CIBERSEGURIDAD CONCEPTOS

BASICOS APLICADOS A LA
EMPRESA

ING. CIRO ANTONIO DUSSAN

ciro.dussan00@usc.edu.co
índice

1 INTRODUCCION ►

2 EL VALOR DE LOS SISTEMAS DE INFORMACIÓN ►

3 RIESGOS ►

4 VULNERABILIDADES ►

5 AMENAZAS ►

6 ¿QUÉ PUEDO HACER? ►

7 BENEFICIOS ►

8 CONCLUSIONES ►

2
Objetivos

Tener una visión global de la Ciberseguridad,

comprender su significado, identificar a quién afecta y
«el cómo y el porqué».

Enumerar los posibles riesgos a los que puede estar

expuesto mi negocio.

¿Qué son las vulnerabilidades? y ¿qué se entiende

por amenazas?

¿Cuáles son las necesidades de seguridad de mi

negocio?

Resaltar los beneficios de estar protegido.

Comprender el valor añadido que ofrece a mi
empresa la implantación de medidas de
seguridad.

3
1. INTRODUCCIÓN

4
 1. INTRODUCCIÓN

Todos los negocios se apoyan en las nuevas tecnologías para el desarrollo

de su actividad profesional por las posibilidades que ofrece: aumento de
productividad, mayor alcance de la oferta, nuevos canales de comunicación con
clientes, proveedores etc.

Pero la clave está en saber protegerse en este nuevo

entorno para asegurar el buen desarrollo de la actividad propia
de tu negocio.

Los mercados digitales y globales están al alcance de autónomos y pymes a través de internet.

¡Los negocios que tengan éxito serán aquellos que se adapten a este nuevo entorno, entendiendolas
nuevas tecnologías y sacando el máximo partido deellas!

Al igual que la seguridad en el mundo físico, la ciberseguridad tiene una gran trascendencia e impacto para las
personas y para losnegocios.

5
1. INTRODUCCIÓN

En el mundo digital la ciberseguridad trasciende a nivel global e individual. De todos depende alcanzar un
grado de seguridad y de confianza que permita un desarrollo económico favorable para todos.

La ciberseguridad es hoy uno de los retos más importantes a los que se enfrentan gobiernos,
empresas y ciudadanos.

Se trata de un aspecto de crucial importancia en un entorno interconectado y dependiente de la tecnología.

Es imprescindible para alcanzar la necesaria confianza en el ámbito digital.

Las pequeñas empresas y los autónomos también

pueden ser objetivo de un ciberataque.

Deben contribuir a mejorar el nivel de seguridad

de las TIC, no sólo para asegurar la buena marcha
de sus negocios, sino también para aumentar la
confianza de sus clientes en Internet (como
elemento clave para el desarrollo económico de una
comunidad).

6
1. INTRODUCCIÓN

Las TIC se han vuelto indispensables en las empresas, grandes y pequeñas, para asegurar el desarrollo
de los procesos de negocio. Por ello, es importante que todos conozcamos los riesgos derivados del uso
de las nuevas tecnologías.

Los riesgos pueden estar provocados por:

• descuidos o errores
• falta de concienciación de la importancia de la ciberseguridad
• ataques externos o internos malintencionados
• causas naturales como incendios, inundaciones, etc.

Todos pueden causar daños ECONÓMICOS y comprometer la buena marcha o la

continuidad del negocio.

7
1. INTRODUCCIÓN

Pero… si soy indepediente o tengo unaempresa

pequeña…

¿Seguro que esto es también para mi?

Incluso las más pequeñas deben ser conscientes de que

deben proteger sus recursos. Se arriesgan a:
• perder información
• hacer un mal uso de los datos, equipos o instalaciones
• no adoptar las medidas de protección físicas necesarias

Aunque sean pequeñas no pueden permitirse que sus

negocios y sus clientes puedan sufrir algúnperjuicio.

8
1. INTRODUCCIÓN

Entonces, la ciberseguridad también me va a ayudar a hacer un uso

seguro y adecuado de las TIC.

Efectivamente, como iremos viendo a lo largo del curso, esta disciplina permitirá
identificar los recursos más importantes para nuestro negocio, los riesgos
reales que afectan a los mismos y las medidas más adecuadas para
asegurarlos frente aellos.

