Entrevista completa en:<\/p>\n\n\n\n
Caf\u00e9 con riesgo<\/a><\/p>\n\n\n\n En Capital Radio (Caf\u00e9 con Riesgo), Ricardo Olmos Nieva, especialista chileno en seguridad de la informaci\u00f3n, destac\u00f3 la necesidad de alinear negocio y tecnolog\u00eda mediante un enfoque de gesti\u00f3n del riesgo que facilite una comunicaci\u00f3n com\u00fan entre \u00e1reas (operaciones, RR. HH., tecnolog\u00eda y direcci\u00f3n). <\/p>\n\n\n\n Con 15 a\u00f1os de experiencia, subray\u00f3 la adopci\u00f3n de marcos ISO como ISO\/IEC 27001 (seguridad de la informaci\u00f3n), ISO\/IEC 20000 (gesti\u00f3n de servicios) e ISO 22301 (continuidad de negocio). En ciberseguridad, advirti\u00f3 que el foco ha evolucionado del \u201cmalware\u201d a la protecci\u00f3n de la informaci\u00f3n y a riesgos en la cadena de suministro: los proveedores con alto acceso y menor control pueden convertirse en la v\u00eda de entrada. Se\u00f1al\u00f3 como objetivos preferentes a banca, instituciones financieras y aseguradoras, por el valor de los datos y la confianza.<\/p>\n\n\n\n La gesti\u00f3n de riesgos en ciberseguridad deja de ser una tarea t\u00e9cnica aislada para convertirse en una disciplina estrat\u00e9gica que conecta tecnolog\u00eda, personas y objetivos del negocio. Esta gu\u00eda pr\u00e1ctica explica qu\u00e9 es, por qu\u00e9 importa, qu\u00e9 normas y marcos usar, c\u00f3mo evaluar y tratar riesgos, y qu\u00e9 controles aplicar seg\u00fan nivel de madurez.<\/p>\n\n\n\n La gesti\u00f3n de riesgos en ciberseguridad consiste en identificar, evaluar, priorizar y tratar amenazas que pueden afectar el cumplimiento de los objetivos de una organizaci\u00f3n relacionadas con la informaci\u00f3n y los servicios digitales. Es relevante para:<\/p>\n\n\n\n Para ordenar la gesti\u00f3n de riesgos y las buenas pr\u00e1cticas conviene apoyarse en marcos reconocidos:<\/p>\n\n\n\n Una clasificaci\u00f3n \u00fatil para priorizar respuestas:<\/p>\n\n\n\n En ciberseguridad muchos incidentes se materializan v\u00eda terceros: proveedores con acceso, software de terceros o integraciones d\u00e9biles.<\/p>\n\n\n\n Una estrategia por capas mejora la resiliencia y dificulta el \u00e9xito del atacante.<\/p>\n\n\n\n Los proveedores son vectores frecuentes de compromisos. Un programa pr\u00e1ctico incluye:<\/p>\n\n\n\n Preparar y ensayar la respuesta reduce da\u00f1os y tiempo de recuperaci\u00f3n:<\/p>\n\n\n\n Al planificar, conviene conocer qui\u00e9nes suelen ser objetivo y por qu\u00e9:<\/p>\n\n\n\n Presentar m\u00e9tricas claras ayuda a priorizar inversi\u00f3n:<\/p>\n\n\n\n Usa una redacci\u00f3n uniforme para facilitar seguimiento:<\/p>\n\n\n\n Riesgo: [Evento que puede ocurrir] \u2014 Impacto: [p\u00e9rdida estimada o efecto en negocio] \u2014 Probabilidad: [Alta\/Media\/Baja] \u2014 Due\u00f1o: [Rol responsable] \u2014 Medidas: [Controles actuales y plan de mitigaci\u00f3n con plazos]<\/p>\n<\/blockquote>\n\n\n\n Para convertir la ciberseguridad en una ventaja competitiva:<\/p>\n\n\n\n Con controles b\u00e1sicos de bajo coste: inventor\u00eda de activos, MFA, backups y formaci\u00f3n anti-phishing. Prioriza activos cr\u00edticos.<\/p>\n\n\n\n Cuando se necesita demostrar cumplimiento a clientes o reguladores, o cuando la gesti\u00f3n de la informaci\u00f3n es cr\u00edtica para el negocio. Antes de certificar, aseg\u00farate de cumplir los requisitos y tener procesos estables.<\/p>\n\n\n\n No. Es transversal: direcci\u00f3n, legal, operaciones, compras y RR.HH. deben participar en decisiones y respuesta a incidentes.<\/p>\n\n\n\n La gesti\u00f3n de riesgos en ciberseguridad es una inversi\u00f3n en continuidad, reputaci\u00f3n y confianza. Empezar por controles b\u00e1sicos, documentar riesgos y vincular las decisiones a objetivos de negocio permite avanzar de forma ordenada y eficaz.<\/p>\n\n\n\n Escrito por:<\/em><\/strong> Michel Carvajal<\/a><\/p>\n\n\n\n\u00bfQu\u00e9 es la gesti\u00f3n de riesgos en ciberseguridad y para qui\u00e9n es relevante?<\/h2>\n\n\n\n
\n
Normas y marcos clave<\/h2>\n\n\n\n
\n
Clasificaci\u00f3n de riesgos: end\u00f3genos vs ex\u00f3genos<\/h2>\n\n\n\n
\n
Proceso pr\u00e1ctico de evaluaci\u00f3n de riesgos (6 pasos)<\/h2>\n\n\n\n
\n
Controles por capas: b\u00e1sico, intermedio y avanzado<\/h2>\n\n\n\n
Controles b\u00e1sicos (esenciales para todas las organizaciones)<\/h3>\n\n\n\n
\n
Controles intermedios<\/h3>\n\n\n\n
\n
Controles avanzados<\/h3>\n\n\n\n
\n
Gesti\u00f3n de riesgos de proveedores (third-party risk)<\/h2>\n\n\n\n
\n
Respuesta ante incidentes y continuidad de negocio<\/h2>\n\n\n\n
\n
Sectores m\u00e1s expuestos y motivaciones de los atacantes<\/h2>\n\n\n\n
\n
Checklist r\u00e1pido para ejecutar hoy (PYMES y medianas empresas)<\/h2>\n\n\n\n
\n
Errores comunes y c\u00f3mo evitarlos<\/h2>\n\n\n\n
\n
Indicadores \u00fatiles para la direcci\u00f3n<\/h2>\n\n\n\n
\n
Formato pr\u00e1ctico para documentar un riesgo<\/h2>\n\n\n\n
\n
Resumen y recomendaciones clave<\/h2>\n\n\n\n
\n
Preguntas frecuentes (r\u00e1pidas)<\/h2>\n\n\n\n
\u00bfPor d\u00f3nde empezar si no tenemos presupuesto?<\/h3>\n\n\n\n
\u00bfCu\u00e1ndo es imprescindible certificarse en ISO 27001?<\/h3>\n\n\n\n
\u00bfLa ciberseguridad es solo cosa del departamento de TI?<\/h3>\n\n\n\n