DANIEL EDUARDO NAVARRO RIVAS NR100519

WILBER ERNESTO ELIAS ÁVALOS

1. Dé un ejemplo de una política de seguridad que tenga en el trabajo o que haya visto
utilizada en su industria objetivo. Describe los beneficios y desventajas. ¿Cómo podría
mejorar? ¿Cuándo son bienvenidos/no bienvenidos estos cambios? (usamos
aplicaciones de cifrado de contraseñas)
Política: Uso de Aplicaciones de Cifrado de Contraseñas.
Beneficios:
 Mayor seguridad de las credenciales.
 Protección contra ataques de fuerza bruta.
 Cumplimiento con regulaciones.
Desventajas:
 Complejidad para algunos empleados.
 Costos asociados a la implementación y mantenimiento.
Mejoras Posibles:
 Capacitación adicional sobre el uso de aplicaciones de cifrado.
 Evaluaciones periódicas para mantener la eficacia.

2. Describa las prácticas de concientización sobre educación y capacitación en seguridad

en su lugar de trabajo o donde le gustaría trabajar. ¿Con qué frecuencia se requiere
que los empleados refuercen su conciencia? ¿Los requisitos se basan en su función?
¿Son efectivas estas medidas? ¿Describa la responsabilidad esperada de los empleados
que cometen costosos errores de seguridad?
En mi lugar de trabajo o en un lugar ideal para trabajar, las prácticas de concientización sobre
educación y capacitación en seguridad serían integrales y continuas:
Frecuencia:
 Se llevarían a cabo sesiones de capacitación anuales obligatorias para todos los empleados.
 Se proporcionarían actualizaciones trimestrales o semestrales para abordar nuevas
amenazas o cambios en las políticas de seguridad.
Basado en Función:
 La capacitación se adaptaría a las funciones específicas de cada empleado.
 Departamentos críticos y roles sensibles recibirían capacitación adicional según sus
necesidades particulares.
Efectividad:
  Se realizarían evaluaciones periódicas para medir la efectividad de la capacitación.
 Se implementarían simulacros de seguridad para poner a prueba la respuesta de los
empleados a situaciones de amenaza.
Responsabilidad por Errores de Seguridad:
 Los empleados serían responsables de informar inmediatamente cualquier error o incidente
de seguridad.
 La responsabilidad incluiría seguir los protocolos establecidos para mitigar los daños y
prevenir futuros incidentes.
Errores de Seguridad Costosos:
 Se espera que los empleados asuman la responsabilidad de los errores cometidos.
 Dependiendo de la gravedad del error, podrían aplicarse medidas disciplinarias
proporcionales.
 La capacitación adicional podría ser requerida para aquellos que cometen errores
significativos para prevenir recurrencias.
En general, estas prácticas estarían diseñadas para mantener una cultura de seguridad proactiva,
donde la educación constante y la responsabilidad individual son fundamentales para proteger la
información y los activos de la organización.

3. ¿Qué normas o leyes de cumplimiento debe adherirse o cumplir su organización?

Describa el esfuerzo necesario para hacerlo. ¿Cómo cambiarán la organización los
cambios pendientes en las leyes y estándares?

1. Regulaciones de Protección de Datos:

 GDPR (Reglamento General de Protección de Datos): Si operas en la Unión
Europea o manejas datos de ciudadanos europeos.
 CCPA (Ley de Privacidad del Consumidor de California): Específica para
empresas que manejan datos de residentes de California en los Estados Unidos.
2. Seguridad de la Información:
 ISO/IEC 27001: Estándar internacional para la gestión de seguridad de la
información.
 NIST SP 800-171: Requisitos para el control no clasificado de información en
sistemas no federales.
3. Cumplimiento del Sector:
 HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico): Si tu
consultora trabaja en proyectos de tecnología para el sector de la salud.
  PCI DSS (Normativa de Seguridad de Datos de la Industria de Tarjetas de
Pago): Si manejas información de tarjetas de crédito.
4. Cumplimiento Legal y Ético:
 Leyes locales de protección de datos: Asegurarse de cumplir con cualquier
legislación específica del país o región en la que operas.
 Ética en la Tecnología: Cumplir con principios éticos en el desarrollo y uso de
tecnologías, especialmente en áreas como inteligencia artificial y aprendizaje
automático.
Esfuerzo Necesario:
 Asesoramiento Legal Continuo: Mantener un asesoramiento legal actualizado para
entender y cumplir con las normas relevantes.
 Auditorías Internas y Externas: Realizar auditorías periódicas para evaluar el
cumplimiento y realizar mejoras.
Cambios Pendientes en Leyes y Estándares:
 Monitoreo Continuo: Estar al tanto de los cambios propuestos en las leyes y estándares
relacionados con la tecnología y la privacidad.
 Adaptación Rápida: Prepararse para ajustar las políticas y prácticas en respuesta a los
cambios legales.
Dada la naturaleza dinámica del sector tecnológico, la adaptabilidad y la actualización constante son
clave para mantener el cumplimiento y la seguridad en una consultora tecnológica.

4. Haga un resumen del video de ejemplo.

El fragmento del video hace referencia al hackeo del Departamento de Justicia en

1992, que fue un evento significativo en la historia de la ciberseguridad. En ese
incidente, el primer sitio web del Departamento de Justicia de los Estados Unidos
fue comprometido. El intruso reemplazó la página principal del sitio con una
imagen que mostraba el cuerpo desnudo de la actriz Jennifer Aniston con la
cabeza de Janet Reno, quien era la Fiscal General en ese momento.

Se señala la transición hacia un modelo de "crimen como servicio", donde

individuos con habilidades técnicas limitadas pueden participar en ataques
ransomware mediante servicios proporcionados por grupos especializados.
También se aborda la conexión entre ciertos cibercriminales y actores estatales
que utilizan estos grupos como activos nacionales.

El impacto del ransomware en la sociedad y las empresas se subraya, resaltando

la necesidad de abordar este problema desde una perspectiva de seguridad
cibernética. Además, se sugiere modificar la economía del cibercrimen para hacer
menos atractiva esta actividad y promover la participación en la seguridad
cibernética legítima.