CIBERSEGURIDAD PARA

MICROEMPRESAS Y
AUTÓNOMOS
Unidad 1.
Introducción
Parte teórica

1
CONTENIDOS
1 INTRODUCCIÓN

2 EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

3 RIESGOS

4 VULNERABILIDADES

5 AMENAZAS

6 ¿QUÉ PUEDO HACER?

7 BENEFICIOS Unidad 1
2
Introducción
 OBJETIVOS
Los principales objetivos de esta unidad son:

• Tener una visión global de la ciberseguridad, comprender su significado, identificar a quién afecta y el cómo y
el porqué.
• Enumerar los posibles riesgos a los que puede estar expuesto mi negocio.
• ¿Qué son las vulnerabilidades? y ¿qué se entiende por amenazas?
• ¿Cuáles son las necesidades de seguridad de mi negocio?
• Resaltar los beneficios de estar protegido. Comprender el valor añadido que ofrece a mi empresa la implantación
de medidas de seguridad.

Unidad 1
Introducción
3
1 INTRODUCCIÓN

Unidad 1
Introducción
4
1 INTRODUCCIÓN

Todos los negocios se apoyan en las nuevas tecnologías para

el desarrollo de su actividad profesional por las posibilidades
que ofrecen: aumento de productividad, mayor alcance de la oferta,
nuevos canales de comunicación con clientes, proveedores, etc.

Pero la clave está en saber protegerse en este nuevo

entorno para asegurar el buen desarrollo de la actividad propia
de tu negocio.

Unidad 1
Introducción
5
 1 INTRODUCCIÓN
Los mercados digitales y globales están al alcance de
autónomos y pymes a través de Internet.
¡Los negocios que tengan éxito serán aquellos que se
adapten a este nuevo entorno, entendiendo las nuevas
tecnologías y sacando el máximo partido de ellas!
Al igual que la seguridad en el mundo físico, la
ciberseguridad tiene una gran trascendencia e impacto para
las personas y para los negocios.

Unidad 1
Introducción
6
 1 INTRODUCCIÓN
En el mundo digital, la ciberseguridad trasciende a nivel global e
individual. De todos depende alcanzar un grado de seguridad y de
confianza que permita un desarrollo económico favorable para todos.
La ciberseguridad es uno de los principales retos a los que se
enfrentan las pymes y la ciudadanía en la era digital.
Se trata de un aspecto clave en un contexto virtual absolutamente
interconectado y que está generando una profunda transformación en
nuestra manera de relacionarnos con la tecnología.

Unidad 1
Introducción
7
1 INTRODUCCIÓN

Las pequeñas empresas y los autónomos también pueden

ser objetivo de un ciberataque.
Deben contribuir a mejorar el nivel de seguridad de las
TIC (Tecnologías de la Información y
las Comunicaciones), no solo para asegurar la buena
marcha de sus negocios, sino también para aumentar la
confianza de sus clientes en Internet (como elemento clave
para el desarrollo económico).

Unidad 1
Introducción
8
1 INTRODUCCIÓN

Las TIC destacan su importancia en grandes y pequeñas empresas, ya que garantizan tanto el desarrollo como la
continuidad del negocio. Por ello, es importante que todos conozcamos los riesgos a los que estamos expuestos
como consecuencia del uso de las nuevas tecnologías.

Los riesgos pueden ser una consecuencia de:

• No prestar atención a los protocolos de seguridad necesarios.
• El desconocimiento de conceptos relacionados con la ciberseguridad.
• Ataques externos o internos malintencionados.
• Desastres naturales, como cortes de electricidad, incendios, etc.
Todos pueden conllevar un coste económico y comprometer el desarrollo o
la continuidad de la empresa.

Unidad 1
Introducción
9
1 INTRODUCCIÓN
Pero… si soy autónomo o tengo una empresa pequeña…

¿Seguro que esto es también para mí?

