Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

GESTION EN CIBERSEGURIDAD

Cristhian Alexis Salcedo Sotelo

e-mail: cristhian.salcedo@udla.edu.ec

1. Detalle por lo menos 4 activos que podría considerar para el análisis de riesgo de su
ciberseguridad a nivel organizacional (por ejemplo: en una empresa, entidad
educativa, etc.).

A nivel organizacional, existen varios activos que son fundamentales para el análisis de
riesgos en ciberseguridad. Por ejemplo:

• Datos Confidenciales de Clientes o Usuarios:

Estos datos pueden incluir información personal, financiera o médica de los clientes. Su
confidencialidad y seguridad son cruciales para mantener la confianza del cliente y
cumplir con las regulaciones de protección de datos.

• Infraestructura de Red y Sistemas de TI:

La red empresarial, servidores, bases de datos y sistemas informáticos representan

activos vitales. Las vulnerabilidades en la infraestructura de red podrían llevar a
interrupciones del servicio, filtración de datos o acceso no autorizado a sistemas
sensibles.

• Propiedad Intelectual y Secretos Comerciales:

Fórmulas, patentes, estrategias de negocio o información de investigación representan

activos valiosos. Su robo o exposición podría tener un impacto significativo en la ventaja
competitiva y la posición en el mercado de la organización.

• Recursos Humanos y Acceso de Empleados:

El acceso no autorizado de empleados o ex empleados a datos críticos, así como la falta

de capacitación en seguridad cibernética, pueden representar un riesgo importante. Los
errores humanos o acciones malintencionadas pueden comprometer la seguridad de la
información.

2. Identifique las principales vulnerabilidades para cada uno de los dos activos más
importantes identificados en la pregunta anterior.

• Datos Confidenciales de Clientes o Usuarios:

o Falta de Encriptación de Datos: Si los datos no están encriptados,

podrían ser vulnerables a accesos no autorizados en caso de una brecha
de seguridad.

o Falta de Actualizaciones y Parches de Seguridad: No mantener al día

los sistemas y software puede dejar vulnerabilidades que podrían ser
explotadas por ciberatacantes.

1
 Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

o Acceso no Autorizado o Débil Control de Acceso: Permitir accesos no

autorizados a datos sensibles debido a contraseñas débiles, falta de
autenticación multifactor o permisos inadecuados.

• Infraestructura de Red y Sistemas de TI:

o Falta de Actualizaciones de Seguridad en Dispositivos de Red: No instalar

parches y actualizaciones puede dejar vulnerabilidades abiertas en routers,
firewalls u otros dispositivos de red.

o Falta de Configuración Segura de Servidores: Configuraciones por defecto

o incorrectas en servidores pueden permitir accesos no autorizados o
exponer información sensible.

o Falta de Respaldo y Recuperación de Datos: La falta de copias de

seguridad adecuadas podría llevar a la pérdida de datos críticos en caso de
ataques de ransomware u otras fallas.

• Propiedad Intelectual y Secretos Comerciales:

o Falta de Protección en el Acceso a la Información Sensible: Acceso no

autorizado a información valiosa debido a permisos incorrectos o débiles controles
de acceso.

o Fuga de Información o Robo de Datos: La falta de medidas para evitar la filtración

de información confidencial puede resultar en el robo de secretos comerciales o
propiedad intelectual por parte de empleados descontentos o ciberdelincuentes.

o Débil Gestión de Documentos y Control de Versiones: No tener sistemas para

rastrear y controlar versiones de documentos críticos puede conducir a la pérdida o
alteración no autorizada de información confidencial.

• Recursos Humanos y Acceso de Empleados:

o Inadecuada Capacitación en Seguridad Cibernética: La falta de conciencia y

capacitación en seguridad entre los empleados puede resultar en la apertura de
correos electrónicos maliciosos, descargas de archivos infectados o el uso de
contraseñas débiles.

o Acceso no Autorizado a Sistemas y Datos Sensibles: Empleados con privilegios

excesivos o la incapacidad de gestionar adecuadamente las cuentas de acceso
pueden llevar a accesos no autorizados a información crítica.

o Falta de Políticas de Seguridad Interna: La ausencia de políticas claras sobre el

uso de dispositivos personales, acceso remoto, redes sociales en el trabajo, etc.,
puede aumentar el riesgo de brechas de seguridad.

