GESTIÓN DEL RIESGO Y GESTIÓN DE INCIDENTES

GADDIEL NICOLÁS LEMUS RINCÓN

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA

SISTEMA DE GESTIÓN DE
SEGURIDAD INFORMÁTICA
BOGOTÁ D.C
2024
 GADDIEL NICOLAS LEMUS RINCÓN

Tabla de contenido 1. Desarrollo

........................................................................................................................ 4

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 1

 GADDIEL NICOLAS LEMUS RINCÓN

Introducción

En el panorama actual de la tecnología y la información, la seguridad cibernética se ha

convertido en una preocupación primordial para empresas y organizaciones en todo el
mundo. Con el aumento de la digitalización y la interconexión de sistemas, los
ciberataques representan una amenaza constante que puede tener graves
consecuencias para la integridad, confidencialidad y disponibilidad de los datos
empresariales. En este contexto, el presente trabajo aborda la importancia de la
seguridad cibernética y la respuesta a incidentes en el entorno empresarial, centrándose
en un caso específico de cibersecuestro experimentado por la empresa "JRAS Sistemas
y Comunicaciones". A través del análisis de este caso y la aplicación de buenas prácticas
en seguridad cibernética, se busca identificar estrategias efectivas para prevenir y mitigar
los impactos de los ciberataques, así como la colaboración con entidades estatales y
gubernamentales para fortalecer la resiliencia ante amenazas cibernéticas.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 2

 GADDIEL NICOLAS LEMUS RINCÓN

Objetivo
.
Comprender los conceptos y metodologías asociadas a la gestión del riesgo y a la gestión
de incidentes.

mación, son un factor determinante en la gestión de la seguridad de la misma.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 3

 GADDIEL NICOLAS LEMUS RINCÓN

Desarrollo

Foro

- Preguntas y respuestas

• Usted como usuario que detecta el inconveniente y pertenece al departamento

de TI, cómo debe proceder? (sustente su respuesta).

Ante un ataque de ransomware como el Wannacry, es fundamental seguir un

protocolo de respuesta para minimizar el impacto y recuperar la funcionalidad de las
bases de datos de la empresa "JRAS Sistemas y Comunicaciones". Aquí hay
algunas acciones a considerar:

1. Aislamiento del sistema afectado: Desconecte inmediatamente el sistema

infectado de la red para evitar que el ransomware se propague a otros dispositivos y
sistemas en la red.

2. Notificación de incidentes: Informe de inmediato a los responsables de seguridad

de la empresa y a la dirección ejecutiva sobre el incidente para iniciar un plan de
respuesta coordinado.

3. Evaluación del alcance: Determine la extensión del daño causado por el

ransomware, identificando qué sistemas y datos han sido comprometidos.

4. Intento de recuperación sin pagar el rescate: Utilice copias de seguridad recientes

para restaurar los sistemas y datos afectados, si es posible. Esto puede implicar la
restauración de las bases de datos desde copias de seguridad offline.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 4

 GADDIEL NICOLAS LEMUS RINCÓN

5. Análisis forense: Realice un análisis forense para identificar el vector de ataque y

las vulnerabilidades explotadas para evitar futuros incidentes similares.

6. Comunicación con las autoridades: Reporte el ataque a las autoridades

pertinentes, como agencias de aplicación de la ley y organismos reguladores, para
colaborar en la investigación y posible persecución de los cibercriminales.

7. Educación y concienciación: Refuerce la capacitación y concienciación sobre

seguridad cibernética entre los empleados para prevenir futuros ataques de
ransomware y mejorar la postura de seguridad de la empresa.

8. Implementación de medidas de seguridad adicionales: Considere implementar

medidas de seguridad adicionales, como firewalls mejorados, soluciones de
detección de amenazas avanzadas y actualizaciones de software, para fortalecer la
protección contra ataques de ransomware y otras amenazas cibernéticas.

