Universidad Mariano Gálvez de Guatemala

Facultad de Ciencias Económicas

Maestría en Estándares Internacionales de Contabilidad y Auditoría
Curso: Otros Riesgos
Licenciado Roberto González
Sección E

Integrantes Carné

Bárbara Garrido Maldonado 1937-18-816

Merlin Carlily Díaz Díaz 1937-18-897
Antony Omar Medina Batres 1937-16-8405
Josselyn Marilu Ovando Mus 1937-16-21636
Elman Gabriel Arriaza Quiroa 1937-16-3241
Hans Eli Sir Bernal 1937-18-371
Joseph Jefrey Ramazzini Castillo 1937-18-10
María Magdalena Ramos Constanza 1937-18-19846
José Pablo Ramírez Esquivel 1937-18-369
Oliver Antonio Galicia Domínguez 1937-16-3541
Jeidy Estela Reyes Herrera 1937-16-15945
Jarni Otto Iván Hernández Pérez 1937-18-6048

Guatemala, octubre de 2023

 Riesgo Tecnológico y de Ciberseguridad

Definición de Riesgo Tecnológico

Es la contingencia de que la interrupción, alteración, o falla de la infraestructura de
tecnología de la información (TI), sistemas de información, bases de datos y procesos
de TI, provoque pérdidas financieras a la institución. Es uno de los componentes de
riesgo operacional.

El riesgo tecnológico puede ser causa y consecuencia de otro tipo de riesgos, una falla
sobre la infraestructura puede implicar riesgos en otros ámbitos, como pérdidas
financieras, multas, acciones legales, afectación sobre la imagen de la organización,
causar problemas operativos o afectar las estrategias de la organización.

Este riesgo se gestiona basado en un marco de trabajo que cubre todo el grupo y
permite determinar el perfil de riesgo en comparación al apetito de riesgo y de esa
manera identificar sistemáticamente los temas de riesgo que requieren una definición
de mitigantes, mediciones y prioridades.

Definición de Riesgo de Ciberseguridad

La ciberseguridad es el conjunto de procedimientos y herramientas que se
implementan para proteger la información que se genera y procesa a través de
computadoras, servidores, dispositivos móviles, redes y sistemas electrónicos. Siendo
su principal objetivo generar confianza entre clientes, proveedores y el mercado en
general.

Por tanto, el riesgo de ciberseguridad es la pérdida potencial por daños, interrupción,

alteración o fallas derivadas de acciones criminales organizadas o premeditadas de
uno o más agentes que hace uso de las vulnerabilidades existentes en los servicios o
aplicaciones tecnológicas y el ambiente complejo que los sustenta resultante de la
interacción de personas, software y servicios de internet por medio de dispositivos
tecnológicos y redes conectadas a los mismos.

Clasificación del Riesgo Tecnológico

El riesgo tecnológico, puede clasificarse de diferentes maneras, cuya clasificación
según el marco de riesgos de TI es:

● Riesgo en la realización de beneficios o valor de TI: son los riesgos asociados al

no aprovechamiento de oportunidades que brinda el uso de la tecnología para
mejorar la eficiencia o efectividad de los procesos del negocio, o el no utilizarlos
como facilitadores o habilitadores de nuevas iniciativas de negocio.
 ● Riesgo en la entrega de soluciones de TI: el cual se encuentra asociado a la
contribución de las TI para soluciones de nuevos negocios o mejoras que por lo
general se presentan en la forma de proyectos y programas; se encuentran
directamente relacionadas a la planeación estratégica de una organización y se
víncula a las inversiones de cartera.
● Riesgo en la entrega de servicios de TI: estos se encuentran asociados con
todos los aspectos de desempeño de TI y los servicios de sistemas que puedan
llegar a ocasionar pérdidas o la reducción de valor para la organización; son
presentados por medio de servicios para garantizar la operación de la
organización. Los riesgos de TI existen sin importar si estos son o no detectados
o identificados por la organización.

La gestión de riesgos deberá cubrir los siguientes riesgos de TI:

● Seguridad y accesos: riesgo de acceso y uso de información confidencial por

personas no autorizadas.
● Integridad: riesgo que la información no sea confiable, se presente incompleta e
inexacta.
● Pertinente: riesgo de no contar con la información adecuada en el tiempo preciso
para el proceso.
● Disponibilidad: riesgo de pérdida de servicios.
● Infraestructura: riesgo de no contar con la infraestructura acorde a las
necesidades actuales y futuras del negocio.

