Entorno y

ciberseguridad
MBA. Gustavo Rodas
Riesgo Operacional

“Es la posibilidad de pérdida debido a fallas en

procesos, sistemas y personas, incluye el riesgo legal y el
tecnológico”.
SEGURIDAD DE LA INFORMACIÓN
Y PREVENCIÓN DE FRAUDES
NUEVOS DESAFIOS DE CIBERSEGURIDAD.
 Contenido
1. Antecedentes

2. Estándares utilizados

3. Normativa internacional

4. Acciones
1. ANTECEDENTES
 Evolución del Riesgo Operacional

Ernst & Young

 Evolución del Riesgo Operacional

Ernst & Young

 Situación Actual

• No hay una metodología explicita, se sustenta

en el análisis de las variables.
• El riesgo legal y tecnológico se desconocen
• Las personas no visualizan que dicho riesgo
tiene un componente estructural y de impacto
generalizado.
• Las personas en Latinoamérica no reaccionan
sino hasta que existe regulación.
 Situación Actual

Ernst & Young

 7 peligros de ciberseguridad.
1. Phishing y fraude del CEO: Su objetivo es conseguir información confidencial de manera
fraudulenta (como contraseñas o información bancaria). La ciberseguridad se ha visto afectada por un
caso particular el cual se denomina el “Fraude del CEO”. Esta técnica consiste en enviar un email que los
atacantes envían a empleados de la compañía suplantando la identidad del director ejecutivo. En donde
piden contraseñas, trasaldo de fondos u otros generalmente para pedir un favor a título personal, en
muchos casos, con ello roban identidad, se usan dominios parecidos a los reales.
2. Ataques BPC: Los ataques Business Process Compromise (BPC) o compromiso de los procesos de
negocio, observan al negocio por meses o años y detectan las vulnerabilidades, luego dentro del proceso
normal se inmiscuyen cambiando direcciones de envio de información, de impresiones, etc. Con ello roban
información para luego cometer el fraude. El 43% de empresas en el mundo lo sufren. Solo cuando la
alta dirección se involucra logra reducir dicho riesgo.
3. Shadow IT: Shadow IT, o TI Invisible, se refiere a los dispositivos, softwares y servicios que están fuera
del control del departamento de TI y no cuentan con una aprobación explícita de la organización. Shadow
IT se da cuando una persona decide usar un servicio basado en la Nube sin el conocimiento de la
empresa. Por ejemplo, esto ocurre en el caso de aplicaciones de gestión de tareas, agenda y proyectos
que resultan útiles para el profesional en su trabajo cotidiano, pero cuyo uso no ha recibido aprobación
previa o formal. Esto puede generar problemas, pues expone a la empresa a riesgos indeseados o no
planeados.
 7 peligros de ciberseguridad.
4. Ransomware: son ataques informáticos que usan el criptogusano conocido como WannaCry (también
denominado WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) dirigidos al sistema operativo Windows de
Microsoft. Durante el ataque, los datos de la víctima son encriptados, y se solicita un rescate
económico pagado con la criptomoneda Bitcoin, para permitir el acceso a los datos.12345. El ataque
empezó el viernes, 12 de mayo de 2017 y ha sido descrito como sin precedentes en tamaño, Una vez
instalado, WannaCry utiliza el exploit conocido como EternalBlue, desarrollado por la Agencia de
Seguridad Nacional de los Estados Unidos (NSA), para extenderse a través de redes locales y anfitriones
remotos que no hayan recibido la actualización de seguridad más reciente, y de esta manera infecta
directamente cualquier sistema expuesto.
5. Cryptojacking: El cryptojacking es el uso no autorizado de ordenadores y otros dispositivos con el
objetivo de minar criptomonedas y que en los últimos años ha crecido de manera exponencial, hasta el
punto de que se ha convertido en una amenaza más común que el ransomware.
6. Troyanos bancarios en aplicaciones móviles: Los troyanos bancarios son una de las amenazas más
peligrosas dentro del malware. Los usuarios descargan los troyanos bancarios a través de
aplicaciones móviles. Este tipo de troyanos son cada vez más frecuente y se estima que siga aumentado
en un 80% para el próximo año.
7. Amenazas de ciberseguridad en entornos cloud. El mercado total de la nube pública mundial en el
año 2018 fue de $178 mil millones, y se estima que continuará creciendo a una tasa de crecimiento anual
compuesta (CAGR) de 22%. Los ataques dirigidos a la nube en las organizaciones globales han crecido
un65 % tan solo entre septiembre de 2018 y febrero de 2019.
7 peligros de ciberseguridad
Amenazas Cibernéticas
Amenazas Cibernéticas
 En archivo en Word.
Una página para cada respuesta.
1. Investigue las 5 principales redes sociales y
las fallas en mecanismos de ciberseguridad y
protección de datos.
2. Enumere cuales peligros existen para usted y
su familia al usar las redes antes investigadas
3. Indique que mecanismos de seguridad
debería utilizar incluyendo ciberseguridad
 Ciberseguridad