Incluso las más pequeñas deben ser conscientes de que deben proteger sus recursos.
Se arriesgan a:
• Perder información.
• Hacer un mal uso de los datos, equipos o instalaciones.
• No adoptar las medidas de protección físicas necesarias.
Aunque sean pequeñas, no pueden permitirse que sus negocios y sus clientes puedan sufrir
algún perjuicio.

Unidad 1
Introducción
10
1 INTRODUCCIÓN

Entonces, la ciberseguridad también me va a ayudar a hacer un uso

seguro y adecuado de las TIC.

Efectivamente, como iremos viendo a lo largo del curso,

esta disciplina permitirá identificar los recursos más
importantes para nuestro negocio, los riesgos reales
que afectan a los mismos y las medidas más
adecuadas para asegurarlos frente a ellos.

Unidad 1
Introducción
11
 1 INTRODUCCIÓN
Los tipos de incidentes que nos pueden afectar pueden clasificarse en función de su origen.

Organización

Tipos de incidentes

Incidentes Ataques Catástrofes De origen

involuntarios deliberados naturales fabril

Unidad 1
Introducción
12
 1 INTRODUCCIÓN
Por lo tanto, podemos distinguir entre los siguientes tipos de incidentes, en función de su origen:

Incidentes involuntarios

• Fallos de gestión de usuarios, • Transmisión errónea de la información.

administrador o de ajustes de configuración. • Deterioro de la información.
• Gestión débil de los procesos. • Eliminación de información.
• Manipulación de la información. • Distribución de información.

Unidad 1
Introducción
13
1 INTRODUCCIÓN
Ataques deliberados
Fallos deliberados causados por las personas:
• Reajustes de la configuración.
• Suplantación de las credenciales de usuario.
• Abuso de beneficios de rol.
• Acceso restringido.
• Extracción auditiva de información.
• Manipulación de la información.
• Transmisión errónea de la información.
• Eliminación de información.
• Distribución de información.
• Ingeniería social.
Unidad 1
Introducción
14
1 INTRODUCCIÓN

Catástrofes naturales De origen fabril

Sucesos que pueden ocurrir sin intervención de los Pueden darse de forma accidental o deliberada:
seres humanos como causa directa o indirecta:
• Catástrofes industriales.
• Incendios.
• Polución mecánica o electromagnética.
• Inundaciones.
• Deterioro de origen físico o natural.
• Cortes de electricidad provocados por
• Apagones de luz.
tormentas.

Unidad 1
Introducción
15
 1 INTRODUCCIÓN
Casos reales de ciberataques

El malware, de tipo ransomware, cifra la información de los equipos bloqueando el acceso a la información. Los
ciberdelincuentes suelen pedir un rescate, normalmente en criptomonedas, para que podamos recuperar nuestros
archivos. Pero, ¡cuidado! nadie te asegura que recuperes tus datos, es mejor no acceder a sus peticiones y denunciar
estos casos ante las FCSE.

En ocasiones, el malware puede encontrarse en correos electrónicos que suplantan (phishing) a organismos oficiales
(DGT [1]), utilizando sus logos para resultar más convincentes. Pero, otras veces, el correo electrónico no contiene
malware, sino que únicamente te solicitarán tus datos bancarios (Seguridad Social [2]).

¿Cómo? ¿Por dónde? ¿Qué puedo hacer para protegerme?

Unidad 1
Introducción
16
 1 INTRODUCCIÓN
Casos reales de ciberataques

[30/12/2021] Aviso de seguridad de INCIBE: se han detectado en las últimas

horas varias campañas de envío de SMS fraudulentos de tipo smishing que
tratan de suplantar a varias entidades bancarias. Una de ellas suplanta a la
entidad Sabadell y al BBVA. Otra de las campañas detectadas a través de SMS
Saber más [3]
suplanta a la entidad bancaria Santander.

Vulnerabilidades críticas en Firefox que podrían permitir a un ciberdelincuente

hacerse con el control del equipo.
Saber más [4]

Unidad 1
Introducción
17
 1 INTRODUCCIÓN
Cualquier organización puede ser víctima del cibercrimen y de ciberataques con independencia de su tamaño y del
sector de su actividad. Sin embargo, es cierto que no todas manejan la misma cantidad de información sensible.