ORGANIZACIÓN Errores y fallos no intencionados

Los tipos de incidentes que Ataques intencionados

nos pueden afectar pueden Tipos de
clasificarse en función de su incidentes
origen. Desastres naturales

De origen industrial

9
 1. INTRODUCCIÓN
Por lo tanto, podemos
distinguir entre los siguientes
tipos de incidentes, en
función de suorigen:
Errores y fallos no
intencionados
 Errores de los usuarios, del
administrador o de
configuración
 Deficiencias en la
organización
 Alteración de la información
 Introducción de información
incorrecta
 Degradación de la
información
 Destrucción de información
 Divulgación de información
Ataques intencionados
Fallos deliberados causados por
las personas:
 Manipulación de la
configuración
 Suplantación de la identidad
del usuario
 Abuso de privilegios de
acceso
 Acceso no autorizado
 Interceptación de
información (escucha)
 Modificación de la
información
 Introducción de falsa
información
 Destrucción de información
 Divulgación de información
 Ingeniería social
Desastres naturales
Sucesos que pueden ocurrir sin
intervención de los seres
humanos como causa directao
indirecta:
 Fuego (por un rayo)
 Daños por agua
(desbordamiento de un rio)
 Otros desastres naturales
(tornados)
De origen industrial
Pueden darse de forma
accidental o deliberada:
 Fuego, agua
 Desastres industriales
 Contaminación mecánica o
electromagnética
 Avería de origen físicoo
lógico
 Corte del suministro eléctrico
10
 1. INTRODUCCIÓN

Casos reales de ciberataques

Programas que permiten el secuestro de los
sistemas de información a cambio de un rescate o
ransomware: son virus que impiden utilizar el
equipo, mientras no paguemos una cierta cantidad
de dinero, bloqueándolo o cifrando nuestra
información.
22/10/2015 (OSI): Se ha descubierto un sitio web
(www.contacto-paypal.com) que aparenta ser de
PayPal pero que en realidad se trata de una
falsificación diseñada con el fin de robarte datos
personales y bancarios.

Para resultar más convincentes, en ocasiones utilizan

Saber más [3]
los logos de autoridades u organismos oficiales para
intimidar a lasvíctimas.

De esta forma nos hacen creer que hemos sido

sancionados por alguna acción ilegal. Algunos
ejemplos de este tipo de malware son: Virus de la
Policía [1] y Virus de Correos[2]. ¿¿Cómo?? ¿¿Por dónde??

Vulnerabilidad crítica en Adobe Flash Player que ¿¿Qué puedo

pone en riesgo la privacidad del usuario.
hacer para
protegerme?

Saber más [4] ?

11
 1. INTRODUCCIÓN

Cualquier organización puede ser víctima del cibercrimen y de ciberataques con independencia de su
tamaño y del sector de su actividad. Sin embargo, es cierto que no todas manejan la misma cantidad de
información sensible.

Por ejemplo, una organización del sector financiero que gestiona pagos, datos económicos y datos personales
de clientes tendrá mayor dependencia de los mismos para asegurar la buena marcha de su negocio.

No obstante, con independencia del sector al que pertenezcan, las pequeñas empresas también manejan
datos sensibles de clientes y proveedores que de no estar protegidos pueden ser objeto de un ataque, con el
consiguiente perjuicio tanto a clientes y proveedores como para el negocio.

Para los ciberdelincuentes las pequeñas empresas son

objetivos fáciles, ya que carecen de medidas de
protección y están más despreocupadas en cuanto a
Ciberseguridad.

Esto les permite acceder a información de nuestros clientes

y proveedores. El objetivo puede ser perjudicar nuestro
negocio o vender esa información en el mercadonegro.

12
 1. INTRODUCCIÓN

Los ataques son cada vez más complejos y sofisticados, utilizan todo tipo de medios a su alcance, se
aprovechan de nuestras debilidades tecnológicas y no tecnológicas, y son más difíciles de detectar.

Le pueden ocurrir a cualquiera. Y, si nos afecta, perjudicará a nuestro negocio

impidiendo el buen desarrollo de nuestra actividadprofesional.

- ¿Hasrecibido alguna vez….

