CONTROL DE LECTURA - SEMANA 10

Integrantes:
- Acuña Rojas, Janet
- Navarro, Jim Jairo
- Palomino Torres, Gustavo
- Torres Morales, Jhoset
- Vento Esteban, Alexander

Preguntas:

1) ¿Que es “Hacking ético”?

Es el acto en el cual una persona hace uso de sus distintas habilidades en seguridad
informática para testear redes y diferentes sistemas de información con la finalidad de
encontrar vulnerabilidades y así poder reportarlas al área correspondiente.
En esta área se van a reforzar estas vulnerabilidades.

2) Que es el GDPR

El GDPR es el reglamento general de protección de datos, dictaminado por la unión

europea, tiene el objetivo de velar por la protección de datos para todos los individuos
de la UE. Además de la exportación de los datos de estos individuos fuera de UE en
empresas tanto internas como externas. Uno de los principales aportes es de dar al
usuario el control de sus datos personales, esto para realizar tanto procesos internos
de la UE como externos(internacionales). Vela por que las empresas no europeas
cumplan estas normas al momento de procesar los datos de residentes de la UE.

La directiva de aplicación del GDPR es aplicable a lo controladores como

procesadores, refiriéndonos a controladores como una organización que indica cómo
se procesan los datos personales y un procesador como una empresa de TI que
 realiza el procesamiento de datos real, aunque toda la responsabilidad recae en el
controlador.

Datos personales considerados bajo GDPR

- Dirección IP
- Identificador online
- Información
- Información económica
- Cultural

3) ¿Hay un equivalente a “GDPR” en el Perú (o Sudamérica)?

El Perú es una de las naciones que mayor regulación gestiona en cuanto a protección
de datos personales.

Sin embargo, hay una tendencia hacia más leyes de estilo Reglamento General de
Protección de Datos (GDPR) en la región y a nivel global, y no estoy seguro de que el
marco funcione tan bien en América Latina como en la Unión Europea (EU), porque
no hay un Espacio Económico Europeo (EEA) equivalente en América Latina. En el
Perú, la legislación de protección de datos, vigente desde el 2015, fue un paso
importante para la seguridad de los datos. Como en todo el mundo, la ley trabaja en
favor de los ciudadanos para equilibrar una situación que está en su contra. Tenemos
que saber qué se hace con nuestra información, porque hay riesgos y son reales.

"Cuando hablamos de protección de datos personales, debemos considerar marcos

normativos y regulatorios nacionales". Así lo indica Gianncarlo Gomez Morales,
docente del Diploma Internacional en Gestión de la Ciberseguridad y Privacidad en
ESAN. "Organismos regulatorios supervisan y acompañan a las entidades en la
implementación de los requisitos legales y regulatorios relacionados a la protección
 de datos personales. Asimismo, definen y engloban principios rectores y derechos
para los titulares de datos personales".

En Argentina, por ejemplo, está la Dirección Nacional de Protección de Datos

Personales (DNPDP) y en Chile se encarga el Servicio de Registro Civil e
Identificación. En el caso de Perú, se cuenta con la Ley 29377, de protección de datos
personales, con sus respectivos reglamentos y modificatorias. "El país también
considera un principio constitucional de habeas data, el registro nacional de Banco de
Datos Personales y, además, se mantiene la Autoridad Nacional de Protección de
Datos Personales", añade el especialista.

El Perú es una de las naciones latinoamericanas que registra mayor protección de

información, con una ley y entidades que regulan este cuidado con minuciosidad. Sin
embargo, no todos los países de la región tienen un nivel de madurez óptimo en la
normatividad relacionada a la ciberseguridad. Una investigación liderada por
Gianncarlo Gomez y realizada por la Comisión Interamericana de Telecomunicaciones
(CITEL) evalúa criterios como legislación existente, habeas data, registro nacional y
autoridad nacional para la ciberseguridad.

4) Buscar dos ejemplos de Ingeniería Social aplicadas en la

capacitación de los empleados de una empresa en ciberseguridad (Indique país,
empresa, año)

Empresa: Optical Networks

País: Perú
Año: 2018

En el año del 2018, la empresa Optical Networks implementó una campaña de

concienciación sobre la Seguridad de la Información basados en la ISO 27001, para
dar a conocer y sensibilizar a los colaboradores sobre las políticas del Sistema de
Gestión de Seguridad de la información (SGSI) que se utiliza en la empresa.

La campaña estuvo conformada por una serie de tips que explicaban detalladamente
cada norma de la SGSI y los pasos de seguridad que la empresa y sus empleados
deben seguir para evitar ciberataques o robo de información delicada muchos a causa
de la Ingeniería Social.

Se puso en marcha la concientización en los diversos puntos:

Puesto de Trabajo despejado

Evita dejar documentos confidenciales o dispositivos USB a la vista de todos.
Destruya la información sensible (confidencial) en formato papel, cuando ya no la
uses.
Bloquee la sesión de trabajo de su PC o laptop cuando se ausente de su escritorio
(Ctrl + Alt + Supr o tecla Windows + L).

Seguridad Física y Ambiental

Proteja sus dispositivos portátiles: Laptops y celulares.
Coloca un patrón de acceso a los celulares.
Guarde sus archivos y medios portátiles en un cajón o armario con llave.
Lleve su fotocheck en un lugar visible mientras se encuentre en las instalaciones de
ON.
Acompañe a las visitas mientras permanezca en Optical, no deje que se desplacen
solas en las instalaciones.