Por ejemplo, una organización del sector financiero que gestiona pagos, datos económicos y datos personales de clientes
tendrá mayor dependencia de los mismos para asegurar la buena marcha de su negocio.

No obstante, con independencia del sector al que pertenezcan, las pequeñas empresas también manejan datos
sensibles de clientes y proveedores que de no estar protegidos pueden ser objeto de un ataque, con el consiguiente
perjuicio, tanto a clientes y proveedores como para el negocio.

Unidad 1
Introducción
18
1 INTRODUCCIÓN

Para los ciberdelincuentes, las pequeñas empresas son objetivos

fáciles, ya que carecen de medidas de protección y están más
despreocupadas en cuanto a ciberseguridad.
Esto les permite acceder a información de nuestros clientes y
proveedores. El objetivo puede ser perjudicar nuestro negocio o
vender esa información en el mercado negro.

Unidad 1
Introducción
19
 1 INTRODUCCIÓN
Los ataques son cada vez más complejos y sofisticados, utilizan todo tipo de medios a su alcance, se aprovechan
de nuestras debilidades tecnológicas y no tecnológicas, y son más difíciles de detectar.

Le pueden ocurrir a cualquiera. Y, si nos afecta, perjudicará a nuestro negocio

impidiendo el buen desarrollo de nuestra actividad profesional.

¿Has recibido alguna vez…?

…un correo electrónico de dudosa procedencia con archivos adjuntos extraños.
…correos electrónicos del banco solicitando tus contraseñas y al comprobarlo
con el banco han negado haber enviado ese correo.
Estos son casos de phishing.

Tengo que reconocer que sí. Alguna vez me ha

Unidad 1
pasado a mí y otras en mi entorno personal. Introducción
20
1 INTRODUCCIÓN

La ciberseguridad protege la información:

1. Almacenada, enviada y recibida desde el móvil o la tableta: contactos, correos electrónicos, imágenes,
SMS, mensajería instantánea, etc.
2. Almacenada en dispositivos digitales: memorias USB, portátil (listados de clientes, compras/ventas,
catálogos de productos…).
3. Enviada y recibida por Internet, por ejemplo, por correo electrónico.
4. Información recibida y gestionada a través de aplicaciones desde distintos dispositivos.

5. Información que tratamos con programas de gestión de bases de datos, hojas de cálculo, CRM, etc.
6. También protege otra información digital relevante para el negocio como puede.

Unidad 1
Introducción
21
 1 INTRODUCCIÓN
La ciberseguridad afecta en mayor o menor medida a los negocios en función de su dependencia de la
tecnología.

Y… ¿cómo puedo determinar cuál es mi grado de dependencia de las TIC?

• ¿Usas ordenadores para el desarrollo de tu actividad profesional?, ¿teléfonos

móviles?, ¿tabletas?
• ¿Tienes página web?
• ¿Utilizas el correo electrónico para contactar con tus clientes, proveedores? o
¿almacenas información de tu negocio en la nube?

Unidad 1
Introducción
22
1 INTRODUCCIÓN

¡Claro! Todo el mundo utiliza en mayor o menor medida las TIC para el
desarrollo del día a día de su actividad profesional.

Según nuestra actividad y nuestro grado de uso de las TIC tendremos una dependencia
mayor o menor de ellas. Algunas empresas solo utilizan el correo electrónico,
ordenadores conectados a Internet y algún dispositivo móvil, mientras que otras tienen
tienda online o página web, presencia en redes sociales, utilizan servicios en la nube o
hacen un uso intensivo de programas informáticos.
Conocer nuestra dependencia tecnológica nos va a ayudar a analizar nuestros
riesgos en el uso de las TIC.

Unidad 1
Introducción
23
1 INTRODUCCIÓN
Dependencia baja

Usan los equipos informáticos principalmente para la gestión diaria de las actividades internas del negocio.
Por ejemplo, una peluquería sin página web que realiza los pedidos de sus productos a través de Internet. Utiliza
una aplicación en un ordenador para gestionar la información y las citas de sus clientes.