Clasificación del Riesgo Tecnológico en una Empresa

Los principales riesgos tecnológicos a los que se puede enfrentar una empresa son los
siguientes:

● Obsolescencia del software: Los programas se vuelven obsoletos, por tanto,

todos los sistemas tienen un ciclo de vida determinado, a partir del cual dejan de
recibir actualizaciones. Por este motivo, las empresas deben asegurar el buen
funcionamiento de estos programas.
● Obsolescencia del hardware: Con los recursos físicos ocurre exactamente lo
mismo, los fabricantes de hardware suelen definir ciclos de vida y de soporte
para sus productos que cuando acaban dejan de proporcionar actualizaciones.
Esto ocurre no porque quede en desuso, sino porque la innovación tecnológica
exige requerimientos técnicos más eficaces.
● Infraestructura tradicional: Las empresas pueden decidir tener una
infraestructura tradicional en la que son propietarios de todos los elementos a los
cuales gestionan en sus propias instalaciones, aunque suele ser costoso y
requiere grandes cantidades de hardware. Sin embargo, en este caso, deben
 tener en cuenta que disponen del espacio suficiente y los recursos humanos
necesarios para una gestión adecuada.
● Resiliencia digital: La capacidad de desarrollar nuevas tecnologías avanza a
pasos agigantados y las empresas deben hacerlo al mismo tiempo. Así que
mantener un equilibrio entre la disposición de las empresas a transformarse y la
evolución de la tecnología es cada vez más difícil de conseguir, además, esto
provoca que dejen de ser competitivas en el mercado a largo plazo.
● Pérdida de información: Cuando las empresas trabajan con sistemas locales, es
muy común que no sean conscientes de la importancia que tiene realizar copias
de seguridad regularmente para evitar la pérdida de información importante, así
que una opción para evitar este riesgo es trabajar con sistemas de
almacenamiento en la nube.

Estos riesgos tecnológicos pueden desencadenar graves problemas en el rendimiento

de las empresas, influyendo en el éxito de las mismas.

Tipos de Seguridad Informática

La seguridad informática es un tema crucial para la protección y gestión de la
información de cualquier organización, por lo que es de suma importancia reconocer
las categorías que existen para determinar las acciones en cada una de ellas.

La seguridad informática contempla cuatro áreas principales:

● Confidencialidad: solo usuarios autorizados pueden acceder a recursos, datos e

información.
● Integridad: sólo los usuarios autorizados deben ser capaces de modificar los
datos cuando sea requerido.
● Disponibilidad: los datos deben estar disponibles para los usuarios cuando sea
necesario.
● Autenticación: verificar que realmente se está en comunicación con quién se
están comunicando.

De acuerdo con los elementos de objeto de protección, clasificación estos tipos de

seguridad informática:

● Seguridad de hardware
Se aplica a la protección de elementos físicos para evitar amenazas e
intromisiones. La seguridad de hardware se encarga de encontrar las
vulnerabilidades existentes en los equipos desde su fabricación, hasta los
dispositivos de entrada y salida que están conectados.
 Las herramientas utilizadas para la seguridad de hardware controlan de forma
exhaustiva el tráfico que se produce en la red, brindando una seguridad más
potente. Este tipo de seguridad es de las más robustas. Fortalece a los sistemas
más importantes como filtro adicional de seguridad.

● Seguridad de software
Los errores en el software generan vulnerabilidades y es uno de los mayores
riesgos de seguridad. Existen diferentes tipos de errores que se generan en el
software, por ejemplo, errores de implementación, desbordamientos de buffer,
defectos de diseño o un mal manejo de estos.

La seguridad de software protege las aplicaciones y el software de amenazas

externas como virus o ataques maliciosos. El antivirus es una de las
herramientas más utilizadas para este tipo de seguridad, que dispone de una
actualización automática y ayuda a encontrar virus nuevos. Otros ejemplos son
los cortafuegos, filtros antispam, software para filtrar contenidos y publicidad no
deseada.

● Seguridad en la red
Son las actividades encaminadas a la protección de datos en red, es decir, su
función principal es proteger el uso, fiabilidad, integridad y seguridad de la red
para evitar que la información sea modificada o robada.

Las amenazas más comunes en la red son:

➢ Virus, gusanos y caballos de troya.

