En este módulo, juntas y juntos identificaremos inicialmente por qué la

sostenibilidad y la ciberseguridad pueden ir de la mano y cómo, al iniciar su

implementación, ayudaremos a nuestra PYME en su proceso de digitalización,
mejorando así su posicionamiento respecto a la competencia.

Identificaremos los posibles riesgos que pueden amenazar nuestros negocios y

tomaremos conciencia de las posibles vulnerabilidades de este y el impacto de
estas, no solo en la parte legal y técnica, sino también en lo operativo y comercial,
en caso de no contar con planes para minimizar y atacar estos riesgos.

Además, elaboraremos una guía para la prevención, detección y contención de

estos ataques y escucharemos la voz de personas reconocidas y expertas en el
tema que nos guiarán para tener buenas prácticas.

Finalmente, nos centraremos en los puntos clave para gestionar las amenazas y
poder elegir de una manera más informada la estrategia a seguir basados en las
necesidades específicas de nuestra organización.

"La ciberseguridad es la práctica de proteger sistemas, redes

y programas de ataques digitales. Por lo general, estos
ciberataques apuntan a acceder, modificar o destruir la
información confidencial; extorsionar a los usuarios o
interrumpir la continuidad del negocio."
¿Por qué sostenibilidad y ciberseguridad?

Reputación y confianza del cliente

o Las empresas que deciden integrar prácticas sostenibles modifican sus
procesos para medir sus resultados vinculados con un impacto ambiental y
social que genera a su vez cambios positivos y dan confianza a los
consumidores.
o Las empresas que procuran mejorar la ciberseguridad en sus sistemas
informáticos refuerzan procesos de continuidad y planes de contingencia para
la operación del negocio y eso mejora la percepción de confianza del cliente
respecto a los competidores

Eficiencia operativa y reducción de costos

o La sostenibilidad aplicada de manera cotidiana brinda mayor eficiencia
operativa y ahorros de costos a largo plazo usando herramientas digitales que
nos midan consumos, traslados, gastos operativos, reprocesos, gastos
energéticos o mejoras en impacto social, por mencionar algunos.
o Las empresas que implementan medidas robustas de ciberseguridad pueden
evitar costos significativos asociados con incidentes de seguridad informática.

Cumplimiento normativo y legal

o Las empresas deben cumplir con requisitos legales y normativos específicos
en relación con la gestión ambiental, la protección de datos, la privacidad del
cliente y otros aspectos relacionados con la sostenibilidad.

La sostenibilidad y la ciberseguridad están estrechamente relacionadas para una

empresa pequeña y mediana.

Ambas áreas son fundamentales para mantener:

o una reputación sólida,

o lograr eficiencia operativa,

o reducir costos y;

o cumplir con las regulaciones internacionales

Lo anterior fomenta una competitividad global.

Ciberseguridad:
Elemento clave para la digitalización para las PYMES
¿Qué debemos saber?
o Conceptos.

o Entorno de la ciberseguridad en México.

o Sanciones y riesgos de no tenerla.

¿Por qué?
o Casos reales en PYMES.

o ¿Qué pasa si no la tengo?

¿Cómo?
o Realizar un diagnóstico de mi ciberseguridad.
o Identificar los riesgos informáticos en mi empresa.

o Diseñar un plan integral de seguridad.

Lo que debemos saber de ciberseguridad

Los tres Principios de la Información

Accesibilidad (disponibilidad)
Que la información esté disponible y se pueda utilizar
cuando es requerida.

Confidencialidad
Que la información esté disponible exclusivamente
para personas autorizadas.
Integridad
Que la información esté completa, precisa y
esté protegida contra cambios no autorizados.

Virus

Un virus informático es una aplicación o código malintencionado que se

emplea para ejecutar actividades destructivas en un dispositivo o red local.
La actividad malintencionada de este código puede dañar el sistema local de
archivos, robar datos, interrumpir servicios, descargar más malware o
cualquier otra acción que esté codificada en el programa.

Malware

El término «malware» significa programa malicioso o programa maligno e

incluye diferentes tipos de software, incluyendo todas las formas conocidas
de troyanos, ransomware, virus, gusanos y malware de banca. El común
denominador es la intención malintencionada de sus autores.

Ransomware

El ransomware es un tipo de malware que bloquea el dispositivo o cifra su

contenido para extorsionar al propietario pidiéndole dinero. A cambio, los
creadores de este código malicioso prometen -por supuesto, sin ningún tipo
de garantías- restaurar el acceso al equipo infectado o a la información.

Phishing
El phishing es una forma de ataque de ingeniería social, en el que el criminal
se hace pasar por una empresa de confianza y pide información sensible a la
víctima.