Dependencia moderada

Dependen de la tecnología para el desarrollo y lanzamiento de productos y servicios y para la comunicación con
proveedores y clientes a través de Internet.
Por ejemplo, un taller de coches que ofrece productos y servicios a través de su página web, que permite el
registro de clientes y pedidos. Si la página no funciona, el negocio se vería perjudicado aunque su actividad
(reparación de coches) no se interrumpiría.

Unidad 1
Introducción
24
1 INTRODUCCIÓN

Dependencia alta

Las TIC son el sustento que permite el desarrollo del negocio en su totalidad.

En este caso, el ejemplo sería una empresa de transportes con una flota de vehículos, que ofrece servicios
online siendo este el canal de comunicación elegido para el contacto con clientes y la oferta de productos.
Además, hacen un uso elevado de dispositivos móviles en los vehículos para comunicarse y acceder a las
aplicaciones de la empresa desde cualquier lugar.

Unidad 1
Introducción
25
 1 INTRODUCCIÓN
Dependencia baja

Se caracterizan por:
• Utilizar ordenador para realizar el trabajo administrativo (ofertas, correspondencia…).
• Utilizar aplicaciones en local para mantenimiento de aplicativos con bases de datos y hojas de cálculo
(clientes, finanzas…).
• Utilizar Internet fundamentalmente para consulta y búsqueda de información.
• Es posible que utilicen correo electrónico como medio de comunicación con empresas proveedoras y con
clientes, pero no es común que dispongan de servidor de correo.
• Pueden disponer de una página web informativa (descarga de documentación, información de contacto…) que
generalmente se aloja externamente.
• Utilizar la red de área local o wifi para compartir recursos (impresoras, discos, acceso a Internet…), pudiendo
disponer de un servidor de ficheros.
Unidad 1
Introducción
26
 1 INTRODUCCIÓN
Dependencia moderada

Se caracterizan por:
• Utilizar herramientas colaborativas en red para gestión del negocio (gestión de procesos, RRHH, gestión de
clientes…).
• Utilizar Internet para potenciar el negocio (correos electrónicos, publicidad…) y para el cumplimiento de las
obligaciones con la Administración.
• Disponer de servidores de correo electrónico que se administran localmente o se subcontrata el servicio.
• Utilizar la red de área local para compartir recursos (aplicaciones, ficheros…) con servidores propios.
• Su página web cambia con frecuencia de contenidos (noticias, boletines RSS (Really Simple Syndication),
catálogo de productos,…) y puede contener servicios interactivos (formularios…).
• Es posible que utilicen dispositivos portátiles para acceso remoto a su red corporativa.

Unidad 1
Introducción
27
 1 INTRODUCCIÓN
Dependencia alta

Se caracterizan por:
• Utilizar Internet u otras redes para el desarrollo del negocio (B2B o Business to Business, B2C o Business to
Consumer…).
• Es posible que dispongan de servicios/productos que se distribuyen y/o venden online.
• Utilizar el intercambio electrónico para el desarrollo del negocio (contratación, facturación…).
• Disponer de una intranet (formación, aplicativos internos…).
• Formar redes particulares con sus proveedores y sus clientes (extranets).
• Utilizar herramientas colaborativas basadas en Internet.

Unidad 1
Introducción
28
1 INTRODUCCIÓN

Imagino que has llegado a la misma conclusión que yo: ya

seas autónomo, pequeña o mediana empresa, cada vez
haces más uso de tecnologías que se encuentran
conectadas a la red – uso de servicios en la nube, páginas
web, uso de elementos móviles conectados (móviles y
tabletas), wifi, etc.

Unidad 1
Introducción
29
2 EL VALOR DE LOS SISTEMAS DE INFORMACIÓN

Unidad 1
Introducción
30
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN

¿Qué es eso de seguridad de la información?

La seguridad de la información es la protección de

nuestros activos de información.

¿Activos de información? ¿Qué es eso?

La información y todo lo que maneja o contiene la

información necesaria para tu negocio.

