Este documento presenta un resumen de la Maestría en Ingeniería de Sistemas con especialización en Ciberseguridad y Ciberdefensa de la Caja Trujillo. Incluye la lista de docentes e integrantes del grupo 2 y describe los servicios y sedes de la Caja Trujillo. Además, analiza la situación actual de la seguridad de la información en la Caja Trujillo y presenta una tabla con las principales tendencias de ataques cibernéticos.
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
In 2018, Zero Trust Security gained popularity due to its simplicity and effectiveness. Yet despite a rise in awareness, many organizations still don’t know where to start or are slow to adopt a Zero Trust approach.
The result? Breaches affected as many as 66% of companies just last year. And as hackers become more sophisticated and resourceful, the number of breaches will continue to rise.
Unless organizations adopt Zero Trust Security. In 2019, take some time to assess your company’s risk factors and learn how to implement Zero Trust Security in your organization.
Software Bills of Materials (SBOMs) seem to have come out of now where. One day, no one has ever heard of them, and the next day many people ask why you don’t have one. SBOMs are a new and soon-to-be-necessary need for communicating your software composition to 3rd parties. Let’s dispel some myths and lay out a clear path for when and why you may need an SBOM, and how you’ll need to engage with one.
Given at DevOpsDays Tampa Bay, 2022: https://devopsdays.org/events/2022-tampa/program/bill-bensing-t1
Un Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) es un centro de respuesta a incidentes de seguridad en tecnologías de la información. Se trata de un grupo de expertos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información.
In 2018, Zero Trust Security gained popularity due to its simplicity and effectiveness. Yet despite a rise in awareness, many organizations still don’t know where to start or are slow to adopt a Zero Trust approach.
The result? Breaches affected as many as 66% of companies just last year. And as hackers become more sophisticated and resourceful, the number of breaches will continue to rise.
Unless organizations adopt Zero Trust Security. In 2019, take some time to assess your company’s risk factors and learn how to implement Zero Trust Security in your organization.
Software Bills of Materials (SBOMs) seem to have come out of now where. One day, no one has ever heard of them, and the next day many people ask why you don’t have one. SBOMs are a new and soon-to-be-necessary need for communicating your software composition to 3rd parties. Let’s dispel some myths and lay out a clear path for when and why you may need an SBOM, and how you’ll need to engage with one.
Given at DevOpsDays Tampa Bay, 2022: https://devopsdays.org/events/2022-tampa/program/bill-bensing-t1
The OWASP Mobile Top 10 is a nice start for any developer or a security professional, but the road is still ahead and there is so much to do to destroy most of the possible doors that hackers can use to find out about app’s vulnerabilities. We look forward to the OWASP to continue their work, but let’s not stay on the sidelines!
Discussion of how security is in crisis but DevSecOps offers a new playbook and gives security a path to influence. Taking a look at the WAF space, we look at how Signal Sciences has created feedback between Dev and Ops and Security to create new value.
Construyendo un plan estratégico de CiberseguridadatSistemas
Whitepaper "Construyendo un plan estratégico de Ciberseguridad" de Agustí Serrano Peña, responsable de Línea de Negocio de Ciberseguridad en atSistemas.
Presentacion utilizada durante Segurinfo Argentina 2015, para soportar la discusión de por que es necesario contar con información de inteligencia confiable en el tratamiento de potenciales incidentes de seguridad.
Are Privacy, Cloud, Risk and Security in your agenda? Do you have a clear plan? Are this initiatives business driven or technology driven? Is Innovation part of your strategy?
PREVENCION DE FRAUDES EN TRANSACCIONES ON LINE.Fabián Descalzo
Las organizaciones se enfrentan a un escenario combinado en el cual se ponen a prueba su cultura interna y la tecnología aplicada en cada uno de sus procesos de negocio, en donde ponen a prueba los recursos que emplean para garantizar seguridad a sus operaciones y a la información que gestionan.
El anhelo del “home office” perseguido y añorado por los usuarios y aplicado por no muchas empresas dentro de nuestra cultura, se ha visto repentinamente aplicado en la totalidad de las empresas llevando a crear un nuevo escenario en el uso de la tecnología y la información que combina el “home office” con el “digital home”, convirtiendo esta combinación en un escenario de HOME OFFICE EN CONTINGENCIA
https://youtu.be/Tt394-kmlrM.
The OWASP Mobile Top 10 is a nice start for any developer or a security professional, but the road is still ahead and there is so much to do to destroy most of the possible doors that hackers can use to find out about app’s vulnerabilities. We look forward to the OWASP to continue their work, but let’s not stay on the sidelines!