➢ Software espía y publicitario.
➢ Ataques de día cero, también llamados ataques de hora cero.
➢ Ataques de hackers.
➢ Ataques de denegación de servicio.
➢ Intercepción o robo de datos.
➢ Robo de identidad.

Los componentes de seguridad de red incluyen antivirus y antispyware,

cortafuegos, sistemas de prevención de instrucciones y redes privadas virtuales.

Tipos de Ciberataques
Los cibercriminales utilizan diversas técnicas para acceder a redes corporativas,
secuestrar información, instalar malware y comprometer los activos de las empresas o
usuarios. Estos son los diferentes tipos de ciberataques:
● Ransomware
Es un software malicioso que impide el acceso a la información o al equipo de
los usuarios. Básicamente, es un secuestro de información o de equipo y exige
el pago de cierta cantidad para poder recuperarlos. Es uno de los ataques más
populares con el que los criminales extorsionan a empresas y consumidores.

Son muchas las formas en las que se pueden colar en los equipos,
generalmente usan técnicas de ingeniería social o a través de las
vulnerabilidades que existen en el software con las que logran instalarse en la
máquina del usuario.

Tipos de Ransomware
● Malware Criptográfico: Cifra los archivos por lo que no se pueden abrir.
● Bloqueador: Inhabilita el acceso al equipo y cifra la tabla maestra de los
archivos del disco duro.
● Doxware: Descarga una copia de los archivos confidenciales de los
usuarios y amenaza con publicarlos en la red.
● Scareware: Es un software falso que indica que encontró problemas en el
equipo y solicita dinero para corregirlos.

● Phishing
El phishing o suplantación de identidad es un tipo de ciberataque que tiene la
finalidad de obtener información confidencial de los usuarios, normalmente
información bancaria o de aplicaciones con acceso a pagos. Consiste en la
creación de una comunicación al usuario, por lo general correo electrónico, cuya
manipulación tiene una apariencia de veracidad.

El phishing continúa siendo uno de los ciberataques más exitosos por las
siguientes razones:
● Utilizan canales de comunicación habituales de los usuarios.
● Se conocen los gustos, actividades y tendencias de sus víctimas.
● Emplean mensajes personalizados, usando su nombre, correo electrónico
o número de teléfono.
● Juegan con el sentido de urgencia o utilizan ganchos promocionales.

● Adware
El adware es un software publicitario, un tipo de malware que bombardea con
ventanas emergentes interminables que pueden ser potencialmente peligrosas
para los dispositivos.
 Los adwares, como el spyware, generalmente vienen con algún software
gratuito, pero también se pueden instalar en navegadores o sistemas operativos
a través de alguna vulnerabilidad del sistema.

● Spyware
Es un tipo de malware que se ejecuta a escondidas en los equipos, con la
finalidad de espiar y acceder a información del usuario, tratan de ocultar su
rastro al ejecutarse en segundo plano y suelen ser instaladas por una segunda
aplicación en principio legítima.

El spyware puede llegar al equipo a través de vulnerabilidades del sistema,

marketing engañoso o paquetes de software.

Tipos de Spyware
● Ladrones de contraseñas: Diseñado para obtener contraseñas de los
equipos que incluye credenciales almacenadas en navegadores, de inicio
de sesión y diversas contraseñas personales.
● Troyanos bancarios: Obtienen información delicada de las instituciones
financieras, alteran el contenido de la página, añaden transacciones y
otras acciones.
● Info Stealers: Capaces de buscar todo tipo de datos como nombres de
usuarios, contraseñas, direcciones de correo electrónico, historiales,
archivos del sistema y más.
● Keyloggers: Registran las pulsaciones de las teclas para capturar la
actividad del ordenador, las visitas a sitios, historial de búsquedas,
conversaciones por correo electrónico.

● Troyanos
Los virus troyanos son programas maliciosos; este tipo de ataques ejecutan
acciones no autorizadas como eliminar datos, bloqueos, modificaciones, toman
el control del equipo, etc.

Tipos de Troyanos
● Puertas traseras: Generan un acceso remoto al sistema, permite que un
hacker tenga acceso al equipo y lo controle, robe los datos e incluso
descargue más malware.
● Spyware: Observa el comportamiento, tiene acceso a cuentas online y
facilita detalles de tarjetas de crédito para poder transmitirla.
 ● Troyanos zombies: Tienen el control del equipo para convertirlo en
esclavo en una red bajo el control del atacante. Posteriormente, se utiliza
para realizar un ataque de denegación de servicio distribuido.
● Troyanos descargadores: Descargan otro tipo contenido malicioso como
un ransomware o registradores de pulsaciones de teclas.

