SESION 1:

Introducción a la
Seguridad Informática
AGENDA
◼ Sílabo del curso
◼ Historia de la seguridad de la información
◼ Conceptos y términos claves de la
seguridad de la información
◼ La seguridad en el ciclo de vida del
desarrollo de sistemas (SecSDLC)
◼ El rol de los profesionales de Seguridad de
la Información
◼ Ciberseguridad
 SÍLABO
◼ CAP 1 Introducción a la seguridad de la información
◼ Sílabo y trabajos del curso
◼ Historia de la seguridad de la información
◼ Conceptos y términos claves de la seguridad de la información
◼ La seguridad en el ciclo de vida del desarrollo de sistemas
◼ El rol de los profesionales de Seguridad de la Información
◼ Ciberseguridad
◼ CAP 2 La necesidad de Seguridad de la información
(INVESTIGACION)
◼ Primero las necesidades del negocio, después las necesidades
de la tecnología
◼ Amenazas – encuestas CSI - FBI
◼ Categorías de amenazas a la seguridad de información
◼ Ataques
◼ Descripción de ataques
◼ TALLER DE GESTION DEL PROYECTO: 28/05/20
SÍLABO
◼ CAP 3: Gestión de Riesgos I (ANALISIS)
◼ Gestión de Riesgos

◼ Conociéndonos

◼ Conociendo al enemigo

◼ Responsabilidad para la Gestión de Riesgos

◼ Proceso de Gestión de Riesgos

◼ Identificación de amenazas

◼ Identificación y valoración de activos

SÍLABO
◼ SEMANA 5 CAP 4 Gestión de Riesgos II (RESPUESTA) -
◼ - Estrategias de Control de Riesgos
◼ Eludir o evitar

◼ Transferir
◼ Mitigar:
◼ Plan de Respuesta a Incidentes (IRP)

◼ Plan de Recuperación de Desatres (DRP)

◼ Plan de Continuidad del negocio (BCP)

◼ Aceptar
◼ Estrategias de Mitigación
◼ Puntos de decisión para manejar riesgos
◼ Ciclos de Control de Riesgo
◼ Categorías de Controles
◼ Función de control (preventivo, detectivo)
◼ Capas arquitectónicas
◼ Estrategia por capas
◼ Principios o dimensiones de Seguridad de la Información