Discussion of how security is in crisis but DevSecOps offers a new playbook and gives security a path to influence. Taking a look at the WAF space, we look at how Signal Sciences has created feedback between Dev and Ops and Security to create new value.
Construyendo un plan estratégico de CiberseguridadatSistemas
Whitepaper "Construyendo un plan estratégico de Ciberseguridad" de Agustí Serrano Peña, responsable de Línea de Negocio de Ciberseguridad en atSistemas.
Presentacion utilizada durante Segurinfo Argentina 2015, para soportar la discusión de por que es necesario contar con información de inteligencia confiable en el tratamiento de potenciales incidentes de seguridad.
Are Privacy, Cloud, Risk and Security in your agenda? Do you have a clear plan? Are this initiatives business driven or technology driven? Is Innovation part of your strategy?
PREVENCION DE FRAUDES EN TRANSACCIONES ON LINE.Fabián Descalzo
Las organizaciones se enfrentan a un escenario combinado en el cual se ponen a prueba su cultura interna y la tecnología aplicada en cada uno de sus procesos de negocio, en donde ponen a prueba los recursos que emplean para garantizar seguridad a sus operaciones y a la información que gestionan.
El anhelo del “home office” perseguido y añorado por los usuarios y aplicado por no muchas empresas dentro de nuestra cultura, se ha visto repentinamente aplicado en la totalidad de las empresas llevando a crear un nuevo escenario en el uso de la tecnología y la información que combina el “home office” con el “digital home”, convirtiendo esta combinación en un escenario de HOME OFFICE EN CONTINGENCIA
https://youtu.be/Tt394-kmlrM.
1º Caso Practico Lubricacion Rodamiento Motor 10CVCarlosAroeira1
Caso pratico análise analise de vibrações em rolamento de HVAC para resolver problema de lubrificação apresentado durante a 1ª reuniao do Vibration Institute em Lisboa em 24 de maio de 2024
Convocatoria de becas de Caja Ingenieros 2024 para cursar el Máster oficial de Ingeniería de Telecomunicacion o el Máster oficial de Ingeniería Informática de la UOC
Una señal analógica es una señal generada por algún tipo de fenómeno electromagnético; que es representable por una función matemática continua en la que es variable su amplitud y periodo en función del tiempo.
Ciclo de Otto. Máquinas térmicas para el estudio de la termodinámica química
EXPO_FINAL (6).pptx
1. MAESTRÍA EN INGENIERÍA DE SISTEMAS
CIBERSEGURIDAD Y CIBERDEFENSA
Docente
FERNANDO ANDREE RAMON VASQUEZ
Integrantes
PATRICIA ELIZABETH NUÑEZ CANALES
MIGUEL ORTIZ ANGELES
EDSON ROBERTO MARIN CHAMAN
EDWIN ESTUARDO PAREDES VASQUEZ Trujillo Junio 2023
Grupo
02
2. SERVICIOS
Crediamigo.
Crédito Pyme.
Caja Leasing.
Manos Emprendedoras.
Crédito Caja Negocios.
Crédito Agroemprendedor.
Crédito Mi equipo GNV.
Crédito Microempresa.
SEDES
Hoy estamos presentes en 15 regiones del país, a través de 93 tiendas. Además,
contamos con más de 11,200 puntos de atención no presenciales, como: Agentes
Corresponsales, ATM y Agentes Kasnet. Y también, para beneficio de todos
nuestros clientes y usuarios, tenemos nuestro aplicativo Caja Trujillo Móvil, para
realizar diferentes operaciones con total seguridad y confianza.
SITUACIÓN ACTUAL DE LA CAJA, AL AÑO 2022 / SEGURIDAD DE LA
INFORMACIÓN
Caja Trujillo, cuenta con un marco normativo interno para la gestión de la
Seguridad de la Información, Ciberseguridad y Continuidad del Negocio,
alineado a la normativa de la Superintendencia de Banca, Seguros y AFP
(SBS); y a las buenas prácticas establecidas en los estándares y normas
internacionales; que le ha permitido reforzar los controles existentes para la
protección de sus activos de información y asegurar la continuidad de sus
operaciones.
1 Realizar un entendimiento preliminar
de la misma
3. TENDENCIA DE ATAQUES A LA CAJA TRUJILLO
ATAQUE INICIO INTERMEDIA FINAL RECUPERACIÓN
DDoS
Prolifereación de
computadora Zombie para
petición de servicio
Día D y Hora H
Inundación de petición de
servicio
Reseteo y puesta en marcha de
servicio.