Estas vulnerabilidades pueden exponer estos activos a riesgos significativos si no se abordan

adecuadamente mediante medidas de seguridad y políticas internas que protejan la información
sensible y regulen el acceso y uso de datos.

3. Identifique las amenazas potenciales para las vulnerabilidades identificadas en la

2
 Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

pregunta anterior.

Para Datos Confidenciales de Clientes o Usuarios y sus Vulnerabilidades:

• Falta de Encriptación de Datos: Ataques de interceptación de datos (intercepción de

comunicaciones), malware que recopila información no encriptada durante la transmisión.

• Falta de Actualizaciones y Parches de Seguridad: Malware aprovechando

vulnerabilidades conocidas, como ransomware o ataques de phishing que explotan brechas
no corregidas.

Para Infraestructura de Red y Sistemas de TI y sus Vulnerabilidades:

• Falta de Actualizaciones de Seguridad en Dispositivos de Red: Ataques de denegación

de servicio (DDoS) que explotan vulnerabilidades conocidas en dispositivos de red,
accesos no autorizados a través de puertas traseras no parcheadas.

• Falta de Configuración Segura de Servidores: Accesos no autorizados por

configuraciones predeterminadas, explotación de vulnerabilidades de software en
servidores mal configurados.

Para Propiedad Intelectual y Secretos Comerciales y sus Vulnerabilidades:

• Falta de Protección en el Acceso a la Información Sensible: Fugas de datos

intencionales o no intencionales por empleados descontentos, robo de información por
parte de ciberdelincuentes.

• Fuga de Información o Robo de Datos: Ataques dirigidos para obtener secretos

comerciales, infiltración de sistemas para copiar y filtrar información confidencial.

Para Recursos Humanos y Acceso de Empleados y sus Vulnerabilidades:

• Inadecuada Capacitación en Seguridad Cibernética: Ataques de ingeniería social que

engañan a los empleados para divulgar información sensible, descargas de malware
debido a la falta de conciencia en seguridad.

• Acceso no Autorizado a Sistemas y Datos Sensibles: Accesos no autorizados a

información confidencial debido a privilegios excesivos, robo de credenciales para acceder
a datos sensibles.

Estas amenazas pueden explotar las vulnerabilidades presentes en los sistemas y datos,
destacando la importancia de implementar medidas de seguridad adecuadas para mitigar estos
riesgos.

3
 Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

4. ¿Cuál es la probabilidad de que las amenazas aprovechen las vulnerabilidades

identificadas? (utilice una escala, del 1 al 5, dónde 1 es casi improbable y 5 muy
probable)

Falta de Encriptación de Datos (Datos Confidenciales de Clientes o Usuarios): 4

La probabilidad de que los atacantes intenten interceptar datos no encriptados en tránsito es alta,
ya que es una táctica común en muchos tipos de ciberataques.

Falta de Actualizaciones y Parches de Seguridad (Datos Confidenciales de Clientes o

Usuarios): 3

La probabilidad de explotación de vulnerabilidades conocidas podría ser moderada, ya que los

atacantes a menudo buscan sistemas no actualizados para infiltrarse, pero esto puede variar
según la visibilidad y las medidas de seguridad adicionales.

Falta de Actualizaciones de Seguridad en Dispositivos de Red (Infraestructura de Red y

Sistemas de TI): 4

La probabilidad de ataques dirigidos a dispositivos con vulnerabilidades conocidas es alta, ya que

estos suelen ser objetivos primarios para los ciberatacantes.

Falta de Configuración Segura de Servidores (Infraestructura de Red y Sistemas de TI): 3

La probabilidad de explotación podría ser moderada, dependiendo de la visibilidad y la atracción

que representen los servidores mal configurados para los atacantes.

