LA CIBERSEGURIDAD Y SU IMPACTO EN LOS PROYECTOS

Introducció n

El crecimiento de los proyectos digitales pone de relieve la importancia de la

ciberseguridad, Las amenazas cibernéticas son cada vez má s comunes y sofisticadas, La
ciberseguridad es la prá ctica de proteger la informació n y los sistemas informá ticos.

¿Qué es la ciberseguridad?

La ciberseguridad es la prá ctica de proteger la informació n y los sistemas informá ticos, se

puede asegurar que la ciberseguridad es esencial para garantizar el éxito de los proyectos
digitales, ademá s que la confidencialidad, la integridad y la disponibilidad de los datos son
componentes clave de la ciberseguridad.

El diario el DINERO asegura que la Republica Dominicana sufrió mas 2.200 millones de
ciberataques en el añ o 2021.

Ciberseguridad.
La Ciberseguridad se ha convertido en una prioridad global, las amenazas emergentes de la
ciberesfera son un fenó meno reconocido, y como tal, los estudios en ciberseguridad son
estratégicamente importantes a cualquier proyecto ya sea de fondos pú blicos o privados.

¿Qué es un Proyecto?
Es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado
ú nico. Los proyectos se realizan para alcanzar los objetivos mediante la producció n de
entregables.

Gestión de Proyectos.
La gestió n de proyectos es un conjunto de metodologías para planificar y dirigir los
procesos de un proyecto. Está esencialmente dirigida a conseguir los objetivos
preestablecidos para proporcionar un beneficio a la organizació n.

Importancia de un plan de gestión de riesgo de la información.

La informació n y los procesos que sirven de apoyo a la gestió n de proyectos y al proceso de
negocio, por medio de grandes bases de datos, redes o sistemas de informació n tienen un
gran valor para la empresa. Por lo que es necesario que podamos protegerlos de amenazas
que ponen en peligro la integridad, confidencialidad y disponibilidad. Afectando de esta
manera las operaciones, competitividad y reputació n de las organizaciones.

Alcance de la gestión de proyecto.

Medicina, Odontología, Psicología, Ingeniería Civil, Industrial y TICs, Arquitectura, Diseñ o,
Educació n, Comunicaciones, Economía, Mercadeo, Derecho, Administració n, Empresas.

Amenazas cibernéticas communes.

El malware, el phishing, los ataques de fuerza bruta y los ataques DDoS son amenazas
cibernéticas comunes
Estas amenazas pueden comprometer la seguridad del proyecto y tener graves
consecuencias.
Las amenazas cibernéticas está n en constante evolució n, lo que hace que la ciberseguridad
sea un esfuerzo continuo.

Impacto de la falta de ciberseguridad en los proyectos.

Invertir en ciberseguridad es un enfoque proactivo para evitar estas consecuencias.

La pérdida de datos, el robo de informació n confidencial, el tiempo de inactividad del

sistema y el dañ o a la reputació n de la empresa son algunas de las consecuencias de las
medidas inadecuadas de ciberseguridad.

El costo de un ataque cibernético puede ser significativo, tanto en términos financieros

como de reputació n.

Mejores prácticas de ciberseguridad en proyectos.

El uso de contraseñ as seguras, actualizaciones regulares de software y autenticació n de dos
factores son algunas de las mejores prá cticas para protegerse contra las amenazas
cibernéticas.

Garantizar que los empleados estén capacitados en ciberseguridad también es importante.

Las evaluaciones perió dicas de riesgos y las pruebas de vulnerabilidad pueden ayudar a
identificar y mitigar posibles debilidades.

Papel de los profesionales de ciberseguridad.

Contar con expertos en ciberseguridad en el equipo del proyecto puede garantizar que las
consideraciones de ciberseguridad se aborden adecuadamente.

Las responsabilidades de los profesionales de ciberseguridad incluyen garantizar el

cumplimiento de las leyes y regulaciones relevantes.

Los profesionales de ciberseguridad pueden aportar experiencia en gestió n de riesgos y

respuesta a incidentes.

La seguridad de la información.
La importancia de proteger la informació n de empleados, contratistas externos y usuarios
es de vital importancia contra los principales tipos de ataques cibernéticos.

Mayores 5 Amenazas a las que se enfrentan las empresas.

