Semana 5

Tema: Riesgo Riesgo Financiero y de Seguridad de la Información

Curso: Gestión del Riesgo Corportativo
Agenda
• 1. Compartir la historia de éxito de la semana (5 minutos)
• 2. Compartir impresiones sobre el foro (30 minutos)
• 3. Conversar y debatir sobre el tipo de Riesgo Financiero (1 hora)
• 3.1 Revisar material creado por el profesor
• 3.2 Incentivar a los estudiantes para que conversen sobre el tema con casos personales
• o impresiones al respecto sobre la importancia de la identificación de este riesgo
• 4. Conversar y debatir sobre el tipo de Riesgo de Seguridad de la Información (1 hora)
• 4.1 Revisar material creado por el profesor
• 4.2 Incentivar a los estudiantes para que conversen sobre el tema con casos personales
• o impresiones al respecto sobre la importancia de la identificación de este riesgo
• 5. Explicar la tarea: (5 minutos)
• 5.1 Investigar sobre los siguientes 2 categorías de riesgo: Riesgo Reputacional y Riesgo
• Legal
Compartir la historia de éxito de la semana
Compartir impresiones sobre el foro
• FMEA…
Conversar y debatir sobre el tipo de Riesgo
Financiero
• Como lo definen
• Tipos de riesgos financieros
• Conversen sobre el tema con casos personales
• Impresiones al respecto sobre la importancia de la identificación de
este riesgo
Riesgo Financiero
• El riesgo financiero hace referencia a la incertidumbre producida en
el rendimiento de una inversión, debida a los cambios producidos en
el sector en el que se opera, a la imposibilidad de devolución del
capital por una de las partes y a la inestabilidad de los mercados
financieros.
Tipos de Riesgos Financieros
• Riesgo de crédito: se produce cuando una de las partes de un contrato
financiero no asumen sus obligaciones de pago.
• Riesgo de liquidez: se produce cuando una de las partes contractuales tiene
activos pero no posee la liquidez suficiente con la que asumir sus obligaciones.
• Riesgo de cambio: está asociado a la fluctuación del tipo de cambio de una
moneda frente a otra.
• Riesgo de tasas de interés: hace referencia al riesgo de que los tipos de interés
suban o bajen en un momento no deseado. (hipoteca)
• Riesgo de mercado: Se trata del riesgo de que se produzcan pérdidas en una
cartera como consecuencia de factores u operaciones de los que depende
dicha cartera.
Causas del Riesgo Financiero
• Administración inadecuada.
• Endeudamiento elevado.
• Variaciones de cambio o en las tasas de interés.
• Operaciones de mercado o inversiones con alto grado de inseguridad.
• Falta de información para tomar decisiones.
Fraude
• Es el robo, la corrupción, la malversación, el blanqueo de dinero, el
soborno, el uso de información privilegiada y la extorsión. Todas las
actividades fraudulentas son ilegales, y las personas involucradas en
estas actividades son catalogadas como delincuentes.
El Triangulo del Fraude
Ley SOX - Antecedentes
Ley SOX - Antecedentes
Ley SOX - Generalidades
Ley SOX - Detalle
• Es la ley de reforma de la contabilidad de compañías públicas y
protección de los inversionistas
• Objetivos:
• Generar un marco de transparencia
• Abordar defectos de los servicios de información financiera empresarial
• Revisión y control de estados financieros
• Sancionar fraudes corporativos
Conversar y debatir sobre el tipo de Riesgo
Seguridad de la Información
• Como lo definen
• Generalidades sobre el tema
• Conversen sobre el tema con casos personales
• Impresiones al respecto sobre la importancia de la identificación de
este riesgo
Riesgo de Seguridad de la Información
• Con seguridad de la información nos referimos principalmente
a integridad, disponibilidad y confidencialidad de la información. El
objetivo de la seguridad es preservar estos tres pilares.
• ISO 27001: es un estándar internacional que establece los requisitos
para la implementación, mantenimiento y mejora continua de un
Sistema de Gest
• Reglamento General de Protección de Datos (General Data Protection
Regulation –GDPR-) de la Seguridad de la Información: es el
reglamento europeo relativo a la protección de las personas físicas en lo
que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos en la UE y el Espacio Económico Europeo
Riesgo de Seguridad de la Información –
Conceptos importantes
• Vulnerabilidad: Una debilidad o fallo en un sistema de información
que abre la puerta para que un atacante. Situación no prevista pueda
comprometer la integridad, disponibilidad o confidencialidad de los
datos.