Tipos de Amenazas de Ciberseguridad

Es evidente que el mantenimiento informático y la gestión de la infraestructura
tecnológica son necesarios para cualquier empresa que tenga dependencia de los
activos tecnológicos y de la información en formato digital.

Ante esta situación, se logran distinguir entre amenazas de ciberseguridad externas e

internas, y en ambos casos, pueden ser intencionadas o accidentales.

● Amenazas de ciberseguridad externas intencionadas: Espionaje, sabotaje,

vandalismo, robo de información confidencial son algunas de las amenazas
externas a las que nos enfrentamos. En algunas ocasiones los ataques serán
mediante técnicas de ingeniería social o ataques de denegación de servicio.
● Amenazas de ciberseguridad externas accidentales: En muchas ocasiones las
amenazas son involuntarias o resultantes de desastres naturales, que pueden
derivar en muchos casos en inundaciones o incendios.
● Amenazas de ciberseguridad internas intencionadas: Una de las amenazas que
deben resolver los departamentos de informática es el propio personal de la
organización, como podría ser un empleado con acceso a los recursos de la
organización que sabe que va a ser despedido.
● Amenazas de ciberseguridad internas accidentales : Comprenden las malas
prácticas por parte de un empleado, sin tener una mala intención, por ejemplo
insertar un USB infectado en un ordenador corporativo

Riesgos según su Ámbito

● Riesgo: Privacidad
Acción: Los datos personales y financieros deben almacenarse de manera
segura y todas las comunicaciones con el sistema de Banca en Línea deben
estar encriptadas. Esto asegura la confidencialidad de los datos desde los
sistemas del Banco hasta el navegador del cliente. También debe ofrecerse un
servicio que permita intercambiar correo electrónico, de manera segura.

● Riesgo: Certificados Digitales

Acción: Las páginas Web deben hacer uso de certificados de validez extendida
(EV - Extended Validity) para comprobar la identidad de los visitantes. Estos
 certificados requieren de una verificación exhaustiva y proporcionan el más alto
nivel de confianza del usuario con respecto a la autenticidad del sitio Web.

● Riesgo: Verificación de la identidad

Acción: Para obtener un nivel más alto de seguridad, el sistema de Banca en
Línea debe requerir dos niveles de autentificación para acceder a las cuentas
bancarias.

El usuario y Contraseña
Una contraseña de un solo uso (one-time password) generada automáticamente.
Este segundo paso previene un acceso no autorizado en el caso de que un
Usuario/Contraseña haya sido comprometido.

● Riesgo: Bloqueo de cuenta y finalización de sesión

Acción: Para proteger los datos contra intentos de adivinar una contraseña, la
cuenta será bloqueada si la contraseña (o el código del token) son introducidos
erróneamente cuatro veces consecutivas. Además, una sesión bancaria en línea
debe desconectarse automáticamente después de doce minutos de inactividad.

● Riesgo: Identidad del Sitio Web

Acción: Los usuarios reciben correos electrónicos que aparentemente son
enviados por la institución y que generalmente solicitan que se sigan ciertos
enlaces para conectarse a su cuenta en línea para resetear la contraseña u
otras acciones similares. Generar una campaña de correos electrónicos que
adviertan al usuario del riesgo de responder a este tipo de correos.

Impacto del Riesgo Tecnológico

Durante muchos años el impacto del riesgo tecnológico fue asociado solamente a las
áreas de tecnología siendo estas las responsables de cada uno de los incidentes que
ocurrían si en algún momento se llegaban a materializar los escenarios de riesgo, es
por ello que la evaluación de riesgos de TI, así como las decisiones que se tomen para
su mitigación, deben ser expresadas en términos del negocio de tal manera que estos
sean comprensibles por las diferentes partes involucradas (áreas de tecnología y áreas
del negocio); debiendo poder comprender y expresar cada una de las áreas del
negocio, cómo se ve impactada la entidad si algún riesgo se materializa, generando
eventos adversos que impactan a los objetivos estratégicos de la empresa.

Por lo tanto una persona del negocio debe entender como fallos o eventos relacionados
a TI pueden llegar a impactar en el negocio, afectando los procesos y servicios claves,
asimismo, una persona de TI debe comprender como fallos o eventos relacionados a TI
pueden ocasionar pérdidas de forma directa o indirecta en la organización, afectando
los objetivos estratégicos.

