• Author / Uploaded
• Andres Gallego

Citation preview

Gestión del Riesgo y Gestión de Incidentes

Presentado por Angelo Andres Amado Gonzalez Mauricio Gavilan Aguilar Mónica Yasmin Agreda Yela Frederik Sebastian Escobar Otavo Grupo 042

Sistemas de gestión de seguridad informática Facultado de ingenierías y ciencias Básicas, Ingeniería en Sistemas Fundación Universitaria del Área Andina

Docente: Jenny Arcos

Agosto 2020

2 Gestión del Riesgo y Gestión de Incidentes

Introducción

En el mundo del internet, estamos expuestos a cualquier tipo de ataque a nuestra información publicada, podemos sufrir impactos negativos a la privacidad de nuestros datos, en este eje podemos ver múltiples leyes que nos cobijan no solo en la protección de nuestra información o como se publica en diferentes medios, si no también poder registrar derechos de autor, pero esto también debe cumplir ciertas características para que la ley aplique.

En el desarrollo de este segundo eje realizamos la actividad bajo un caso problema donde indican que una compañía sufre un ataque de Ransomware Wannacry donde afectó las bases de datos y nos realizan una serie de preguntas en base a esto, el objetivo de esta actividad es comprender los conceptos y metodologías asociadas a la gestión del riesgo y la gestión de incidentes.

3 Gestión del Riesgo y Gestión de Incidentes

Objetivos

•

Comprender los conceptos y metodologías asociadas a la gestión del riesgo y a la gestión de incidentes.

•

Identificar las situaciones en los que la seguridad de la información se vea afectada y establecer las acciones preventivas para evitar un ataque.

•

Definir que es un Bitcoin y para que se utiliza en Colombia.

4 Gestión del Riesgo y Gestión de Incidentes

Presentación del Caso

CASO: La empresa “JRAS Sistemas y Comunicaciones” el día de hoy sufrió un ataque de Ransomware Wannacry bloqueando las bases de datos de la compañía, los cibercriminales solicitan como rescate de la información 1300$ Bitcoin.

1. ¿Usted como usuario que detecta el inconveniente y pertenece al departamento de TI, cómo debe proceder? Inicialmente deberíamos avisar a los superiores y al área de tecnologías de la información inmediatamente aislar el equipo infectado, es decir, quitarle el acceso a internet y apoyarse con el proveedor de antivirus donde este debe estar actualizado al dia, se debe validar la información afectada y si es posible recuperarla, si esta ya fue corrompida lo mejor sería establecer un backup por ello es muy importante tener copias de información de la compañía por lo menos diarias y en 3 diferentes medios de almacenamientos, y no ejecutar documentos ya que el virus se desempeñan más en afectar documentos Office. En estos casos de ataque la información queda encriptada y prácticamente es imposible recuperarla, solo se lograría pagando por la clave de des encriptación a los delincuentes que ejecutaron este virus.

5 Gestión del Riesgo y Gestión de Incidentes

2. ¿Lo sucedido en la compañía se puede considerar como un incidente de seguridad (Explique su respuesta)? Realizando una investigación de los precedentes a nivel mundial de este tipo de ataque encontramos que: El viernes 12 de mayo de 2017 se detectó un secuestro de equipos a escala mundial debido a una explotación de la vulnerabilidad de SMB (MS17-101) en las diferentes versiones de la familia de sistemas operativos Microsoft Windows. Este protocolo es utilizado para realizar tareas cotidianas, como compartir impresoras y archivos en entornos de trabajo y también en redes caseras. La amenaza que explotó esta vulnerabilidad fue un ransomware, es decir, un código malicioso que cifra la información del usuario y exige un rescate para restaurar los archivos, identificado en el medio como WannaCry. (Tovar, Gonzalez y Garcia, 2017, p. 19) Con lo anteriormente expuesto podemos considerar que lo sucedido en la compañía si lo podemos catalogar como un incidente de seguridad, ya que intervienen diferentes factores que son vitales como la afectación de información, para que un ataque de estos sea exitoso y son los principales métodos de seguridad que se deben tener en cuenta, como la filtración de correos malicioso, la capacitación de usuario internos para este tipo de eventos, tener antivirus licenciado y actualizado, seguimiento a actividades no comunes, delegar accesos a personal autorizado, tener en cuenta lo principal de la seguridad, Disponibilidad, integridad y confidencialidad.

3. ¿Por qué suceden este tipo de ataques?, ¿Existen formas de prevenirlos?

La causa inicial de este tipo de ataques es por dinero, se requiere una suma de dinero para que se pueda rescatar la información que en muchas ocasiones es de carácter confidencial, estos ataques

6 Gestión del Riesgo y Gestión de Incidentes

se presenta la mayoría de ocasiones por intereses económicos o por afectar negativamente la compañía. Para prevenir ataques de este tipo es necesario tener en cuenta algunas recomendaciones: •

Se debe capacitar al personal de la compañía en ciberseguridad para que todos tengan conocimientos de las consecuencias de los virus maliciosos y de los ataques a los que se puede ver expuesta la seguridad de la información.