Unidad 1
Introducción
31
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN
Móviles, portátiles, memorias USB, discos, rúteres, servidores, software y
aplicaciones comerciales o a medida, datos en aplicaciones empresariales, página
web, tienda online, bases de datos de clientes, productos, informes, documentos,
contratos de trabajo, contratos de suministro…

…pero no todo tiene la misma importancia…

¡Claro! ¡Tienes toda la razón! Por eso hay que clasificar la información e
identificar la que es más importante para nuestro negocio. De esta forma,
sabremos qué activos debemos proteger.
Unidad 1
Introducción
32
 2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN
La información es un recurso esencial para el desarrollo de cualquier actividad profesional. Los sistemas de
información almacenan, gestionan y tratan la información necesaria para el negocio. La información y los elementos
que forman estos sistemas de información son los activos de información* de la empresa.
El desarrollo de las tecnologías de la información ha facilitado la automatización de los procesos y funciones
que se llevan a cabo en nuestra empresa.
Estas tecnologías han ido ocupando un lugar cada vez más importante en los sistemas de información de las
empresas, hasta el punto en que hoy en día sin estas tecnologías muchos de nuestros procesos de negocio no
serían posibles.

*La definición «activos de información» se desarrollará con detalle en la sección

«Conócete a ti mismo».

Unidad 1
Introducción
33
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN

¿Cómo identifico los sistemas de información relevantes para nuestro

negocio?

Hay que seguir los pasos 1 y 2 que se indican

a continuación, pero lo iremos desarrollando a
lo largo del curso e identificaremos los activos de
información concretos de nuestra empresa.

Unidad 1
Introducción
34
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN
Activos de información*
*
Identifica tus recursos de información:
1
Equipos donde guardas la información, aplicaciones, datos, software…

2 Selecciona aquellos recursos que contienen información crítica para tu negocio.

*La definición «activos de información» se desarrollará con detalle en la sección «Conócete a ti mismo».

La información digital y las nuevas tecnologías se han convertido

en esenciales para las organizaciones.

¿Qué pasa con la información en papel? ¿La seguridad de la

información solo afecta a la información digital?
Unidad 1
Introducción
35
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN
Seguridad de la información

Protección de información
Protección de los datos y de los mecanismos de acceso, manipulación,
distribución, detención o supresión no autorizada de la información.

Información en formato electrónico, como Información en otros formatos (no

por ejemplo toda la información almacenada electrónicos), como por ejemplo en
digital o virtualmente (correos electrónicos, papel, película fotográfica, cinta de audio,
facturas digitales, imágenes, etc.). etc.

Unidad 1
Introducción
36
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN

La necesidad de proteger nuestra información existe con

independencia de su formato.

Controles

Físicos Lógicos
Guardar documentos bajo Cifrar la información..
llave.
bajo llave.

Unidad 1
Introducción
37
2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN

¿Cómo podría identificar aquella información que es importante?

Puedes pensar en: ¿qué ocurriría si esa información cae en manos de terceros?
• ¿Podría perder ventaja competitiva? (información de mi negocio).
• ¿Podrían cometer un delito con esa información? (fraude, robo…).
• ¿Estaría desvelando datos privados de los clientes o violando derechos de los consumidores?
¡cuidado! En estos casos podríamos ser sancionados.
Y si pierdo esa información, ¿cómo me afectaría?
• ¿Es información crítica y necesaria para el desarrollo de mi negocio?
• ¿El coste de recuperarla o de volver a generarla sería muy alto?

Unidad 1
Introducción
38
 2 EL VALOR DE LOS SISTEMAS DE
INFORMACIÓN
Información  Activo que tiene alto valor para el negocio

Si se ve comprometida

Impacto económico en tu negocio

Directo: fraude o robo de información o datos de la organización, cese de actividad por indisponibilidad de
equipos, multas por incumplimiento legal de protección de la privacidad de los clientes, etc.
Indirecto: impacto sobre daños no materiales como la reputación o la imagen de la empresa que se
traducen en pérdida de clientes existentes y potenciales.

