1

1Riesgos Informáticos

Damaris Suarez Polo

Marzo 2021.

Corporación Universitaria Minuto de Dios.

Neiva Huila
Informática Empresarial Nrc 8825
Id Estudiante 690151
 2

Introducción

La sociedad actual vive en un camino constante hacia la digitalización, con el uso

masivo virtual, la comunicación diaria a través de internet, el uso de la inteligencia
artificial, donde los electrodomésticos también se vuelven inteligentes y se conectan a la
red.

Todas las ventajas que aporta esta transformación digital vienen acompañadas de una

serie de amenazas que ponen en riesgo la seguridad de los sistemas y comprometen la
privacidad de la información. 
En este entorno digital las empresas deben analizar los riesgos informáticos y tomar
medidas para evitar que se produzcan o para mitigar sus efectos negativos. 

Los riesgos de seguridad de información deben ser considerados en el contexto del

negocio, y las interrelaciones con otras funciones de negocios, tales como recursos
humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los
clientes deben ser identificados para lograr una imagen global y completa de estos
riesgos.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la
vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que
podemos decir a grandes rasgos que la administración de riesgos es el proceso de
identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable
 3

¿En qué Consisten los Riesgos Informáticos?

El análisis de riesgos informáticos es la evaluación de los distintos peligros que

afectan a nivel informático y que pueden producir situaciones de amenaza al negocio,
como robos o intrusiones que comprometan los datos o ataques externos que impidan el
funcionamiento de los sistemas propiciando periodos de inactividad empresarial. 
El análisis y gestión de los riesgos previene a las empresas de este tipo de situaciones
negativas para su actividad y recoge una serie de factores fundamentales para su
consecución. 
Para realizar un análisis de riesgos efectivo, el primer paso es identificar todos los activos
de la empresa. Estos activos incluyen todos los recursos relacionados con la gestión e
intercambio de información de la empresa, como software, hardware, vías de
comunicación, documentación digital y manual e incluso de recursos humanos. 

Riesgos a las que se puede estar expuesto

 Ataques externos. Los ciberdelincuentes siempre tienen en su punto de mira a

las empresas y sus sistemas, con el objetivo de robar información (bancaria o de
otra índole comercial o personal), tirar sus sistemas o utilizar sus recursos. Dos
de las mayores amenazas que reciben las empresas hoy en día son ataques de
denegación de servicio DDoS (inutilizan los sistemas informáticos de la
empresa) o ataques con malware de tipo ransomware (encriptan los datos de la
empresa, solicitando un rescate económico en criptomonedas para liberarlos). 
 Errores humanos. La intervención humana en los procesos informáticos siempre
está expuesta a que se cometan errores (intencionados o no intencionados). Por
ejemplo, un empleado sin los conocimientos suficientes, o con privilegios
 4

superiores a los de su función, puede realizar acciones que comprometan los

datos o produzcan un malfuncionamiento en los sistemas. 
 Desastres naturales. Es posible que se den situaciones que pongan en peligro los
activos informáticos de la empresa como inundaciones o sobrecargas en la red
eléctrica. 

Tipos de Amenazas

 Virus; se replican y diseminan autónomamente.

 Troyanos; se disfrazan para poderse instalar y comprometer los sistemas.
 Adware; secuestra navegadores para mostrar publicidad.
 Exploit kits; método completo para acceder a un sistema usando vulnerabilidades
desconocidas.
 Ransomware; secuestro de archivos mediante cifrado.

Medidas de prevención y control 

Una vez se tengan identificadas las amenazas y vulnerabilidades de los sistemas y

se tengan definidos todos los riesgos y sus consecuencias, deben establecerse una serie
de medidas y tratamientos de riesgo con dos objetivos claros: evitar que se produzca el
riesgo o minimizar su impacto en caso de que llegue a producirse. 
Dentro de este tipo de medidas podemos destacar:
 
 Instalación de software de seguridad y cortafuegos (por software o hardware). 
 Implementación de sistemas de seguridad en la nube 
 Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas. 
 Revisión de los roles y privilegios de los usuarios (con especial cuidado en la
asignación de los roles con mayores privilegios, como los administradores). 
 Contratación de un seguro que cubra los daños ocasionados. 
 5

 Implementación de sistemas alternativos o duplicados para asegurar la

disponibilidad del sistema (high availability). 

CASO DE RIESGO INFORMÁTICO

Empresa Sony

En 2014, Sony vivió su particular annus horribilis con una serie de ciberataques a

varias de sus divisiones que provocaron unas pérdidas millonarias a la compañía. Uno
de esos ataques, mencionados por el propio Barack Obama como «intento de extorsión»,
fue el que afectó al departamento audiovisual.

Concretamente, los cibercriminales se dedicaron a robar correos y películas de la

compañía, provocando la cancelación de rodajes cinematográficos y, por ende, haciendo
lo propio con los estrenos cinematográficos. Además de los ataques, se produjeron
amenazas personales y, tras una larga investigación, el FBI responsabilizó de todos los
incidentes a Corea del Norte.
 6

ALTERNATIVAS DE SOLUCION

1.- Sentido come

La prudencia es la mejor barrera contra el malware. Cuida especialmente el
apartado de descargas e instalación de aplicaciones de sitios no seguros; la navegación
por determinadas páginas de Internet; la apertura de correos electrónicos o archivos
adjuntos no solicitados o que llegan de remitentes desconocidos o los que llegan de redes
sociales o aplicaciones de mensajería que contienen vulnerabilidades explotables por los
ciberdelincuentes para las campañas de malware.