Preservación de la confidencialidad, integridad y disponibilidad

de la información en el ciberespacio.
ISO/IEC 27032

Definición RART: políticas, estrategias, recursos,

soluciones informáticas, prácticas y competencias para
preservar la confidencialidad, integridad y disponibilidad
de los activos en el ciberespacio.
 Cybersecurity Index
Global Cybersecurity
Index 2018
Reino Unido 1 Relación entre tamaño de la entidad
USA 2 financiera y pérdidas por ataques
Canadá 9
cibernéticos
Uruguay 51
México 63
Brasil 70
Colombia 73
Chile 83
Perú 95
Panamá 97
Guatemala 112
Costa Rica 115 Grupos - GCI
Los países se clasifican según su nivel de
Nicaragua 140
compromiso: alto, medio y bajo en
El Salvador 142 ciberseguridad.
Honduras 165
 Amenazas Cibernéticas
Relación entre tamaño de la entidad financiera y pérdidas por ataques cibernéticos

Pérdidas directas en US$ Millones

Total de activos en US$ Billones

Fuente: Cyber Risk for the Financial Sector. IMF Working Paper. June 2018

Percepción de la importancia del riesgo de sufrir un ciberataque

 Estrategia Nacional de Seguridad
Cibernética

Junio 2018
 2. ESTÁNDARES
INTERNACIONALES
 Partiendo de lo básico

Gobierno de Datos: Proponer políticas de gestión de datos; metodologías

y procedimientos para clasificar la información; y, desarrolla arquitecturas
de datos adecuadas en colaboración con el Departamento de TI, asimismo
verificar la calidad de información proporcionada por las entidades
financieras.
Marco para mejorar la infraestructura
crítica de Ciberseguridad
Resiliencia Cibernética

Resiliencia Cibernética
Identificación Protección

CIBERSEGURIDAD Detección

Recuperación Respuesta
 Gestión de la Ciberseguridad
Identificar
1 Identificar sus activos en el ciberespacio e
Estrategia identificar las vulnerabilidades de estos.
Ciberseguridad
Y Plan de Resiliencia Proteger
2 Desarrollar e implementar medidas para
proteger sus activos en el ciberespacio.

Detectar
3 Monitorear ciberamenazas y detectar
ciberataques.

Responder
4 Mecanismos apropiados para responder
Autorizada por el ante un ciberataque.
Consejo de
Recuperar
Administración Recuperar aquellos activos en el
5 ciberespacio que hayan sido afectados por
un ciberataque.
Normas internacionales en materia
de ciberseguridad

ISO/IEC 27032 incluye un conjunto de 53 términos y

definiciones, las cuales considera necesarias para una
comprensión homogénea de la norma y sus acciones.

Seguridad de la Información
Seguridad en las
01 ISO 27000 aplicaciones
ISO/IEC 27032
Ciberseguri
Directrices para la
dad
Ciberseguridad
Seguridad
Seguridad
de las
de Internet
Redes
Protección de Infraestructuras
Críticas de Información
Relación entre ciberseguridad y otros dominios de
seguridad
• 3. NORMATIVA INTERNACIONAL
 Temas abordados en la normativa
internacional

Propuesta Guatemala Colombia Chile México Perú España Filipinas EEUU

Definiciones
Riesgo cibernético
Incidente cibernético
Security operation center
(SOC)
Computer Security
Incidente Response Team
Vulnerabilidad
Activo
Terceros
Políticas y procedimientos
Amenazas, control y
prevención
Gestión incidentes
Partes interesadas
Envío de información
Educación financiera
Pruebas
ACCIONES
 Jerarquía de norma
Riesgo Operacional