La forma de describir el impacto que presenta el riesgo tecnológico al negocio, dicho de

otra manera, traducir el riesgo tecnológico expresado en términos del negocio, puede
realizarse siguiendo diferentes métodos de los cuales se deberá seleccionar alguno, sin
embargo, se sugiere aplicar los criterios de información COBIT; en la guía profesional
de riesgos de TI de ISACA, se describe cómo aplicar los siguientes métodos:

● Criterios de información COBIT: se enfoca en expresar los riesgos de TI en

aspectos comerciales, basándose en que el impacto se encuentra en no contar
con la información, siendo una descripción intermedia y no una definición del
impacto del negocio. Esta se concentra en definir el impacto a través de
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, conformidad y
cumplimiento.

● Criterios de Balanced Scorecard - BSC: se enfoca en los objetivos del negocio

desde las perspectivas financieras del cliente, internas y de crecimiento.

● Criterios Extendidos BSC: la lógica es similar a la anterior, sin embargo, esta se

concentra en bajar a un nivel más específico en donde se consideran los
aspectos que impactan al negocio, limitándose a un conjunto de criterios
específicos y tangibles, siendo un método selectivo en donde debe tomarse en
consideración que existen relaciones causa efecto entre las diferentes
perspectivas.

● Criterios según Westerman 4 “A” s : el marco 4A5, define el riesgo de TI como la

posibilidad de acontecimiento imprevisto de un evento que amenaza los
objetivos de la empresa relacionados entre sí: agilidad (agility), precisión
(accuracy), acceso (access) y disponibilidad (availability).

● Criterios según COSO-ER: COSO-Enterprise Risk Management, se basa en

cuatro categorías de objetivos: estrategia, operaciones, información y
cumplimiento; enfocándose en que los objetivos del negocio deben estar
alineados a la estrategia, la eficiencia y eficacia operativa garantizando el
rendimiento y la rentabilidad, la fiabilidad de la información tanto interna como
externa, así como la financiera y no financiera, y la adhesión al cumplimiento de
leyes, normativas y reglamentos.

● Criterios según FAIR: este método se orienta a la seguridad y los criterios de

impacto que define, se aplican a todos los riesgos relacionados con TI. Los
 criterios analizados por FAIR son: productividad, (costo de) respuesta, (costo de)
reemplazo, ventaja competitiva, aspectos legales y reputación.

Incidentes de Seguridad

● Vulnerabilidad de software y sistemas

Es un fallo o debilidad de un sistema que pone en riesgo la seguridad de la
información, esto puede ser producido por un error de configuración, o un fallo
de diseño en el sistema operativo.

● Malware
Es un software malicioso diseñado para infectar la computadora de un usuario y
dañarla de diversas maneras.

● Acceso indebido a la información

Ocurre cuando una persona accede indebidamente a un sistema de información,
con la intención de hurgar contenido con la intención de sacar utilidad de la
misma y beneficiar a un tercero.

● Fraude
Este concepto se refiere al uso de información personal como, por ejemplo,
datos bancarios para cometer delitos provocando pérdidas a las víctimas.

● Phishing
Es un proceso fraudulento cuyo objetivo es adquirir información sensible, como
usuarios, claves o datos bancarios a través de una comunicación electrónica,
como por ejemplo, un correo electrónico o ingreso a sitios en internet
aparentemente confiables.

● Ataque de ingeniería social

Es una técnica utilizada para engañar a la gente vía internet, fingiendo ser
empleado de un banco, un compañero de trabajo, o un cliente realizando
preguntas para obtener respuestas con información personal, y de esta manera
obtener información útil como, cuentas bancarias, tarjetas de crédito, entre otros.

● Infección de malware
Malware o virus malicioso es un software cuyo objetivo es infiltrarse en un
equipo o sistema informático sin el consentimiento del usuario, esto se puede
dar a través de un correo electrónico, una vez que una persona abra el correo
infectado con el virus, este puede contaminar a la red de usuario.
¿Cómo minimizar los riesgos tecnológicos?
La mejor forma de protegerse frente al riesgo tecnológico es desarrollar un plan integral
de gestión de riesgos. Se trata de un conjunto de políticas y prácticas que se aplican a
nivel estructural, tanto sobre los datos como sobre los dispositivos de una organización.