•

Mantener actualizados los antivirus y licenciados para que continuamente reciban actualizaciones.

•

No abrir correos sospechosos o de transmisores desconocidos y mucho menos adjunto o links que vengan en estos.

•

Aislar los equipos ya infectados o críticos.

•

No ejecutar documentos de Office si se tiene sospecha de virus

•

Tener instalado todas las actualizaciones de seguridad del sistema operativo que se use.

•

Manejar backups o respaldos de información más crítica o valiosa en plataformas Cloud.

•

Para el acceso a los sistemas se recomienda establecer contraseñas seguras, que no sean muy cortas y sencillas de adivinar.

4. ¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que suceda este tipo de eventos y si sucede minimizar el impacto? Los expertos recomiendan mantener actualizados los sistemas operativos de los dispositivos, no sólo Windows, también Mac, Linux y los teléfonos inteligentes.

7 Gestión del Riesgo y Gestión de Incidentes

También se sugiere que cuenten con antivirus que les notifiquen cuando algo no es seguro o si los sitios son reportados como fraudulentos.

•

Usar sistemas operativos actualizados con versiones genuinas y las actualizaciones activadas.

•

No abrir adjuntos de remitentes desconocidos.

•

Hacer copias de seguridad con frecuencia.

•

Utilizar antivirus y que se actualicen a diario. 5. ¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los ciberdelincuentes piden rescates en Bitcoin?

Bitcoin usa tecnología peer-to-peer o entre pares para operar sin una autoridad central o bancos; la gestión de las transacciones y la emisión de bitcoins es llevada a cabo de forma colectiva por la red. Bitcoin es de código abierto; su diseño es público, nadie es dueño o controla Bitcoin y todo el mundo puede participar. En colombiano, el Banco de la República, por medio de la Superintendencia Financiera, se pronunció en el 2014 sobre el tema. En ese entonces, de conformidad la Ley 31 de 1992, se estableció que el peso es el “único medio de pago de curso legal con poder liberatorio ilimitado”. En consecuencia, el bitcoin “no es un activo que tenga equivalencia a la moneda legal, el peso, en Colombia al no haber sido reconocido como moneda en el país”. Los ciberdelincuentes piden pagos en bitcoin Entre las razones de optar por esta moneda digital a la hora de cometer infracciones se encuentra la dificultad de identificar su origen y procedencia o la tendencia al alza de su valor.

8 Gestión del Riesgo y Gestión de Incidentes

6. ¿Existen entidades estatales que brinden apoyo a los departamentos de TI y a las que se pueda acudir en caso de estos cibersecuestros ?, ¿cuáles? Si existen entidades estatales que brindan apoyo a los departamentos de las TI estas son: •

La Policía Nacional y el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT).

•

Fiscalía general de la nación.

9 Gestión del Riesgo y Gestión de Incidentes

Conclusiones

•

Las consecuencias de un incidente de seguridad pueden ser catastróficas para una empresa o persona, pues por la red circula gran cantidad de información privada y sensible.

•

Es necesario generar un Sistema de Gestión de Seguridad de la Información, para establecer y dictar unos parámetros adecuados y asegurar la información que transmitimos en la red.

•

En una compañía es de vital importancia validar continuamente que información se desea proteger, identificar qué consecuencias trae el hecho de que caiga en manos equivocadas, no confiarse en cualquier mecanismo de seguridad, recordemos que no hay alguno 100 % seguro.

•

Siendo la información el activo mas importante dentro de una empresa es necesario que todas las organizaciones tengan políticas claras de seguridad de tal manera que cada uno de los empleados este capacitado para cualquier eventualidad y a su vez sepa responder a ataques de gran magnitud. Como bien sabemos de manera inconsciente es muy sencillo caer en un ciberataque o incluso personas dentro de la organización puede vulnerar la seguridad por lo cual es de vital importancia que el alto mando de una empresa tome con la mayor seriedad el tema de la seguridad y a su vez no escatime en esfuerzo para proteger su información y al de sus clientes.

10 Gestión del Riesgo y Gestión de Incidentes

Bibliografía

•

ORION (2018) Recomendaciones de Seguridad, obtenido de, https://www.orion.global/recomendaciones-de-seguridad-frente-a-ransomware-wannacry/

•

REVISTA SEMANA. 29 MAY 2016. ¿El bitcoin es legal en Colombia? Obtenido de https://www.semana.com/economia/articulo/bitcoin-legalidad-de-la-divisa-encolombia/475730.

•

J.M. Sánchez. 25 SEP 2017. Por qué los ciberdelincuentes utilizan bitcoins para pedir los rescates. ABC.ES

•

Tovar, S. A., Gonzalez, R. A., Garcia, D. (2017). WANNACRY: ATAQUE MUNDIAL Y CONSIDERACIONES SOBRE CIBERSEGURIDAD. Revista .Seguridad Cultura de prevención para TI (numero 29). Recuperado de https://revista.seguridad.unam.mx/sites/default/files/rev_seguridad_29_0.pdf