1. Phishing 28%.
2. Malware 26%.
3. Ataques DOS 17%.
4. Robo de Dinero 16%.
 5. Fraudes 13%.

Principales ciberdelitos denunciado durante abril 2022.

1. Extorsió n 19%.
2. Estafas 16%.
3. Phishing 15%.
4. Skimming 13%.
5. Llamadas amenazas 11%.
6. Difamació n 10%.
7. Robo de identidad 10%.

Categoria de casos atendidos por el CSIRT (Computer Security Incident Response Team,
equipo de respuesta a incidentes de seguridad informá tica)
Robo de informació n 14
Intrusió n 1.
Disponibilidad 2.
Có digo malicioso 1.

Herramientas para prevenir la fuga de información.

1. Normativa estatal + procedimientos internos.
2. Tener bien organizada la informació n, protecció n perimetral y copias de seguridad.
3. Cifrado de documentos y discos duros.
4. Auditorías.
5. Divulgació n y formació n para fomentar las buenas prá cticas en materia de
seguridad.

PRINCIPIOS DE CIBERSEGURIDAD:
Confidencialidad, Integridad y Disponibilidad.

Procedimientos que seguir para prevenir los ataques y estar bien preparados.
1. Detecció n mediante sondas
2. Clasificació n del ataque
3. Priorizació n en funció n del impacto
4. Gestió n del equipo de respuesta.

Es Importarte conocer las leyes y normativas del país en materia de Ciberseguridad.

Dentro de las leyes de ciberseguridad de Rep. Domi. Hemos compilados los siguientes
datos:

LEY N° 53-07 CONTRA CRÍMENES Y DELITOS DE ALTA TECNOLOGÍA:

1. Definición de Delitos Tecnológicos: La Ley establece y define una serie de delitos
informá ticos y de alta tecnología, como acceso ilegal a sistemas, interceptació n de
comunicaciones, fraude informá tico, dañ os a sistemas y datos, entre otros.
2. Penalidades: Establece sanciones penales para los delitos tecnoló gicos, que pueden
incluir multas y penas de prisió n, dependiendo de la gravedad de la infracció n.
 3. Investigación y Persecución: La ley proporciona directrices sobre có mo llevar a
cabo investigaciones y persecuciones en casos de delitos tecnoló gicos, incluida la
cooperació n entre las autoridades y la recopilació n de pruebas digitales.
4. Cooperación Internacional: La ley establece la cooperació n internacional en la
lucha contra los delitos tecnoló gicos, permitiendo la extradició n y la asistencia legal
mutua en estos casos.
5. Responsabilidad de las Empresas: La ley puede imponer responsabilidad a las
empresas por delitos tecnoló gicos cometidos en sus sistemas, si no implementan
medidas adecuadas de seguridad cibernética.
6.
LEY N° 172-13 DE PROTECCIÓN INTEGRAL DE LOS DATOS PERSONALES:
1. Definición de Datos Personales: La ley define qué se considera informació n
personal y establece principios para su tratamiento y protecció n.
2. Consentimiento: Establece que el tratamiento de datos personales debe realizarse
con el consentimiento informado del titular de los datos, y este consentimiento debe
ser específico, inequívoco y revocable.
3. Derechos de los Titulares de Datos: Reconoce los derechos de los titulares de
datos personales, incluidos el acceso, rectificació n, cancelació n y oposició n al
tratamiento de sus datos.
4. Transferencia Internacional de Datos: Establece requisitos para la transferencia
de datos personales a países que no proporcionen un nivel adecuado de protecció n,
garantizando medidas de seguridad adecuadas.
5. Seguridad de los Datos: La ley establece la obligació n de implementar medidas de
seguridad adecuadas para proteger los datos personales contra pérdida, acceso no
autorizado, modificació n o divulgació n.

Cuáles son los Tipos de Información que maneja tu empresa.

1. Clasificado oficial (secreta, confidencial…)
2. Bajo amparo de contrato (confidencialidad comercial)
3. Importante o sensible (propiedad intelectual)

Las empresas de hoy en día se distinguen en dos tipos; las que han sido hackeadas y las que
no lo saben.

Centralizar la responsabilidad de gestionar adecuadamente la informació n y los accesos a

la misma en la empresa; los empleados no tienen conciencia de los riesgos, quieren
centrarse en su trabajo”.

