Evaluación de proyectos de inversión de tecnologías de información

Nombre: Sergio Garcia Cornejo Matrícula: AL03006434

Nombre del curso: Nombre del profesor:
Evaluación de proyectos de VICTOR HUGO LICEA FLORES
inversión de tecnologías de
información
Módulo: Actividad:
Módulo 1 Avance de evidencia 1.
Fecha: 20-10-2022
Bibliografía:
Ruiz, G. (9 de 10 de 2018). Los 10 Principales Riesgos de Seguridad según
OWASP – Parte I. Obtenido de https://blog.sucuri.net/espanol/2018/10/los-
10-principales-riesgos-de-seguridad-segun-owasp-parte-i.html

Schnoeller G., M. L. (2016). A strategy based on knowledge acquisition for

management of requirements risks on distributed XP development. Revista
lbérica de Sistemas y Tecnologías de Información(20), 18–33.
doi:10.17013/risti.20.18–33

SEI. (2010). CMMI para Desarrollo, Versión 1.3. Mejora de los procesos para
el desarrollo de mejores productos y servicios. EE.UU.: Technical Report,
Software Engineering Institute.

Parte 1
1. Investigar y definir ampliamente el concepto de niveles de amenaza (Threat
Level) en el ciberespacio, como punta de lanza de un proyecto de inversión
en ciberseguridad.

Primer grupo: Los “Script Kiddies” y cibercriminales de poca monta

El término “Script Kiddie” es tomado del slang de los especialistas en seguridad
informática y se usa para referirse a los chicos que sólo utilizan herramientas
(programas, scripts) disponibles en la internet, creados por personas con más
capacidades técnicas
Bajo este grupo podemos mencionar al phishing, los virus, los ataques DNS.
 Evaluación de proyectos de inversión de tecnologías de información

Segundo grupo: Cibercriminales, Trabajadores descontentos, programadores

maliciosos
Este grupo es menos numeroso, pero un poco más peligroso, y en él podemos
agrupar a quienes pueden codear sus propias herramientas, o que tienen más
acceso a la compañía y que tienen intenciones un poco más malvadas,
ambiciosas o específicas que en el grupo anterior. También suelen explotar
vulnerabilidades conocidas, pero poseen más capacidades técnicas que los
script kiddies. Atacan a empresas, realizan defacements a páginas web,
deniegan servicios, realizan volcamientos de datos a la internet. Invierten más
tiempo en sus ataques, pues sus motivaciones son ideológicas o personales.
Sus ataques tampoco son muy discretos, pero son más intensos, efectivos e
invierten más tiempo en desarrollarlos.
Dentro de esta categoría podríamos agrupar los ataques
mediante bots, DDOS y ataques como los que usan los script kiddies, sólo que
con una utilización más avanzada.
Tercer grupo: Agrupaciones criminales, Ciberactivistas
En este grupo vemos que muchas veces ya se comienzan a utilizar
vulnerabilidades desconocidas, para atacar a altos ejecutivos de empresas o
instituciones, usuarios clave, y empresas más grandes que en los grupos
anteriores. Sus objetivos suelen ser el robo de datos personales a gran escala
(o a pequeña escala si es útil para acceder a sistemas protegidos). Pueden
impactar incluso al nivel de perder una IP y causar graves daños a la imagen
de una empresa. Estos ataques tienen una intensidad mayor y se invierte
mucho más tiempo en ellos. Muchas veces no se detectan mientras ocurren,
sino hasta que el daño está hecho. Quienes los organizan poseen más
capacidades técnicas, y en ellos se aplican más componentes. Son pues, más
complejos. Participan más personas organizándolos, que invierten más en
fondos y tecnologías para realizarlos.
En este grupo se encuentran amenazas como los Rootkits y 0day exploits.