Falta de Protección en el Acceso a la Información Sensible (Propiedad Intelectual y Secretos

Comerciales): 4

La probabilidad de fuga de datos debido a la falta de control de acceso podría ser alta,
especialmente si hay empleados descontentos o intentos deliberados de robo de información.

Fuga de Información o Robo de Datos (Propiedad Intelectual y Secretos Comerciales): 3

La probabilidad podría ser moderada, ya que el robo de datos suele ser un objetivo atractivo, pero
su ejecución exitosa puede depender de la seguridad adicional implementada.

Inadecuada Capacitación en Seguridad Cibernética (Recursos Humanos y Acceso de

Empleados): 4

La probabilidad de caer en ataques de ingeniería social debido a la falta de conciencia en

seguridad puede ser alta entre los empleados menos capacitados en ciberseguridad.

Acceso no Autorizado a Sistemas y Datos Sensibles (Recursos Humanos y Acceso de

Empleados): 3

La probabilidad de acceso no autorizado podría ser moderada, dependiendo de la robustez de los

controles de acceso y la gestión de cuentas dentro de la organización.

4
 Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

Estas evaluaciones de probabilidad pueden variar según el entorno específico de la organización y

su postura de seguridad. Es crucial evaluar estas probabilidades con datos y conocimientos
específicos de la organización para una evaluación más precisa del riesgo.

5. ¿Cuál es el impacto que produciría que las amenazas aprovechen las

vulnerabilidades identificadas? (utilice una escala, del 1 al 5, dónde 1 es muy bajo
impacto y 5 muy alto impacto)

Falta de Encriptación de Datos (Datos Confidenciales de Clientes o Usuarios): 5

El impacto de la exposición de datos no encriptados podría ser muy alto, ya que podría llevar a la
pérdida de confianza de los clientes, multas por incumplimiento de normativas de protección de
datos y daños a la reputación de la empresa.

Falta de Actualizaciones y Parches de Seguridad (Datos Confidenciales de Clientes o

Usuarios): 4

El impacto podría ser alto, con la posibilidad de brechas de seguridad, interrupción de servicios y
pérdida de datos sensibles.

Falta de Actualizaciones de Seguridad en Dispositivos de Red (Infraestructura de Red y

Sistemas de TI): 4

La explotación de vulnerabilidades en dispositivos de red puede causar interrupciones en el

servicio, acceso no autorizado a datos críticos y posibles ataques de denegación de servicio.

Falta de Configuración Segura de Servidores (Infraestructura de Red y Sistemas de TI): 4

Podría tener un impacto significativo debido a la posible exposición de información sensible,

pérdida de datos o interrupción de servicios.

Falta de Protección en el Acceso a la Información Sensible (Propiedad Intelectual y Secretos

Comerciales): 5

La filtración de información confidencial podría tener un impacto extremadamente alto en la ventaja

competitiva, el valor comercial y la posición en el mercado.

Fuga de Información o Robo de Datos (Propiedad Intelectual y Secretos Comerciales): 4

El impacto puede ser significativo, ya que la pérdida o divulgación de secretos comerciales podría
afectar la posición competitiva y la confianza del cliente.

Inadecuada Capacitación en Seguridad Cibernética (Recursos Humanos y Acceso de

Empleados): 4

El impacto puede ser alto debido a las posibles brechas de seguridad causadas por errores
humanos, ataques de ingeniería social o acceso no autorizado a sistemas.

Acceso no Autorizado a Sistemas y Datos Sensibles (Recursos Humanos y Acceso de

Empleados): 3

5
 Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

Podría tener un impacto moderado, pero significativo, dependiendo del alcance de los datos a los
que se acceda y su utilización indebida.

Estas evaluaciones de impacto son generales y pueden variar dependiendo de la naturaleza y la

importancia específica de los activos para cada organización. Es fundamental evaluar el impacto
en función del contexto y la criticidad de los activos involucrados.

