GESTIÓN DEL RIESGO Y GESTIÓN DE INCIDENTES

ACTIVIDAD EVALUATIVA EJE 2

NICOL MAREAM NOPE JUNCO

JOHN ANDERSSON RODRIGUEZ CARDENAS

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA

SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA
FACULTAD DE INGENIERÍA
INGENIERÍA DE SISTEMAS
AGOSTO
2023
 INTRODUCCIÓN

La información es el mecanismo fundamental el cual requiem un seguimiento de

protocolos de seguridad por parte de cada persona y regulación de esta, en este
módulo se evidencia los diferentes aspectos a los cuales estamos expuestos a cada
momento a ciberataques, por ello es necesario que se establezcan medidas de
seguridad y se emplean mecanismo que prevean estos actos y riesgos cibernéticos.
 OBJETIVOS GENERALES

Identificar los riesgos y medidas preventivas que se pueden aplicar en un

ciberataque teniendo en cuenta el funcionamiento y características del virus
Ransomware.

OBJETIVOS ESPECÍFICOS

● Identificar los riesgos de seguridad que se pueden emplear en una empresa.

● reflexionar sobre los esquemas de seguridad y suministros al momento de
interactuar con información desconocida.
● Resaltar la importancia de los esquemas de seguridad de una compañía
CASO: La empresa “JRAS Sistemas y Comunicaciones” el dia de hoy sufrió un
ataque de Ransomware Wanna Cry bloqueado las bases de datos de la compañía,
los cibercriminales solicitan como rescate de la información 1300$ Bitcoin.

1.¿Usted como usuario que detecta el inconveniente y pertenece al

departamento de TI, cómo debe proceder?(sustente su respuesta)

Un Ransomware Wanna Cry es un virus dado en el ciberataque que tiene el

objeto de atacar y cifras archivos de gran importancia para el usuario víctima, con el
fin de que este pague el dinero solicitado por los criminales, a lo que la principal
acción que no se debe hacer es pagar lo solicitado ya que no existen garantía que
permitan saber si se liberará el equipo del virus.

Al momento de identificar el inconveniente dado se debe proceder de la siguiente

manera:

● identificar el alcance que ha tenido el ciberataque, es decir realizar una

revisión donde se conozca cuales son los equipos o dispositivos tecnológicos
afectados, además de cuál es la información vulnerada.

● Eliminar las posibles causas que permitieron el ataque.

● Aislar equipos infectados con el objetivo de evitar que el ciberataque se

propague más.

● Dar gestión y continuismo a los servicios dados por la compañía de la mayor

manera posible y así limitar el impacto que pueda tener el ciberataque.

● Tener acompañamiento técnico y soluciones de este tipo para finalizar el

ataque.
 ● Tener acompañamiento legal, con el objetivo de conocer las afectaciones
hacia los cliente y estas requieren de algún proceso legal.

Sin embargo, para evitar este tipo de situaciones, es necesario conocer las acciones
que se puedan llevar a cabo y así minimizar lo mas posible un ataque cibernetico:

ACTUALIZACIÓN DE SOFTWARE Y SISTEMAS OPERATIVO: Se deben realizar

actualizaciones periódicas del sistema operativo, ya que en el caso de relaciones
con Microsoft se benefician de los parches de seguridad que este ofrece.

POLÍTICAS DE TRATAMIENTO DE DATOS: En la compañía se debe cumplir las

políticas de tratamiento de datos, talleres como no compartir informativos
perteneciente a cliente o colaboradores fuera de la estructura jerarquía de la
compañia, adicionalmente no se debe abrir enlaces sospechosos que no provengan
de un entorno seguro.

DISPOSITIVOS DESCONOCIDOS: No usar dispositivos desconocidos en un

equipo, especialmente USB , ya que estos pueden estar infectados de algún virus
que pueda afectar la red de la compañía, adicionalmente recalcar la importancia de l
implementacion de politicas sobre el uso de los dispositivos en la organización.

VPNS E INTERNET: Las vpns sirven para minimizar riesgos de malwares cuando se
realizan en las conexión a redes públicas. Adicionalmente es importante instalar
softwares de seguridad para el internet.

COPIAS DE SEGURIDAD: Se deben realizar backups o copias de seguridad ya sea

en un disco externo o almacenamiento de nube, así generar Test que permiten
comprobar si la información se encuentra segura y puede ser restablecida en
momentos de emergencia.

2. ¿ Lo sucedido en la compañía se puede considerar como un incidente de

seguridad?( Explique su respuesta)
 Se puede considerar incidente de seguridad ya que afectó la confidencialidad,
integridad y disponibilidad de la información guardada en la base de datos, violando
a su vez las políticas de seguridad establecidas por la compañía.