SPAM

Cualquier forma de comunicación no solicitada que se envía de forma

masiva (correo electrónico masivo no solicitado)

Firewall

Es un sistema basado en un software -o hardware- que funciona como

puerta de seguridad entre redes de confianza y las redes desconocidas. Esto
lo logra filtrando el contenido y la comunicación que se considere dañina o
potencialmente no deseada.

Ciberataque

Los ciberataques son intentos no deseados de robar, exponer, alterar,

inhabilitar o destruir información mediante el acceso no autorizado a los
sistemas.

Situación actual en México y la ciberseguridad

México ocupó el primer lugar de ataques cibernéticos en el mundo. Las estadísticas de
FortiGuard Labs arrojan que en 2022 sufrió 137,000 millones de intentos de ciberataques
en todo America Latina, México fue el país más atacado de la región (con 85 mil millones),
El 60% de las empresas mexicanas ha sufrido un ataque de ciberseguridad
México fue blanco del 66% de los ataques cibernéticos ocurridos en América Latina en el
período de 2021-2022, lo que provocó pérdidas de entre 3,000 y 5,000 millones de
dólares por año, de acuerdo con la Asociación de Bancos de México y la American
Chamber.
Empresas en México pagan hasta 2 millones de dólares para recuperar información tras
hackeos
En México, quien más sufre de ciberataques son las PYMES, porque por sí solas son un
pilar de la economía, pues representan el 70% del empleo formal y el 52% del PIB.
¿Existen sanciones o leyes en México?
¿Quién se encarga de la ciberseguridad en México?
o CERT-MX (Centro de Respuestas a Incidentes Cibernéticos de México) y el

o Instituto Nacional de Transparencia, Acceso a la Información y Protección de

Datos Personales (INAI).
Qué más existe formalmente?
Estándares y Normas aplicables en PYMES que tocan temas de ciberseguridad:

o ISO 27001:2013 es la norma internacional para sistemas de gestión de

seguridad de la información.

o ISO 27701, Regula el tratamiento que realizan personas, empresas u

organizaciones de los datos personales relacionados con personas en la Unión
Europea (UE).

o ISO 20000 - Define cómo se planifican, diseñan, gestionan y entregan a los

clientes los diferentes servicios de IT.

o ITIL- Guía de buenas prácticas para la gestión de servicios de tecnologías de

la información (TI).

Leyes que se relacionan con ciberataques

o Código Penal Federal, Libro Segundo, Título Noveno - Revelación de
Secretos y Acceso Ilícito a Sistemas y Equipos de Informática. Capítulo II -
Acceso Ilícito a Sistemas y Equipos de Informática.
o La Ley de Instituciones de Crédito.

o Ley Federal de Protección de Datos Personales en Posesión de los

Particulares (LFPDPP), su incumplimiento da sanciones desde 100 a 320,000
días de multa y/o de tres meses a tres años de cárcel, se sanciona el NO
CONTAR CON UN AVISO DE PRIVACIDAD.

¿Por qué es importante de manera práctica?

Casos reales de PYMES

o Impacto de uso de Software ilegal en PYMES.

o Amenazas en correo, principal punto de entrada y comunicación en la

empresa.

o Ataques desde el SPAM, virus y malware si no tenemos protecciones básicas

en equipos de nuestra red.

o Los ciberdelincuentes distribuyen malware basado en HTML y/o Java Script

(código) dentro de textos de correos o páginas aparentemente inofensivas.

o Suplantación de identidad para robarnos información.

Estadísticas de correo recibido bajo el dominio

"soluciona.com.mx" de enero a mayo de 2023
Riesgos de negocio por no tener ciberseguridad
o Pérdida de reputación / credibilidad de la marca.

o Pérdida de confianza del consumidor.

o Exposición mediática / viralización negativa.

o Interrupción de operaciones.

o Demanda de incumplimiento de contratos con clientes o proveedores.

o Pérdida de información sensible del negocio y clientes.

o Extinción del negocio.

Ejemplos de los riesgos más comunes en PYME

o Computadoras personales en el trabajo.

o Colaboradores desleales / Piratería / Ingeniería Social.

o Competidores globales.

o Página web insegura o basada en plantillas gratuitas.

o Tienda en línea sin mecanismos de seguridad en transacciones o

almacenamiento de datos.
o Acceso a recursos de la empresa de manera remota, desatendida y
descontrolada.

o Red local de la oficina sin restricciones de acceso.

o Servicios en la nube expuestos sin restricciones o controles.

o Correo electrónico inseguro o sin controles.

o Dispositivos móviles personales para fines laborales.

Detectar: ¿Qué debo proteger y cómo?

Paso CERO, cuestionemos si somos vulnerables
Visualicemos nuestra protección por áreas
o ¿Qué amenazas existen en mi red?

o ¿Por qué me debo proteger en mi empresa?

o ¿Quién me quiere atacar?

o ¿Cuándo soy más vulnerable?

o ¿Dónde resguardo mis datos sensibles?

