Este documento presenta un resumen de la Maestría en Ingeniería de Sistemas con especialización en Ciberseguridad y Ciberdefensa de la Caja Trujillo. Incluye la lista de docentes e integrantes del grupo 2 y describe los servicios y sedes de la Caja Trujillo. Además, analiza la situación actual de la seguridad de la información en la Caja Trujillo y presenta una tabla con las principales tendencias de ataques cibernéticos.

1. MAESTRÍA EN INGENIERÍA DE SISTEMAS
CIBERSEGURIDAD Y CIBERDEFENSA
Docente
FERNANDO ANDREE RAMON VASQUEZ
Integrantes
 PATRICIA ELIZABETH NUÑEZ CANALES
 MIGUEL ORTIZ ANGELES
 EDSON ROBERTO MARIN CHAMAN
 EDWIN ESTUARDO PAREDES VASQUEZ Trujillo Junio 2023
Grupo
02

2. SERVICIOS
 Crediamigo.
 Crédito Pyme.
 Caja Leasing.
 Manos Emprendedoras.
 Crédito Caja Negocios.
 Crédito Agroemprendedor.
 Crédito Mi equipo GNV.
 Crédito Microempresa.
SEDES
Hoy estamos presentes en 15 regiones del país, a través de 93 tiendas. Además,
contamos con más de 11,200 puntos de atención no presenciales, como: Agentes
Corresponsales, ATM y Agentes Kasnet. Y también, para beneficio de todos
nuestros clientes y usuarios, tenemos nuestro aplicativo Caja Trujillo Móvil, para
realizar diferentes operaciones con total seguridad y confianza.
SITUACIÓN ACTUAL DE LA CAJA, AL AÑO 2022 / SEGURIDAD DE LA
INFORMACIÓN
Caja Trujillo, cuenta con un marco normativo interno para la gestión de la
Seguridad de la Información, Ciberseguridad y Continuidad del Negocio,
alineado a la normativa de la Superintendencia de Banca, Seguros y AFP
(SBS); y a las buenas prácticas establecidas en los estándares y normas
internacionales; que le ha permitido reforzar los controles existentes para la
protección de sus activos de información y asegurar la continuidad de sus
operaciones.
1 Realizar un entendimiento preliminar
de la misma

3. TENDENCIA DE ATAQUES A LA CAJA TRUJILLO
ATAQUE INICIO INTERMEDIA FINAL RECUPERACIÓN
DDoS
Prolifereación de
computadora Zombie para
petición de servicio
Día D y Hora H
Inundación de petición de
servicio
Reseteo y puesta en marcha de
servicio.
Sniffing
Encontrando el punto crítico
de hacer snifeo
Se tiene el sw y red
interceptada
Se captura la trama de data
En base a políticas y normas de
cambio de claves y contraseñas.
Spoofing
Captura de datos de
usuarios o clientes
Valida accesos a equipos,
medios o sistemas.
Suplantación de usuario o
cliente, toma de control de
actividad
Sufrido el incidente se genera un
reporte, se hace cambio de
contraseña y clave.
Man in the
Middle
Encontrar el lugar vulnerable
Simular ser un repetidor o
intermediario de
transmisión de información
Realizar la escucha para
análisis e investigación del
tráfico que pasó por la red
Auditoría o trazabilidad de un
incidente.
Ransomwar
e
Busca debilidad, por donde
infiltrar a los servidores
Implanta un software
malicioso
Cifra información y pide rescate
Recuperación de backup limpio
o pago de recate.
Malware Preparar el malware
Proliferación en la red del
malware
Empoderamiento del malware
para realizar o ejecutar un
incidente
Detección y eliminación de los
malware.
Pshishing
Preparar y empaquetar el
phishing para remitirlo por
correo
Validar que el phishing se
haya descargado en la red
Obtener a través de internet
datos privados de los usuarios
Detección y eliminación de
phishing e implemetación de
ppliíticas en el fireware.
Ing. Social Identificación de la víctima
Obtención de datos
relevantes de la víctima
Producir el incidente Generar y distribuir alertas.
2 Estado de tendencias y ciberamenazas

4. . Diagramar el sistema de
gestión de seguridad de la
empresa y su interrelación
con otras áreas, indicando
las funciones de cada una,
así como las áreas que ven
los temas de ciberseguridad.
3

5. . Inventario de los activos más
resaltantes y análisis de
riesgos de cada uno
4

6. BITACORA DE RIESGOS

7. 5
Diagramar los bancos de
datos (Arquitectura
Empresarial) y su
interrelación con los activos
de información.

8.  Asegurar el cumplimiento de los compromisos de norma, legales, reglamentos aplicables a los
productos y servicios.
 Seguridad de la documentación en cuanto a clave y contraseña.
 Políticas de seguridad de acceso a la información a través de las Tics, firewall, IPS, IDS, SIEM.
 Activación de logs.
 Implementación de un servidor anónimo.
 Implementación de un señuelo.
Indicar los componentes de cumplimiento de LPDP implementados en la
organización a nivel organizacional,
legal y tecnológico (medidas de seguridad).
6

9. Medir a la Organización bajo el framework FFIEC (hasta nivel
Baseline)
7
PERFIL DE RIESGO INHERENTE

10. Medir a la Organización bajo el framework FFIEC (hasta nivel
Baseline)
7
CONTROLES

11. 7
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
80.00%
90.00%
1: Cyber Risk Management &
Oversight
2: Threat Intelligence &
Collaboration
3: Cybersecurity Controls 4: External Dependency
Management
5: Cyber Incident Management and
Resilience
% Cumplimiento

12. Medir a la Organización bajo el framework FFIEC (hasta nivel
Baseline)
7
Risk Profile vs Maturity Level

13. 8 SBS 504-2021 a la organización elegida.
LA
PANDEMIA
DEL
COVID-19.
 Diagnóstico preliminar de la situación existente
en la empresa
 Acciones previstas para la total adecuación al
Reglamento;
 Funcionarios responsables del cumplimiento
de dicho plan; y,
 Cronograma de adecuación.
R. 504-2021
La presente adecuación, como entidad
financiera, creemos que no es el mejor
momento para la regularización, ya que todo
ello demanda un presupuesto adicional, y
en este escenario lo hace más difícil
adecuarse.
Nuestra institución siempre ha estado laborando bajo el modelo de gestión de riesgos, es
decir que este modelo siempre estuvo presente, lo que con la nueva regularización nos
OBLIGA a adecuarnos a las nuevas variantes (participación de la alta gerencia) que incluyen
nuevos Framework

14. 9
 Las entidades bancarias, tienen mucha mayor madurez para la adecuación de la nueva
normativa Resolución SBS N° 504-2021, que las entidades financieras medianas o
pequeñas incluyendo a las empresas de seguro.
 Se debe implementar el comité de seguridad de la información y ciberseguridad.
 En la actualidad el 80% de las transacciones se realizan por medios digitales y el
enrolamiento de clientes ya no se hace de manera presencial sino digital enrolamiento
tarjetas de crédito, cuentas y demás.
 Los fraudes nunca dejan de evolucionar, inclusive más rápido que los temas de seguridad.
 Hay que ser más preventivos que reactivos.
 Tener Certificaciones NO te hace el Mejor.
Conclusiones y Recomendaciones
Nuestro objetivo
supremo será la
seguridad de la
información de nuestros
clientes.