Es responsabilidad de los equipos de gestión de riesgos definir el plan de riesgos

tecnológicos identificando y analizando a qué retos y amenazas se enfrenta la
empresa, gestionando de forma proactiva estos riesgos mediante la implementación de
estrategias y creando acciones de contingencia.

¿Cómo realizar una evaluación de riesgos tecnológicos?

Antes de iniciar la implementación de diferentes sistemas que ayuden a mitigar los
riesgos tecnológicos en una empresa, se debe realizar un análisis de la situación actual
basándose en lo siguiente:

● Realizar una lista completa de las aplicaciones y sistemas que se utilizan.

● Evaluar las versiones de software que están en uso e identificar la fecha de su
última actualización.
● Determinar los servidores y centros de datos en uso.
● Analizar el vínculo entre los software y los servidores.
● Identificar qué sistemas de seguridad están en marcha.
● Examinar cómo está afectando la tecnología al negocio.

Es importante considerar que, para la mayoría de empresas, es mucho más fácil

introducir nuevas tecnologías que retirarlas. El costo a ejecutar de tecnología sin
soporte puede ser alto y, los costos de las interrupciones de TI y las violaciones de
datos ascienden a millones.
La gestión de riesgos tecnológicos es un tema amplio y complejo. No puede resolverse
mediante el mantenimiento manual de datos, sin importar las capacidades del equipo
técnico de la empresa.

Análisis o Evaluación de Riesgos

El análisis de riesgos consiste en un proceso sistemático para medir el impacto y la
probabilidad de ocurrencia de cada uno de los escenarios de riesgo identificados. Para
el análisis, es indispensable contar con un listado de riesgos identificados que se
encuentren clasificados según su grado de afectación y estimación de su recurrencia
utilizando para el efecto información relacionada como lecciones aprendidas,
estimaciones de costos, planificaciones o correcciones.
Esta actividad es subjetiva y su éxito depende de la experiencia y sensibilidad de la
persona responsable del área que se evalúa dentro de la empresa, debiendo tomar en
consideración realizar aproximaciones cualitativas o cuantitativas para determinar las
probabilidades de ocurrencia, así como el impacto que tendría si el riesgo llegara a
materializarse. Al finalizar esta actividad, deberá proporcionarse un mapa de riesgos,
controles para mitigación de los riesgos y niveles de aceptación o tolerancia de la
empresa de acuerdo con la exposición al riesgo identificado.

Dentro de los controles a proporcionar en esta etapa, deberán incluirse como mínimo
controles preventivos y correctivos, pudiendo llegar a considerar la inclusión de
controles detectivos, manuales y automatizados.

Identificación de Amenazas
Identificados los activos, para cada uno deberán identificarse las amenazas a las
cuales se encuentran expuestos tomando en consideración que las amenazas entre los
activos difieren de tal forma que no todas las amenazas afectan a todos los activos sin
embargo debe identificarse lo que puede ocurrir en cada activo por cada amenaza.
Como entregable deberá generarse un catálogo de amenazas tecnológicas que debe
identificar la fuente u origen de la amenaza que pueden ser:

● Natural: inundaciones, terremotos, tornados, huracanes, derrumbes o deslaves,

tormentas eléctricas, sismos, polvo, entre otras.
● Humanas: acciones realizadas por personas ya sea de forma involuntaria (por
ejemplo: ingreso o registro de datos incorrectos, desconocimiento de
procedimientos), premeditada (ataques de seguridad, acceso no autorizado a
información confidencial, infección de virus, hacking) o por negligencia
(incumplimiento de procedimientos, incumplimiento o mal manejo de
estándares).
● Ambientales: contaminación, apagones, sobrecarga de capacidades, incendio,
entre otros.

En el caso de fuentes humanas, debe tomarse en consideración que son

potencialmente peligrosas debido a la motivación y los recursos que pueden tener para
realizar algún tipo de ataque que ocasiones la materialización de un riesgo identificado;
de esta forma, podemos catalogarlos como:

● Cibercriminales o criminales computacionales.

● Espionaje industrial.
● Personal interno (perteneciente a la organización).

Priorización de Riesgos
Identificados y tipificados los riesgos, se procede a clasificar los riesgos para
determinar cuáles serán gestionados considerando que los recursos son limitados; por
lo cual, aquellos que se elijan deberán ser los abordados con los recursos con que
cuenta la empresa los cuales deberán ser designados para el efecto, con el objetivo de
mitigar la exposición a los mismos y con el enfoque de atacar los riesgos más grandes
o críticos a un costo óptimo.