Los expertos opinan

Sergio Hernández , Director de TASMICRO
La ciberseguridad cobra una relevancia extraordinaria en los últimos años.

El fondo económico mundial ya lo cataloga como el tercer riesgo más importante

que puede afectar a una organización; la afectación va desde, hacer que pierda
recursos, hasta quebrar la organización hasta hacer que desaparezca la
organización.

En este contexto, partiendo de este punto de vista, hay muchos beneficios de

considerar la ciberseguridad dentro de nuestra estrategia, desde darle continuidad
de negocio a nuestra operación desde asegurarnos que no vamos a detener la
operación, que no tendremos un siniestro económico hasta tener diferenciadores
estratégicos. México es un país muy integrado a nivel internacional quizá no
nuestro cliente inmediato pero el cliente de nuestro cliente o el cliente de nuestro
cliente nuestro cliente le vende una organización internacional y esa organización
internacional hoy demanda hoy condiciona hoy establece como requisito para sus
proveedores que cumplan con algún estándar de ciberseguridad entonces en ese
en ese contexto la ciberseguridad ya no se vuelve un aspecto defensivo sino se
vuelve un diferenciador estratégico me van a comprar porque además de mi
producto o de mi servicio tengo una ciberseguridad sólida y eso es un requisito
indispensable para un cliente al momento de elegir proveedores, entonces
reiteraría el hay un espectro de beneficios importantes: va desde pues darle
continuidad a mi negocio desde asegurarme que no tengo no tendré un siniestro
económico o inclusive un siniestro que quiebra la organización; hasta volverse un
diferenciador hasta distinguir en el mercado entre otras cosas porque soy una
empresa que tiene pues un estándar muy sólido en ciberseguridad.

Es muy importante efectivamente que las empresas por pequeñas que sean en el
momento que nacen tomen en cuenta el tema de la protección de sus datos y la
seguridad de sus sistemas ya sea que únicamente tengan una pequeña computadora,
tengan equipos la red, etcétera esto es muy importante cuando las empresas empiezan
tengan en cuenta que proteger su información pues vital para que puedan seguir
creciendo. ¿Por qué debemos de protegerlo? Bueno pues porque cada día estamos
viendo que es más fácil acceder a información de terceros hay más información y al tener
más información pues el valor de su información pues cada día es de aún más importante
del mercado hay un mercado que se lucra de esta formación de obtener datos etcétera;
por esto una empresa, debe siempre del principio considerar que su activo que es la
información que tiene su cliente que sus proveedores su estrategia pues debe estar
adecuadamente protegida.

Hoy a nivel digamos de sus equipos informáticos hay diversas amenazas, vamos a
nombrar algunas que pueden ser las más conocidas o sensibles.

Por un lado al tema de los virus informáticos, el virus informático es un software

es un aplicativo que puede causar pues que tendríamos una pérdida de
información puede causar que tenemos un problema en el en el uso que tenemos
de nuestra computadora, puede incluso llegar a encriptarla, dejarla inaccesible,
eso sería un tipo de amenaza. Otro tipo de amenaza que estamos viendo
últimamente, es el robo de información; es acceder con una computadora para
llevarnos la información que tiene la empresa y esto es muy grave porque estamos
poniendo en manos de terceros información confidencial que puede ser usada
pues con fines como para extorsionar a la propia empresa, un tema de reputación,
sin en este caso estamos pues contactando con los clientes de la empresa o
proveedores y decirles que tenemos esa información. ¿no? Y una pérdida de
reputación y una empresa cuando Empieza hoy incluso cuando uno Empieza pero
una pero perder la reputación en el mercado puede significar de alguna manera el
fin de esta empresa en el mercado y que pueda continuar ¿no?, porque, la
confianza que tenemos de las empresas es vital pues para que puedan crecer.

¿Por dónde comenzamos?

El criterio es el mismo que una organización (que la organización o la empresa)
más grande de la que puedan que se les ocurra si el deben de empezar por definir
qué es lo más valioso para su negocio… los cibercriminales van a ir por eso los
cibercriminales no atacan de manera casual, sino atacan de manera estratégica
entonces, el principio de la ciberseguridad debe de estar o debe de enfocarse en
proteger lo más valioso de mi organización. Dos ejemplos uno soy una empresa
que vende algún producto o presta algún servicio a través de una plataforma
digital a través de un ecommerce propio voy a vender voy a vender mesas voy a
vender muebles a través de mi ecommerce no entonces tengo una página de
internet muy bien diseñada con una generación con una estrategia muy bien
montada no el local file es adecuado tengo una estrategia de marketing digital que
me genera mucho tráfico de calidad tengo un catálogo de productos de muebles
muy bien presentado con fotografías de mucha calidad tengo información muy útil
para que tomen la decisión los potenciales clientes como medidas como pesos
como materiales como precios por supuesto también tengo una estrategia muy
bien armada y me está yendo muy bien, está creciendo mi negocio cuál es lo más
valioso de mi negocio pues mi plataforma es lo más valioso de mi negocio es decir
si mi plataforma se cae deja de deja de operar mi negocio deja de existir qué es lo
que tengo que proteger mi plataforma tengo que evitar tengo que asegurarme que
tengo que reducir absolutamente la incertidumbre o la posibilidad de ser atacado
sobre todo la posibilidad de que tiren mi plataforma, es un ejemplo muy muy claro
y evidente.