◼ Estudios de Factibilidad - :
◼ Análisis Costo Beneficio
◼ Benchmarking
◼ Linea de Base
◼ Factibilidad
SÍLABO
◼ SEMANA 6 Sustentación de Avance de Trabajos Finales
◼ SEMANA 7 EXAMEN PARCIAL
◼ SEMANA 8 Políticas de Seguridad (DISEÑO LOGICO)
◼ Políticas, estándares y prácticas (guías y procedimientos)
◼ Política de problema específico
◼ Política de sistema específico
◼ Políticas de control de accesos
◼ Gestión de políticas
◼ Clasificación de información
◼ Diseño del sistema
◼ Modelos de Seguridad de Información
◼ ISO 17799
◼ NIST
◼ VISA
◼ IETF
◼ Esfera de uso y protección
◼ Controles
◼ El esquema
◼ Educación, entrenamiento y conciencia en seguridad
◼ Arquitectura de seguridad
SÍLABO
◼ SEMANA 9 Recuperación de desastres y Continuidad de
Negocios (DISEÑO LOGICO)
◼ Plan de Contingencia
◼ Equipo de personas
◼ Plan de Respuesta a incidentes (IRP)
◼ Plan de Recuperación de desastres (DRP)
◼ Plan de Continuidad de Negocio (BCP)
◼ Análisis de Impacto en el negocio
◼ Identificación de ataques amenazas
◼ Análisis de Unidades de negocio
◼ Escenarios de Ataques exitosos
◼ Evaluación de daño potencial
◼ Clasificación de planes Subordinados
◼ Detección de Incidentes
◼ Plan de recuperación de Desastres
◼ Gestión de Crisis
◼ Plan de Continuidad
◼ Estrategias de Continuidad
◼ Modelo de IR, DR y BC
SÍLABO
◼ SEMANA 10 Diseño Físico: Tecnologías de
Seguridad
◼ Diseño Físico – Tecnologías de Seguridad
◼ FIREWALL
◼ Primera Generación: Filtro de paquetes
◼ Segunda Generación: Proxy de aplicaciones
◼ Tercera Generación: Inspección total
◼ Cuarta Generación: filtrado dinámico
◼ Quinta Generación: kernel Proxy (pila de protocolos)
◼ Ruteador de Filtrado de paquetes
◼ Detectores de intrusos
◼ Herramientas de análisis y escanning
◼ Encriptación
◼ Algoritmos
◼ Estándares
◼ Infraestructura de claves públicas
◼ Seguridad IP
◼ Biometría
SÍLABO
◼ SEMANA 11 Diseño Físico: Seguridad Física
◼ Roles de la comunidad
◼ Control de Acceso
◼ Gestión de las instalaciones:
◼ Controles
◼ Tarjetas y bandas de idetificación
◼ Cierres y Llaves
◼ Trampas para personas
◼ Monitoreo
◼ Alarmas
◼ Salas de cómputo
◼ Paredes
◼ Seguridad contra incendio
◼ Detección
◼ Respuesta
◼ Supresión
◼ Tipos de incendio
◼ Calentadores, Ventilación y aire acondicionado
◼ Gestión de Energía y acondicionamiento:
◼ UPS
◼ Influencia de la energía
◼ Interceptación de datos
◼ Computación remota
SÍLABO
◼ SEMANA 12.- Implementación: Implementando Seguridad
◼ Gestión del Proyecto
◼ Gerencia del proyecto
◼ Desarrollando el Plan
◼ Aspectos financieros
◼ Prioridades
◼ Tiempo y cronograma
◼ Personal
◼ Alcance
◼ Procura
◼ Factibilidad Organizacional
◼ Entrenamiento y adoctrinamiento
◼ Control de cambios y tecnología
◼ Supervisando Implementación
◼ Ejecutando el Plan
◼ Ciclo de retroalimentación
◼ Estrategias de conversión
◼ El modelo del “ojo del toro”
◼ Subcontratar o no
◼ Consideraciones al cambio
◼ Resistencia al cambio
SÍLABO
◼ SEMANA 13.- Seguridad y Personal
◼ La función de Seguridad de la Información dentro de las
organizaciones.
◼ Problemas y preocupaciones para cubrir las necesidades de
personal que cumpla las funciones de Seguridad de la
información
◼ Credenciales que pueden conseguir los profesionales en el
campo de la seguridad de la información
◼ SEMANA 14.- Sustentación de Trabajos Finales
◼ SEMANA 15.- EXAMEN FINAL
 Trabajos 2020 I
◼ Lecturas
◼ Trabajos Grupales o individuales
◼ 1 Trabajo Final (PROYECTO GRUPAL)
◼ Prácticas calificadas y Exámenes
PROMEDIO PRACTICAS:
◼ 2 Prácticas calificadas (no se eliminan) 5ta
y 11va. semana
◼ TRABAJO 1 (Promedio de los trabajos (se
elimina 20%)
◼ TRABAJO 2: es la nota del Trabajo Final
 Trabajo final (Proyecto Grupal)
◼ Grupos de 4 a 6. En empresa de cualquier tamaño que no tenga que ver con la UNI.
◼ El Proyecto es el desarrollo de un Plan para la Implementación de un Sistema de
Seguridad para una empresa o para uno o mas macroprocesos de la misma (sistemas o
áreas críticas con sistemas CORE del negocio).
◼ La fecha de inicio del Proyecto grupal será el Lunes 15 de junio y la fecha fin del
Proyecto será el jueves 10 de setiembre del presente. Sin embargo se sugiero iniciar
antes.
◼ Entregables obligatorios serán los mostrados en la EDT del Proyecto, de la siguiente
diapositiva:
1)Informe de necesidades de seguridad de la empresa visitada; 2) Identificación de amenazas
y valoración de activos; 3)Riesgos de seguridad y estrategias de mitigación propuesta; 4)
Compendio de políticas de seguridad; 5)Plan de contingencia; 6)Tecnologías de seguridad
recomendadas; 7)Controles de acceso recomendados; 8) 4 Procedimientos de seguridad y su
estrategia de implementación.
◼ El jueves 18/06/20 deberán presentar la EDT, el cronograma respectivo (línea base) y
el Acta de Constitución, los que forman en Entregable 01 .
◼ Se deberán de establecer en el cronograma, las actividades para elaborar los distintos
entregables por cada etapa del Proyecto (Investigación, Análisis, Diseño, etc), conforme a
la EDT estandarizada adjunta
◼ Deberán considerar Hitos de Control cada dos semanas siendo el primero en la
clase del 18/06/19 y los siguientes: 2/07/20 ; 16/07 y así sucesivamente
30/07; 13/08 y el 27/08 y 3/09/20(Envío de documento integrado de
Entregables)
◼ En cada hito de control deberá de tenerse por lo menos 1 entregable, todos los hitos de
control deben figurar en el cronograma del proyecto
 Trabajo final
◼ EDT del Trabajo Final para todos los grupos