En esta actividad es importante tomar en consideración la tolerancia al riesgo definida

por la empresa y por cada uno de los riesgos, se deberá definir el tratamiento que se
dará, pudiendo ser reducción del riesgo, retención del riesgo, evasión del riesgo o
transferencia del riesgo. Como resultado, se estaría proporcionando un listado de
oportunidades para el negocio y los riesgos priorizados con el tratamiento que se dará
a cada uno.

Medidas de Aseguramiento ante el Riesgo Tecnológico

Hablar de controles y medidas que permitan a las organizaciones contrarrestar este
tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su
mitigación. El aseguramiento puede realizarse desde los tres niveles que son a nivel de
infraestructura tecnológica, a nivel lógico y riesgos derivados del mal uso.

En el nivel físico, las medidas a tomar son de carácter técnico o de seguridad

informática, referidas a la aplicación de procedimientos de control y barreras físicas
ante amenazas para prevenir daño o acceso no autorizado a recursos e información
confidencial que será guardada en la infraestructura física. Dentro de éstas se
encuentran:

● Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y

vigilantes para acceso en áreas específicas.
● Manejo de tokens o tarjetas de identificación.
● Controles a nivel de equipos, tales como ubicación y protección, seguridad en
cableado o mantenimiento periódico de equipos.
● Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para
continuidad.
● Gestión de medios de almacenamiento removible.
● Controles de vulnerabilidades técnicas, entre otros.

En el nivel lógico, las medidas a tomar se dan con respecto al uso de software y
sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la
información por parte de los usuarios a través de los procedimientos correctos. Como
parte de estas medidas se pueden tomar:
 ● Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para
acceso a aplicaciones y gestión de contraseñas.
● Controles de acceso a la red interna y externa, segregación en redes y controles
para asegurar servicios de la red.
● Controles a nivel de teletrabajo y equipos móviles.
● Soluciones de protección contra malware.
● Respaldos de bases de datos e información crítica.
● Protocolos para intercambio de información y cifrado de información.
● Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
● Limitación en tiempos de conexión a aplicativos y cierres de sesión por
inactividad.
● Gestión de control de cambios, entre otros.

El tercer nivel y el más crítico dentro de las organizaciones, dada su naturaleza

impredecible, es el personal o recurso humano. Las medidas a este nivel deberían ser
más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se
pueden incluir:

● Definición de políticas de seguridad que presenten las correspondientes

violaciones con el fin de dar cumplimiento.
● Controles relacionados a acuerdos con terceros, prestación de servicios que se
puedan dar con éstos y segregación de funciones.
● Controles a nivel contratación de personal.
● Gestión antes, durante y después de la terminación de los contratos.
● Educación y capacitación continua en aspectos de seguridad.
● Procedimientos e instructivos para manejo de información.
● Políticas de escritorio y pantalla limpia.
● Cumplimiento de legislación aplicable, entre otros.

Gestión de la Seguridad de la Información

Las instituciones deberán gestionar la seguridad de su información con el objeto de
garantizar la confidencialidad, integridad y disponibilidad de los datos, así como mitigar
los riesgos de pérdida, extracción indebida y corrupción de la información, debiendo
considerar, como mínimo, los aspectos siguientes:

a. Identificación y clasificación de la información de acuerdo a criterios de

sensibilidad y criticidad.
b. Roles y responsabilidades para la gestión de la seguridad de la información.
c. Monitoreo de la seguridad de la información.
 d. Seguridad física que incluya controles y medidas de prevención para resguardar
adecuadamente la infraestructura de TI de acuerdo a la importancia definida por
la institución conforme al riesgo a que esté expuesta, considerando:
1. Ubicación física y sus controles de acceso.
2. Acondicionamiento del espacio físico que considere factores tales como
temperatura, humedad y prevención de incendios.
3. Vigilancia, que incluya factores tales como personal de seguridad,
sistemas de video y sensores.
4. Suministro ininterrumpido de energía eléctrica.
5. Adecuado manejo del cableado de red y de energía eléctrica.
e. Seguridad lógica que incluya controles y medidas de prevención para resguardar
la integridad y seguridad de la infraestructura de TI, los sistemas de información
y de las bases de datos, considerando:
1. Administración de los permisos a los sistemas de información, datos y
elementos de la infraestructura de TI, que incluya registro y bitácoras del
proceso y revisiones periódicas de los permisos.
2. Revisión del uso de permisos para detectar actividades no autorizadas.
3. Bitácoras de las transacciones realizadas en los sistemas de información
críticos.
4. Mecanismos y recursos técnicos para la identificación y detección de
vulnerabilidades a través de escaneo, evaluaciones y pruebas de
penetración internas y externas, debiendo consignarse el resultado en un
informe técnico.