Otro ejemplo puede ser pues tengo un punto de venta de algún producto también
en alguna plaza y todos por control por eficiencia y por riesgo hago toda mi
cobranza a través de pues un dispositivo electrónico que cobra a través de tarjetas
bueno una un componente muy valioso de mi negocio es ese dispositivo si ese
dispositivo deja de operar o ese dispositivo es vulnerado y empiezan a sustraer mi
información a través de a través del mismo pues se para mi negocio no se detiene
mi negocio o peor aún atento contra mis clientes porque me sustraen información
muy sensible de mis clientes no los datos de sus tarjetas tengo que asegurarme
de que ese ese pequeño eslabón material de mi negocio ese dispositivo a través
del cual cobro pues está súper asegurado tenga una figura muy robusta para que
no me vulneren entonces cuál es el inicio el inicio es ese qué es lo más valioso de
mi negocio y cómo puedo evitar ser vulnerado un error común de las empresas de
es que no tienen especialistas en ciberseguridad bueno más que un error es una
circunstancia común pues porque no alcance el dinero quizá para tener un
especialista en ciberseguridad un error común entonces es que el responsable de
sistemas determina cuál es la prioridad en ciberseguridad para el responsable de
sistemas de la prioridad va a ser el equipo de cómputo no el responsable de
sistemas quizá no piense en términos de negocio va a pensar en términos de la
infraestructura tecnológica en el equipo de computo del servidor de la aplicación
del RP etcétera etcétera entonces va a proteger o va a diseñar una estrategia los
que proteja eso no necesariamente eso es lo más valioso del negocio de acuerdo
entonces la decisión el punto de partida es del dueño de la organización del
director general y él tiene que decir él o ella tienen que decir qué es lo más valioso
de mi negocio dónde está mi negocio qué hace que la caja suene qué hace que
venda qué hace que subsista qué hace que crezca y una vez que identificamos
eso que estimo lo debemos de tener Claro eso es lo que hay que proteger ahí está
el punto de partida una vez que definimos eso yo diría que hay 2 aspectos
importantes que debemos de considerar o cómo cómo lo hago práctico ya lo
definía ahora cómo lo protejo yo mismo mencioné hace unos minutos no tengo un
no tendré como pyme un especialista en ciberseguridad verdad muy difícil que lo
tenga es muy caro para mí como pyme entonces como ahora que ya definí lo lo
importante de mi negocio el corazón de mi negocio es cómo me aseguro de crear
una estrategia eficaz de si la seguridad en torno a eso busquemos socios
especialistas cuando tenemos cuando sospechamos que tenemos alguna
enfermedad pues no le preguntamos al mecánico no le preguntamos eh no le
preguntamos a alguien no especializado no dudamos y acudimos a un doctor a un
especialista de acuerdo y si no acudimos a un especialista acudimos a alguien que
no es especialista mi enfermedad es grave pues nos corremos un riesgo gravísimo
y seguramente hay casos en donde alguien con una enfermedad grave acudió a
alguien no especializado y pues nada más se agravó no cometamos ese error
acudamos a un especialista busquemos un socio especialista hay un ecosistema
muy importante en el país de empresas especializadas en ciberseguridad una vez
que estas empresas les comunicamos dónde está el corazón de nuestro negocio
estas empresas especializadas en ciberseguridad van a diagnosticar y nos van a
decir lo que necesitas es esta es la solución que necesitas y cómo validamos que
esa solución sea adecuada pues esa solución debe de considerar 3 ejes
fundamentales siempre si no considera estos 3 ejes no es una solución completa
uno tecnología es imposible protegerse en términos de ciberseguridad sino
incorporar tecnología no nos atacan con inteligencia artificial si no nos
defendemos con inteligencia artificial no nos podemos defender un ejemplo de la
tecnología es indispensable 2 procesos y procedimientos y políticas sin mi
proveedor sin mi socio estratégico en seguridad no me sugiere no me orienta no
me implemente inclusive políticas y procedimientos la tecnología por más calidad
que tenga más eficaz que sea más inversión que haya destinado a ella no ser
eficaz en la protección y 3 personas si ese proveedor ese socio de negocios no
me sugiere no me invita no me implementa una un proceso de capacitación y
sensibilización de los empleados de la organización en términos de ciberseguridad
pues esas políticas y esa tecnología no serán eficaces entonces busquemos un
socio experto ubiquemos lo más valioso busquemos un socio experto que nos diga
cómo protegerlo validemos esa oferta validando que tiene esos 3 componentes
tecnología políticas y procesos y personas.

