Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Integrantes Carné
El riesgo tecnológico puede ser causa y consecuencia de otro tipo de riesgos, una falla
sobre la infraestructura puede implicar riesgos en otros ámbitos, como pérdidas
financieras, multas, acciones legales, afectación sobre la imagen de la organización,
causar problemas operativos o afectar las estrategias de la organización.
Este riesgo se gestiona basado en un marco de trabajo que cubre todo el grupo y
permite determinar el perfil de riesgo en comparación al apetito de riesgo y de esa
manera identificar sistemáticamente los temas de riesgo que requieren una definición
de mitigantes, mediciones y prioridades.
● Seguridad de hardware
Se aplica a la protección de elementos físicos para evitar amenazas e
intromisiones. La seguridad de hardware se encarga de encontrar las
vulnerabilidades existentes en los equipos desde su fabricación, hasta los
dispositivos de entrada y salida que están conectados.
Las herramientas utilizadas para la seguridad de hardware controlan de forma
exhaustiva el tráfico que se produce en la red, brindando una seguridad más
potente. Este tipo de seguridad es de las más robustas. Fortalece a los sistemas
más importantes como filtro adicional de seguridad.
● Seguridad de software
Los errores en el software generan vulnerabilidades y es uno de los mayores
riesgos de seguridad. Existen diferentes tipos de errores que se generan en el
software, por ejemplo, errores de implementación, desbordamientos de buffer,
defectos de diseño o un mal manejo de estos.
● Seguridad en la red
Son las actividades encaminadas a la protección de datos en red, es decir, su
función principal es proteger el uso, fiabilidad, integridad y seguridad de la red
para evitar que la información sea modificada o robada.
Tipos de Ciberataques
Los cibercriminales utilizan diversas técnicas para acceder a redes corporativas,
secuestrar información, instalar malware y comprometer los activos de las empresas o
usuarios. Estos son los diferentes tipos de ciberataques:
● Ransomware
Es un software malicioso que impide el acceso a la información o al equipo de
los usuarios. Básicamente, es un secuestro de información o de equipo y exige
el pago de cierta cantidad para poder recuperarlos. Es uno de los ataques más
populares con el que los criminales extorsionan a empresas y consumidores.
Son muchas las formas en las que se pueden colar en los equipos,
generalmente usan técnicas de ingeniería social o a través de las
vulnerabilidades que existen en el software con las que logran instalarse en la
máquina del usuario.
Tipos de Ransomware
● Malware Criptográfico: Cifra los archivos por lo que no se pueden abrir.
● Bloqueador: Inhabilita el acceso al equipo y cifra la tabla maestra de los
archivos del disco duro.
● Doxware: Descarga una copia de los archivos confidenciales de los
usuarios y amenaza con publicarlos en la red.
● Scareware: Es un software falso que indica que encontró problemas en el
equipo y solicita dinero para corregirlos.
● Phishing
El phishing o suplantación de identidad es un tipo de ciberataque que tiene la
finalidad de obtener información confidencial de los usuarios, normalmente
información bancaria o de aplicaciones con acceso a pagos. Consiste en la
creación de una comunicación al usuario, por lo general correo electrónico, cuya
manipulación tiene una apariencia de veracidad.
El phishing continúa siendo uno de los ciberataques más exitosos por las
siguientes razones:
● Utilizan canales de comunicación habituales de los usuarios.
● Se conocen los gustos, actividades y tendencias de sus víctimas.
● Emplean mensajes personalizados, usando su nombre, correo electrónico
o número de teléfono.
● Juegan con el sentido de urgencia o utilizan ganchos promocionales.
● Adware
El adware es un software publicitario, un tipo de malware que bombardea con
ventanas emergentes interminables que pueden ser potencialmente peligrosas
para los dispositivos.
Los adwares, como el spyware, generalmente vienen con algún software
gratuito, pero también se pueden instalar en navegadores o sistemas operativos
a través de alguna vulnerabilidad del sistema.