La importancia de la seguridad de la información radica en proteger aquellos activos de información que son
valiosos para tu negocio. Unidad 1
Introducción
39
3 RIESGOS

Unidad 1
Introducción
40
3 RIESGOS
¿Qué riesgos corre nuestro negocio?

Los riesgos que existen en mi organización son aquellos que pueden poner en
peligro mi información (de clientes, financiera, de procesos, empleados, etc.) y con
ello comprometer el desarrollo de mi actividad profesional.

¿Y cómo sé cuáles son los más relevantes?

Dependerá del impacto que causen los distintos riesgos detectados en mi negocio.
Cada empresa tiene unos activos de información, además de características y
necesidades concretas que hacen que la evaluación de los riesgos sea particular.

Unidad 1
Introducción
41
3 RIESGOS

En la siguiente diapositiva veremos una relación de algunos de los riesgos,

ordenados por la gravedad de su impacto en la mayoría de negocios.

A lo largo del curso veremos qué riesgos existen en función de los

activos de información que se identifiquen en nuestra empresa y
qué medidas puedo implementar para protegerlos.

Unidad 1
Introducción
42
3 RIESGOS

Riesgo Impacto
Robo de información privilegiada
Pérdida de ventaja competitiva / comercial.
o esencial.

• Acceso a la información y los datos de mi negocio a través de intrusiones

Intrusiones en mis sistemas y
difíciles de detectar.
acceso a información sensible o
• Exponer datos / información confidencial.
confidencial.
• Impacto reputacional / pérdida de imagen.

Tener una situación desventajosa en un tiempo alargado acentúa el daño (más

No ser capaces de restaurar la
pérdidas por inactividad). No poder restaurar la situación debidamente pone en
situación después de un
riesgo la continuidad de nuestra actividad, con la consiguiente pérdida
incidente (resiliencia).
económica y de imagen.

Unidad 1
Introducción
43
3 RIESGOS

Riesgo Impacto

• Pérdidas económicas por robo / fraude.

Estar expuesto a ciberdelincuentes.
• Impacto reputacional.

• Pérdidas de clientes.
Ataques a la marca (redes sociales).
• Impacto reputacional.

• Interrumpir el servicio tanto interno, como a cliente (pérdida de

Estar expuestos a un ataque cibernético
ventas).
de denegación de servicio (por ejemplo,
• Impacto reputacional.
en nuestros servicios web).
• Incumplimiento normativo o contractual y posibles sanciones.

Unidad 1
Introducción
44
4 VULNERABILIDADES

Unidad 1
Introducción
45
4 VULNERABILIDADES

¿Qué es eso de vulnerabilidad?

Una vulnerabilidad en general puede definirse como

una debilidad que puede poner en peligro la
información y comprometer el buen desarrollo de
nuestra actividad profesional.

Unidad 1
Introducción
46
4 VULNERABILIDADES

¡Ah! Entonces, ¿pueden definirse como debilidades que presentan los

activos de información por la ausencia o ineficacia de controles o
medidas que los protejan?

¡Exacto!

Como consecuencia, los ciberdelincuentes podrían

comprometer la confidencialidad, integridad y
disponibilidad de los sistemas de información.

¿Vas a dejar al azar que pueda pasarte a ti?

Unidad 1
Introducción
47
4 VULNERABILIDADES

Aquí tenemos algunos ejemplos de tipos de vulnerabilidades por su origen.

Error en la gestión de recursos: Error de configuración:

Un sistema facilita una cantidad mayor de
consumo de recursos que la que puede
producir, lo cual impacta negativamente en
las dimensiones de reserva de los mismos.
Error en el proceso de configuración de software o
de las redes web. Este error puede provocar la
inutilización de páginas web a través de ataques de
denegación de servicio (DoS) que explicaremos a
lo largo de este curso.

Unidad 1
Introducción
48
4 VULNERABILIDADES

Aquí tenemos algunos ejemplos de tipos de vulnerabilidades por su origen.