Ademá s, que en la gestió n de las identidades no hay que poner el foco en las personas sino
en los activos capaces de conectarse al sistema de la empresa, ya sea una impresora, mó vil,
portá til, etc.

Fases para abordar un adecuado Gobierno de la Identidad:

1. Ciclo de vida: diseñ ar toda la casuística y procesos que pueden darse durante la
actividad laboral de una persona.
 2. Controles de acceso: se deben de definir los “privilegios mínimos de acceso” para
que alguien pueda desarrollar su trabajo sin ningú n problema.
3. Modelo de roles: Categorizar los diferentes perfiles de empresa (técnicos, aplicació n
y negocio)
4. Gestió n de cuentas privilegiadas
5. Cumplimiento con la regulació n

Amenazas y Oportunidades en un entorno hiperconectado.

Los beneficios que ahora mismo podían vislumbrarse para aquellas empresas en las que la
seguridad, en toda su extensió n, ya tenía un papel muy relevante:
1. Compromiso y concienciació n de las personas con los procesos y la problemá tica
actual. Lecciones aprendidas de los ataques.
2. Aprender a contabilizar monetariamente el valor que tiene la informació n.
3. Optimizar los niveles de seguridad para ser má s prá cticos.
4. Identificar y salvaguardar el Know How.

Caso e Impacto.
FireEye descubrió que los hackers insertaron el có digo malicioso SurnBust en las versiones
2019.4 a 2020.2.1 de Orion, que fueron publicadas entre marzo de 2020 y junio de 2020.
Esto les permitía acceder de forma remota a los sistemas de má s de 18,000 clientes de
SolarWinds.

Distribución de ataques.
Tecnología de la informació n 45%.
Gobierno 18%.
Contratistas 9%.
Otros 28%.

Mapa de Servicios de Ciberseguridad.

1. Estrategia y Gestió n de la Ciberseguridad
2. Gestió n de Riesgos
3. Conformidad
4. Concienciació n y comunicació n

Diseño e Implantación.
1. Modelos de Gobierno y Estrategias de ciberseguridad
2. Planes directores
3. Cuadros de Mando
4. Planes de Continuidad de Negocio
5. Planes de Respuesta ante Incidentes
6. Políticas y Controles de Normativa de Seguridad

Concienciación y Comunicación.
1. Planes de Concienciació n en Seguridad.
2. Planes de Comunicació n asociados a las acciones en Seguridad.
La Gestión de Riesgos.
1. Evaluació n de Riesgos
2. Elaboració n de Planes de Tratamiento de Riesgos
3. Aná lisis de Impacto en el Negocio

Se deben tomar en cuenta cuatros puntos clave en la gestió n de los proyectos de

ciberseguridad.
Seguridad física, gestió n de riesgos, seguridad administrativa y la seguridad ló gica.

Análisis de GAP, implantación y auditoría.

1. Modelos de Gobierno y Estrategias de ciberseguridad
2. Planes directores
3. Cuadros de Mando
4. Planes de Continuidad de Negocio
5. Planes de Respuesta ante Incidentes
6. Políticas y Controles de Normativa de Seguridad

Actualmente las organizaciones tienen diferentes tipos de usuario, diferentes tipos de

datos, diferentes autorizaciones, etc. Para asegurar los activos de la organizació n debemos
obtener una visió n completa de los usuarios, de los no-usuarios, de sus accesos y
movimientos. El paradigma de la seguridad se traslada, de centrado en red a centrado en el
usuario.

Para una gestió n de proyectos en ciberseguridad debemos iniciar siempre con un estudio
profundo y sistemá tico del riesgo ya que toda nuestra gestió n en torno a la
ciberseguridad, accesibilidad y protección gira entorno al riesgo.

1. Debemos poder definir el riesgo usando un framework ya probado como es el

ISO27001 ya que esta serie completa sienta las bases en materia de seguridad de la
informació n.
2. Una de las á reas dentro de esta norma que implica mayor complejidad de aplicació n,
es la correspondiente a la evaluació n y tratamiento de riesgos.
3. Esta filosofía consiste en analizar los incidentes que se pudieran producir y
posteriormente buscar las posibles soluciones para tratar de que los mismos no se
repitan.

Metodología para la evaluación de riesgos.