Sniffing
Encontrando el punto crítico
de hacer snifeo
Se tiene el sw y red
interceptada
Se captura la trama de data
En base a políticas y normas de
cambio de claves y contraseñas.
Spoofing
Captura de datos de
usuarios o clientes
Valida accesos a equipos,
medios o sistemas.
Suplantación de usuario o
cliente, toma de control de
actividad
Sufrido el incidente se genera un
reporte, se hace cambio de
contraseña y clave.
Man in the
Middle
Encontrar el lugar vulnerable
Simular ser un repetidor o
intermediario de
transmisión de información
Realizar la escucha para
análisis e investigación del
tráfico que pasó por la red
Auditoría o trazabilidad de un
incidente.
Ransomwar
e
Busca debilidad, por donde
infiltrar a los servidores
Implanta un software
malicioso
Cifra información y pide rescate
Recuperación de backup limpio
o pago de recate.
Malware Preparar el malware
Proliferación en la red del
malware
Empoderamiento del malware
para realizar o ejecutar un
incidente
Detección y eliminación de los
malware.
Pshishing
Preparar y empaquetar el
phishing para remitirlo por
correo
Validar que el phishing se
haya descargado en la red
Obtener a través de internet
datos privados de los usuarios
Detección y eliminación de
phishing e implemetación de
ppliíticas en el fireware.
Ing. Social Identificación de la víctima
Obtención de datos
relevantes de la víctima
Producir el incidente Generar y distribuir alertas.
2 Estado de tendencias y ciberamenazas
4. . Diagramar el sistema de
gestión de seguridad de la
empresa y su interrelación
con otras áreas, indicando
las funciones de cada una,
así como las áreas que ven
los temas de ciberseguridad.
3
5. . Inventario de los activos más
resaltantes y análisis de
riesgos de cada uno
4
7. 5
Diagramar los bancos de
datos (Arquitectura
Empresarial) y su
interrelación con los activos
de información.
8. Asegurar el cumplimiento de los compromisos de norma, legales, reglamentos aplicables a los
productos y servicios.
Seguridad de la documentación en cuanto a clave y contraseña.
Políticas de seguridad de acceso a la información a través de las Tics, firewall, IPS, IDS, SIEM.
Activación de logs.
Implementación de un servidor anónimo.
Implementación de un señuelo.
Indicar los componentes de cumplimiento de LPDP implementados en la
organización a nivel organizacional,
legal y tecnológico (medidas de seguridad).
6
9. Medir a la Organización bajo el framework FFIEC (hasta nivel
Baseline)
7
PERFIL DE RIESGO INHERENTE
10. Medir a la Organización bajo el framework FFIEC (hasta nivel
Baseline)
7
CONTROLES
12. Medir a la Organización bajo el framework FFIEC (hasta nivel
Baseline)
7
Risk Profile vs Maturity Level
13. 8 SBS 504-2021 a la organización elegida.
LA
PANDEMIA
DEL
COVID-19.
Diagnóstico preliminar de la situación existente
en la empresa
Acciones previstas para la total adecuación al
Reglamento;
Funcionarios responsables del cumplimiento
de dicho plan; y,
Cronograma de adecuación.
R. 504-2021
La presente adecuación, como entidad
financiera, creemos que no es el mejor
momento para la regularización, ya que todo
ello demanda un presupuesto adicional, y
en este escenario lo hace más difícil
adecuarse.
Nuestra institución siempre ha estado laborando bajo el modelo de gestión de riesgos, es
decir que este modelo siempre estuvo presente, lo que con la nueva regularización nos
OBLIGA a adecuarnos a las nuevas variantes (participación de la alta gerencia) que incluyen
nuevos Framework
14. 9
Las entidades bancarias, tienen mucha mayor madurez para la adecuación de la nueva
normativa Resolución SBS N° 504-2021, que las entidades financieras medianas o
pequeñas incluyendo a las empresas de seguro.
Se debe implementar el comité de seguridad de la información y ciberseguridad.
En la actualidad el 80% de las transacciones se realizan por medios digitales y el
enrolamiento de clientes ya no se hace de manera presencial sino digital enrolamiento
tarjetas de crédito, cuentas y demás.
Los fraudes nunca dejan de evolucionar, inclusive más rápido que los temas de seguridad.
Hay que ser más preventivos que reactivos.
Tener Certificaciones NO te hace el Mejor.
Conclusiones y Recomendaciones
Nuestro objetivo
supremo será la
seguridad de la
información de nuestros
clientes.