En última instancia, es importante abordar el incidente de manera rápida y efectiva

para minimizar el tiempo de inactividad y proteger la integridad de los datos de la
empresa. Sin embargo, nunca se debe pagar el rescate, ya que esto solo perpetúa
el ciclo de ataques y no garantiza la recuperación completa de los datos.

• ¿Lo sucedido en la compañía se puede considerar como un incidente de

seguridad (Explique su respuesta)?

Sí, el incidente en la empresa "JRAS Sistemas y Comunicaciones" se puede

considerar claramente como un incidente de seguridad. Aquí están las razones:

1. Ataque de Ransomware: El hecho de que la empresa haya sido víctima de un

ataque de ransomware, específicamente el Wannacry, indica que la seguridad
de la red y los sistemas de la empresa ha sido comprometida.

2. Bloqueo de Bases de Datos: El ransomware bloqueó las bases de datos de la

compañía, lo que afecta la disponibilidad y la integridad de la información crítica
de la empresa.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 5

 GADDIEL NICOLAS LEMUS RINCÓN

3. Extorsión de Datos: Los cibercriminales están solicitando un rescate en

Bitcoin a cambio de desbloquear los datos, lo que demuestra una violación de la
confidencialidad y una clara intención de extorsión.

4. Impacto en la Operatividad: El incidente está teniendo un impacto directo en la

operatividad de la empresa al impedir el acceso y la utilización de las bases de
datos, lo que puede resultar en pérdidas financieras y daños a la reputación.

En resumen, la combinación de estos factores confirma que el incidente

experimentado por la empresa es sin duda un incidente de seguridad que
requiere una respuesta inmediata y coordinada por parte del equipo de TI y otros
responsables de seguridad de la organización.

• ¿Por qué suceden este tipo de ataques?, ¿Existen formas de prevenirlos?

Los ataques de ransomware, como el Wannacry, ocurren por varias razones:

1. Lucro: Los cibercriminales buscan obtener ganancias financieras

extorsionando a las víctimas para que paguen un rescate a cambio de
desbloquear sus datos.

2. Facilidad de ejecución: Algunos ransomware se propagan a través de técnicas

automatizadas, como phishing, exploits de vulnerabilidades conocidas o
distribución a través de redes comprometidas, lo que facilita su ejecución.

3. Falta de seguridad: Las organizaciones pueden ser vulnerables a los ataques

de ransomware debido a la falta de medidas de seguridad adecuadas, como
actualizaciones de software, firewalls, programas antivirus actualizados,
autenticación de dos factores, entre otros.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 6

 GADDIEL NICOLAS LEMUS RINCÓN

Para prevenir los ataques de ransomware y protegerse de futuros incidentes, se

pueden seguir las siguientes medidas:

1. Mantener el software actualizado: Aplicar parches y actualizaciones de

seguridad regularmente para cerrar las vulnerabilidades conocidas que podrían
ser explotadas por el ransomware.

2. Realizar copias de seguridad regulares: Mantener copias de seguridad

actualizadas y almacenadas fuera de línea para poder restaurar los datos en
caso de un ataque de ransomware sin tener que pagar el rescate.

3. Educación y concienciación de los empleados: Capacitar a los empleados

sobre prácticas de seguridad cibernética, como no hacer clic en enlaces o abrir
archivos adjuntos de fuentes desconocidas, y cómo reconocer señales de
posibles ataques de phishing.

4. Implementar medidas de seguridad adicionales: Utilizar soluciones de

seguridad avanzadas, como firewalls de próxima generación, sistemas de
detección de intrusiones, soluciones de protección de endpoints y filtrado de
contenido web para mejorar la protección contra el ransomware.

5. Restringir privilegios de acceso: Limitar los privilegios de acceso de los

usuarios para reducir la superficie de ataque y minimizar el impacto en caso de
compromiso.