Yo recomendaría como primer paso, que cualquier pyme o pequeño emprendedor pues
trate de contactar en la medida de sus posibilidades un especialista, no yo creo que
puedo dar es el que nuestra opinión y pues yo considero que: importantes que debes de
conocer primera vez pues tener un endpoint, lo que llamamos un antivirus, tener un
endpoint, y después enseguida considerar la protección del correo electrónico, porque el
grueso de información que va a entrar y va a salir pues de la empresa, lo va a hacer a
través del correo electrónico. Entonces sí protegemos adecuadamente pues el PC, la
computadora con un antivirus y tenemos además un sistema de protección en el correo,
pues podemos considerar que una pyme pues está adecuadamente protegida.
¿Cómo diagnosticar mi estado actual?
Identificar la criticidad y prioridad del negocio, qué debo
proteger
¿Cuáles son los datos más sensibles que mi negocio almacena?

Realizar un inventario de activos

¿Con qué cuento en mi negocio, hardware, software y datos?

Guía básica para elaborar un análisis de riesgos

o Inventariar

o Identificar

o Proteger

o Respaldar

o Verificar

o Responder

o Medir para mejorar

¿Cómo seleccionar ayuda?

Como mencionamos antes Rolando, hay un ecosistema de empresas de
ciberseguridad que crece consistentemente y dentro de este crecimiento pues hay
empresas de todo tipo no hay empresas muy serias muy profesionales con una
gran capacidad de estratégica técnica y económica y también hay empresas pues
que quizá no tienen no tienen esa solidez estratégica no, sin ser dolorosas pues
quizá no alcanzan a entregar el valor no alcanza ni entregar el resultado que
buscamos. Entonces qué parámetros podemos utilizar siendo no especialistas en
ciberseguridad pues para tratar de reducir la incertidumbre en la eficiencia, en el
nivel de servicio, en la respuesta y la solución que nos van a dar las empresas.

Yo mencionaría cuatro parámetros y estos parámetros no necesariamente son de

ciberseguridad si en algunos pueden aplicarse a cualquier tipo de proveedor.

El primero sería referencias comerciales no si mi cliente si perdón si mi proveedor

tiene referencias comerciales de empresas conocidas eh bueno pues yo le tengo
que exigir que me permita hablar o yo le tendría que establecer con una condición
oye, déjame platicar con tus clientes vigentes para que me platiquen la experiencia
y si es posible pues quisiera platicar con ellos, para ver qué reto enfrentaron y
cómo les ayudaste a solucionarlo. Yo creo que la experiencia puntual de clientes
reales, de empresas reales, es valiosísima ¿no? si es una empresa que tiene
desviaciones deficiencias en su proceso, va a ser complicado que puedas hablar
con clientes y que estos clientes te comunican una experiencia adecuada; es su
primer filtro importante que reitero pues no es no es exclusivo de ciberseguridad
verdad. Yo creo que es una un paseo recomendable siempre para cualquier
adquisición de producto o servicio.

Uno segundo y este es especializados en ciberseguridad, empresas que tengan

certificaciones, 2 tipos de certificaciones: Certificaciones en las marcas que
venden la ciberseguridad en la parte tecnológica recuerden personas procesos y
tecnología en la parte tecnológica pues pasa por marcas de acuerdo y todas las
marcas del mercado demanda certificaciones puedes vender sin certificación sí
qué diferencia hay entre una empresa que está certificada en la marca y una
empresa que no está certificada en la marca bueno esa empresa que está
certificada en la marca pues tenemos alguna garantía alguna evidencia tangible
que nos dice que tiene un conocimiento importante profundo y adecuado de la
marca no porque está certificado en esa marca y eso ¿que nos dice? pues que va
a poder implementar y va a poder soportar adecuadamente esa solución
tecnológica entonces que estén certificados en las marcas que venden.