Factor humano: Validación de entrada:

Incidentes provocados principalmente por Errores en la verificación del contenido
ausencia de conocimientos acerca de la incluido en las aplicaciones que puede
gravedad que pueden tener ciertas acciones. ser una vía de acceso de un ciberataque.
Ejemplo: apuntar las contraseñas en pósit.

Unidad 1
Introducción
49
4 VULNERABILIDADES

Aquí tenemos algunos ejemplos de tipos de vulnerabilidades por su origen.

Salto de directorio: Permisos, privilegios y/o control de

Incidentes en la depuración de un programa, en acceso:
la verificación de credenciales especiales que Errores en la política de protección y gestión
permite el acceso a directorios o subdirectorios de permisos que limitan el control de acceso.
no deseados.

INCIBE publica distintos avisos en materia de seguridad que permiten mantener actualizada esta información [5].

Unidad 1
Introducción
50
5 AMENAZAS

Unidad 1
Introducción
51
5 AMENAZAS

Vale, ya sé qué es una vulnerabilidad, pero entonces,

¿qué es una amenaza?

¿Una amenaza? Es toda acción que aprovecha una vulnerabilidad para

comprometer la seguridad de un activo de información.

¡Ah, vale! Pero podré establecer medidas para protegerme

de las amenazas, ¿verdad?

¡Sí! ¡Claro que sí! Aunque es prácticamente imposible

controlarlas totalmente y menos aún eliminarlas.

Unidad 1
Introducción
52
5 AMENAZAS
¿Qué ocurre cuando una amenaza aprovecha la debilidad -
vulnerabilidad - de uno de nuestros sistemas de información?

Que ocasiona un incidente de seguridad en el sistema.

¿Un incidente de seguridad ?

¡Sí! Un incidente de seguridad es cuando una amenaza ha conseguido su objetivo,

comprometiendo la seguridad de la información.

A continuación, puedes ver en un esquema la relación entre los distintos conceptos

utilizados a lo largo de la explicación. Aunque parezca complejo… ¡tranquilo!, los
iremos detallando y describiendo a lo largo del curso.

Unidad 1
Introducción
53
5 AMENAZAS
Resumen
Las amenazas se aprovechan de las vulnerabilidades

Amenazas Vulnerabilidades

Ambos aumentan los riesgos

Cuando un riesgo se vuelve Afectan a los activos

real, causa un incidente Riesgos

Incidente
En un ciberataque, se materializa el riesgo
Disminuimos los riesgos y el activo se ve comprometido

Ciberseguridad Activos

Unidad 1
Introducción
54
5 AMENAZAS

Ciberseguridad: protección de los activos frente a las

amenazas y vulnerabilidades.

Activos: sistemas, equipos, personas, etc., relacionados con

la información.
Por ejemplo, en una web, los activos serán: el servidor de la
web, el propio software de la web, sus bases de datos y
contenidos, y las personas que administran la web.

Unidad 1
Introducción
55
6 ¿QUÉ PUEDO HACER?

Unidad 1
Introducción
56
6 ¿QUÉ PUEDO HACER?

¿Qué puedo hacer yo?

Puedes implementar medidas o controles que aumenten el nivel de

protección de tus activos de información, para contener los daños y
minimizar los impactos en caso de incidente. Es lo que se denomina
resiliencia, es decir, la capacidad de superar situaciones adversas, ya
sean ataques o incidentes no intencionados.

Unidad 1
Introducción
57
6 ¿QUÉ PUEDO HACER?

¿Cómo?

Durante este curso te enseñaremos a identificar y

analizar los activos de información de nuestra
organización, los riesgos y su impacto, así como las
medidas que pueden aumentar el nivel de protección
en beneficio de nuestro negocio.

A continuación, veremos algunos ejemplos de posibles riesgos

y algunas de las medidas que podrían interesarte.

Unidad 1
Introducción
58
6 ¿QUÉ PUEDO HACER?

Formar a los No abrir correo Usar

Usar un antivirus Actualizar
empleados no deseado contraseñas
seguras

Aumentar el nivel
de concienciación Con mayúsculas,
Para Sistema operativo en seguridad Desechar de números
ordenadores y y aplicaciones de entre los inmediato y caracteres
teléfonos móviles Internet miembros de la el correo basura combinados
organización

Unidad 1
Introducción
59
6 ¿QUÉ PUEDO HACER?