Cuarto grupo: Cibercrimen organizado, Cibermercenarios

En esta clasificación los actores maliciosos siguen utilizando vulnerabilidades
desconocidas para atacar a sus objetivos, pero éstos se centran en empresas,
 Evaluación de proyectos de inversión de tecnologías de información

sistemas de pago, datos relacionados con la identidad e información que

otorgue ganancias monetarias. Sus motivaciones guardan relación con
ganancia financiera y compromiso de identidad, para llevar a cabo fraude
financiero y robo de identidad. Los exploits se realizan a través de la internet,
las capacidades técnicas de los creadores de estos ataques siguen
aumentando, la intensidad de los ataques es media-alta, se invierten, desde
días a meses en estos ataques, se utiliza a bastante más personal que en los
tipos de ataques anteriores, los conocimientos son más especializados. Se
utiliza mayor financiamiento, diferentes puntos de ataque y más tecnología en
ellos.
Aquí podríamos clasificar a los backdoors, el criptocracking y al malware
avanzado.

Quinto grupo: Naciones, Actores maliciosos fundados por estados

Al adentrarnos en atacantes ya relacionados con naciones, evidentemente la
complejidad se dispara. Aquí ya hablamos de atacantes con una altísima
capacidad técnica, que organizan ataques que contemplan varias etapas, que
pueden pasar desapercibidos por años. Los objetivos son la tecnología misma,
entidades globales top 2000, infraestructura crítica, grandes almacenes de
datos personales, etc. Los objetivos guardan relación con la obtención de
grandes ventajas económicas y de tecnología, y el impacto, ganar capacidades
de defensa comerciales. Ya estamos refiriéndonos a grandes operaciones
auspiciadas por estados, en cuyas acciones se incluye el crear nuevas
vulnerabilidades. Se utilizan recursos altísimos, en cuanto a la tecnología
utilizada, el tiempo invertido y el número de participantes (que pueden llegar a
los cientos) con altos conocimientos técnicos. Además, se consideran distintos
puntos de ataque que logran ser indetectables por años. Se crean puntos de
acceso directos a los objetivos atacados que logran mantenerse por años.
Acá podemos mencionar exploits únicos y multiplataforma y a las APT
(Advanced Persistent Threats; Amenazas Avanzadas y Persistentes).

Sexto Grupo: Espías profesionales, gobiernos y estados atacantes

Evidentemente éste es el grupo de amenazas menos numeroso y más
excepcional, cuyo target es la tecnología misma, los sistemas críticos, y a
 Evaluación de proyectos de inversión de tecnologías de información

personas clave (ya sea con mucho conocimiento, o con posiciones políticas
clave). Sus objetivos son comprometer la tecnología, a la gente, obtener
impacto a nivel de control y comando y comprometer a la infraestructura crítica
de un país. Producen pérdidas catastróficas e impactan la seguridad nacional
de los países. También son amenazas en las que se utilizan vulnerabilidades
que se crean específicamente con estos fines, que suelen ser difíciles de
detectar y pasan años desapercibidas. La intensidad de estos ataques es
altísima, se utilizan múltiples ángulos de ataque, participan en ellos personas
con capacidades técnicas sobresalientes, por montones, y también crean y
mantienen acceso directo a sus blancos. Cuentan con financiamiento alto en
términos económicos, de activos y de tecnología.

Estos son ataques de espectro completo, alto calibre y de largo plazo.

2. Investigar y describir el concepto de salvaguardas (Safeguards) en

ciberseguridad, así como definir y asignar un ejemplo de las 33
 Evaluación de proyectos de inversión de tecnologías de información

salvaguardas más comunes en ciberseguridad (tabla siguiente), las cuales

son importantes para desarrollar un proyecto de inversión en ciberseguridad

La práctica de una salvaguarda, que es un atributo que mide la resistencia

del ataque directa y se mide la fuerza que tiene que utilizar el agente agresor
para saltar la salvaguarda.
La eficacia actúa de forma homogénea, por lo que la eficacia de la salvaguarda
tiene que mantener cierta proporción con la potencialidad que se quiere reducir,
mientras que la robustez se utiliza de una forma mucho más absoluta.
Métricas de las salvaguardas
Una función de salvaguarda no tiene métrica propia, sólo la que se deriva del
poder reductor del riesgo.
Los mecanismos de salvaguarda tienen una métrica que se encuentra ligada
al coste técnico, que se traduce a euros cuando es posible.
Safeguards Administrative Technical
Preventive Policies and Procedures Access Control Systems
Política: Dirigida al nivel La División Informática
estratégico, define las reglas de establece como Política de
alto nivel que representan los Control de Acceso el
principios básicos. Servirá controlar el acceso a la
como base para que las información, a las
normas y los procedimientos instalaciones de
sean creados y detallados. procesamiento de la
Procedimientos: Dirigida al información (Datacenter) y a
nivel operacional, describe los los procesos de provisión,
procedimientos que serán los cuales deberán ser
utilizados para realizar las controlados sobre la base de
actividades citadas en las los requisitos y seguridad.
normas y las políticas. Ejemplo logico: Usuario y
Ejemplo:Política de contraseña fuertes
contraseñas fuertes y acceso a cumpliendo con los
los dispositivos corporativos. estandares de la compañia
Seguir el Procedimiento de Ejemplo fisico: uso de tarjeta
escalamiento en caso de ser de acceso e identificacion de
 Evaluación de proyectos de inversión de tecnologías de información