Ahora hay empresas que no publicitan las marcas que venden está bien cada
empresa elige qué estrategia seguir que estén certificados idealmente en
metodologías o Marcos de gestión de ciberseguridad 3 Marcos de gestión o 3
metodologías que yo recomiendo busque la certificación uno iso 27001 que la
empresa tenga la certificación iso 27001 la certificación iso 27001 es una
certificación a partir de un marco de gestión de ciberseguridad seguridad de
información es una guía completa robusta y eficaz de estrategia administración de
la seguridad de la información de la ciberseguridad si una empresa tiene esa
certificación pues tiene un conocimiento fuerte profundo de estrategia y gestión de
de ciberseguridad esa es una alternativa otra, NIST que la empresa esté
certificada en NIST ese es otro marco de gestión de ciberseguridad pues en
términos conceptuales es similar a eso 27000 pero digamos que es otra marca de
certificación y la última que tengan una certificación de ISACA y que es una
organización global que se especializa en emitir metodologías y cursos de
capacitación para profesionales en ciberseguridad de acuerdo entonces
organización tiene certificaciones de ISACA tal como suena, I.S.A.C.A, ese es un
sello de garantía de calidad se encuentra entre sus proveedores y supone como
condición a sus proveedores que tengan certificaciones de producto y
certificaciones de industria pues eso habla de un proveedor con 1° de
especialización y de eficacia importante, eso demanda inversión, demanda tiempo,
demanda tener un equipo técnico fuerte y sólido no y demanda estrategia; si el
demanda que el director de esa organización pues tenga estrategia no vea tenga
un horizonte de tiempo entonces es 1 segundo parámetro pues muy importante.

Un tercer parámetro es la oferta de valor que van a presentar, reiteró, su oferta de

valor no tiene que ser o no tiene que limitarse a la venta de alguna tecnología
tiene que tener más integralidad tiene que ser tiene que partir el punto de partida
es un diagnóstico ¿no? si no hace un diagnóstico si no hace un cuestionario si no
hace un levantamiento difícilmente va a entregar una solución adecuada, es decir
no puedes decirle tú lo más valioso en mi negocio es la plataforma digital y no te
puede responder pues a bote pronto de manera inmediata, pues te voy a vender x
tecnología y con eso lo tienes resuelto no tiene que haber un una metodología de
diagnóstico de dimensionamiento si no existe eso difícilmente te va a entregar una
solución adecuada.

Nuevamente me remito al ejemplo del doctor un doctor no te contestaba de pronto,

es decir no le no le dices pues me duele la espalda ah pues te recetó esto y esta
esta medicina y este tratamiento seguramente no pues el doctor te va a ocultar el
doctor te va a medir la presión, el pulso, te va a tomar los síntomas los signos
vitales generales te va a oscultar, y si detecta a partir de los ocultación puede
detectar algo más y posiblemente te mando a hacer estudios radiografías
tomografías etcétera o sea el doctor hace un menciona miento estudia a
profundidad los lo que tienes tu circunstancia y entonces sí diagnóstica y receta si
te diagnostica así a botepronto o si te agnóstica de manera inmediata y no
estudiar pues a menos que sea un algún padecimiento muy sencillo muy simple
está haciendo mal ese doctor no está diagnosticando de manera precipitada y por
lo tanto el resultado no va a ser adecuado, con él no te vas a curar es
exactamente es análogo con una empresa de ciberseguridad tiene que haber un
dimensionamiento un proceso una metodología para entender muy bien tu
operación tus necesidades y a partir de ello pues puede diseñar una solución
adecuada para para tu empresa de acuerdo en mencionar esos 3 aspectos como
importantes al momento de considerar la elección no es una elección simple la
ciberseguridad no es un tema simple es un tema complejo que demanda tiempo y
demanda cierta sofisticación en en la elección no pero pues lo que no requiere
esfuerzo o mejor dicho lo que vale la pena toma tiempo y esfuerzo ¿no? si
queremos un resultado adecuado y eficaz pues tenemos que dedicar ese tiempo
no esa sería mi recomendación en términos generales.

Video ¿Qué elementos debemos considerar?

Número uno seguro se podrán acercar algún fabricante de tecnología y estoy
seguro que muchos de nosotros vamos a poderles ayudar a contribuir en estos
aspectos desde la zona geográfica tenemos canales en zonas geográficas muy
especializados que les van a poder ayudar con estos aspectos o bien hoy gracias
AA todos estos movimientos que hemos tenido gracias a la la pandemia la
realidad es que no importa mucho en qué zona geográfica estemos se van a poder
atenderte forma remota pero como bien lo mencionas cómo podemos identificar
estos buenos canales número uno todos los fabricantes tenemos una zona donde
tenemos a nuestros partners O a nuestros socios de negocios creo que ahí van a
poder tener un primer filtro y seguro a través de este tipo de sitios podrán ver
cuánto tiempo llevan trabajando en los canales cuál es la reputación hoy a través
de igual forma de las redes sociales vamos a poder encontrar mucha información
de cuál es la trayectoria que tienen cada uno de los canales cuál es esa
reputación y estoy seguro que de esta manera podrán localizar AA un buen canal
por supuesto a través del número de certificaciones que tengan hacia qué
tecnologías se están acercando sin lugar a dudas creo que les va a poder sumar
de forma importante de acuerdo a lo que estén buscando para el día de hoy que
estamos revisando el tema de seguridad por supuesto los años de experiencia que
tengan los canales es de suma importancia mismo tema hacia que usuarios están
atendiendo estoy seguro que alguno de ellos caerá sobre la vertical negocio que
ustedes atienden y eso les va a poder contribuir de forma muy notable.