Las compañías emplean en su mayoría protocolos de seguridad, tratándose más

aún de los ataques cibernéticos, el pasar estos filtros de seguridad se debe
identificar primero cual es el origen del ataque cibernético. Por ejemplo una
compañía que emplea todos los parches de seguridad en la actualidad tuvo una
experiencia sucedida en el año 2018 donde se evidencio una emergencia
cibernética a nivel mundial con fallas de seguridad en la mayoría de los sistemas
operativos, implementan la comunicación VLAN dentro de su sistema para generar
un filtro de seguridad contra esta amenaza, un ciberataque de este tipo, la compañía
emplea todo un esquema de seguridad, refiere a que se accedió de manera manual
por métodos de ingeniería social y si esto sucede significa que la compañía no tiene
establecido al máximo un alcance para sus procesos de seguridad e información, ya
que la educación cibernética debe ser lo primordial para evitar que estos incidentes
ocurran, es importante manejar un control de ingreso de información autorizada y
regulada por el departamento IT permiten identificar y prevenir estos huecos de
seguridad.

Actualmente existen varios tipos de incidentes de seguridad que pueden

provocar intrusos en una red, para el caso de la compañía JRAS Sistemas y
Comunicaciones, e trató de un incidente o ataque de malware haciendo referencia a
softwares maliciosos, los cuales pueden ser gusanos, troyanos, ransomware,
adware, entre otros. Estos causan actividades extrañas en el sistema dañando el
disco, congelamientos, velocidad lenta y demás

Sin embargo, a continuación, se explican a nivel generar otros tipos de incidentes

que existe:

● ACCESOS NO AUTORIZADOS: Para evitar este tipo de incidentes el equipo

de IT debe implementar en la compañía la autenticación doble con el objetivo
de que los usuarios tengan que ingresar información extra además de las
credenciales.
 ● ATAQUE ESCALADO DE PRIVILEGIOS: Generalmente este tipo de
incidentes se da por errores encontrados en políticas de seguridad, malas
configuraciones o vulnerabilidades expuestas en los sistemas y/o equipos. Su
forma de accionar se da cuando un hacker logra ingresar a un nivel bajo
buscando acceso a niveles superiores con más privilegios.

● AMENAZA INTERNA: Las amenazas internas son aquellas que se

encuentran directamente en la compañía como empleados o terceros
vinculados con esta, para mitigar esta amenaza es necesario implementar
programas antivirus, firewalls, copias de seguridad, entre otros.

● AMENAZA PERSISTENTE AVANZADA (APT): Este hace referencia a un

ataque cibernético prolongado por ciberdelincuentes, donde su mayor
característica es permanecer como intruso por mucho tiempo sin que se
pueda ser detectado.

3. ¿POR QUÉ SUCEDEN ESTE TIPO DE ATAQUES?, ¿EXISTEN FORMAS DE

PREVENIRLOS?

La manera de prevenirlos radica en un buen esquema de seguridad en el

sistema donde se almacenan los datos, debe tener todos los requisitos como
bloqueos de contenidos fraudulentos que atenten con la integridad y seguridad de
una organización, todo esto de manera conjunta con el usuario ya sea directo o
indirecto; deben establecerse medidas de conducta para evitar que un tercero no
tenga acceso y pueda identificar qué información recibe en sus medios digitales y
así evitar amenazas cibernéticas y pueda ser reportada de manera eficaz.

Ante la Ransomware existen unos requisitos para evitar su almacenamiento en

una unidad fuente raíz, pero por ejemplo si una persona cuenta con privilegios en el
sistema y no tiene precaución sobre la información que descarga y tiene la
capacidad de remover las medidas de seguridad, deben emplearse patrones de
accesos para evitar que cualquier usuario inclusive del departamento de IT tenga
roles mínimos que no le permitan tampoco a voluntad propia acceder estas medidas
de seguridad.

Para prevenir un ataque cibernético se pueden realizar los siguientes pasos:

● Accesos controlados: No permitir personas que no tengan acceso de

autorización, usando programas antivirus y el uso exclusivo de softwares
pertenecientes a la compañía.

● Control y concientización de personal: No abrir enlaces sospechosos o

información que no sea perteneciente a la actividad económica de la
compañía.

● Protección física: Establecer contraseñas mínimo de 8 caracteres además

de mantener cerradas las cámaras de aquellos equipos que cuente con esto.

4. ¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que

suceda este tipo de eventos y si sucede minimizar el impacto?

Inicialmente es necesario atacar el factor de riesgo humano ya que la falta de

educación sobre estos temas (Seguridad informática) juega un papel muy
importante siendo el personal de cada empresa el punto más vulnerable de la
misma, por lo cual hace imprescindible concienciar a las personas a través de
charlas sobre los riesgos que existen en Internet, en el día a día y en el desarrollo
específico de las labores diarias, estas charlas deben buscar hacer énfasis en el
valor que tiene la información que cada uno maneja.