• Amenaza: Es una acción que aprovecha una vulnerabilidad para
atentar contra la seguridad de un sistema de información.
• Riesgo: las probabilidades de que una amenaza explote la
vulnerabilidad de un activo de información y, por tanto, dañe a una
organización.
Riesgo de Seguridad de la Información –
Principales amenazas
1.-Ingeniería social
2.-Phishing
3.-Código malicioso/Virus
4.-Ataques de contraseña
5.-Fraude informático
6.-Acceso a información confidencial impresa
7.-Dañis físicos al equipamiento
8.-Pérdida de copias de resguardo
9.-Robo de identidad
10.-Trashing
Riesgo de Seguridad de la Información –
cómo mitigarlos-
• Mantener un inventario unificado
• Instalar en los dispositivos un agente para el monitoreo
• Validar el estado de los activos para garantizar que se encuentran protegidos y
controlados
• Establecer controles de acceso a la red
• Etiquetar aplicaciones no autorizadas para evitar licencias piratas
• Utilizar la geolocalización para evitar la pérdida de dispositivos
• Monitorear los servicios en la nube para asegurar su uso adecuado
• Escanear tu red periódicamente para detectar el shadow IT
• Realizar auditorías periódicas para mitigar los puntos ciegos que resultan riesgosos
• Llevar a cabo capacitaciones periódicas para los empleados
• Construya un plan de respuesta a incidentes
Ejemplos
• Marzo 2021 – El Software de Microsoft Provocó una Filtración de
Datos
• El grupo de hackers chino conocido como Hafnium atacó a Microsoft
en marzo de 2021. El ataque afectó a más de 30.000 organizaciones
en todo Estados Unidos, incluyendo gobiernos locales, agencias
gubernamentales y empresas.
• Aunque el ataque no estaba dirigido específicamente a Microsoft, el
grupo “se dirige principalmente a entidades de Estados Unidos con el
fin de exfiltrar información de varios sectores industriales”, según la
notificación de Microsoft a sus clientes.
Ejemplos
• Abril 2021– Violación de Datos de Facebook
• Una filtración de datos de Facebook expuso la información personal
de más de 533 millones de personas a los hackers. Esto incluía el
nombre del usuario, su fecha de nacimiento, su ciudad actual y las
publicaciones realizadas en su muro. La vulnerabilidad fue
descubierta en 2021 por un grupo de seguridad de sombrero blanco y
existía desde 2019
Ejemplos
• Mayo 2021 – Colonial Pipeline
• En mayo, la empresa estadounidense Colonial Pipeline fue víctima de
un ataque de ransomware. La empresa opera un gran oleoducto que
transporta gasolina y otros productos petrolíferos desde Texas hasta
Nueva Jersey y por todo el Medio Oeste
Ejemplos
• Mayo 2021 – Ataque de Ransomware de JBS
• En mayo, JBS, el tercer procesador de carne del mundo, sufrió un ataque de
ransomware. Uno de los principales efectos del ataque fue el tiempo de
inactividad de cientos de plantas de procesamiento de carne y aves de corral en
cuatro continentes. Tras darse cuenta de que perderían toda su base de datos si
no pagaban el rescate de 11 millones de dólares, JBS realizó un pago en bitcoin
a los ciberdelincuentes.
• JBS descubrió la incursión cuando el equipo informático detectó irregularidades
en algunos de sus servidores internos. Tras ponerse en contacto con el FBI y con
expertos en seguridad, comenzaron a apagar los sistemas para frenar el impacto
del ataque. Esta táctica resultó infructuosa, ya que tardaron dos semanas en
recuperar el control total de sus sistemas mediante copias de seguridad.
Ejemplos
• Instituciones del estado costarricense: CCSS, Hacienda, bancos…
Explicar la tarea
• Investigar sobre los siguientes 2 categorías de riesgo:
• Riesgo Reputacional
• Riesgo Legal
Recordatorio
• Recordar sobre la tarea de "Identificación de Riesgos"
• Completar las cejillas de la metodología correspondientes al detalle
de la "Identificación de Riesgos“:
• Cuestionario de Riesgos
• Identificación de Riesgos
• Evaluación de Controles
• La tarea se entrega la semana 9