Video Elementos a considerar

Bien esto es una pregunta interesante, porque cuando creamos una empresa, el
tema de la seguridad de la información, es un tema que muchas veces no
sabemos que ni siquiera que hay que hacer. Yo recomendaría acercarse siempre
a un profesional, el profesional es bueno digamos de todo tipo y hay empresas de
todos los tamaños, que nos van a poder ayudar a herramientas o qué estrategia
es la más adecuada para proteger tanto nuestras computadoras, nuestros
sistemas como la información. Yo como elemento recomendaría, acercarnos a un
profesional de comprobada experiencia, una empresa que tenga una trayectoria
en temas de seguridad de la información o ciberseguridad, y que, sobre todo,
bueno pues como emprendedores, pues nos sentamos cómodo con ese con ese
profesional que nos está atendiendo, pero yo creo importante bueno que tenga
experiencia y que nos pueda demostrar que bueno pues está trabajando con otros
emprendedores en otras empresas sobre todo si puede ser de nuestro sector pues
mejor

Muy bien, otra de las preguntas que normalmente nos hacen cuando hablamos de
seguridad para las pymes es, de las ofertas disponibles entre productos y
servicios, bueno hoy ustedes Carlos, en Hornet Security tienen una oferta de valor
de servicios de producto cómo nos puede apoyar a las PYMES.

Bueno concretamente Hornet Security ofrecemos 3 pilares muy importantes en la

seguridad de una PYME, primero como hablamos, es la protección del correo
electrónico, ya que el correo electrónico el parcial la vía fundamental por la que
nos vamos a comunicar con nuestros proveedores y clientes y esto debe estar
adecuadamente protegido. Ofrecemos soluciones específicas para pequeñas y
medianas empresas, para que lo puedan hacer esto confiabilidad, también
ofrecemos servicios de backup, copia de seguridad, también muy importante por
qué vemos muchas empresas que ven comprometido su futuro porque en un
momento determinado tuvieron un problema con sus equipos informáticos y
perdieron la información; si pierdo la información y ya no sé ni qué pedidos tenía,
ni quien me debe de clientes, o que debo pagar a proveedores, puedo tener un
problema. Ofrecemos también un servicio para poder respaldar la información de
la empresa, y por último pues tenemos temas también de AWARENESS o
educación en temas de ciberseguridad pero yo, para un emprendedor, una
empresa que inicia creo que el tema de proteger su correo y el backup, son los 2
elementos que HORNET puede ofrecerles y son muy accesibles sobre todo
cuando un emprendedor inicia su camino.
¿Qué pasaría si sufro un ataque?

GUIA práctica de ciberseguridad

1. Identifica el núcleo operativo (Core Business) de tu
negocio y su interacción con el mundo digital.
o Si tu negocio es fabricar mermeladas orgánicas, es probable que la mayor
parte digital operativa tenga que ver con los archivos donde llevas control
de las formulaciones, tus proveedores y tus clientes, así como el correo
donde formalizas tus pedidos, este será tu listado de activos.
o
2. Realiza un inventario de todos los activos que se
relacionan con ese núcleo operativo.
Por ejemplo, para que tu negocio funcione, requieres al menos tres computadoras
(la de facturación, de ventas y la de producción), así como internet, dos antenas
que propaguen la señal, celulares con mensajería instantánea, el servicio de
correo electrónico para la formalización de pedidos con clientes y proveedores,
etc.

3. Define un plan de acción en caso de desastres (DRP –

Disaster Recovery Plan).
Por ejemplo, si me roban una computadora, se cae el internet, no tengo correos o
simplemente no puedo facturar.

Este plan debe tener una tabla muy sencilla de cada elemento de nuestro
inventario realizado (activos):

o Recurso (activo).
o Responsable de operarlo.

o Qué hacer en caso de falla temporal.

o Qué hacer en caso de falla/ausencia permanente.

o Impacto al negocio por falla (midiéndolo del una al diez).

o Establecer un tiempo máximo que puedo estar sin ese activo funcional.

o Relación con otros activos (impresora, con la red).

o Cómo y dónde respaldo los datos generados/almacenados por ese activo.

o La periodicidad del mantenimiento o revisión de operación óptima.

o Definir un tiempo máximo de vida útil.

o Indicar si tiene garantía y hasta que fecha.