necesario desde el primer nivel la empresa

hasta altas grencias
Need to Know Application Control
incipio que al aplicarlo deberá Los controles de seguridad
de garantizar que cada persona de las aplicaciones son
de la organización accederá a técnicas que mejoran la
lo que necesita saber, ni más ni seguridad de una aplicación
menos a nivel de codificación para
Ejemplo: personal del area de que sea menos vulnerable a
RAN solo tiene acceso a las amenazas.
herramientas de RAN y no Ejemplo: Una rutina de
puede interactuar con tools del seguridad de aplicaciones
equipo de transmision que incluya protocolos como
pruebas periódicas, la
autenticación, la
autorización, el cifrado, el
registro y las pruebas de
seguridad de las
aplicaciones
Separation of Duties Network Security
La separación de las funciones La seguridad de la red
se refiere a las prácticas en la combina políticas,
que el conocimiento y los procedimientos, prácticas,
privilegios son necesarios. Es herramientas y experiencia
necesario para completar el con el fin de proteger las
proceso de división entre varios redes de TI. De esta forma,
usuarios, ya que una sola protege todo dentro de una
persona no sería capaz de red incluyendo servidores,
llevarlo a cabo. aplicaciones y datos, entre
Ejemplo: Usando como base otros, de distintas
Need to know, hay tools a las ciberamenazas.
que solamente el equipo de Ejemplo:
RAN tiene acceso sin embargo Un firewall es un programa
eso no implica que no pueda de software o un dispositivo
 Evaluación de proyectos de inversión de tecnologías de información

interactuar con el equipo de TX de hardware que evita que

siempre y cuando estos usuarios no autorizados
compartan un fin comun como accedan a su red,
puede ser la atencion de una impidiendo que ingrese
posible falla o amenaza a la tráfico sospechoso y
Red permitiendo que fluya tráfico
legítimo.
Awareness and Training Hardening
Asegurar que los usuarios Hardening o también
comprendan y sigan ciertas llamado endurecimiento
prácticas para ayudar a informático, es el término
garantizar la seguridad de una que se le da al proceso de
organización. reducción de
Ejemplo: cursos de vulnerabilidades en el
ciberseguridad online (como el sistema. Esto se consigue,
solicitado en la materia anterio estableciendo unas medidas
sobre ciberseguridad) de seguridad con el objetivo
de estar preparados ante un
ataque informático.
Ejemplo: Desinstalación todo
el software que sea
innecesario. (Este me es
familiar pues se realiza de
maera constante en mi lugar
de trabajo y es funcional)
Background Checks Secure Software
La verificación de Development
antecedentes, o background El desarrollo de software
check, por su nombre en seguro significa integrar la
inglés, es un conjunto de seguridad en cada fase del
consultas sobre una personas ciclo de vida de desarrollo,
para verificar su identidad, desde el análisis de
confirmar que son quienes requisitos hasta el
dicen ser y de esta manera mantenimiento.
 Evaluación de proyectos de inversión de tecnologías de información