…un mail de dudosa procedencia con archivos adjuntos extraños?
…correos del banco solicitando tus contraseñas y al comprobarlo con el banco
han negado haber enviado eseemail?
Éstos son casos de PHISHING.
- ¿Se ha bloqueado alguna vez tu página web? Podría tratarse de un ataque
de denegación de servicio.

Tengo que reconocer que sí. Alguna vez me ha pasado a mí y otras en mi

entorno personal y profesional.

13
1. INTRODUCCIÓN

La ciberseguridad protege la información:

Almacenada, enviada y recibida desde el móvil o

la tableta: contactos, correos electrónicos,
imágenes, SMS, WhatsApp, etc.

Almacenada en dispositivos digitales: memorias

USB, portátil (listados de clientes, compras/ventas,
catálogos de productos…)

Enviada y recibida por internet, por ejemplo por

correo electrónico.

Información recibida y gestionada a través de

aplicaciones desde distintos dispositivos.

Información que tratamos con programas de

gestión de bases de datos, hojas de cálculo, CRM,
etc.

También protege otra información digital relevante

para el negocio como puede ser la página web de
la empresa.

14
 1. INTRODUCCIÓN

La ciberseguridad afecta en mayor o menor medida a los negocios en funciónde su dependencia de la

tecnología.

Y… ¿cómo puedo determinar cuál es mi grado de dependencia de las TIC?

¿Usas ordenadores para el desarrollo de tu actividad profesional?, ¿teléfonos móviles?,

¿tabletas?
¿Tienes página web?
¿Utilizas el email para contactar con tus clientes, proveedores? o ¿almacenas información de tu
negocio en la nube?

Claro! Todo el mundo utiliza en mayor o menor medida las TIC para el
desarrollo del día a día de su actividad profesional.

Según nuestra actividad y nuestro grado de uso de las TIC tendremos una dependencia
mayor o menor de las TIC. Algunas empresas sólo utilizan el correo electrónico,
ordenadores conectados a internet y algún dispositivo móvil, mientras que otras tienen
tienda online o página web, utilizan servicios en la nube o hacen un uso intensivo de
programas informáticos.
Conocer nuestra dependencia tecnológica nos va a ayudar a analizar nuestros riesgos
en el uso de lasTIC. 15
 1. INTRODUCCIÓN

Usan los equipos informáticos principalmente para la gestión diaria de las

actividades internas del negocio.

Por ejemplo una peluquería sin página web, que realiza los pedidos de sus
productos a través de Internet. Utiliza una aplicación en un PC para
gestionar la información y las citas de sus clientes.
Dependencia Baja

Dependen de la tecnología para el desarrollo y lanzamiento de productos

y servicios y para la comunicación con proveedores y clientes a través de
Dependencia Moderada Internet.
Por ejemplo un taller de coches que ofrece productos y servicios a través de
su página web, que permite el registro de clientes y pedidos. Si la página no
funcionara, el negocio se verá perjudicado aunque su actividad (reparación de
coches) no se interrumpirá.

Dependencia Alta

Las TIC son el sustento que permite el desarrollo del negocio en sutotalidad.

En este caso el ejemplo sería una empresa de transportes con una flota de
vehículos, que ofrece servicios online siendo éste el canal de comunicación
elegido para el contacto con clientes y la oferta de productos. Además, hacen
un uso elevado de dispositivos móviles en los vehículos para comunicarse y
acceder a las aplicaciones de la empresa desde cualquier lugar.

16
 1. INTRODUCCIÓN

Se caracterizan por:

Dependencia Baja utilizar PC para realizar el trabajo administrativo (ofertas,

correspondencia,…).
utilizar aplicaciones en local para mantenimiento de aplicativos con
bases de datos y hojas de cálculo (clientes,finanzas,…).
Dependencia Moderada utilizar internet fundamentalmente para consulta y búsqueda de
información.
es posible que utilicen correo electrónico como medio de
comunicación con empresas proveedoras y con clientes, pero no es
Dependencia Alta común que dispongan de servidor decorreo.
pueden disponer de una página web informativa (descarga de
documentación, información de contacto, …) que generalmente aloja
externamente.
utilizar la red de área local o wifi para compartir recursos (impresoras,
discos, acceso a internet…), pudiendo disponer de un servidor de
ficheros.