Riesgo Tecnológico

Infraestructura de TI Sistemas de información

Servicios de TI Bases de datos

Seguridad de tecnología 1.
2.
Objeto y definiciones
Políticas y procedimientos

Ciberseguridad
3. Responsabilidad del CA
4. Plan de recuperación de desastres
5. SOC
6. Pruebas de penetración
7. CISO
8. Capacitaciones y concientización

de la Información
9. Gestión de la ciberseguridad (IPDRR)
10. Identificación
11. Protección
12. Detección
13. Respuesta
14. Recuperación
15. Equipo de respuesta de incidentes cibernéticos
16. Contratación con proveedores
17. Envió de información a la SIB

Continuidad de la Procesamiento de
Información Información
 Ciberseguridad
Modificación al Reglamento para la Administración del Riesgo Tecnológico
1 Gobierno corporativo

Chief Information Security

2
Officer - CISO- Identificación
Protección
3 Gestión de la Detección SOC
Ciberseguridad
Respuesta
Equipo de Respuestas de Recuperación
4 Incidentes Cibernéticos
-CSIRT-

Aspectos ciberseguridad
5 en contratación de
proveedores CISO - Chief Information Securtity Officer
SOC - Security Operation Center
CSIRT - Computer Security Incident Response Team
Plan de recuperación ante
6
desastres
 Ciberseguridad

Consejo de
Organización CISO Administración

Auditoria Interna Comité de riesgos

CISO

Gerencia de
Gerencia de Gerencia de SO
tecnología de la
negocios riesgos C
información

CSIRT
Infraestructura
 DECRETO 39-2022

ACUERDO 14-2022 (4-8-2022)

 Ciberdelitos:
Señaló que el objetivo es principalmente la creación de nuevos delitos, siendo estos:
1. Acceso Ilícito,
2. Acceso ilícito a datos con información protegida,
3. Interceptación ilícita,
4. Ataque a la integridad de los datos,
5. Ataque a la integridad del sistema
6. Falsificación informática.
7. Apropiación de identidad ajena,
8. Abusos de dispositivos,
9. Fraude informático,
10. Engaño pederasta,
11. Ciberacoso.
 Tipificación de los ciberdelitos:
•cuando infringe •Posea, sin permiso o
medidas de consentimiento legalmente
seguridad con la reconocido dañare, borrare,
intención de deteriorare, alterare o
obtener datos suprimiere datos informáticos.
informáticos.

Ataque a la
Acceso ilícito. integridad de los
datos.

•Altere, borre, suprima

•Comete dicho delito
datos informáticos
quien acece de Acceso ilícito a previamente
forma deliberada datos con Falsificación almacenados en un
datos de información información informática. sistema informático.
protegida en todo o protegida
parte de un sistema
informático o sistema
que utilice
tecnologías de la
información y las
comunicaciones.
Continuación de los
ciberdelitos:
Ataque a la Interceptación
integridad del Ilícita.
sistema •Quien
•Quién perturbare interceptare de
el funcionamiento forma deliberada,
informático o datos
sistema que informáticos,
utilicen información o
tecnologías de comunicaciones en
información transmisiones no
públicas
Otros delitos contemplados:

Apropiación de
identidad ajena

Ciberdelitos contra
las personas y
delitos contra la Abuso de
integridad sexual dispositivos
de niño, niña o
adolescente
 Acuerdo 14-2022
• El Congreso de la República publicó este jueves 1 de septiembre, en el
Diario de Centro América, el Acuerdo 14-2022 con el que se oficializa que
el Decreto Número 39-2022, que contiene la Ley de Prevención y
Protección contra la Ciberdelincuencia sea archivado.
• El 4 de agosto de 2022, el Congreso de la República emitió el Decreto
Número 39-2022 en el que aprobó dicha ley, que creaba figuras delictivas y
adecuaba normas penales frente a delitos cibernéticos, pero recibió varias
objeciones de diversos sectores.
• La normativa contenía 44 artículos en los cuales se intentaron regular los
avances de las tecnologías de la información y las comunicaciones, creando
una ley especial que defina las conductas delictivas a fin de proteger los
datos personales e intimidad informática con mayor énfasis a los niños y
adolescentes, que son los más vulnerables a grupos ilícitos que operan a
través de las redes sociales.
• Expertos consideraban que ley vulneraba la libertad de expresión y podría
callar críticas contra funcionarios y políticos.
 Acuerdo 14-2022
• Se acuerda que por decisión del
honorable Pleno del Congreso de la
República, se suspende en definitiva
el procedimiento de formación de la
ley del Decreto 39-2022 del Congreso
de la República, Ley de Prevención y
Protección contra la
Ciberdelincuencia.
GRACIAS