HITOS PRINCIPALES (fechas máximas):

E 01 Presenta Acta de Consttitución, Cronograma y AC…… 18/06/20
E 02 Mapeo de Proceso (si justifica) + Informe de Necesidad + Informe de Entrevistas 02/07/20.
E 03 Inventario de activos + Informe de amenazas………………………………….. 16/07/20
E 04 informe vulnerabilidades + Informe de control de riesgos/Políticas…….. 30/07/20
E 05 Planes de contingencia …………………………… 13/08/20
E 06 Diseño Físico y cierre proyecto ………………….. 27/08/20
E 07 INFORME FINAL INTEGRADO …………………. 10/09/20
 Fechas hito y entregables
Fecha Entregables
18/06/20 Informe + E 01
02/07/20 Informe + E 02
16/07/20 Informe + E 03
30/07/20 Informe + E 04
13/08/20 Informe + E 05
27/08/20 Informe + E 06
10/09/20 Documento integrado y ajustado E 01 – E 06
Prueba de entrada: EN CONTACTO CON LA SEGURIDAD
 Objetivos

En esta lección los alumnos serán capaces de:

1. Describir que es la seguridad de la
información y cómo llega a ser lo
que es hoy día
2. Discutir la historia de la seguridad de
los computadores y como
evolucionaron hacia la seguridad de
la información
Objetivos

3. Identificar y definir términos claves y

conceptos críticos de seguridad de la
información
4. Bosquejar las fases de la seguridad del
ciclo de desarrollo de sistemas
5. Describir el involucramiento de la
seguridad de la información en una
estructura organizacional
Que es Seguridad de la
Información?

Seguridad de la Información en la empresa

de hoy es un “bien informado sentido
de asegurar que los riesgos de la
información y los controles están
balanceados”
–Jim Anderson, Inovant (2002)
 Historia de la Seguridad de la
Información

◼ Seguridad de Computadoras comenzó

inmediatamente después que los primeros
mainframes fueron desarrollados
◼ Grupos que desarrollaron computación para romper
códigos durante la Segunda Guerra Mundial crearon
los primeros computadores modernos
◼ Fueron necesarios controles físicos para limitar el
acceso a personal autorizados en ubicaciones
militares
◼ Solo existieron disponibles controles rudimentarios
para defenderse contra robos físicos, espionaje, y
sabotaje
The Enigma
Los 1960s

◼ Agencia del Proyecto Avanzado de

Investigación del Departamento de
Defense (ARPA) comienza a examinar la
factibilidad de comunicaciones de redes
redundantes
◼ Dr. Lawrence Roberts desarrolló el
proyecto desde su concepción
The ARPANET
 Los 1970s y 80s
◼ ARPANET creció en popularidad por su
potencial falta de uso.
◼ Fueron identificados Problemas Fundamentales
en la seguridad de ARPANET
◼ No existían procedimientos seguros para conexiones
dial-up a ARPANET
◼ No existía identificación y autorización de Usuarios
al sistema.
◼ A finales de los 1970s los microprocesadores
expandieron las capacidades de cómputo así
como las amenazas a la seguridad
R-609 –Se inicia seguridad de información

