2. 2
¿Quiénes somos?
◎Leia es una empresa que
desarrolla proyectos tecnológicos
a la medida.
◎Nuestros servicios son los
siguientes:
○ Consultoría tecnológica
○ Desarrollo de software y hardware
○ Comunicación y Marketing
3. La tecnificación es solo la punta del iceberg
Estandarización
Antes de tener tecnificada un
área o dar soluciones a
problemáticas, se debe de
tener un nivel de
estandarización de procesos,
usuarios u objetos que se
requieren durante la
ejecución de una acción
tecnificada.
Metodología
Debemos de adaptarnos o
adaptar una serie de pasos a
seguir, antes de implementar
una tecnología, puesto que la
metodología nos dará la
mayor de las ventajas para
implementar de manera
adecuada el modelo de
negocios dentro de nuestras
aplicaciones.
3
4. Innovación en ámbitos distintos de la vida cotidiana
4
Estas innovaciones favorecen la productividad de la población y mejoran la
vida de casi 80 millones de ciudadanos con acceso a internet en México.
5. Más dispositivos conectados en México
5
Se estima que para el año 2025 existan más de 300 millones de dispositivos
con acceso a las redes en México, 70% más de los 180 millones que ya
existen.
6. Ciberseguridad en México a nivel mundial
6
México está ubicado en el más alto nivel de riesgo en
el Índice Global de Ciberseguridad del ITU (ONU) y es
el décimo país más atacado del mundo.
Fuente: International Telecommunication Unit, ONU, 2017
7. Ingeniería Social y sus principales herramientas
7
El arte de manipular personas para
obtener información sensible con
distintas finalidades.
Phising
• Actividad
criminal que
busca obtener
información
sensible
mediante
engaños.
Pharming
• Redirección de
un usuario a un
sitio web falso
para obtener la
información de
acceso a su
cuenta y
comprometer
sus recursos.
Vishing
• Práctica
fraudulenta que
consiste en el
uso llamadas
telefónicas para
engañar al
usuario y
obtener
información
financiera o
información útil
para el robo de
identidad.
Smishing
• Técnicas de
ingeniería social
utilizando
mensajes de
texto dirigidos a
los usuarios de
telefonía móvil
en busca de
infectar el
equipo del
usuario o
redirigirlo a
sitios falsos
para obtener
información
sensible.
8. El sector financiero el más atacado en México
8
El sector financiero es el más atacado seguido
de los sectores de servicios y energía y de
aeroespacial y defensa
El costo financiero del
cibercrimen para las
empresas subió 24.7% anual
en 2017.
Costo promedio en México
en 2016
$28 mdp
Fuente: Estudio realizado por Ponemon Institute, en colaboración con Accenture
11. Fraudes en SWIFT a nivel mundial
11
Los sistemas de pagos son un objetivo más rentable
que los ataques a particulares.
Fuente: Cyber Risk for the Financial Sector: A Framework for Quantitative Assessment
12. Impacto SWIFT en México
12
Bancomext tuvo un ataque en enero de 2018, que si
bien fue contenido, pudo haber repercutido en una
pérdida de 110 millones de dólares.
13. Ciberataques en instituciones Fintech
13
Las entidades de tecnología financiera son particularmente
expuestas a ciber ataques dada su dependencia de la tecnología.
Los ataques a entidades operadoras de criptomonedas, desde
2013 hasta hoy, suman fraudes por 1,450 millones de USD.
Fuente: Cyber Risk for the Financial Sector, IMF 2018
14. Tipos y ejemplos de ciberataques
14
Tipo Técnica Descripción Ejemplo de ataque
Dirigido
Spear-phishing
Enviar correos electronicos a
individuos especificos que
contengan un archivo adjunto con
software malicioso
2015: Ataque a la Oficina de
Administración personal de los
EE.UU; llevo al robo de
información de mas de 21.5
millones de personas.
Zero day
Explorar vulnerabilidades no
conocidas públicamente a los
sistemas de empresas
especificas.
2012: Ataque a Saudi Aramco
que destruyo 35,000
computadoras en unas cuantas
horas
Subversión de cadena de
suministro
Atacar a un equipo o software
antes de que sea entregado a
una organicación.
Adware Superfish, preinstalado
en las notebooks Lenovo,
permitió a los atacantes hacerse
pasar por varias direcciones de
internet
No dirigido
Ransomware
Diseminar malware enfocado a
extorcionar empresas e
individuos
2017: Wannacry que afecto a
más de 300,000 equipos y
comprometió la seguridad de
empresas en más de 150 países.