6. Monitorear la red y los sistemas: Implementar sistemas de monitoreo de

seguridad para detectar y responder rápidamente a actividades sospechosas
que puedan indicar un ataque de ransomware en curso.

Al seguir estas prácticas de seguridad cibernética y mantenerse vigilante, las

organizaciones pueden reducir significativamente el riesgo de convertirse en
víctimas de ataques de ransomware y proteger sus datos críticos y su
operatividad.

• ¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que

suceda este tipo de eventos y si sucede minimizar el impacto?

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 7

 GADDIEL NICOLAS LEMUS RINCÓN

Para minimizar la posibilidad de que ocurran eventos como el ataque de

ransomware Wannacry y, en caso de que sucedan, para minimizar su impacto,
aquí hay algunas buenas prácticas que recomiendo:

Para prevenir estos eventos:

1. Educación y concienciación de los empleados: Capacitar regularmente a los

empleados sobre las mejores prácticas de seguridad cibernética, incluida la
identificación de correos electrónicos de phishing, la seguridad al navegar por
internet y la descarga de archivos adjuntos solo de fuentes confiables.

2. Mantenimiento regular del software: Mantener actualizado todo el software y

los sistemas operativos con los últimos parches y actualizaciones de seguridad
para protegerse contra las vulnerabilidades conocidas que podrían ser
explotadas por el ransomware.

3. Implementación de políticas de seguridad robustas: Establecer políticas claras

de seguridad cibernética en la empresa, incluida la aplicación de contraseñas
fuertes, la autenticación de dos factores, y la restricción de los privilegios de
acceso para reducir la superficie de ataque.

4. Utilización de soluciones de seguridad avanzadas: Implementar soluciones de

seguridad avanzadas, como firewalls de próxima generación, soluciones de
protección de endpoints y sistemas de detección de intrusiones para detectar y
prevenir ataques de ransomware.

Para minimizar el impacto en caso de un evento:

1. Respuesta rápida y coordinada: Tener un plan de respuesta a incidentes

cibernéticos en su lugar para poder actuar rápidamente en caso de un ataque de
ransomware, incluida la identificación y desconexión del sistema afectado de la
red.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 8

 GADDIEL NICOLAS LEMUS RINCÓN

2. Respaldo y restauración de datos: Mantener copias de seguridad

actualizadas y almacenadas fuera de línea para poder restaurar los datos en
caso de un ataque de ransomware sin tener que pagar el rescate.

3. Análisis forense:
Realizar un análisis forense para identificar el alcance del daño y las medidas
necesarias para mitigar el impacto del ataque, así como para prevenir futuros
incidentes similares.

4. Comunicación transparente: Mantener a todas las partes interesadas

informadas sobre el incidente de manera transparente, incluidos los empleados,
los clientes y las autoridades pertinentes, para gestionar adecuadamente la
situación y restaurar la confianza.

Al seguir estas buenas prácticas, las organizaciones pueden reducir

significativamente la posibilidad de que ocurran eventos como los ataques de
ransomware y minimizar su impacto en caso de que sucedan.

• ¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los
ciberdelincuentes piden rescates en Bitcoin (sustente sus respuestas)?

Los Bitcoin son como dinero digital que la gente puede usar para hacer
transacciones en línea. Imagina que es como tener dinero en tu teléfono o
computadora en lugar de en tu billetera. No hay un banco o gobierno que
controle los Bitcoin, en su lugar, todas las transacciones se registran en una
especie de libro de contabilidad público llamado blockchain.

En cuanto a su legalidad en Colombia, no estoy seguro, pero en muchos lugares

del mundo, incluyendo algunos países de América Latina, sí está permitido usar
Bitcoin.