evitar cualquier tipo de fraude Ejemplo: Desarrollar un

Ejemplo: En México algunas enfoque de defensa en
empresas solicitan la carta de profundidad para proteger la
antecedentes no penales como arquitectura y desarrollo de
requisitio sw.
Data Classification Encryption
Identificar los datos en el origen Es la conversión de datos de
permite tomar decisiones un formato legible a un
inteligentes sobre cómo formato codificado. Los
protegerlos. datos cifrados solo se
Ejemplo: pueden leer o procesar
Confidencial: Alta directiva y luego de descifrarlos.
cliente Ejemplo: Claves de cifrado
Restringido: SDMs, managers, simétrico. La clave que se
Leads usa en la codificación es la
Interno: La informacion solo se misma que se utiliza en la
comparte en el equipo descodificación, lo que
Público: todas las personas, resulta más conveniente
dentro y fuera de de la para usuarios individuales y
organización. sistemas cerrados
Revision Control Los DLP monitorizan la red
Conjunto de procesos que de la organización para
tienen las organizaciones para evitar las fugas de
protegerse de amenazas, información antes de que se
vulnerabilidades y posibles lleguen a producir. Una vez
ataques hacia su que detectan una posible
infraestructura, que puedan fuga, alertan al usuario para
poner en peligro los datos e que sea consciente de que
información, estableciendo la acción que está
mecanismos para detectar y realizando atenta contra la
gestionar a tiempo estas confidencialidad de la
anomalías. empresa o contra una
Ejemplo: Personas. Tener un política de seguridad que
equipo de ciberseguridad vela por ella.
 Evaluación de proyectos de inversión de tecnologías de información

establecido, capacitado y con Ejemplo: Symantec es líder

roles definidos, enfocado hacia indiscutible en el campo de
un mismo objetivo; enfrentar las soluciones DLP, gracias
las amenazas inesperadas y a las continuas innovaciones
actuar en consecuencia. que aplica a su cartera de
productos
Outsourcing Technical Resilience
Este es un proceso mediante el Resiliencia Cibernética se
cual una empresa identifica un trata de la capacidad de
área de su negocio que puede preparar, responder y
ser realizada de una manera recuperarse de ataques
más eficiente por un agente cibernéticos y violaciones de
especializado. datos sin interrumpir la rutina
Ejemplo: Addeco, Damsa, PAE de la empresa. Aún durante
una invasión, es posible
continuar trabajando
normalmente – como si nada
estuviera sucediendo.
Ejemplo: Se puede contar
con alternativas de
monitoreo o gestion en caso
de incidentes
Detective Incident Management Malware Protection
Corresponde a responder a los Usar herramientas antivirus
incidentes cuando estos se para protegerse contra el
producen y tomar las medidas malware común y conocido.
necesarias para restablecer el Utilizar la tecnología de
servicio y devolver la detección y respuesta para
normalidad a la empresa lo endpoints para monitorizar y
antes posible. responder continuamente a
Ejemplo: Incident Manager se los ataques de malware y
encarga de atender, gestionar, otras ciberamenazas en los
escalar y dar segimiento a los equipos de los usuarios
posibles eventos de la red. finales.
 Evaluación de proyectos de inversión de tecnologías de información

Ejemplo: McAfee,
Malwarebytes, CCleaner
Testing Intrusion Detection Systems
El test de intrusión es el Estas herramientas pueden
proceso para identificar verificar las lagunas de
vulnerabilidades de seguridad seguridad presentes en el
en una aplicación evaluando el sistema examinando las
sistema o la red con diversas técnicas de cifrado de datos
técnicas maliciosas. Los puntos y descubriendo valores
débiles de un sistema se codificados como nombre de
explotan en este proceso a usuario y contraseña.
través de un ataque simulado Ejemplo: Netsparker,
autorizado. También se conoce Acunetix, Core Impact
como prueba de penetración.
Ejemplo: Comprueba si el
tráfico de red es monitoreado
por dispositivos proxy. El
servidor proxy dificulta que los
piratas informáticos obtengan
detalles internos de la red,
protegiendo así el sistema de
ataques externos.
Supervising File Integrity Monitoring
Una guía de supervisión, Supervise la integridad de
destaca las mejores prácticas los archivos, comprobando
de Auditoría Interna para la que el contenido de
evaluación y revisión de los losarchivos se mantenga
controles en esta materia e integro
incluye controles críticos de
Seguridad
Ejemplo: Programacion de
auditorias internas
Job Rotation and Vacation Audit Trails
Job Rotation and Vacation, la Herramienta que ayuda
 Evaluación de proyectos de inversión de tecnologías de información