◼ Seguridad de información se inició con el

Rand Report R-609
(http://www.rand.org/publications/R/R609.1/R609.1.html)

◼ Alcance de la seguridad de cómputo

creció de la seguridad física a incluir:
◼ Seguridad de los datos
◼ Limitación de accesos no autorizados a los
datos
◼ Involucramiento de personal de múltiples
niveles de la organización
 Los 1990s
◼ Conforme las redes llegaron a hacerse
mas comunes, se hizo necesario
interconectarlas
◼ Resultado fue Internet, la primera
manifestación de una red de redes
global
◼ En los inicios del despliegue de
Internet, la seguridad fue de baja
prioridad
 El presente
◼ Internet ha traído millones de redes de
computadoras comunicadas unas con
otras y muchas de ellas inseguras
◼ Capacidad de aseguramiento de cada
equipo ahora influenciada por la
seguridad en cada computadora con la
cual está conectada.
◼ Nube, Hiperconvergencia, Wireless,
Mobilidad, Analytics, Colaboración, redes
sociales, IPV6, etc
 Qué es Seguridad?
◼ “Calidad o estado de estar seguro – de estar
libre de peligro”
◼ Estar protegido de adversarios
◼ Una organización exitosa debe tener múltiples
capas de seguridad desplegadas:
◼ Seguridad Física Proteger objetos u áreas
◼ Seguridad del Personal Proteger individuos o grupos
◼ Seguridad de la Operaciones Proteger actividades
◼ Seguridad de las Comunicaciones Proteger media, tecnología
y contenidos
◼ Seguridad de la Red Proteger componentes de
red, conexiones y contenidos
28
 Qué es Seguridad de la
Información?
◼ La protección de la información y de sus
elementos críticos, incluyendo los sistemas
y hardware que usa, almacena y
transmite esa información
◼ Herramientas, tales como políticas,
concientización, entrenamiento, educación, y
tecnología son necesarias
◼ El triángulo CID fue el estandar basado en
confidencialidad, integridad, y disponibilidad
◼ El triángulo CID se ha expandido hacia una lista
de características críticas de la información
 Características críticas de la
información
• Secreto impuesto de acuerdo con
políticas de seguridad
Qué es Seguridad de la Información Prevenir • SINO: Fugas y filtraciones de
Divulgación no autorizada de información; accesos no autorizados;
Información Activos de Información pèrdida de confianza de los demàs
(incumplimiento de leyes y compromisos)

E Autenticídad de quien
C hace uso de datos o
D servicios

T
E-commerce Trazabilidad del uso de
servicios (quién, cuándo) o
a datos (quien y que hace)

Prevenir Información
Cambios no autorizados en (dimensiones) No repudio
Activos de Información (Compromisos)
Confiabilidad
(Inform.)
Prevenir
6
I +5 D 7x24x365 Destrucción no autorizada de
Activos de Información
=

• Validez y Precisión de información y sistemas.

•SINO: Información manipulada, incompleta, corrupta • Acceso en tiempo correcto y confiable a datos y
y por lo tanto mal desempeño de funciones recursos.
• SINO: Interrupción de Servicios o Baja
Productividad
Modelo de Seguridad NSTISSC

dimensiones Medidas para

implementar

C C

I I

D D

objetivos
Alm Proc Transm Almac Proces Transm

FIGURE 1-3 Modelo de Seguridad NSTISSC

Componentes de un Sistema de Información

◼ Para entender la importancia de la

seguridad de información, se necesita
conocer los elementos de un sistema
de información
◼ Un Sistema de Información (SI) es mas
que un computador
◼ Incluye software, hardware, datos, gente,
y procedimientos necesarios para usar la
información como recurso en la
organización
 Asegurando los Componentes