Denial of service
Utilizar codigo malicioso para
dirigir a computadoras infectadas
a abrumar un sitio o un servicio
en la red, afectando su
funcionamiento
2016: El ciberataque Dyn afecto
la disponibilidad de múltiples
plataformas y servicios en
Internet
Campañas de desinformación
Utilizar bots, sitios que emulan
ser legítimos, redes sociales y
otras herramientas para
manipular la opinión publica o
influir en la toma de decisiones
de grupos
2017: Esfuerzos para manipular
los resultados de la elección
francesa
Fuente: McKinsey, Universidad de Maryland, Universidad Carnegie Mellon, Infosec Institute
15. Ataque de Wannacry y su afectación a escala mundial
15
En 2017 el criptogusano Wannacry atacó el sistema operativo: windows.
Costo potencial:
$4,000 mdd.
Pérdidas reales de $1,500 mdd.
Pago de rescate $143,000 dólares mediante bitcoins.
18. Auditoria Informática Empresarial
18
La auditoría informática nace en base a la necesidad de mejorar el control de
instituciones gubernamentales y privadas. Contiene elementos de análisis, verificación,
exposición de debilidades y disfunciones. A partir de esto se generan sugerencias y
planes de acción para eliminar las debilidades de la organización; estas sugerencias
estarán plasmadas en el informe final que recibe el nombre de “recomendaciones”.
Queda a cargo de la empresa tomar las decisiones pertinentes.
Auditorias Informáticas Empresariales recomendadas a Caja Popular Mexicana:
◎De Explotación
◎De Desarrollo de Proyectos o Aplicaciones
◎De Sistemas
◎De Redes y Telecomunicaciones
◎De Ciberseguridad
19. Auditoria Informática Empresarial de Explotación
19
Consiste en auditar las secciones de datos y procesos que la componen y sus
interrelaciones, desde el momento en el que un usuario da la información, se define la
necesidad de procesarla, hasta que dicho proceso se produce. La Explotación
Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico.
Las principales actividades que se realizan son:
◎Control de entrada de Datos
◎Planificación y Recepción de Aplicaciones
◎Centro de Control y Seguimiento de Trabajos
◎Salas de Servidores
◎Centro de Control de Red y Centro de Diagnosis
20. Auditoria Informática Empresarial de Desarrollo de Proyectos o
Aplicaciones
20
Consiste en comprobar la seguridad de los programas en el sentido de garantizar que los
algoritmos ejecutados por la maquina o dispositivo sean exactamente los previstos y no
otros.
Las principales actividades que se realizan son:
◎Revisión de las metodologías utilizadas
◎Control Interno de las Aplicaciones
◎Satisfacción de Usuarios
◎Control de Seguridad de Procesos y Ejecución de Programas Críticos
21. Auditoria Informática Empresarial de Sistemas
21
La auditoría informática nace en base a la necesidad de mejorar el control de
instituciones gubernamentales y privadas. Contiene elementos de análisis, verificación,
exposición de debilidades y disfunciones.
Las principales actividades que se realizan son:
◎Revisión de Sistemas Operativos
◎Revisión de Software Básico
◎Revisión de Software Online - On Live
◎Tunning
◎Optimización de los sistemas
◎Administración de Base de Datos
◎Investigación y Desarrollo
22. Auditoria Informática Empresarial de Redes y Telecomunicaciones
22
Permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una
organización y determinar qué información es critica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de información
eficientes.
Las principales actividades que se realizan son:
◎Garantizar que exista el área de equipo de comunicación con control de acceso
◎Garantizar que exista la protección y tendido adecuado de cables y líneas de comunicación para
evitar accesos físicos.
◎Control de utilización de equipos de prueba de comunicaciones para monitorear la red y el trafico en
ella
◎Prioridad de recuperación del sistema
◎Control de las líneas telefónicas
◎Garantizar que una transmisión, ésta solo sea recibida por el destinatario.
◎Verificar la encriptación de la información de la red
◎Evitar la importación y exportación de datos no autorizada
23. Auditoria Informática Empresarial de Ciberseguridad
23
Consiste en desarrollar un estudio cuidadoso y minucioso de los riesgos potenciales a los que la organización está
sometida de manera interna y externa.
Las principales actividades que se realizan son:
◎Revisión de elementos administrativos
◎Revisión de políticas de seguridad informática
◎Revisión de organización y división de responsabilidades
◎Revisión de seguridad física y contra catástrofes(incendio, terremotos, etc.)