La frecuencia de las pruebas de penetración deberá realizarse, como

mínimo, de forma anual o en función de la exposición de riesgo
tecnológico de la institución, los cambios significativos en la institución,
infraestructura tecnológica, sistemas de información y bases de datos.

Gestión de la Ciberseguridad
Las instituciones deberán establecer e implementar políticas y procedimientos para
gestionar efectivamente la ciberseguridad, debiendo considerar, como mínimo, las
funciones siguientes:
a. Identificación.
b. Protección.
c. Detección.
d. Respuesta.
e. Recuperación.

● Identificación
 Las instituciones deberán tomar en cuenta su contexto tecnológico, los activos
en el ciberespacio que soportan los servicios críticos de sus operaciones y el
riesgo tecnológico asociado, de conformidad con el Manual de Administración de
Riesgo Tecnológico.

● Protección
Las instituciones deberán desarrollar e implementar políticas, procesos y
procedimientos para proteger la confidencialidad, integridad y disponibilidad de
sus activos en el ciberespacio, con el objeto de prevenir, limitar o contener el
impacto de un ciberataque.

● Detección
Las instituciones deberán monitorear sus activos en el ciberespacio, accesos,
conexiones, las acciones que realizan los usuarios internos o externos,
aplicaciones y acciones de los proveedores de servicios externos en la
institución, para detectar vulnerabilidades cibernéticas, ciberamenazas,
ciberataques e incidentes cibernéticos a través de la implementación, de forma
interna o a través de la contratación, de un Centro de Operaciones de Seguridad
Cibernética con el objeto de proporcionar una visibilidad centralizada, monitoreo
continuo y emisión de alertas.

● Respuesta
Las instituciones deberán contar con procesos y procedimientos para garantizar
una respuesta oportuna, durante y después de un incidente cibernético.

● Recuperación
Las instituciones deberán establecer y mantener mecanismos para resistir,
responder y recuperarse de un incidente cibernético, con el objeto de restaurar
cualquier activo en el ciberespacio o servicios relacionados a este, que haya
sido afectado debido a un incidente cibernético, de conformidad con lo
establecido en el el plan de recuperación ante desastres.
 Referencias Bibliográficas

Ekon, E. (2021, agosto 5). Cómo analizar y gestionar el riesgo tecnológico

empresarial. Ekon; Cegid Ekon. https://www.ekon.es/blog/riesgo-
tecnologico-empresarial/

Empresarial, L. I. (2019, febrero 18). Clasificación de las amenazas de

ciberseguridad de nuestro sistema de información. LISOT.
https://www.lisot.com/clasificacion-de-las-amenazas-de-ciberseguridad-
de-nuestro-sistema-de-informacion/

Gestión de Riesgo Tecnológico. (s/f). BAC Credomatic. Recuperado el 3 de

octubre de 2023, de
https://www.multibank.com.pa/es/institucional/gestion-de-riesgo-
tecnologico
Resolución JM-42-2020. (2020). Banco de Guatemala.
https://www.banguat.gob.gt/sites/default/files/banguat/Publica/Res_JM/
2020/Res_JM-42-2020.pdf

Riesgo Tecnológico. (s/f). Studocu.com. Recuperado el 3 de octubre de 2023, de

https://www.studocu.com/gt/document/universidad-mariano-galvez-de-
guatemala/administracion-de-tecnologias-de-informacion/riesgo-
tecnologico-grupo-5/14969908

Riesgo Tecnológico. (2017). Superintendencia de Bancos.

https://www.sib.gob.gt/c/document_library/get_file?
folderId=3814500&name=DLFE-26850.pdf

Riesgos tecnológicos que pueden afectar al rendimiento de las empresas. (2022,

abril 29). Punt Sistemes. https://www.puntsistemes.es/blog/riesgos-
tecnologicos/

Toro, R. (2020, noviembre 12). El impacto que genera en las organizaciones el

riesgo tecnológico. PMG SSI - ISO 27001.
https://www.pmg-ssi.com/2020/11/el-impacto-que-genera-en-las-
organizaciones-el-riesgo-tecnologico/