◼ El computador puede ser ya sea el

sujeto de un ataque y/o el objeto de
un ataque
◼ Cuando el computador es
◼ el sujeto de un ataque, este es usado
como la herramienta activa para conducir
el ataque
◼ Como objeto del ataque, es la entidad que
esta siendo atacada
Subject and Object of Attack
Balanceando Seguridad y Acceso

◼ Imposible obtener seguridad perfecta

– seguridad no es absoluta; es un
proceso
◼ Seguridad debe ser un balance entre
protección y disponibilidad
◼ Para alcanzar el balance, el nivel de
seguridad debe permitir acceso
razonable que proteja contra amenazas
Balancing Security and Access
 Enfoque Bottom Up
◼ Seguridad desde las raíces
– Administradores de sistemas intentan
mejorar la seguridad de sus sistemas
◼ Ventaja clave – experiencia técnica
individual de los administradores
◼ Trabajo pesado ya que carece de
características críticas:
◼ Apoyo de participantes
◼ Energía de la organización
Enfoques para implementación de seguridad

Enfoque Top-down Enfoque Bottom-up

CEO

CFO CIO COO

VP- VP-
CISO
Systems Networks

security systems network

manager manager manager

security systems network

admin admin admin

security systems network

tech tech tech

FIGURA 1-7 Enfoques para la implementación de la Seguridad

 Enfoque Top-down
◼ Iniciado por la Alta dirección:
◼ Emisión de Políticas, procedimientos, y procesos
◼ Dicta las metas y productos esperados del proyecto

◼ determina quien es el responsable para acción

requerida
◼ Adicionales:
◼ Fuerte soporte de la alta dirección
◼ Un campeón dedicado
◼ Fondos dedicados
◼ Planeamiento claro
◼ Oportunidad de influenciar en cultura organizacional
Enfoque Top-down

◼ También puede involucrar el desarrollo

formal de una estrategia referida al
ciclo de vida de desarrollo de sistemas
◼ Mas exitoso es el enfoque top-down
Ciclo de vida de desarrollo de sistemas (SDLC)

◼ Seguridad de la información debe ser

manejada de una forma similar que la
implementación de cualquier otro
sistema principal en la organización
◼ Uso de una metodología
◼ Asegura un proceso riguroso
◼ Evita que se pierdan pasos
◼ Meta es crear un comprensivo
programa/postura de seguridad
 SDLC
Ciclo de vidaWaterfall Methodology
de desarrollo de sistemas (SDLC)

Investigation

Analysis

Logica l Design

Physical Design

Implementation

Repea t Maintenance
and change
FIGURE 1-8 SDLC Waterfall Methodology
SDLC = Ciclo de vida del desarrollo de software
SDLC y la secuencia del SDLC

◼ La secuencia del SDLC puede ser:

◼ Dirigida por eventos – iniciada en
respuesta a alguna ocurrencia o
◼ Dirigida por un plan – como resultado de
una cuidadosamente desarrollada
estrategia de implementación
◼ Al final de cada fase se obtiene una
revisión estructurada
 Investigación
◼ Cuál es el problema que el sistema a ser
desarrollado va a resolver?
◼ Los objetivos, restriciones, y el alcance del
proyecto son especificados
◼ Un análisis preliminar costo/beneficio es
desarrollado
◼ Un análisis de factibilidad es ejecutado para
evaluar los aspectos técnicos y económicos
y la factibilidad del proceso
 Análisis

◼ Consiste principalmente de:

◼ Evaluación de la organización
◼ Estado de los sistemas actuales
◼ Capacidad para soportar los sistemas propuestos
◼ Analistas comienzan a determinar
◼ Qué se espera que haga el nuevo sistema
◼ Cómo interactuará el nuevo sistema con los sistemas
actuales
◼ Finaliza con la documentación de los
hallazgos y una análisis actualizado de la
factibilidad
 Diseño Lógico
◼ Basado en necesidad del negocio, las
aplicaciones son seleccionadas por su
capacidad de proveer los servicios necesarios
◼ Basado en las aplicaciones necesitadas,
soportes y estructuras de datos capaces de
proveer las necesidades de entradas que sean
identificadas
◼ Finalmente, basado en todo lo anterior,
seleccionar formas específicas de implementar
la solución física seleccionada
◼ Al final, se ejecuta otro análisis de factibilidad
Diseño Físico