rotación de personal es atener el control de la

inevitable, la atención debe información, detectando y
centrarse en el seguimiento y mitigando a tiempo
monitorio de la alta ybaja de anomalías en la seguridad
controles de acceso a sistema del sistema, de los datos y
y de la información confidencial de la información
a la que tienen acceso en el
proceso.
Reporting
Informe a la alta dirección
donde se logre identificar
cambios o continuidades según
sea
Corrective Business Continuity Patch Management
Management Una solución de gestión de
es un proceso organizativo que vulnerabilidades y sus
tiene como meta la elaboración correspondientes
de un documento vivo que le actualizaciones y parches,
permite a una empresa tanto de los sistemas
recuperarse ante eventos que operativos como de cientos
puedan detener o reducir de aplicaciones. Proporciona
dramáticamente los procesos visibilidad de la salud de los
críticos de negocio en una endpoints en tiempo real en
entidad. cuanto a vulnerabilidades,
Ejemplo: Se puede aplicar un parches o actualizaciones
sistema de backup por medio pendientes.
de VPN o alternativas a las Ejemplo: Panda Patch
herramientas en caso de un Management
evento
Software Escrow Disaster Recovery
El escrow es la fórmula que las Un plan de disaster recovery
empresas de software están o recuperación ante
utilizando cada vez más para la desastres tiene como
protección de su tecnología. objetivo restablecer los
 Evaluación de proyectos de inversión de tecnologías de información

Ofrece seguridad jurídica sistemas y la información de

nacional e internacional, una empresa cuando se
confidencialidad e inmediatez produce un incidente que
en la protección. Además sirve afecta al servicio. Este tipo
como garantía para los de sistema de protección
usuarios que deseen asegurar está orientado a la
su inversión, ya que se continuidad del negocio y
verifican las condiciones del permite establecer todos los
contrato mediante una serie de servicios, plataformas y
auditorías anuales. datos del negocio en apenas
Ejemplo: Licenciamiento de unos minutos.
codigo fuente frente a notario Ejemplo: Sistema de gestion
público de continuidad del negocio
(SGSN)
Incident Response Backups
La respuesta ante incidentes es La definición más simple de
el proceso mediante el cual una una copia de seguridad de
organización reacciona ante ordenador es una copia
amenazas de TI, como es el exacta. En el caso de los
caso de los ciberataques, las archivos de ordenador, nos
vulneraciones de seguridad y el referimos a copias de los
tiempo de inactividad de los archivos originales que
servidores. tienes en tu ordenador
Ejemplo: Plan de respuesta en portátil, de escritorio o
caso de un ataque MSDOs unidad externa.
(Bloqueo de IP del atacante Ejemplo: Se puede gestionar
dentro del servicio) un respaldo periodico del
estado de los equipos para
su restauracion
Insurances Journaling File System
El seguro cibernético es una JFS es un sistema de
opción que puede ayudarlo a archivos de 64 bit con
proteger su negocio contra las respaldo de transacciones
pérdidas causadas por un creado por IBM. Está
 Evaluación de proyectos de inversión de tecnologías de información

ataque cibernético. disponible bajo la licencia

Ejemplo: Nationwide Mutual GNU GPL. Existen versiones
Insurance Company para AIX, eComStation,
OS/2, sistemas operativos
Linux y HP-UX.

