orm_icon

 

Operational risk management

Easily identify, measure, control and monitor the operational risks of your organization→
isms-icon

 

Information
security risks

Ensures the confidentiality, integrity and availability of your information assets →
compliance_icon-16

 

Normative
compliance


Keep track of all regulations and regulations that your organization must comply with →
aml-17

 

Anti-Money Laundering

Easily identify, establish controls, and monitor AML risks→
icono_auditoria

 

Audit

Improve your internal audit processes, support regulatory compliance, and generate value for your organization through continuous improvement →
header_academy_v2

Cómo implementar la ISO 27001 en la gestión de riesgos

En este webinar nuestra experta en riesgos, Geraldin Ariza, nos enseña qué es y para qué sirve la seguridad de la información, el contexto de la amenaza y vulnerabilidad, la gestión de riesgos de seguridad de la información según la Norma ISO 27001 y las ventajas de gestionarlos en las Fintech.

¡Usa Pirani GRATIS!

Empezar ahora

Contexto seguridad de la información

¿Qué es y para qué sirve?

Es un proceso de identificación, valoración y gestión de los activos de información y riesgos asociados a estos, que a través de un conjunto de medidas preventivas permite salvaguardar la información.

De acuerdo con la Norma ISO 27000, la seguridad de la información sirve para mantener y preservar la confidencialidad, integridad y disponibilidad de la información crítica, valiosa y sensible de las organizaciones. 

Los Ciberataques en Colombia en los últimos años nos demuestran que ni siquiera las grandes empresas y entidades públicas están exentas de vulnerabilidades 

1. Ciudades que más reciben ataques cibernéticos:

  • Bogotá: 31%.
  • Medellín: 8%.
  • Cundinamarca: 7%.
  • Cali: 5%.
  • Barranquilla: 4%.


2. Las entidades públicas que más son suplantadas:

  • DIAN: 57%.
  • Fiscalía General de la Nación: 12%.
  • Organismos de tránsito 10%.
  • Policía Nacional 9%.
  • Ministerio de Salud 7%.

Los Ciberataque en Colombia en los últimos años nos demuestran que ni siquiera las grandes empresas y entidades públicas están exentas de vulnerabilidades.

Hablando puntualmente de Colombia, según la Policía Nacional, los delitos cibernéticos más denunciados por la ciudadanía son:

  • Hurto por medios informáticos: 9.573.
  • Violación de datos personales: 4.705.
  • Acceso abusivo a sistemas informáticos: 4.610.
  • Suplantación de sitios web: 1.994.
  • Uso de software malicioso 178.

Igualmente, se estima que el 85% de las empresas que cuentan con Protocolo de Escritorio Remoto, son más vulnerables a sufrir ataques de ransomware, por lo que se sugiere que las mismas estén en constante revisión de sus políticas de protección. 

Vulnerabilidad y amenaza

Qué es la vulnerabilidad

Es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información. Las vulnerabilidades pueden depender del hardware, del software, las redes, el personal, el edificio, las infraestructuras o la organización. 

Algunos ejemplos son: 

  • Fallas en los diseños.
  • Errores de configuración.
  • No generar backup periódicos sobre información
  • Carencias de procedimientos y controles.
  • Personal sin la formación adecuada, ausente o sin supervisión.

Qué es la amenaza

Corresponde a toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Las amenazas a las que se enfrenta la información de una organización pueden ser muy variadas.

Algunos ejemplos son: 

  • Fraude asistido por computadora.
  • Espionaje, sabotaje, vandalismo.
  • Fenómenos naturales.
  • Fallos de la infraestructura auxiliar. 
  • Desconocimiento o mal uso del tratamiento de la información por parte del recurso humano.
  • Información comprometida por robo de equipos.

Gestión de riesgos de Seguridad de la Información según la ISO 27001

Conceptos clave

Activo: Cualquier cosa que tiene valor para la organización: información,  infraestructura informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas. 

Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. La información debe permanecer correcta y como el emisor la originó.

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.

Sistema de Gestión de Riesgos de Seguridad de la Información - SGSI

Es una herramienta de gestión que permite identificar, conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información.

Permite preservar la confidencialidad, integridad y disponibilidad de la información al interior de la compañía y a los stakeholders interesados en la misma.

Promueve un enfoque basado en procesos, es decir la identificación de interacción entre proceso y gestión (modelo PHVA).

Modelo PHVA - Gestión de riesgos

¿Qué es el riesgo?

Es la posibilidad de que ocurra un evento y que produzca una pérdida de valor o impacto sobre los objetivos. Se mide en términos de consecuencias (impacto) y posibilidades (frecuencia).

Cómo puede pasar un riesgo

Seguimiento  y monitoreo del SGSI

Seguimiento

  • Identificar con prontitud los posibles incidentes.
  • Detectar fallas en los procedimientos.
  • Procedimientos y controles para dar respuesta oportuna a los incidentes.
  • Permite que la dirección tomar decisiones de manera oportuna frente a la seguridad de la información.

Incidente

Un incidente es un conjunto de eventos de seguridad de la información no deseados o inesperados, que tiene una probabilidad significativa de comprometer las operaciones del negocio o amenazar la seguridad de la información.

Monitoreo

  • Evaluar y medir  la efectividad de los procedimientos y controles.
  • Realizar auditorías internas sobre el SGSI.
  • Analizar escenarios internos y externos.
  • Mantener a la vanguardia en tecnología.

Ventajas para las fintech

  • Reduce el riesgo de que se produzcan pérdidas de información, robos y corrupciones en la manipulación de la misma.
  • Permite una revisión periódica y mejora continua a nivel organizacional.
  • Reduce la probabilidad de presentar incidentes de seguridad.
  • Implanta medidas de seguridad para que los propios clientes, colaboradores y proveedores puedan acceder a la información de forma segura y controlada.
  • Contar un SGSI otorga a la fintech  una garantía frente a clientes, socios estratégicos y proveedores, ya que muestra a la empresa como un organismo preocupado por la confidencialidad, la integridad y la seguridad de la información que es depositada y gestionada en la misma.
  • Ofrece continuidad de operación y servicio con normalidad o en el menor tiempo posible en caso de producirse problemas importantes, tales como ataques de RANSOMWARE, PHISHING.
  • Garantiza que la fintech esté cumpliendo con la legislación vigente en materia de información personal y propiedad intelectual.
  • Mejora la toma de conciencia por parte del personal y la importancia sobre el manejo de la información.
Nuevo ebook gratuito sobre Guía para obtener la certificación iso 27001

¡Comencemos!
L
leva la gestión de riesgos de tu compañía al siguiente nivel con un software especializado que se ajusta a tus necesidades.

Prueba el plan Free