17
 1. INTRODUCCIÓN

Se caracterizan por:

Dependencia Baja utilizar herramientas colaborativas en red para gestión del negocio
(gestión de procesos, RRHH, gestión de clientes,…).
utilizar internet para el potenciar el negocio (mailings, publicidad,…) y
para el cumplimiento de las obligaciones con la administración.
Dependencia Moderada disponer de servidores de correo electrónico que se administran
localmente o se subcontratar elservicio.
utilizar la red de área local para compartir recursos (aplicaciones,
Dependencia Alta ficheros,…) con servidores propios.
su página web cambia con frecuencia de contenidos (noticias, boletines
RSS, catálogo de productos,…) y puede contener servicios interactivos
(formularios,…).
es posible que utilicen dispositivos portátiles para acceso remoto a su
red corporativa.

18
 1. INTRODUCCIÓN

Se caracterizan por:

Dependencia Baja utilizar internet u otras redes para el desarrollo del negocio (B2B,
B2C,…).
es posible que dispongan de servicios/productos que se distribuyen y/o
venden on-line.
Dependencia Moderada utilizar el intercambio electrónico para el desarrollo del negocio
(contratación, facturación,…).
disponer de una intranet (formación, aplicativosinternos,…).
Dependencia Alta formar redes particulares con sus proveedores y sus clientes
(extranets).
utilizar herramientas colaborativas basadas eninternet.

19
1. INTRODUCCIÓN

Imagino que has llegado a la misma conclusión que yo…

ya seas autónomo, pequeña o mediana empresa,
cada vez haces más uso de tecnologías que se
encuentran conectadas a la red – uso de servicios en la
nube, páginas web, uso de elementos móviles
conectados (móviles y tabletas), wifi, etc.

20
2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

21
2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

¿Qué es eso de Seguridad de lainformación?

La seguridad de la información es la protección de nuestros activos de

información.

¿Activos de información? ¿Qué es eso?

La información y todo lo que maneja o contiene la información

necesaria para tu negocio.

Móviles, portátiles, memorias USB, discos, routers, servidores…, software y

aplicaciones comerciales o a medida, datos en aplicaciones empresariales,
página web, tienda online, bases de datos de clientes, productos, informes,
documentos, contratos de trabajo, contratos de suministro…

…pero no todo tiene la misma importancia…

¡¡Claro!! ¡Tienes toda la razón! Por eso hay que clasificar la información
e identificar la que es más importante para nuestro negocio. De esta
forma, sabremos qué activos debemos proteger.

22
 2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

La información es un recurso esencial para el desarrollo de cualquier actividad profesional. Los sistemas de
información almacenan, gestionan y tratan la información necesaria para el negocio. La información y los
elementos que forman estos sistemas de información son los Activos de información* de la empresa.

La evolución de las tecnologías de la información nos ha permitido automatizar y optimizar muchas de

las actividades que se llevan a cabo en nuestra organización.

Estas tecnologías han ido ocupando un lugar cada vez más importante en los sistemas de información de
las empresas, hasta el punto en que hoy en día sin estas tecnologías muchos de nuestros procesos de
negocio no serían posibles.

¿Cómo identifico los sistemas de información relevantes para nuestro negocio?

Hay que seguir los pasos 1 y 2 que se indican a continuación, pero

lo iremos desarrollando a lo largo del curso e identificaremos los
activos de información concretos de nuestra empresa.

Identifica tus recursos de información:

1 Equipos donde guardas la información,
aplicaciones, datos, software,…
ACTIVOSDE
INFORMACIÓN*
2 Selecciona aquellos recursos que contienen
información crítica para tu negocio

* La definición “Activos de información” se desarrollará con detalle en la Sección “Conócete a ti mismo” 23

2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

La información digital y las nuevas tecnologías se han

convertido en esenciales para lasorganizaciones.

¿Qué pasa con la información en papel? ¿La seguridad de la

información sólo afecta a la información digital?

SEGURIDAD DE LA INFORMACIÓN

Protección de información
Protección de la información y de los sistemas de información del acceso, uso, divulgación,
interrupción o destrucción no autorizada.