◼ Se selecionan tecnologías específicas para

soportar las alternativas identificadas y
evaluadas en el diseño lógico
◼ Los componentes seleccionados son
evaluados basados en la decisión “comprar o
hacer o SaaS”
◼ Solución total es presentada a los
representantes de los usuarios finales para su
aprobación
Implementación

◼ Los Componentes son ordenados,

recibidos, ensamblados y probados
◼ Usuarios son entrenados y la
documentación es creada
◼ Presentación del sistema a los usuarios
para la revisión del rendimiento y la
prueba de aceptación
 Mantenimiento y cambios
◼ Tareas necesarias para soportar y
modificar el sistema para el resto de su
vida útil
◼ El ciclo de vida continúa hasta que el
proceso comienza otra vez desde la fase
de investigación
◼ Cuando el sistema actual ya no puede
soportar la misión de la organización, un
nuevo proyecto es implementado
Seguridad en el ciclo de vida del
desarrollo de sistemas DE
SEGURIDAD (SSDLC)
◼ Las mismas fases usadas en el tradicional
SDLC adaptado para soportar la
implementación especializada de un
proyecto de seguridad
◼ Proceso Básico es la identificación de las
amenazas y controles que cuenten
◼ La secuencia SDLC es un programa
coherente mas que una serie aleatoria y de
acciones aparentemente no conectadas
 Investigación (SS )
Sistema de Seguridad

◼ Identifica los procesos, productos y metas del

proyecto, y sus restricciones
◼ Se inicia con una declaración de un programa
de Política de Seguridad
◼ Los equipos son organizados, los problemas
analizados, y el alcance definido (Puede ser Empresa,
Procesos o Servicios), incluyendo objetivos, y restriciones

no cubiertas en el programa de la Política

◼ Un análisis de la factibilidad organizacional es
ejecutado
 Análisis (SS)
◼ Análisis de políticas o programas de
seguridad existentes , junto con
amenazas actuales documentadas y
controles asociados
◼ Incluye un análisis de los temas legales
relevantes que pudieran impactar el
diseño de la solución de seguridad
◼ La tarea de Gestión de Riesgos
(identificar, y evaluar niveles de riesgos)
también se inicia
 Diseño físico y lógico (SS)

◼ Crea modelos para la seguridad (basado

en estándares)
◼ Análisis crítico del planeamiento y
factibilidad para determinar si el proyecto
debe o no continuar
 Diseño Físico y Lógico (SS)

◼ En el diseño físico, se evalúa

tecnología de seguridad, se generan
alternativas y se selecciona el diseño
final
◼ Al final de la fase, el estudio de
factibilidad determina si todas las
partes están listas y tienen oportunidad
para aprobar el proyecto
 Implementación (SS)
◼ Se adquieren soluciones de seguridad (hechas
o compradas o híbridas), probadas,
implementadas, y probadas otra vez
◼ Se puede decidir si implementar todo lo
analizado o seleccionar con algún criterio los
aspectos a implementar parcialmente
◼ Se evalúan asuntos del Personal y se conduce
programa de educación y entrenamiento
específico
◼ Finalmente, se presenta la prueba entera del
paquete para la aprobación final de la Alta
dirección
Cambio y mantenimiento (SS)
◼ Culminada la implementación total o parcial,
viene esta fase que es tal vez la mas
importante, dado el alto nivel de ingenuidad
de las amenazas de hoy en día.
◼ Reparación y restauración de la información es
una tarea constante con “adversaries no
vistos
◼ Como emergen nuevas amenazas y las viejas
evolucionan, el perfil de seguridad de la
información de una organización requiere de
constante adaptación
Profesionales de la seguridad y la
organización