● Spyware
Es un tipo de malware que se ejecuta a escondidas en los equipos, con la
finalidad de espiar y acceder a información del usuario, tratan de ocultar su
rastro al ejecutarse en segundo plano y suelen ser instaladas por una segunda
aplicación en principio legítima.
Tipos de Spyware
● Ladrones de contraseñas: Diseñado para obtener contraseñas de los
equipos que incluye credenciales almacenadas en navegadores, de inicio
de sesión y diversas contraseñas personales.
● Troyanos bancarios: Obtienen información delicada de las instituciones
financieras, alteran el contenido de la página, añaden transacciones y
otras acciones.
● Info Stealers: Capaces de buscar todo tipo de datos como nombres de
usuarios, contraseñas, direcciones de correo electrónico, historiales,
archivos del sistema y más.
● Keyloggers: Registran las pulsaciones de las teclas para capturar la
actividad del ordenador, las visitas a sitios, historial de búsquedas,
conversaciones por correo electrónico.
● Troyanos
Los virus troyanos son programas maliciosos; este tipo de ataques ejecutan
acciones no autorizadas como eliminar datos, bloqueos, modificaciones, toman
el control del equipo, etc.
Tipos de Troyanos
● Puertas traseras: Generan un acceso remoto al sistema, permite que un
hacker tenga acceso al equipo y lo controle, robe los datos e incluso
descargue más malware.
● Spyware: Observa el comportamiento, tiene acceso a cuentas online y
facilita detalles de tarjetas de crédito para poder transmitirla.
● Troyanos zombies: Tienen el control del equipo para convertirlo en
esclavo en una red bajo el control del atacante. Posteriormente, se utiliza
para realizar un ataque de denegación de servicio distribuido.
● Troyanos descargadores: Descargan otro tipo contenido malicioso como
un ransomware o registradores de pulsaciones de teclas.
● Riesgo: Privacidad
Acción: Los datos personales y financieros deben almacenarse de manera
segura y todas las comunicaciones con el sistema de Banca en Línea deben
estar encriptadas. Esto asegura la confidencialidad de los datos desde los
sistemas del Banco hasta el navegador del cliente. También debe ofrecerse un
servicio que permita intercambiar correo electrónico, de manera segura.
El usuario y Contraseña
Una contraseña de un solo uso (one-time password) generada automáticamente.
Este segundo paso previene un acceso no autorizado en el caso de que un
Usuario/Contraseña haya sido comprometido.
Por lo tanto una persona del negocio debe entender como fallos o eventos relacionados
a TI pueden llegar a impactar en el negocio, afectando los procesos y servicios claves,
asimismo, una persona de TI debe comprender como fallos o eventos relacionados a TI
pueden ocasionar pérdidas de forma directa o indirecta en la organización, afectando
los objetivos estratégicos.
Incidentes de Seguridad
● Malware
Es un software malicioso diseñado para infectar la computadora de un usuario y
dañarla de diversas maneras.
● Fraude
Este concepto se refiere al uso de información personal como, por ejemplo,
datos bancarios para cometer delitos provocando pérdidas a las víctimas.
● Phishing
Es un proceso fraudulento cuyo objetivo es adquirir información sensible, como
usuarios, claves o datos bancarios a través de una comunicación electrónica,
como por ejemplo, un correo electrónico o ingreso a sitios en internet
aparentemente confiables.
● Infección de malware
Malware o virus malicioso es un software cuyo objetivo es infiltrarse en un
equipo o sistema informático sin el consentimiento del usuario, esto se puede
dar a través de un correo electrónico, una vez que una persona abra el correo
infectado con el virus, este puede contaminar a la red de usuario.
¿Cómo minimizar los riesgos tecnológicos?
La mejor forma de protegerse frente al riesgo tecnológico es desarrollar un plan integral
de gestión de riesgos. Se trata de un conjunto de políticas y prácticas que se aplican a
nivel estructural, tanto sobre los datos como sobre los dispositivos de una organización.
