CURSO DE

ESPECIALIZACIÓN EN

GESTIÓN DE RIESGOS DE T.I.

Y CIBERSEGURIDAD

MAYO - 2023
  LINEA DE TIEMPO DEL CASO DIRIGIDO
1. PRESENTACIÓN
DEL CASO
1. LINEA DE TIEMPO DEL CASO DIRIGIDO

-Equifax anuncia
Calificación publicamente la
Equifax Workforce Detección del tráfico negativa para violación de
Solutions expuesto de red de los hackers seguridad de información
Fundación de Primeras fallas ante piratas y cierran la las aplicaciones de -Disminución del
Equifax Inc de seguridad informáticos aplicación Equifax precio de acciones

2005 2016 2017-Marzo 2017-Abril 2017-Agosto 2017-Octubre

1899 2013-2014 2017- Febrero 2017-Mayo 2017-Julio 2017-Setiembre

-Probabilidad alta de
Inversiones de Descuido para los -Falla de seguridad Smith notifica al Equifax anuncia el
violación de
millones en sistemas de parches en Apache Struts director sobre la robo de 10 millones
seguridad
seguridad -No se logra violación de datos
-Calificación de
identificar que la
cero en privacidad y
vulnerabilidad no
seguridad para
esta parchada
Equifax
  PRESENTACIÓN DE ACTIVOS IDENTIFICADOS
2. INVENTARIO
DE ACTIVOS
IDENTIFICADOS
2. IDENTIFICACIÓN DE ACTIVOS

ACTIVOS DE INFRAESTRUCTURA ACTIVOS DE SOFTWARE

 Sistema ACIS
 Servidor Web
 Servidor Correo
 SSLV dispositivos visibilidad ssl
  PRESENTACIÓN DE RIESGOS IDENTIFICADOS
3. EVALUACIÓN
DE RIESGOS
IDENTIFICADOS
3. EVALUACIÓN DE RIESGOS

Riesgos Inherentes
3. EVALUACIÓN DE RIESGOS

Riesgos residuales
  PRESENTACIÓN DE LAS RESPUESTAS A LOS
4. RESPUESTA A
LOS RIESGOS RIESGOS IDENTIFICADOS
IDENTIFICADOS
4. RESPUESTA A LOS RIESGOS EVALUADOS
  PRESENTACIÓN DE INDICADORES DE CLAVE
5. INDICADORES
DE CLAVE DE DE RIESGOS (KRI)
RIESGOS (KRI)
5. INDICADOR DE CLAVE DE RIESGO (KRI)

Criterios Descripción

Objetivo del Garantizar la protección y seguridad de la información confidencial de los clientes, minimizando los riesgos
negocio de violaciones de datos y manteniendo la confianza del mercado y los clientes.

Identificación de Vulnerabilidad declarada en Apache Struts CVE 2017-5638 que permite correr comando privilegiado y
riesgo descargar información del servidor que no está en una red segmentada.

Porcentaje de vulnerabilidades parchadas:

Formulación de KRI
Total, de vulnerabilidades parchadas / Total, de vulnerabilidades identificadas

Responsables y Seguridad de la Información (Comité de Riesgos -> Mensual)

control Tecnología de la Información (Comité de TI -> Quincenal)

OBJETIVO DEL KRI

Umbrales Porcentaje
Este KRI mide la cantidad de vulnerabilidades de seguridad.
Puede incluir vulnerabilidades en el sistema operativo, software Adecuado 100%
de terceros, configuraciones incorrectas, entre otros. Una
De cuidado 90% - 99%
disminución de porcentaje podría indicar un mayor riesgo de
explotación de vulnerabilidades y posibles brechas de Justificación 0% - 89%
seguridad.