerar los servicios y aplicativos de TI tal y como lo conocen los usuarios del negocio (Ej: ERP, telefonía, correo electrónico, CRM, WMS, etc.), en este primer nivel no es necesario enlistar o inventariar detalladamente los componentes técnicos que soportan a dichos servicios de TI.

2.-Evaluación del impacto. El siguiente paso es definir la escala y los criterios de manera estandarizada sobre cómo serán evaluados los impactos al negocio en caso de existir una afectación en la confidencialidad, integridad y disponibilidad de los servicios de TI críticos. Los impactos al negocio pudieran clasificarse y evaluarse como financieros, operativos, legales, humanos y/o reputacionales. Las áreas de negocio son las que mejor conocen y más sensibles están respecto al impacto que puede sufrir la organización cuando un servicio de TI se interrumpe o cuando de manera no autorizada la información se ve comprometida. La evaluación del impacto debe realizarse con los usuarios clave de los procesos de negocio por medio de talleres o entrevistas.

3.-Identificación del estado actual de controles TI. En este paso, los jugadores más importantes serán los especialistas técnicos (Subject Matter Experts) como son los administradores de sistemas, bases de datos, telecomunicaciones o de soporte técnico; durante esta etapa se deberá desglosar con mayor nivel de detalle los componentes técnicos que soportan a los servicios de TI críticos identificados en el paso 1 (Ej: servidores, routers, firewalls, componentes de almacenamiento, etc.). Durante esta etapa, las entrevistas o talleres tienen como objetivo analizar con apoyo de los administradores de tecnología los controles y prácticas de seguridad que hoy se tienen implementadas para la protección de los sistemas de TI; importante considerar que los controles a evaluar podrán ser normativos (Ej: políticas, procesos, procedimientos), tecnológicos (Ej: antivirus, respaldos, bitácoras de eventos, alta disponibilidad, segmentación de red) o físicos (Ej: control de acceso al centro de datos, suministro alterno de energía, guardias). Existen numerosas guías y marcos de referencia disponibles de controles de seguridad (ISO/IEC 27002, NIST 800-53, CIS 20 Controls) que pueden apoyar en la evaluación de la situación actual de los controles de seguridad y con ello evaluar el nivel de exposición que tienen actualmente los componentes tecnológicos ante potenciales amenazas.

4.-Evaluación de las amenazas: El CISO o responsable de seguridad de información de información deberá evaluar el nivel de exposición y probabilidad de ocurrencia ante amenazas internas o externas que puedan explotar las vulnerabilidades existentes en los activos tecnológicos identificados en el paso anterior. El catálogo existente de amenazas en los anexos de ISO 27005:2008, pueden servir como referencia y punto de partida para identificar factores de riesgo de tipo ambiental (Ej: inundación, huracán, terremoto), tecnológico (Ej: código malicioso, fallas técnicas, bugs) o humanos (Ej: hackers, sabotaje, errores humanos) que puedan comprometer potencialmente las operaciones del negocio.

5.Evaluación de riesgos: Finalmente con la información obtenida en los pasos anteriores, el CISO o el responsable designado para la identificación de riesgos de tecnología se encuentra en posibilidades para la evaluación del riesgo. Las piezas necesarias para el cálculo del riesgo han sido identificadas tanto con los usuarios claves de negocio y con los expertos técnicos.

La ecuación que permitirá realizar la evaluación del riesgo estará integrada por los siguientes elementos previamente analizados:

Fig 3. Modelo para cálculo de riesgo tecnológico

Con base a los resultados obtenidos, tocará el turno al Comité de Seguridad de Información o Alta Dirección tomar las decisiones respecto a las acciones que deberán de ejecutarse para el tratamiento de los riesgos que mayor probabilidad e impacto pueden generar al negocio y que desde un punto de vista técnico presentan mayor nivel de exposición.

En resumen, el proceso de análisis de riesgos no es una tarea que pueda ser delegada o ejecutada por un área en particular de la organización. Su éxito y correcta aplicación en beneficio del negocio  requieren del involucramiento de diversos actores al interior de la empresa, donde la figura del responsable de seguridad actúa siempre como guía del proceso e integrador de la información provista por las áreas que mejor conocen a los procesos de negocio y los expertos en tecnología para su debido análisis y presentación ante la alta dirección.

José Iván, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de procesos de tecnologías de información apegados a mercos de referencia como COBIT, ITIL, PCI DSS e ISO 27001 para empresas del sector financiero, manufactura, automotriz, retail, telecomunicaciones, logística y educativo, en donde ha apoyado a diversas empresas en su certificación en estándares internacionales de seguridad de información.

Es egresado del Tecnológico de Monterrey, Campus Monterrey, donde obtuvo su grado profesional de Ingeniero en Sistemas Electrónicos, además de tener un título como Master en Administración de Telecomunicaciones por parte de la EGADE, Campus Monterrey.