2.-Utiliza  soluciones de seguridad

Son múltiples los proveedores que ofrecen soluciones de seguridad tanto
comerciales como gratuitas cuyo uso conviene valorar. Lo mismo con las aplicaciones
nativas contra el malware que incluyen algunos sistemas operativos. Un profesional de
negocios móvil debería valorar el uso de una suite de seguridad comercial integral y
también otras herramientas de seguridad como un firewall o sistemas de cifrado de datos.
3.- Actualiza el sistema operativo y aplicaciones 
Todos los sistemas operativos cuentan con herramientas para mantener
actualizados sus equipos. Y son de uso obligado porque incluyen actualizaciones de
seguridad contra amenazas conocidas. Tan importante -o más- que lo anterior es la
actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir
parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser
atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa, con
especial incidencia en algunas como Java, Adobe Flash o Reader.

4.- Protege los navegadores

Todos los navegadores web incluyen características avanzadas de seguridad cuya
activación debemos revisar y configurar porque son las aplicaciones con las que
accedemos a Internet y sus servicios. Además del cifrado de extremo a extremo en la
sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los
 7

avisos sobre sitios inseguros que muestran los navegadores. También revisar las
extensiones instaladas porque algunas son fuente frecuente de introducción de malware.
Otra posibilidad interesante para mejorar la privacidad es utilizar una sesión en “Modo
Invitado” el cual está totalmente desligado del perfil original del usuario, incluyendo
configuración o historial.

5.- Cuida las contraseñas

Además del uso de técnicas avanzadas de identificación biométrica en equipos
que las incluyan, la regla de oro para estar seguro en línea es contar con una contraseña
aleatoria fuerte y distinta para cada sitio web, especialmente para uso en los destinados a
banca en línea y comercio electrónico. Las contraseñas largas y complejas (combinando
números, mayúsculas y símbolos) previenen los ataques de fuerza bruta y el uso de una
contraseña diferente para cada cuenta evita tener todas ellas comprometidas a la vez
cuando se produce una violación de datos. Puedes utilizar gestores de contraseñas que las
creen y las recuerden por nosotros.
6.- Usa autenticación de dos factores
La autenticación de dos factores (o en dos pasos) proporciona un nivel adicional
de seguridad en las cuentas a las típicas contraseñas ya que no basta con vulnerar el
nombre de usuario y contraseña. El servicio está disponible en la mayoría de servicios
importantes de Internet y conviene utilizarlo siempre que podamos. Generalmente, utiliza
un código de verificación servido mediante una aplicación móvil o SMS, para aplicar
además del nombre de usuario y la contraseña al iniciar sesión.

7.- Realiza copias de seguridad

La seguridad al 100% en un mundo conectado simplemente no existe y no sólo
por un virus ya que un error en el hardware puede provocar la pérdida de preciada
información personal y/o profesional. La realización de copias de seguridad es por tanto
altamente recomendable para un usuario o profesional que pretenda proteger la
información personal y corporativa de un equipo informático. además de ser una tarea de
mantenimiento que contribuye a la salud del hardware. Las copias de seguridad deben
 8

almacenarse en un dispositivo de almacenamiento externo al de nuestro equipo o en un

servicio de almacenamiento en nube.
8.- Precaución con las redes Wi-Fi públicas
Los puntos de acceso a Internet inalámbricos y gratuitos se han extendido por
múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o
metro, hoteles y en todo tipo de negocios. Demostradas altamente inseguras, se pueden
utilizar para una navegación intrascendental guardando las debidas precauciones, pero no
para accesos que requieran mostrar tus datos, accesos y contraseñas. Un usuario de
negocios móvil no debería confiar en ellos su actividad profesional, optando por redes de
banda ancha móvil dedicadas de mayor seguridad.

9.- Activa la restauración del sistema

La restauración de los sistemas operativos es una herramienta que puede
“salvarnos la vida” ante un error del software, instalación de drivers o de alguna
aplicación que no funciona correctamente y también ante la entrada de un virus en
nuestro equipo. Las herramientas de recuperación del sistema permiten revertir los
cambios realizados en los archivos del sistema operativo, configuración, ajustes,
controladores, claves del registro o programas instalados, y que en ocasiones
desestabiliza el sistema operativo.

10.- Valora el cifrado de datos

Cifrar o “codificar” los datos de tu equipo para mantenerlos protegidos haciendo
frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la
retirada inapropiada de equipos, es una medida interesante especialmente en el segmento
profesional y corporativo. Los proveedores de software ofrecen múltiples soluciones para
hacerlo y algunos sistemas operativos cuentan con herramientas nativas.
 9

Conclusiones

La ciberseguridad debe formar parte de la cultura de cualquier empresa, ya que en

el marco actual las TI son fundamentales para todas las áreas empresariales. El análisis de
riesgos permite conocer todos los activos relacionados con la información de la empresa,
identificando amenazas y vulnerabilidades que permitan definir los riesgos reales a los
que se expone la información y los sistemas.

Este análisis permite implementar las medidas necesarias que mitigan el impacto
inherente a los distintos riesgos, pudiendo incluso llegar a evitar que se produzcan. Todas
las empresas deben realizar un análisis de riesgos informáticos y de seguridad, ya que
actualmente dependen de la tecnología para realizar la mayoría de sus actividades, tanto
de administración, producción y comunicación.

No disponer de las medidas apropiadas de seguridad expone a las empresas a

sufrir situaciones graves que ocasionen pérdidas importantes (como periodos de
inactividad o pérdida de datos sensibles).