◎Revisión de prácticas de seguridad del personal
◎Revisión de elementos técnicos y procedimientos de seguridad
◎Revisión de sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes
como terminales).
◎Aplicación de los sistemas de seguridad, incluyendo datos y archivos.
◎El papel de los auditores, (si es que existen) tanto internos como externos
◎Planeación de programas de desastre y su prueba.
24. Oficial de Seguridad de la Información (CISO)
Las instituciones deberán contar con un CISO que reportará al
responsable de las funciones de Contraloría Interna, a fin de
gozar de autonomía técnica y de gestión respecto de las
Unidades de Negocio, áreas de TI y de auditoría.
◎Implementación de las políticas y procedimientos de
seguridad.
◎Control de accesos a la Infraestructura Tecnológica.
◎Identificación y validación de los Incidentes de Seguridad
de la Información.
◎Participación como máximo responsable en los grupos
que las autoridades establezcan en materia de seguridad
de la información.
24
25. Inteligencia Cibernética
Las entidades deberán contar con un servicio que
permita atender de manera proactiva los posibles
incidentes de seguridad, en muchos casos evitando que
estos sucedan, y en otros, permitirá resolver el incidente
con un menor impacto económico y reputacional.
25
26. Protección al cliente
Con los nuevos cambios se pretende un cambio de visión
por el que las entidades salgan de la autoprotección
hacia la protección de sus clientes mediante el
robustecimiento de campañas de concientización,
atención de alertas tempranas, entre otros mecanismos,
a fin de disminuir el impacto de la ingeniería social.
26
27. Revisión de vulnerabilidades
◎Las entidades financieras deberán realizar
periódicamente revisiones internas y
externas de seguridad así como de
vulnerabilidades.
◎Los resultados de dichas pruebas se
enviarán a la CNBV y deberán llevar un plan
de acción consigo.
27
28. La seguridad en Recursos Humanos
Se deberán afianzar los controles de
seguridad de la información durante el ciclo
de vida del empleo:
◎Investigación de candidatos
◎Evaluación del comportamiento de los
empleados
◎Pruebas de confianza e integridad del
personal
28
29. La pregunta no es
si van a ser
atacados, la
pregunta es
cuándo lo serán
29
30. Talleres propuestos
Capacitación presencial y en línea. Duración por taller = 4 semanas.
24 Horas de capacitación presencial, 6 horas por semana. Acceso y seguimiento a
plataforma de educación continua.
◎ Mercadotecnia orientada al Fintech
◎ Gestión Estratégica de Proyectos
◎ Cultura Fintech y de ciberseguridad
◎ Tecnologías y procesos de ciberseguridad
◎ Blockchain vs Holochain
◎ Vigilancia Tecnológica
◎ Control de Riesgos de Ciberseguridad
◎ Procesos de Seguridad en Recursos Humanos
30
31. Mercadotecnia orientada al Fintech
31
Las instituciones financieras ya tienen muchos años en el mercado y no han podido adaptar su
modelo de negocio al 100% en plataformas digitales, su evolución ha sido paulatina y esto va desde
la capacitación del personal hasta la creación de aplicaciones para hacer consultas y transferencias.
En la actualidad existen un sin fin de startups y plataformas enfocadas en el ámbito financiero, pero
el gran reto está en hacer que las utilicen y cambiar la cultura, primero la financiera y en segundo la
electrónica.
Las Fintech deben de incurrir en el Marketing Digital ya que es su medio nativo, pero no deben de
eliminar por completo el Marketing Tradicional que pueden realizar, se deben de realizar planes a la
medida que integren lo necesario de ambas practicas del marketing para llegar a más personas y
elevar las ventas; estas acciones deben de ser administradas y realizadas por expertos del área, los
cuales deben de entregar métricas de los resultados con los cuales podrán mejorar sus estrategias.
32. Gestión Estratégica de Proyectos
32
En la actualidad las empresas enfrentan enormes oportunidades y riesgos, pues están
inmersas en una economía impulsada por la innovación y el conocimiento, donde los
mercados participan en una intensa competencia y una renovación constante.
Existen muchas herramientas de gerencia de proyectos, que también pueden ser
adaptadas para la implementación o control del planeamiento estratégico de una
organización y de los proyectos que se derivan de este.
Se requiere contar con administradores y tomadores de decisión que sean capaces de
afrontar, con una visión estratégica, los retos que se presenten en los ámbitos
empresariales, económicos, socio-cultural, políticos, tecnológicos y del medio ambiente.