Dentro de los controles a proporcionar en esta etapa, deberán incluirse como mínimo
controles preventivos y correctivos, pudiendo llegar a considerar la inclusión de
controles detectivos, manuales y automatizados.
Identificación de Amenazas
Identificados los activos, para cada uno deberán identificarse las amenazas a las
cuales se encuentran expuestos tomando en consideración que las amenazas entre los
activos difieren de tal forma que no todas las amenazas afectan a todos los activos sin
embargo debe identificarse lo que puede ocurrir en cada activo por cada amenaza.
Como entregable deberá generarse un catálogo de amenazas tecnológicas que debe
identificar la fuente u origen de la amenaza que pueden ser:
Priorización de Riesgos
Identificados y tipificados los riesgos, se procede a clasificar los riesgos para
determinar cuáles serán gestionados considerando que los recursos son limitados; por
lo cual, aquellos que se elijan deberán ser los abordados con los recursos con que
cuenta la empresa los cuales deberán ser designados para el efecto, con el objetivo de
mitigar la exposición a los mismos y con el enfoque de atacar los riesgos más grandes
o críticos a un costo óptimo.
En el nivel lógico, las medidas a tomar se dan con respecto al uso de software y
sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la
información por parte de los usuarios a través de los procedimientos correctos. Como
parte de estas medidas se pueden tomar:
● Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para
acceso a aplicaciones y gestión de contraseñas.
● Controles de acceso a la red interna y externa, segregación en redes y controles
para asegurar servicios de la red.
● Controles a nivel de teletrabajo y equipos móviles.
● Soluciones de protección contra malware.
● Respaldos de bases de datos e información crítica.
● Protocolos para intercambio de información y cifrado de información.
● Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
● Limitación en tiempos de conexión a aplicativos y cierres de sesión por
inactividad.
● Gestión de control de cambios, entre otros.
Gestión de la Ciberseguridad
Las instituciones deberán establecer e implementar políticas y procedimientos para
gestionar efectivamente la ciberseguridad, debiendo considerar, como mínimo, las
funciones siguientes:
a. Identificación.
b. Protección.
c. Detección.
d. Respuesta.
e. Recuperación.
● Identificación
Las instituciones deberán tomar en cuenta su contexto tecnológico, los activos
en el ciberespacio que soportan los servicios críticos de sus operaciones y el
riesgo tecnológico asociado, de conformidad con el Manual de Administración de
Riesgo Tecnológico.
● Protección
Las instituciones deberán desarrollar e implementar políticas, procesos y
procedimientos para proteger la confidencialidad, integridad y disponibilidad de
sus activos en el ciberespacio, con el objeto de prevenir, limitar o contener el
impacto de un ciberataque.
● Detección
Las instituciones deberán monitorear sus activos en el ciberespacio, accesos,
conexiones, las acciones que realizan los usuarios internos o externos,
aplicaciones y acciones de los proveedores de servicios externos en la
institución, para detectar vulnerabilidades cibernéticas, ciberamenazas,
ciberataques e incidentes cibernéticos a través de la implementación, de forma
interna o a través de la contratación, de un Centro de Operaciones de Seguridad
Cibernética con el objeto de proporcionar una visibilidad centralizada, monitoreo
continuo y emisión de alertas.
● Respuesta
Las instituciones deberán contar con procesos y procedimientos para garantizar
una respuesta oportuna, durante y después de un incidente cibernético.
● Recuperación
Las instituciones deberán establecer y mantener mecanismos para resistir,
responder y recuperarse de un incidente cibernético, con el objeto de restaurar
cualquier activo en el ciberespacio o servicios relacionados a este, que haya
sido afectado debido a un incidente cibernético, de conformidad con lo
establecido en el el plan de recuperación ante desastres.
Referencias Bibliográficas