Tecnologas Emergentes

Docente: Herbert Ren Cordero Henrquez

E-Mail: hcordero@ugb.edu.sv

Riesgo tecnolgico y su impacto

para las organizaciones

Origen del riesgo tecnolgico Cmo

nos afecta?
El riesgo tecnolgico tiene su origen en el continuo
incremento de herramientas y aplicaciones
tecnolgicas que no cuentan con una gestin
adecuada de seguridad. Su incursin en las
organizaciones se debe a que la tecnologa est
siendo fin y medio de ataques debido a
vulnerabilidades existentes por medidas de
proteccin inapropiadas y por su constante cambio,
factores que hacen cada vez ms difcil mantener
actualizadas esas medidas de seguridad.

Origen del riesgo tecnolgico Cmo

nos afecta?
Adicional a los ataques intencionados, se encuentra el
uso incorrecto de la tecnologa, que en muchas ocasiones
es la mayor causa de las vulnerabilidades y los riesgos a
los que se exponen las organizaciones.
El riesgo tecnolgico puede verse desde tres aspectos,
primero a nivel de la infraestructura tecnolgica
(hardware o nivel fsico), en segundo lugar a nivel lgico
(riesgos asociados a software, sistemas de informacin e
informacin) y por ltimo los riesgos derivados del mal
uso de los anteriores factores, que corresponde al factor
humano como un tercer nivel.

Origen del riesgo tecnolgico Cmo

nos afecta?
Si se revisan las definiciones de las metas,
objetivos, visin o misin de las organizaciones,
ests no se fundamentan en trminos tcnicos o
con relacin a la tecnologa. Sin embargo, al
analizar de forma profunda y minuciosa este tipo de
planteamientos gerenciales, se encuentra que su
aplicacin trae como base el desempeo de una
infraestructura tecnolgica que permita darle
consecucin a dichas cualidades.

Origen del riesgo tecnolgico Cmo

nos afecta?
Por ello, el cumplimiento correspondiente con la
prestacin de los servicios y desarrollo de los
productos ofrecidos por la empresa, el
mantenimiento de la actividad operativa e incluso
la continuidad del negocio, dependen del cuidado y
conservacin que se tenga de la base tecnolgica y
por supuesto, del personal que la opera.

Medidas de aseguramiento ante el

riesgo tecnolgico
Hablar de controles y medidas que permitan a las
organizaciones contrarrestar este tipo de riesgo
puede ser complicado, pero es posible tomar
acciones que lleven a su mitigacin. El
aseguramiento puede realizarse desde los tres
niveles antes mencionados.

Medidas de aseguramiento ante el

riesgo tecnolgico
En el nivel fsico, las medidas a tomar son de
carcter tcnico o de seguridad informtica,
referidas a la aplicacin de procedimientos de
control y barreras fsicas ante amenazas para
prevenir dao o acceso no autorizado a recursos e
informacin confidencial que sea guardada en la
infraestructura fsica.

Medidas de aseguramiento ante el

riesgo tecnolgico
Dentro de stas se encuentran:
Controles de acceso fsico, que pueden incluir el uso de
sistemas biomtricos y vigilantes para acceso en reas
especficas.
Manejo de tokens o tarjetas de identificacin.
Controles a nivel de equipos, tales como ubicacin y
proteccin, seguridad en cableado o mantenimiento
peridico de equipos.

Medidas de aseguramiento ante el

riesgo tecnolgico
Servicios bsicos (energa, agua y alcantarillado, entre
otros) de soporte para continuidad.
Gestin de medios de almacenamiento removible.
Controles de vulnerabilidades tcnicas, entre otros.

Medidas de aseguramiento ante el

riesgo tecnolgico
En el nivel lgico, las medidas a tomar se dan con
respecto al uso de software y sistemas, enfocadas a
proteger los datos y garantizar el acceso autorizado
a la informacin por parte de los usuarios a travs
de los procedimientos correctos.

Medidas de aseguramiento ante el

riesgo tecnolgico
Como parte de estas medidas se pueden tomar:
Controles de acceso lgico con la gestin de usuarios,
perfiles y privilegios para acceso a aplicaciones y gestin
de contraseas.
Controles de acceso a la red interna y externa,
segregacin en redes y controles para asegurar servicios
de la red.
Controles a nivel de teletrabajo y equipos mviles.
Soluciones de proteccin contra malware.

Medidas de aseguramiento ante el

riesgo tecnolgico

Respaldos de bases de datos e informacin crtica.

Protocolos para intercambio de informacin y cifrado
de informacin.
Monitoreo de los sistemas, sincronizacin de relojes y
proteccin sobre registros.
Limitacin en tiempos de conexin a aplicativos y
cierres de sesin por inactividad.
Gestin de control de cambios, entre otros.

Medidas de aseguramiento ante el

riesgo tecnolgico
El tercer nivel y el ms crtico dentro de las
organizaciones, dada su naturaleza impredecible,
es el personal o recurso humano. Las medidas a
este nivel deberan ser ms procedimentales,
ligadas a la regulacin y concienciacin.

Medidas de aseguramiento ante el

riesgo tecnolgico
Dentro de stas se pueden incluir:
Definicin de polticas de seguridad que presenten las
correspondientes violaciones con el fin de dar cumplimiento.
Controles relacionados a acuerdos con terceros, prestacin
de servicios que se puedan dar con stos y segregacin de
funciones.
Controles a nivel contratacin de personal.

Gestin antes, durante y despus de la terminacin de los

contratos.

Medidas de aseguramiento ante el

riesgo tecnolgico
Educacin y capacitacin continua en aspectos de
seguridad.
Procedimientos e instructivos para manejo de
informacin.
Polticas de escritorio y pantalla limpia.
Cumplimiento de legislacin aplicable, entre
otros.

Riesgo tecnolgico como raz de otros

riesgos
El riesgo tecnolgico puede ser causa y consecuencia de
otro tipo de riesgos, una falla sobre la infraestructura
puede implicar riesgos en otros mbitos, como prdidas
financieras, multas, acciones legales, afectacin sobre la
imagen de la organizacin, causar problemas operativos
o afectar las estrategias de la organizacin.

Riesgo tecnolgico como raz de otros

riesgos
Si pensamos en el caso de un empleado
descontento que puede representar un riesgo
operativo, podra implicar tambin un riesgo
tecnolgico por manipulacin inapropiada de
sistemas e informacin.

Riesgo tecnolgico como raz de otros

riesgos
A continuacin, se presentan algunos ejemplos que ilustran
lo anterior:
1. El reciente descubrimiento en mayo de 2012 del malware
Flame, el cual tena como objetivo ataques de
ciberespionaje en pases de oriente medio. Este ataque
represent prdida de informacin confidencial y crtica.
2. Otro caso de ciberespionaje industrial es el malware
encontrado en archivos de AutoCad, cuya finalidad es el
robo de informacin sensible como planos
arquitectnicos.

Riesgo tecnolgico como raz de otros

riesgos
3. Un ataque muy nombrado en marzo del ao
pasado es el relacionado al robo de informacin
realizado a RSA, que implic riesgos para la
banca en lnea.
4. Por ltimo, el ataque que sufri Sony en 2011,
donde robaron informacin de cuentas de
usuarios.

Riesgo tecnolgico como raz de otros

riesgos
Todo lo anterior, confirma la posibilidad de daos y
perjuicios que puede desencadenar un fallo en la
seguridad a nivel tecnolgico.