Información en formato electrónico, como por

Información en otros formatos (no
ejemplo toda la información almacenadadigital o
electrónicos), como por ejemplo en papel,
virtualmente (correos electrónicos, facturas
película fotográfica, cinta de audio,etc.
digitales, imágenes…)

24
2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

La necesidad de proteger nuestra información existe con

independencia de su formato.

Controles

FÍSICOS
LÓGICOS
Guardar documentos
Cifrar la información.
bajo llave.

25
2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

¿Cómo podría identificar aquella

información que esimportante?

Puedes pensar en:

¿Qué ocurriría si esa información cae en manos de terceros?

¿Podría perder ventaja competitiva? (información de mi negocio)

¿Podrían cometer un delito con esa información? (fraude, robo…)

¿Estaría desvelando datos privados de los clientes o violando derechos de los consumidores?
¡¡Cuidado!! Enestos casos podríamos ser sancionados.

¿Y si pierdo esa información, como me afectaría?

¿Es información crítica y necesaria para el desarrollo de mi negocio?

¿El coste de recuperarla o de volver a generarla sería muy alto?

26
2. EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

INFORMACIÓN  ACTIVO QUE TIENE ALTO VALOR PARA EL NEGOCIO

Si se ve comprometida

IMPACTO ECONÓMICO EN TU NEGOCIO

Directo: fraude o robo de información o datos de la organización, cese de actividad por
indisponibilidad de equipos, multas por incumplimiento legal de protección de la privacidad de
los clientes, etc.

Indirecto: Impacto sobre daños no materiales como la reputación o la imagen de la empresa que
se traducen en pérdida de clientes existente y potenciales.

La importancia de la seguridad de la información radica en proteger aquellos activos de información

que son valiosos para tunegocio.

27
3. RIESGOS

28
3. RIESGOS

¿Qué riesgos corre nuestro negocio?

Los riesgos que existen en mi organización son aquellos que pueden poner en
peligro mi información (de clientes, financiera, de procesos, empleados, etc.) y
con ello comprometer el desarrollo de mi actividadprofesional.

¿Y como sé cuales son los más relevantes?

Dependerá del impacto que causen los distintos riesgos detectados en mi negocio.
Cada empresa tiene unos activos de información, además de características y
necesidades concretas que hacen que la evaluación de los riesgos sea particular.

En la siguiente diapositiva veremos una relación de algunos de los riesgos,

ordenados por la gravedad de su impacto en la mayoría de negocios.

A lo largo del curso veremos qué riesgos existen en función de los activos de
información que se identifiquen en nuestra empresa y qué medidas puedo
implementar para protegerlos.

29
 3. RIESGOS

Riesgo Impacto

Robo de información
Pérdida de ventaja competitiva / comercial
privilegiada o esencial

Acceso a la información y los datos de mi negocio a través de intrusiones

Intrusiones en mis sistemas y difíciles de detectar
acceso a información sensible o Exponer datos / información confidencial
confidencial Impacto reputacional /pérdida deimagen

Tener una situación desventajosa en un tiempo alargado acentúa el daño

No ser capaces de restaurar la (más pérdidas por inactividad). No poder restaurar la situación
situación después de un debidamente pone en riesgo la continuidad de nuestra actividad, con la
incidente (Resilencia) consiguiente pérdida económica y de imagen.

Estar expuesto a Pérdidas económicas por robo/fraude

ciberdelincuent Impacto reputacional
es

Ataques a la marca (redes Pérdidas de clientes

sociales) Impacto reputacional

Estar expuestos a un ataque

cibernético de denegación de Interrumpir el servicio tanto interno como a cliente (pérdida de ventas)
servicio (por ejemplo en Impacto reputacional
nuestros servicios web) Incumplimiento normativo o contractual y posiblessanciones

39
4. VULNERABILIDADES

31
 4. VULNERABILIDADES

¿Qué es eso devulnerabilidad?

Una vulnerabilidad en general puede definirse como una

debilidad que puede poner en peligro la información y
comprometer el buen desarrollo de nuestra actividad
profesional.

¡Ah! ¿Entonces, pueden definirse como «debilidades» que

presentan los activos de información por la ausencia o
ineficacia de «controles» o medidas que losprotejan? ¡Exacto!