Copia de Descargar Conexiones solo Información

seguridad aplicaciones de en caso Redes sociales personal
confianza necesario

Velar por el buen

Solo de uso de
De los archivos mercados Evitar información
Bluetooth, Wi-Fi contactos de
que no quieras oficiales y con el sensible y
y función GPS origen dudoso
perder consentimiento personal de la
de la empresa organización y
sus empleados

Unidad 1
Introducción
60
7 BENEFICIOS

Unidad 1
Introducción
61
 7 BENEFICIOS

Para evitar las consecuencias de los ataques dentro de mi organización, debo conocer el riesgo e implementar medidas
que contribuyan a reducir o mitigar su impacto negativo en nuestro negocio… ¿Cómo?

• Estableciendo contraseñas en los equipos.

• Controlando los accesos a información sensible.

• Cifrando información haciéndola ilegible para todo aquel que no tenga las claves y esté legitimado para
descifrarla.

• Implementado cortafuegos que controlan el tráfico no deseado desde Internet.

• Instalando antivirus en los distintos equipos utilizados para el desarrollo de negocio.

• Filtrando el correo electrónico para evitar correos no deseados o de procedencia sospechosa.

Unidad 1
Introducción
62
7 BENEFICIOS

Estas son algunas de las medidas de seguridad que se pueden implementar

para evitar las consecuencias de ataques e incidentes de seguridad.
Identificando los activos y las amenazas que pueden afectar al negocio, puedo
también seleccionar medidas a implementar para minimizar el riesgo de
ataques o incidentes que afecten a mi información y a los datos de mis
clientes.
Esto redundará en la seguridad de mi negocio y en la confianza de mis clientes.

Unidad 1
Introducción
63
 CONCLUSIONES
• Una correcta identificación de los activos de información utilizados por la organización es esencial para
entender dónde está el valor de mi negocio y cuáles son los recursos más esenciales para el buen desarrollo del
mismo.

• La ciberseguridad es una necesidad debido al auge de las TIC en todos los entornos para el buen desarrollo de
mi actividad profesional. Cada vez es más habitual que un negocio se apoye en recursos tecnológicos para el
desempeño de su actividad.

• Existen distintas amenazas que pueden comprometer mi negocio aprovechando vulnerabilidades (fallos
técnicos, desconocimiento, malas configuraciones, falta de procedimientos) en los sistemas de información
(equipos, redes, programas, datos, personas, procesos) utilizados para el desarrollo de mi actividad profesional.

Unidad 1
Introducción
64
 CONCLUSIONES
• Las consecuencias o el impacto que tengan estas amenazas en mi organización pueden provocar daños de
imagen, pérdida de potenciales clientes o clientes consolidados, así como el cese o la interrupción de mi
actividad, con el consiguiente perjuicio económico.

• Todos estos riesgos pueden ser mitigados a través de medidas que contribuyen a garantizar la protección de
aquellos activos más relevantes dentro de mi organización, si son implementados y utilizados correctamente en
beneficio del negocio.

Unidad 1
Introducción
65
 REFERENCIAS
Enlaces de interés de la unidad
[1] INCIBE - Vuelve la campaña por email que suplanta a la DGT con una supuesta multa:
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vuelve-campana-email-suplanta-dgt-supuesta-multa

[2] INCIBE - Oleada de correos suplantando a la Agencia Tributaria:

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/oleada-correos-suplantando-agencia-tributaria

[3] INCIBE - Campañas de smishing suplantando a múltiples entidades bancarias:

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campanas-smishing-suplantando-multiples-entidades-
bancarias

[4] INCIBE - Vulnerabilidades críticas en Firefox:

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidades-criticas-firefox

[5] INCIBE - Avisos de seguridad:

https://www.incibe.es/protege-tu-empresa/avisos-seguridad
Unidad 1
Introducción
66
51