33. Cultura Fintech y de Ciberseguridad
33
Al momento de hablar sobre ciberseguridad, la tecnología nunca es suficiente. Es importante, pero los
protagonistas de la seguridad en las organizaciones son los usuarios finales que son los que gestionan y utilizan los
sistemas de información de nuestra organización.
Siempre suele hablarse de tecnologías y procesos, que son una pieza importante pero, en realidad, los empleados
son una pieza fundamental puesto que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra
organización para gestionar nuestro principal activo: la información.
Igual que realizamos controles médicos de empresa y concienciamos en materia de prevención de riesgos
laborales a nuestros empleados, también es importante concienciarles y formarles en materia de ciberseguridad.
La cultura Fintech permea a empresas de tecnología que prestan servicios financieros, pero que a diferencia de la
banca tradicional, invierten y se mueven a mayor velocidad y comprenden la importancia actual que conlleva el
actuar más como una empresa tecnológica que como una financiera.
34. Tecnologías y procesos de Ciberseguridad
34
Con la acelerada adopción de herramientas digitales por parte de las empresas y el uso de
dispositivos móviles conectados a las redes de datos, así como la adopción de un comportamiento
cada vez más digital por parte de las personas, la ciberseguridad se ha convertido en un tema crucial
para las organizaciones.
Cuando nos planteamos qué es ciberseguridad, hay que decir que se conoce como la seguridad de la
tecnología de la información, puesto que engloba un gran número de técnicas y métodos para
proteger nuestro sistema, así como otros dispositivos o las redes.
La información exacta, es crucial, sobre todos los incidentes de seguridad relacionados con la
información privilegiada, puesto que proporciona una comprensión del estado de la seguridad
general de la organización y permite proporcionar información detallada a la administración.
35. Blockchain vs Holochain
35
El Blockchain, es un gran logro en la informática. Es un protocolo que permite lograr un consenso
entre emisor y receptor sin necesidad de un intermediario. De este logro han surgido muchas
criptomonedas y aplicaciones que intentan mejorar el modelo de una forma u otra.
La mayoría de los proyectos de blockchain están diseñados para ser descentralizados, pero
Holochain tomó una ruta diferente al construir una red distribuida. Es una diferencia menor que se
relaciona con la fragmentación y el alivio de la congestión de la información.
Holochain es una red informática distribuida que puede llegar a funcionar más rápido que la
tecnología blockchain. Se afirma que tiene una capacidad de escalamiento infinita a través de redes
de igual a igual, de modo que a medida que se agregan las aplicaciones distribuidas, no hay una
degradación en el rendimiento de la red.
36. Vigilancia Tecnológica
36
La gestión estratégica de la información científico-tecnológica resulta cada vez más importante para
innovar y sobrevivir en un entorno complejo y cambiante como el que vivimos actualmente. Los
ciclos de vida de tecnologías y productos se acortan, los mercados se hacen globales, el riesgo
tecnológico requiere ser gestionado y la innovación abierta emerge para transformar los modelos de
negocio de las organizaciones.
Además, Internet permite acceder, como nunca antes, a una gran cantidad de información que,
muchas veces, puede resultar inabarcable, despertando el riesgo de la sobreinformación o
infoxicación.
Empresas e investigadores comienzan a asumir la gestión del conocimiento y la tecnología como
parte vital de sus estrategias de innovación y negocio, para participar en proyectos de investigación
colaborativa, incrementar la capacidad de adopción tecnológica de la organización o apostar por la
internacionalización.
37. Control de Riesgos de Ciberseguridad
37
El propósito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de protección, para determinar y ajustar sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los responsables de
ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección requiere que existan
registros constantes de la ejecución de las actividades, los eventos de ataques y sus
respectivos resultados. Estos deben de analizarse frecuentemente. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
38. Procesos de Seguridad en Recursos Humanos
38
La incorporación de una persona a una empresa o el ascenso interno implica un nuevo acceso a
sistemas de información sensibles para la organización. Por esto, deberían realizarse acciones
preventivas para evitar riesgos derivados de un mal uso de la información.
Es imprescindible que todos los empleados, y otras terceras partes, reciban una formación,
educación, estén motivados y concienciados sobre los procedimientos de seguridad y el correcto
uso de los recursos de la información para que ningún empleado se sienta infravalorado y cometa
errores que afecten a la integridad de la información de la empresa.
Cuando un empleado o una tercera parte finaliza su relación con una empresa, es necesario
asegurar la gestión de su salida hasta la completa retirada de los privilegios y permisos de accesos,
el material que utilice y que tenga en posesión.
39. “
La mejor forma de predecir el
futuro es creándolo.
-Peter Drucker
39