◼ Se requiere de un amplio rango de

profesionales
◼ Para el desarrollo y ejecución de
políticas y procedimientos específicos,
se requiere de soporte administrativo y
experiencia técnica
 Gerencia Senior
◼ Chief Information Officer (CIO)
◼ Oficial senior de tecnología
◼ primariamente responsable por aconsejar a los
ejecutivos senior para el planeamiento
estratégico
◼ Chief Information Security Officer(CISO)
◼ responsable de la evaluación, gestión e
implementación del aseguramiento de la
información en la organización
◼ También puede ser necesario un Gerente de
Seguridad, Administrador de Seguridad, etc
Equipo de Seguridad del Proyecto

Número de individuos con experiencia en uno o

varios de los múltiples requerimientos técnicos
y no técnicos:
◼ El campeón
◼ El lider del equipo
◼ Los desarrolladores de políticas de Seguridad
◼ Especialistas en evaluación de Riesgos
◼ Profesionales de Securidad
◼ Administradores de Sistemas
◼ Usuarios finales
 Dueños de datos
◼ Data Owner - responsable de la
seguridad y uso de un juego particular
de información
◼ Data Custodian – responsable del
almacenamiento, mantenimiento y
protección de la información
◼ Data Users – los usuarios finales que
trabajan con la información y ejecutan
tareas diarias que soportan misión de
organización
 Comunidades de Interés
◼ cada organización desarrolla y
mantiene su cultura propia y valores;
dentro de la cultura hay comunidades
de interés:
◼ Gerentes de Seguridad de Información y
Profesionales relacionados
◼ Gerentes de Tecnología de la Información
y profesionales relacionados
◼ Gerentes de Organización y profesionales
relacionados
 Ciberseguridad
1) Tecnologías, procesos y controles diseñados para
proteger sistemas, redes y datos de ataques
cibernéticos.
2) La seguridad cibernética efectiva reduce el riesgo de
ataques cibernéticos y protege contra la explotación no
autorizada de sistemas, redes y tecnologías.
3) La seguridad cibernética robusta implica implementar
controles basados ​en tres pilares: personas, procesos y
tecnología. Este enfoque triple ayuda a las organizaciones
a defenderse de ataques organizados y amenazas internas
comunes, como violaciones accidentales y errores
humanos.
 Ciberseguridad
1) Personas:
Todos los empleados deben ser conscientes de su papel en la prevención y
reducción de las amenazas cibernéticas, y el personal técnico especializado en
seguridad cibernética debe estar completamente actualizado con las últimas
habilidades y calificaciones para mitigar y responder a los ataques cibernéticos.

2) Procesos:
Los procesos son cruciales para definir cómo se utilizan las actividades, roles y
documentación de la organización para mitigar los riesgos para la información de la
organización. Las amenazas cibernéticas cambian rápidamente, por lo que los
procesos deben revisarse continuamente para poder adaptarse a ellos.

3) Tecnología:
Al identificar los riesgos cibernéticos a los que se enfrenta su organización, puede
comenzar a ver qué controles implementar y qué tecnologías necesitará para hacer
esto. La tecnología se puede implementar para prevenir o reducir el impacto de
los riesgos cibernéticos, según su evaluación de riesgos y lo que considere un nivel
de riesgo aceptable.
 Ciberseguridad
Por qué es importante la seguridad cibernética?
1) Costos de las violaciones de datos están aumentando y ya hay
organismos que están implementando reglamentos de protección de
datos con multas por infracciones:
2) Hay costos no financieros que deben considerarse, como daños a la
reputación y pérdida de confianza del cliente.
3) Los ataques cibernéticos son cada vez más sofisticados, por la variedad
mayor de tácticas para explotar vulnerabilidades como Ingeniería Social,
Malware y Ransomware (Petya, WannaCry y NotPetya).
La seguridad cibernética es un tema crítico de los comités de dirección:
1) Nuevas regulaciones y los requisitos de informes hacen que la
supervisión de riesgos de seguridad cibernética sea un desafío.
2) Comités buscan garantías de la gerencia de que sus estrategias de
riesgo cibernético reducirán el riesgo de ataques y limitarán los impactos
financieros y operativos.
3) Es vital contar con las medidas de seguridad cibernética adecuadas
para proteger a su organización.
Qué es el convenio de BUDAPEST??