4. Clasifica toda la información digital que tiene tu empresa en

tres categorías.
Información Pública: Que todo el mundo pueda ver sin comprometer la seguridad
de ningún tipo.

Información Privada: Toda la información que solo el equipo de trabajo que

pertenece a la empresa debe de ver.

Información Confidencial: La información legal, financiera, laboral, procesos,

fórmulas, secretos industriales u otros que solo ciertas personas dentro de la
organización deban de ver con los debidos permisos.

5. Establece controles de acceso a los datos.

o Acceso seguro a los correos y sistemas administrativos.

o Contraseñas seguras que cambien frecuentemente.

o Implementar el 2FA (doble factor de autenticación) en todo lo que se pueda.

o Acceso físico a las instalaciones, controles biométricos.

o Restringe el uso de USB y Wifi libre en las oficinas.

6. Preserva y protege la información.

o Genera respaldos físicos y en la nube con periodicidad.

o Libera espacio borrando información innecesaria.

o Instala protecciones lógicas como firewall, antivirus tipo endpoint, soluciones

de cifrado de datos, accesos remotos solo de manera segura (VPNS), etc.

7. Monitorea la seguridad y las alertas que te dan los

sistemas.
o Revisa frecuentemente las alertas que te generan los diferentes sistemas.

o Confirma que los sistemas informáticos tienen versiones actualizadas.

o Establece con regularidad nuevas políticas de uso más seguro de datos.

8. Capacitación en el uso correcto y seguro de las

herramientas informáticas.
o Conocer mejor las herramientas informáticas e implementar mejoras en su uso
en función de la seguridad.

o Acercamiento al fabricante, distribuidor o asesor que nos ayude a sacar mejor

provecho de cada herramienta y mejore la seguridad en acceso y uso.

o Capacitación a todo el personal respecto al uso y acceso a datos en la

empresa.

9. Validar frecuentemente el funcionamiento de los planes de

contingencia.
o Detectar áreas de mejora de los planes originales.
o Actualizar procesos administrativos y operativos que usen sistemas
informáticos.

o Automatizar respuestas que minimicen nuestra intervención y aumenten la

continuidad (p. ej. contratar un nuevo proveedor de internet y poner un aparato
que en caso de caída automáticamente derive el tráfico por un segundo
proveedor).

10. Establecer, desde dirección, un presupuesto semestral y

anual para mejoras informáticas.
o Licenciamientos,

o Actualizaciones,

o Nuevas tecnologías,

o Respaldos y automatización.
Estos son solo algunos de los puntos más importantes que toda PYME debe tener en
cuenta respecto a la ciberseguridad y en medida de las posibilidades, el giro de la
empresa y sobre todo dependiendo del tipo de información; debemos de tener en cuenta
que esta tarea de seguridad siempre se puede robustecer en diferentes capas que van
desde el perímetro más externo del acceso a nuestros datos, hasta la protección y
resguardo en tiempo real de la generación de los mismos y que representan nuestro
activo digital más importante y valioso como organización.

¿Cómo responder a un incidente de seguridad?

1. Contención: Control de daños y evitar que se propaguen.

2. Detección: Identificar en donde empezó y qué afectó.

3. Priorización: Restaurar la operación y sistemas críticos del negocio.

4. Ejecución: Realizar todas las tareas que restauren servicios generales.

5. Restauración: Recuperar o extraer respaldos que complementen información

faltante o dañada.
1. La ciberseguridad es un diferencial de éxito en las PYMES.

2. Los planes visualizan los riesgos, minimizan el impacto y garantizan la

continuidad.

3. Se requiere INVERSIÓN • EDUCACIÓN • CULTURA.

DEBEMOS PROCURAR:

o Protección de datos sensibles.

o Continuidad del negocio.

o Cumplimiento normativo.

o Protección de activos digitales.

o Resiliencia ante ataques cibernéticos.

o Considerar aumento de riesgos con el uso de inteligencia artificial.

El vínculo entre sostenibilidad y ciberseguridad es importante por varias razones:

o La sostenibilidad implica el manejo responsable de los recursos y la protección

del medio ambiente, pero también incluye la protección de los datos y la
privacidad de las personas.

o Para lograr un desarrollo sostenible, es importante contar con una

infraestructura digital segura. La ciberseguridad es esencial para proteger los
sistemas digitales y asegurar que funcionen de manera eficiente y confiable.

o La ciberseguridad permite que la tecnología sostenible sea confiable y pueda

desplegarse de manera segura; y un enfoque integrado en la gestión de la
sostenibilidad y la ciberseguridad ayuda a asegurar el cumplimiento adecuado
de normas y estándares en ambos ámbitos.