Códigos Maliciosos
Cuidado con las infecciones de virus, gusanos, troyanos, programas espía, etc.
Evite abrir correos (link y/o adjuntos) de dudosa procedencia o cuando desconoce al
remitente.
Evite conectar a su pc o laptop discos externos o USB de dudosa procedencia.
Siempre pregúntese del origen de los correos y dispositivos de almacenamiento.

Activos de la Información
Es importante proteger los activos de información, porque existen amenazas que no
solo provienen del exterior de nuestra empresa, sino también del interior.
Un activo de información es aquel elemento que contiene información y se clasifica
en:
★ Información Impresa.
★ Información electrónica.
★ Sistemas de Información
★ Personas
★ Equipos de cómputo.
Empresa: Transporte Confidencial de Información – TCI
País: Perú
Año: 2019

La empresa Transporte Confidencial de Información (TCI) se destaca como la primera

empresa peruana operadora de servicios electrónicos y la primera proveedora de
servicios electrónicos. Al respecto, Renzo Alcántara, Gerente General de TCI que
entre las fortalezas de la empresa resalta: “Nosotros como especialistas en
intermediación digital realizamos transacciones electrónicas de forma fácil, rápida,
segura y, además, cumplimos con la normativa técnica de Sunat. Nos destacamos por
nuestra experiencia de 26 años en el mercado con presencia en más de 15
departamentos en el Perú, con más de 800 clientes y más de 100 colaboradores
capacitados en las normas tributarias, procesos y soluciones empresariales”.

Así también, expresa que brindan altos estándares de seguridad y arquitecturas

robustas que permiten mejorar la velocidad del procesamiento de la información y
“esto se demuestra a través de nuestra certificación ISO 27001, nuestra alianza con
IBM y nuestro sólido soporte técnico 24x7x365”. Asimismo, se diferencian por liderar
innovadoras soluciones de: aduanas, facturación electrónica y validación de
comprobantes electrónicos, las cuales permiten conectar a las empresas y a las
personas detrás de ellas. Estas innovaciones sostenibles se adaptan a los nuevos
modelos de negocios, aplicando inteligencia artificial y tecnologías avanzadas, con la
finalidad de facilitar los procesos y mejorar la productividad empresarial de nuestros
clientes.

Importancia de la utilización del SGSI en las empresas Acerca

de la implementación del sistema de gestión de seguridad de la información (SGSI)
alineado con el ISO/IEC 27001, Alcántara indica “nos permite como empresa seguir
los lineamientos y mejores prácticas de un estándar de seguridad internacional para
proteger la información de los procesos críticos y sensibles de nuestra empresa y de
nuestros clientes”. El objetivo de realizar esta implementación es poder cumplir con
requerimientos legales y regulatorios, reducir los riesgos de pérdida o fuga de
información e identificar con anticipación los eventos o incidentes para poder asegurar
la confidencialidad, integridad y disponibilidad de la información.

Y el alcance del sistema de gestión de seguridad de la información (SGSI) está

enfocado principalmente a los servicios como:

● PSE (Proveedor de Servicios Electrónicos) con nuestra solución de facturación y

● OSE (Operador de Servicios Electrónicos) con nuestra solución de validación.

El directivo de TCI puntualiza que, contar con el certificado ISO/IEC 27001 acredita
que una entidad de certificación externa e independiente determine que nuestro
sistema de gestión de seguridad de la información este en conformidad de la norma
ISO/IEC 27001. “Por lo que, nos permite como empresa gestionar de manera eficiente
la seguridad de la información ya que la implementación de este sistema implica pasar
por las fases de Planificación, Implementación, Verificación y Mejora (Ciclo de
Deming) de ciertos procesos de seguridad para asegurar la confidencialidad,
integridad y disponibilidad de la información”. Además, permite implementar controles
de seguridad basados en análisis de riesgo que se implementan en los procesos de
la organización. También, permite obtener una visión general del estado de la
seguridad de la información en la empresa, lo cual ayuda a tomar mejores decisiones
estratégicas. Finalmente, Alcántara subraya que exige que se documenten ciertas
políticas y procedimientos de seguridad de la información que deben ser conocidos
por todo el personal y esto ayuda a alinear a toda la empresa en la mejora continua.

Metodologías utilizadas en la implementación del proyecto del SGSI Para

la implementación del sistema de gestión de seguridad de la información (SGSI) se
tomó como referencia la norma ISO/IEC 27003 que es una guía para la
implementación de este sistema. Esta norma es importante porque define los
requisitos de seguridad en las diferentes fases de la implementación, según el ciclo
de Deming.

Además de esta norma se tomaron las siguientes referencias:

● ISO/IEC 27001: Esta norma proporciona los requisitos para el establecimiento,

implementación, mantenimiento y mejora continua del sistema de gestión de la
seguridad de la información (SGSI). Esta norma es importante porque indica
lineamientos mínimos que debe cumplir una empresa para gestionar
adecuadamente la seguridad de la información dentro de una organización.

● ISO/IEC 27002: Esta norma proporciona recomendaciones de las mejores

prácticas en la gestión de la seguridad de la información. Esta norma es importante
porque indica las buenas prácticas en los controles de seguridad que debe cumplir
una empresa para asegurar la información.

● ISO/IEC 27005: Esta norma trata la gestión de riesgos en seguridad de la

información. Es importante porque proporciona recomendaciones y lineamientos
de métodos y técnicas de evaluación de riesgos de seguridad en la información.

● OSSTMM, (Open Source Security Testing Methodology Manual), es la

Metodología Abierta de Comprobación de la Seguridad. Es uno de los estándares
más completos y comúnmente utilizados en Auditorías de Seguridad para revisar
la Seguridad de los Sistemas desde Internet.