Los ciberdelincuentes piden rescates en Bitcoin por algunas razones. Primero,

porque es difícil rastrear quién está detrás de las transacciones de Bitcoin, lo
que les ayuda a mantenerse anónimos. Además, las transacciones de Bitcoin
son rápidas y no necesitan pasar por un banco, lo que les permite recibir el
dinero de forma rápida y sin ser atrapados por la policía.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 9

 GADDIEL NICOLAS LEMUS RINCÓN

Por último, Bitcoin es popular, así que muchas personas lo tienen y pueden
pagar el rescate si es necesario. Pero es importante recordar que pagar el
rescate solo hace que los ciberdelincuentes sigan haciendo más ataques, así
que generalmente no es una buena idea ceder a sus demandas.

• ¿Existen entidades estatales que brinden apoyo a los departamentos de TI y a

las que se pueda acudir en caso de estos cibersecuestros?, ¿cuáles?

Sí, en muchos países existen entidades estatales y organizaciones

gubernamentales que brindan apoyo y recursos para ayudar a los
departamentos de TI y a las empresas a enfrentar ciberataques como los
cibersecuestros. Algunas de estas entidades son:

1. Agencias de Seguridad Cibernética: Estas agencias se dedican a monitorear y

proteger la infraestructura cibernética de un país. En algunos casos, pueden
ofrecer asistencia técnica y recursos para enfrentar ciberataques.

2. Fuerzas de Policía Cibernética: Muchos países cuentan con unidades

especializadas de la policía dedicadas a investigar delitos cibernéticos. Estas
unidades pueden brindar apoyo en la investigación de incidentes de
cibersecuestro y ayudar en la persecución de los responsables.

3. Centros de Respuesta a Incidentes Cibernéticos (CSIRT): Estos centros son

equipos especializados en la gestión y respuesta a incidentes de seguridad
cibernética. Pueden proporcionar asesoramiento técnico, herramientas y
recursos para ayudar a mitigar el impacto de los ciberataques.

4. Organismos Reguladores de Seguridad: En algunos países, existen

organismos gubernamentales encargados de establecer regulaciones y
estándares de seguridad cibernética para proteger los sistemas de información y
las infraestructuras críticas.

5. Ministerios de Tecnología o de Defensa: Estas entidades gubernamentales

pueden ofrecer orientación y apoyo en materia de seguridad cibernética, así
como recursos adicionales para fortalecer la infraestructura y proteger contra
ciberataques.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 10

 GADDIEL NICOLAS LEMUS RINCÓN

Es importante que las empresas estén al tanto de estas entidades y establezcan

relaciones de colaboración con ellas para recibir apoyo y orientación en caso de
enfrentar cibersecuestros u otros incidentes de seguridad cibernética.

Conclusión

El caso de cibersecuestro experimentado por la empresa "JRAS Sistemas y

Comunicaciones" destaca la importancia crítica de la seguridad cibernética en el
entorno empresarial actual. A través del análisis detallado de este incidente y la
implementación de medidas de respuesta, se ha evidenciado la necesidad de contar
con un enfoque proactivo en la protección de los activos digitales y la mitigación de
riesgos.

La adopción de buenas prácticas en seguridad cibernética, como la educación y

concienciación de los empleados, el mantenimiento regular del software, la
implementación de políticas de seguridad robustas y la colaboración con entidades
gubernamentales especializadas, emerge como una estrategia fundamental para
prevenir y responder eficazmente a los ciberataques.

Asimismo, se ha subrayado la importancia de la colaboración entre el sector privado y

público en la lucha contra las amenazas cibernéticas, aprovechando los recursos y la
experiencia de las entidades estatales para fortalecer la resiliencia y proteger los
sistemas de información críticos.

En última instancia, el caso de "JRAS Sistemas y Comunicaciones" sirve como un

recordatorio de la constante evolución del panorama de seguridad cibernética y la
necesidad de mantenerse alerta, proactivos y bien preparados para enfrentar los
desafíos emergentes en el mundo digital.

Fundación Universitaria del Área Andina | Ingeniería de Sistemas | www.areandina.edu.co 11