Parte 2
Para proteger a una empresa de manera eficaz, los profesionales de la
ciberseguridad deben desarrollar una experiencia en el uso de indicadores
económicos. Las inversiones en ciberseguridad son un subtipo de inversiones.
Por lo tanto, también pueden evaluarse con indicadores financieros. Los
indicadores financieros se pueden concentrar en la ciberseguridad al abordar
las características de seguridad y riesgo. El beneficio de una inversión en
ciberseguridad no se calcula con el ingreso esperado, sino con la mitigación del
riesgo, es decir, la disminución de las pérdidas esperadas.
3. En este entregable, deberás investigar y hacer la descripción de cada
uno de los tipos de indicadores que a continuación se mencionan:
a. Indicadores financieros
Los indicadores financieros son una herramienta con la que las empresas
pueden realizar un análisis financiero de la situación del negocio en un
determinado periodo. Ayudan a realizar comparativas y a tomar decisiones
estratégicas en el ámbito económico y financiero. La ciberseguridad se ha
convertido en una de las principales prioridades de gestión en todas las
industrias y mercados, de hecho, una encuesta realizada a nivel mundial por
Gartner durante el 2020 sobre ciberseguridad arrojó que la pérdida por
ciberataques en el último año fiscal fue por 4.7 millones de dólares
aproximadamente.
b. Indicadores estáticos
Los indicadores estáticos no definen por sí mismos la tendencia o trayectoria
dentro de las cuales se deberían mover. En este sentido tenemos claros
ejemplos de indicadores perfectamente válidos y con visión estática como son
los índices de satisfacción, de calidad, de notoriedad, etc. n análisis de
amenazas y riesgos proporciona a la organización la información que necesita
 Evaluación de proyectos de inversión de tecnologías de información

para enfocar correctamente la estrategia y presupuesto de seguridad. Ninguna

organización puede defenderse contra cada amenaza concebible, y por lo
tanto, tiene sentido priorizar las amenazas por los más propensos a enfocarse
en nuestro negocio, y luego tomar decisiones informadas sobre cómo prevenir
y detectar esas amenazas.

c. Indicadores dinámicos
Es necesario para la empresa hacer una adecuada gestión de riesgos que le
permita saber cuáles son las principales vulnerabilidades de sus activos de
información y cuáles son las amenazas que podrían explotar las
vulnerabildades.
Aunque el Analisis de Riesgo Dinamico es el término más repetido, todos ellos
se basan principalmente en una actualización periódica de las variables del
análisis de riesgos que se definen el sistema de información y su ambiente.

d. Valoración de activos
El objetivo es establecer los activos clave, probables de ataques, sus
motivaciones y capacidades, los controles que defienden estos activos y cómo
podemos mitigar las vulnerabilidades que los afectan.

e. Evaluación de riesgos
Una evaluación de riesgos es un proceso que tiene como objetivo identificar los
riesgos de ciberseguridad, sus fuentes y cómo mitigarlos a un nivel aceptable
de riesgo.
El proceso generalmente comienza con una serie de preguntas para establecer
un inventario de activos de información, procedimientos, procesos y personal.
Esto permite que tu organización comprenda cuáles son sus activos de
información clave y cuáles representan el mayor riesgo. El riesgo generalmente
se calcula como el impacto de un evento multiplicado por la frecuencia o
probabilidad del evento.

f. Definición de riesgo
Conocemos como riesgos de ciberseguridad los elementos, factores,
circunstancias o conjunción de todos ellos, que generan la probabilidad de
 Evaluación de proyectos de inversión de tecnologías de información

acceso no permitido a datos confidenciales, finanzas, operaciones comerciales

online, que pueden resultar en una violación de datos. Este tipo de amenazas
de seguridad incluyen fenómenos tan conocidos como el secuestro de datos,
fugas de datos, suplantación de identidad, malware, hackers o, simplemente,
accesos no permitidos. Encontramos muchas estrategias efectivas para tratar
los riesgos de ciberseguridad. Todo inicia con identificar las amenazas.

g. Respuesta al riesgo
Una estrategia de respuesta al riesgo es un análisis de los riesgos potenciales
con su probabilidad e impacto. El resultado de esta investigación contribuye a
entender qué riesgos son manejables y cuáles se deberían evitar debido a su
alto impacto negativo. Asimismo, permite visualizar las oportunidades. Sin
dudas, es uno de los pilares del éxito de cualquier proyecto.

h. Marcos de gestión de riesgos

Un marco de gestión de riesgos de IT es un sistema de normas, directrices y
prácticas recomendadas que ayudan a gestionar los riesgos de ciberseguridad
y mantener las regulaciones del sector. Los marcos presentan un método
estandarizado y bien documentado para:
● Realizar evaluaciones de riesgos que comprueben las prioridades de tu
empresa e identifiquen las lagunas en los controles de seguridad.
● Realizar un análisis de riesgos sobre las lagunas en los control
existentes.
● Priorizar las acciones y las futuras inversiones en seguridad basándose
en el análisis de riesgos.
● Ejecutar esas estrategias mediante la aplicación de una serie de
controles de seguridad y prácticas recomendadas.
● Medir y puntuar la madurez del programa de seguridad a lo largo del
proceso.