Sobre las estaciones de trabajo y los servidores de la compañía, como se ha

mencionado anteriormente es muy importante asegurar que cuenten con las últimas
actualizaciones y parches de seguridad para evitar vulnerabilidades conocidas, esto
aplica para soluciones de antivirus y sistemas operativos.
A nivel de navegación es indispensable contar con equipos de seguridad perimetral
(firewall, IPS, IDS etc…) donde se puedan ajustar reglas de navegación donde se
restrinja el acceso a sitios no autorizados o de dudosa reputación para impedir el
acceso a links maliciosos o evitar la descarga de archivos infectados que puedan
comprometer la información sensible de la empresa.

Si en el peor de los casos somos víctimas de este tipo de incidentes, podemos

minimizar el impacto negativo en la organización utilizando un cifrado para proteger
la información confidencial tanto en reposo como en tránsito. Esto garantiza que
incluso si la información se ve comprometida, no será accesible sin la clave de
cifrado correspondiente; también podemos realizar copias de seguridad periódicas
de los datos importantes y probar regularmente la capacidad de recuperación para
asegurar la restauración de la información en caso de presentarse un incidente de
seguridad.

5. ¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los
ciberdelincuentes piden rescates en Bitcoin (sustente sus respuestas)?

Bitcoin es una “moneda” digital, es un sistema descentralizado de igual a igual que

permite a los usuarios enviar y recibir pagos sin la necesidad de una autoridad
central o un banco. Bitcoin funciona con una tecnología de contabilidad distribuida
llamada blockchain, que registra y verifica todas las transacciones en la red. Bitcoin
es la primera y más popular criptomoneda del mundo y ha ganado una inmensa
popularidad a lo largo de los años

El uso de Bitcoin en Colombia no está regulado por la ley, no hay ninguna ley que
prohíba el uso de Bitcoin, pero tampoco hay ninguna ley que lo regule. Por lo tanto,
el uso de Bitcoin en Colombia no está legalmente reconocido.

Los ciberdelincuentes piden rescates en Bitcoin porque es una forma de pago

segura, anónima y rápida, como se menciona anteriormente el Bitcoin es una
moneda digital que no está controlada por ningún gobierno o banco, lo que significa
que los ciberdelincuentes pueden recibir el pago sin tener que revelar su identidad.
6. ¿Existen entidades estatales que brinden apoyo a los departamentos de TI y
a las que se pueda acudir en caso de estos cibersecuestros?, ¿cuáles?

En Colombia existen diferentes entidades a las que se puede acudir en caso de

ciberdelitos, estas entidades incluyen el Ministerio de Tecnologías de la Información
y las Comunicaciones (MinTIC), el Centro Cibernético Policial (CCP) y el Comando
Conjunto Cibernético (CCO).
 Conclusiones.

Con base en la presente actividad donde brindé respuesta a las preguntas

planteadas en el foro relacionadas al caso de prueba expuesto, pude ampliar mis
conocimientos a cerca del tipo de ataque Ransomware WannaCry, entendí mucho
mejor las consecuencias que económicas y de tipo informativas que se pueden
derivar si no se actúa con celeridad o sin un plan de contingencia para prevenir este
tipo de ataques. Este tipo de actividades son importantes practicarlas debido a que
en nuestra vida laboral y siendo parte del área tecnológica de las compañías es
posible que lleguemos a presenciar incidentes parecidos y es bueno ya contar con
las bases para poder prevenirlos.
Referencias

● Fundación Universitaria del Área Andina (2023). protección de dato,

privacidad e intimidad. obtenido en:
https://contenidos.areandina.edu.co/repo/modulos/IS/Sistemas_Gestion_Seg
uridad_Informatica/Publicar/Canvas/referentes/recursos/eje2/pdf/ReferentePe
nsamientoEje2.pdf

● Universidad Tecnológica de Pereira (2023).Bitcoin en Colombia. Tomado de:

https://repositorio.utp.edu.co/items/60d46c6b-c2ad-4f2b-ac25-7efa3da25adf

● Areandina - Editorial CSIC Consejo Superior de Investigaciones Científicas.

(2020). Ciberseguridad. Tomado de:
https://elibro-net.proxy.bidig.areandina.edu.co/es/lc/areandina/titulos/172144

● Industrial Cybersecurity (2017). Recomendaciones y buenas prácticas para el

Ransomware WannaCry. Tomado de:
https://www.ciberseguridadlogitek.com/recomendaciones-y-buenas-practicas-
para-ransomware-wannacry/