El objetivo de este paso es hacer que todas las partes de la entidad conozcan tal
metodología y la gestió n del riesgo se haga de manera homogénea en todas las
á reas. Esto implica definir si la evaluació n de los riesgos se va a hacer de manera cualitativa
o cuantitativa.

Implementación de la evaluación de riesgo.

Aná lisis de los posibles problemas que podrían surgir en la organizació n.
Contabilizar todos los activos que la misma posee, así como las amenazas y debilidades a
las que se enfrenta.
De media, las organizaciones tan só lo son conscientes de aproximadamente un 30% del
riesgo al que se enfrentan, por lo que, a partir de este paso pueden llegar a conocer hasta
un 70% del riesgo del que no son conocedores.

Implementar el tratamiento de riesgos.

En el tratamiento de riesgos, podemos enumerar cuatro opciones de cara a poder
eliminarlos:
Implementar los controles de Seguridad.
Transferir el riesgo.
Evitar el riesgo.
Aceptar el riesgo en cuestió n.

Informe de Evaluación de Riesgos.

En este paso vamos a documentar todo el aná lisis realizado en los pasos anteriores, así
como los tratamientos que la organizació n haya considerado má s adecuado aplicar.

Elaboración del documento de “Declaración de aplicabilidad

La elaboració n del documento de Declaració n de aplicabilidad de la norma ISO 27001 pone

de manifiesto el perfil de seguridad adoptado por la organizació n en cuestió n. Aquí se
especifican los resultados obtenidos de los tratamientos contra los riesgos. Ademá s, es un
documento que también es importante para el auditor de certificació n.

Plan de tratamiento del riesgo.

Llegados a este punto, es necesario pasar a la prá ctica, es decir, vamos a traspasar toda la
teoría anterior a la prá ctica mostrando resultados concretos. La elaboració n del llamado
“Plan de tratamiento del riesgo.

Y aprobado por la Direcció n de la Empresa.

Ciberseguridad.
Cuando hablamos de ciberseguridad debes saber diferenciar lo que es seguridad de la
informació n y la ciberseguridad, estas, aunque relacionada entre si posee diferencias
inherentes.

Estas definiciones crean paradigmas distintos, en una correcta gestió n de la ciberseguridad

debemos sabes que esta es la seguridad de los datos al viajar por el ciberespacio.

Para una correcta gestió n de la ciberseguridad debemos enfocarla en sus cuatro pilares:
1. Confidencialidad
2. Integridad
3. Disponibilidad
4. No Repudio

Accesibilidad.
Al hablar de accesibilidad hablamos de que la informació n sea accesible y pueda ser usada
por quienes la necesiten al momento de necesitarla, ya sea en sus labores de procesamiento
de estos datos o en la supervisió n de estos datos desde cualquier plataforma o lugar.

Protección.
1. Autenticació n
2. Autorizaciones
3. Auditoria
4. Encriptació n.
5. Copias de seguridad
6. Antivirus
7. Cortafuegos o firewall
8. Servidores proxy
9. Ids/ips
10. Antispawm
11. Anti-ransomware
12. utilizació n de firmas electró nicas o certificados digitales
13. Creació n de políticas.

Valor de los Dato en el Mercado Negro de Ciberseguridad.

Precio Mínimo Precio Máximo

Tipo de Elemento/Servicio Estimado Estimado Notas
Depende de la marca,
Tarjetas de Crédito $100 $1,000 validez y límite.
Varía segú n la cuenta y el
Credenciales de Inicio de Sesió n $150 $1,500 servicio.
Depende de la cantidad y
Datos de Identidad Personal $17 $60 calidad.
Kit de malware/trojan/exploit Valor alto debido a la
bancario $100 $6,000 sensibilidad.
Servicio de transferencia de Depende del tipo y la
dinero $150 $1,300 calidad.
Valor alto por la
Credenciales Bancarias $150 $1,500 potencial ganancia.

Conclusiones
1. La ciberseguridad es esencial para el éxito de los proyectos digitales
2. Las amenazas cibernéticas está n en constante evolució n, lo que hace que la
ciberseguridad sea un esfuerzo continuo
3. Invertir en ciberseguridad es un enfoque proactivo para evitar consecuencias graves
4. Contar con expertos en ciberseguridad en el equipo del proyecto puede garantizar
que las consideraciones de ciberseguridad se aborden adecuadamente