6. Con los datos de las preguntas 4 y 5 determine el riesgo. Riesgo= (probabilidad

identificada en 4) x (impacto identificado en 5).

• Falta de Encriptación de Datos (Datos Confidenciales de Clientes o Usuarios): 4

(probabilidad) x 5 (impacto) = 20

• Falta de Actualizaciones y Parches de Seguridad (Datos Confidenciales de Clientes o

Usuarios): 3 x 4 = 12

• Falta de Actualizaciones de Seguridad en Dispositivos de Red (Infraestructura de Red

y Sistemas de TI): 4 x 4 = 16

• Falta de Configuración Segura de Servidores (Infraestructura de Red y Sistemas de

TI): 3 x 4 = 12

• Falta de Protección en el Acceso a la Información Sensible (Propiedad Intelectual y

Secretos Comerciales): 4 x 5 = 20

• Fuga de Información o Robo de Datos (Propiedad Intelectual y Secretos

Comerciales): 3 x 4 = 12

• Inadecuada Capacitación en Seguridad Cibernética (Recursos Humanos y Acceso de

Empleados): 4 x 4 = 16

• Acceso no Autorizado a Sistemas y Datos Sensibles (Recursos Humanos y Acceso

de Empleados): 3 x 3 = 9

Estos valores representan una estimación del riesgo asociado a cada una de las vulnerabilidades
identificadas. Un valor mayor indica un riesgo potencialmente más alto en relación con esa
vulnerabilidad específica. Es importante tener en cuenta que este cálculo del riesgo se basa en
una evaluación general y podría variar dependiendo del contexto y las condiciones específicas de
la organización.

7. Establezca un plan de acción para mitigar el riesgo mayor identificado en la

pregunta anterior.

Para mitigar el riesgo identificado como más alto, que en este caso es la "Falta de Protección en el
Acceso a la Información Sensible" (Propiedad Intelectual y Secretos Comerciales), se pueden
implementar varias estrategias y acciones

Evaluación Detallada de Acceso y Privilegios:

Realizar una auditoría exhaustiva de los accesos y privilegios dentro de la organización para
identificar quién tiene acceso a la información sensible y si estos accesos son apropiados. Limitar
los accesos innecesarios.
6
 Universidad de las Américas – Diplomado de Ciberseguridad – Informática Forense

Implementación de Controles de Acceso Avanzados:

Utilizar medidas de autenticación multifactor (MFA) para garantizar una capa adicional de
seguridad en el acceso a datos sensibles. Esto podría incluir autenticación biométrica o tokens de
seguridad.

Formación y Concientización Continua:

Educar a los empleados sobre la importancia de la seguridad de la información y los riesgos

asociados con la divulgación accidental o intencional de datos sensibles. Proporcionar
entrenamiento regular en seguridad cibernética.

Implementación de Políticas de Seguridad de Datos:

Establecer políticas claras y estrictas que regulen el acceso, el uso y la transferencia de datos
sensibles. Estas políticas deben ser comunicadas y aplicadas consistentemente en toda la
organización.

Seguimiento y Revisión Continua:

Realizar auditorías periódicas y revisiones de los sistemas y políticas de seguridad para identificar
y abordar posibles vulnerabilidades o brechas de seguridad. Mantener los sistemas actualizados y
parcheados.

Uso de Tecnologías de Seguridad Avanzadas:

Implementar soluciones tecnológicas como firewalls avanzados, sistemas de detección de

intrusiones (IDS), prevención de pérdida de datos (DLP) y cifrado de extremo a extremo para
proteger la información sensible.

Establecimiento de un Equipo de Respuesta a Incidentes:

Crear un equipo dedicado para manejar incidentes de seguridad en caso de que ocurra una
brecha. Definir protocolos claros para la notificación, respuesta y recuperación de incidentes de
seguridad.

Colaboración con Expertos Externos:

En casos complejos, buscar asesoramiento de expertos externos en seguridad cibernética para

evaluar y fortalecer las defensas de la organización.