Permiten a un atacante violar la confidencialidad,

integridad, disponibilidad de la información.

¿Vas a dejar al azar que pueda pasarte ati?

32
4. VULNERABILIDADES
Aquí tenemos algunos ejemplos de tipos de vulnerabilidades por su origen.
Error en la gestión
de recursos:
Una aplicaciónpermite que
se consuman un exceso de
recursos afectando a la
disponibilidad de los
mismos.
Validación de entrada:
Fallo en la validación de datos
introducidos en aplicaciones
que puede ser una vía de
acceso de unataque.
INCIBE publica distintos avisos en materia de seguridad que permiten mantener actualizada
esta información [5]
Error de configuración:
Problema de configuración de
software o de los servidores web. Este
error puede provocar la inutilización
de páginas web a través de ataques de
denegación de servicio (DoS) que
explicaremos a lo largo de este curso.
Salto de directorio:
Fallo en la depuración de un
programa, en la validación de
caracteres especiales quepermite
el acceso a directorios o
subdirectorios no deseados.
Factor humano:
Negligencias causadas
generalmente por la faltade
formación y concienciación.
Ejemplo: apuntar las
contraseñas en post-its
Permisos, privilegios
y/o control deacceso:
Fallos en la protección y
gestión de permisos que
permiten el control de acceso.
33
5. AMENAZAS

34
5. AMENAZAS

Vale, ya se qué es una vulnerabilidad, pero entonces,

¿qué es una amenaza?

¿Una amenaza? Es todo elemento que aprovecha una vulnerabilidad

para atentar contra la seguridad de un activo de información.

¡¡Ah!! ¡¡Vale!! Pero, ¿podré establecer medidas para

protegerme de las amenazas? ¿¿¿verdad???

¡Sí! ¡¡Claro que sí!! Aunque es prácticamente

imposible controlarlas totalmente y menos aún
eliminarlas.

35
5. AMENAZAS

¿¿Qué ocurre cuando una amenaza aprovecha la debilidad - vulnerabilidad -

de uno de nuestros sistemas de información??

Que ocasiona un incidente de seguridad

en el sistema.

¡¿Un incidente de seguridad ?!

¡Sí! Un incidente de seguridad es cuando

una amenaza ha conseguido su objetivo,
comprometiendo la seguridad de la
información.

A continuación puedes ver en un esquema la relación entre los distintos

conceptos utilizados a lo largo de la explicación. Aunque parezca complejo…
tranquilo! los iremos detallando y describiendo a lo largo del curso.

36
5. VULNERABILIDADES Y AMENAZAS

RESUMEN

Las amenazas se aprovechan de las vulnerabilidades

AMENAZAS Ambos aumentan los riesgos VULNERABILIDADES

Cuando un riesgo se
vuelve real, causa un
incidente
Afectan a
INCIDENTE RIESGOS los activos

En un ciberataque, se materializa el
Disminuimos los riesgos riesgo y el activo se ve comprometido

CIBERSEGURIDAD ACTIVOS

Ciberseguridad: protección de los activos frente a las amenazas y vulnerabilidades.

Activos: sistemas, equipos, personas, etc. relacionados con la información.
Por ejemplo, en una WEB, los activos serán: el servidor de la web, el propio software de la
web, sus bases de datos y contenidos, y las personas que administran la web.

37
6. ¿QUÉ PUEDO HACER?

38
6. ¿QUÉ PUEDO HACER?

¿Qué puedo hacer yo?

Puedes implementar medidas o controles que aumenten el nivel de

protección de tus activos de información, para contener los daños y
minimizar los impactos en caso de incidente. Es lo que se denomina
resiliencia, es decir, la capacidad de superar situaciones adversas, ya
sean ataques o incidentes no intencionados.

¿Cómo?

Durante este curso te enseñaremos a identificar y analizar los

activos de información de nuestra organización, los riesgos y su
impacto, así como las medidas que pueden aumentar el nivel de
protección en beneficio de nuestro negocio.

A continuación, veremos algunos ejemplos de posibles riesgos y

algunas de las medidas que podrían interesarte.

39
6. ¿QUÉ PUEDO HACER?