i. Indicadores de riesgo
Los indicadores de riesgo clave, conocidos como KRI (Key Risk Indicator),
sirven para determinar el nivel de riesgo que tiene una organización ante una
 Evaluación de proyectos de inversión de tecnologías de información

determinada amenaza o evento que pueda ocurrir e impactarle. El indicador de

riesgo debe estar definido en base al apetito de riesgos de la organización.
j. Costos de ciberseguridad
El servicio se paga por mensualidades, lo que beneficia a las pymes que, a
diferencia de las grandes empresas, no cuentan la mayoría de las ocasiones
con un flujo de caja que les permita hacer una inversión importante en
ciberseguridad”, Hugo Werner. El ejecutivo detalló que con este tipo de
soluciones de Software as a Service (SaaS) y dependiendo del tipo de cliente y
de otras muchas cosas, como el número de dispositivos, el costo mínimo de
una solución de ciberseguridad es de 1,500 a 2,000 dólares al mes

k. Costos de salvaguarda
Las funciones de salvaguarda se implantan para mitigar el efecto potencial de
las amenazas. El coste de una función de salvaguarda se puede calcular en
base al coste de los mecanismos que la provisionan. Simplemente se suman
los costes de todos los mecanismos asociados a la función.
coste= 0;
lista= mecanismos para esta función;
for (i= 1..n)
coste+= lista[i].mecanismo.coste;

l. Costos por incumplimiento

Los errores en el cumplimiento pueden generar costos financieros a su
compañía, y la responsabilidad personal es una preocupación real para los
oficiales de cumplimiento que toman riesgos, dado que son responsables por el
cumplimiento de la compañía. Una conducta y ética apropiadas conforman una
gran parte del cumplimiento y los individuos son responsables de seguir las
reglas para su negocio. Otro costo del incumplimiento es el tiempo. Existen
algunos países que permiten a las compañías hacer presentaciones
electrónicamente. Sin embargo, en promedio, el 44% de los países requieren
que los formularios se presenten personalmente. Por consiguiente, las
compañías necesitan del tiempo de un experto para preparar los formularios en
el idioma local, y presentar toda la documentación apropiada ante la oficina de
la autoridad local. Por último, a menudo se olvida de que el incumplimiento
 Evaluación de proyectos de inversión de tecnologías de información

puede costar oportunidades de negocios a las compañías. El cumplimiento es

fundamental para que las compañías participen en licitaciones, obtengan
licencias específicas, presten servicios a otras compañías, o incluso se vendan
a otro grupo

m. Beneficios de la ciberseguridad
Beneficios de la ciberseguridad Los beneficios se centran en gestionar las
plataformas de seguridad con el objetivo de proteger la red corporativa evitando
los ciberataques, a través de herramientas de protección y estableciendo
estándares de seguridad que en su desarrollo proporcionan: Privacidad El
servicio de seguridad te permite conservar de forma efectiva los datos privados
de empleados y clientes. No proteger los datos son una vida de entrada a sufrir
ataques. Protección Protegerá tus equipos dotando de seguridad al software y
al hardware, mantendrá su entereza y prolongará el buen funcionamiento.
Integridad Proteger el almacenamiento de datos del equipo con aplicaciones de
antivirus colabora en proteger de forma integral los datos y los equipos. De ese
modo puede evitarse la manipulación de datos y garantiza que la información
sea verdadera y precisa. Prevención Tener un buen sistema de seguridad
informática, te permite prevenir i evitar riesgos, es decir, te alarma ante las
intrusiones obstaculizando el peligro. Autenticación Solamente dota el acceso a
la información a los usuarios autorizados mediante códigos de verificación.
Productividad Garantizará el trabajo continuo, evitando detenciones. Control
Posibilita realizar comprobaciones internas, estando al caso del estado de los
equipos mediante inspecciones de las amenazas. Accesibilidad Es muy
relevante en los protocolos de seguridad. La accesibilidad hace posible que los
usuarios autorizados tengan acceso constante a los datos haciendo uso de la
información siempre que lo necesiten sin riesgos.