Usar un
antivirus
Información
personal Para ordenadores y
Actualizar
teléfonos móviles
Velar por el buen uso de Sistema Operativo y
información sensible y aplicaciones de internet
personal de la
organización y sus
empleados

Redes sociales Formar a los

Evitar contactos de origen empleados
dudoso Aumentar el nivel de concienciación
en seguridad entre los miembros de
la organización

Conexiones sólo en No abrir “spam”

caso necesario
Desechar de inmediato
Bluetooth, wifi el correo basura
y función GPS

Descargar Usar contraseñas

aplicaciones de seguras
confianza
Sólo de mercados Copia de Con mayúsculas, números
oficiales y con el seguridad y caracteres combinados
consentimiento de la
empresa De los archivos que no
quieras perder

49
7. BENEFICIOS

41
 7. BENEFICIOS

Para evitar las consecuencias de los ataques dentro de mi organización debo conocer el riesgo e implementar
medidas que contribuyan a reducir o mitigar su impacto negativo en nuestro negocio…. ¿CÓMO?

Estableciendo contraseñas en los equipos.

Controlando los accesos a información sensible.
Cifrando información haciéndola ilegible para todo aquel que no tenga las claves y esté legitimado para
descifrarla.
Implementado firewalls o cortafuegos que controlan el tráfico no deseado desde Internet.
Instalando antivirus en los distintos equipos utilizados para el desarrollo de negocio.
Filtrando el correo electrónico para evitar correos no deseados o de procedencia sospechosa.

Estas son algunas de las medidas de seguridad que se pueden implementar para
evitar las consecuencias de ataques e incidentes de seguridad.

Identificando los activos y las amenazas que pueden afectar al negocio, puedo
también seleccionar medidas a implementar para minimizar el riesgo de ataques o
incidentes que afecten a mi información y a los datos de mis clientes.

Esto redundará en la seguridad de mi negocio y en la confianza de mis clientes.

42
CONCLUSIONES
Una correcta identificación de los activos de información utilizados por la organización
es esencial para entender dónde está el valor de mi negocio y cuáles son los recursos más
esenciales para el buen desarrollo del mismo.

La ciberseguridad es una necesidad debido al auge de las TIC en todos los entornos para
el buen desarrollo de mi actividad profesional. Cada vez es más habitual que un negocio
se apoye en recursos tecnológicos para el desempeño de su actividad.

Existen distintas amenazas que pueden comprometer mi negocio aprovechando

vulnerabilidades (fallos técnicos, desconocimiento, malas configuraciones, falta de
procedimientos) en los sistemas de información (equipos, redes, programas, datos,
personas, procesos) utilizados para el desarrollo de mi actividad profesional.

Las consecuencias o el impacto que tengan estas amenazas en mi organización pueden

provocar daños de imagen, pérdida de potenciales clientes o clientes consolidados, así
como el cese o la interrupción de mi actividad, con el consiguiente perjuicio económico.

Todos estos riesgos pueden ser mitigados a través de medidas que contribuyen a
garantizar la protección de aquellos activos más relevantes dentro de mi organización, si
son implementados y utilizados correctamente en beneficio del negocio.

43
Referencias

[1] Ejemplo malware: virus de la policía:

https://www.osi.es/actualidad/avisos/2012/01/virus-muestra-un-falso-mensaje-del-
cuerpo-nacional-de-policia

[2] Ejemplo de malware: virus de correos:

https://www.osi.es/actualidad/avisos/2015/05/correos-y-telegrafos-no-te-ha-enviado-
ninguna-notificacion?origen=carrusel

[3] Post en el blog de la OSI del 22/10/2015: Se ha descubierto un sitio web

(www.contacto-paypal.com) que aparenta ser de PayPal pero que en realidad se
trata de una falsificación diseñada con el fin de robarte datos personales y
bancarios. http://www.osi.es/es/actualidad/avisos/2015/10/phishing-al-servicio-de-
pago-paypal

[4] Vulnerabilidad crítica en Adobe Flash Player que pone en riesgo la privacidad
del usuario: https://www.incibe.es/protege-tu-empresa/avisos-
seguridad/vulnerabilidad-critica-flash-player

[5] INCIBE publica distintos avisos en materia de seguridad que permiten

mantener actualizada esta información
https://www.incibe.es/protege-tu-empresa/avisos-seguridad

44