Según la Rs.

SBS N°504-2021 “Reglamento para la Gestión de la Seguridad de la Información y Ciberseguridad”

1 CONCEPTOS

¿Qué es Ciberseguridad?

Es la protección de los Activos de información mediante la prevención, detección, respuesta y

recuperación ante incidentes que afecten su disponibilidad, confidencialidad o integridad en
el ciberespacio.

Resiliencia: La resiliencia o entereza es la capacidad para adaptarse a las situaciones adversas con
resultados positivos en este caso referido a los ciberataques.
1 CONCEPTOS

El internet está presente ya en casi todas las actividades diarias y ha supuesto un avance sin comparación para la sociedad.
Sin embargo, es una esfera que no queda ajena a la delincuencia, por eso definimos algunos conceptos básicos:

CIBERDELINCUENCIA
•Es el entorno no •Es un tipo de •Son personas •Es el conjunto de

CIBERDELINCUENTE
CIBERESPACIO

CIBERSEGURIDAD
físico, en el cual actividad criminal en interesadas en hacer procedimientos y
interactúan personas, el cual se utilizan dinero a través del herramientas que se
software y servicios diferentes métodos fraude utilizando implementan para
en internet por medio y técnicas de fraude diferentes ataques en proteger la información
de dispositivos utilizando un medio los que puedan que se genera y procesa
tecnológicos digital en el sustraer datos en el ciberespacio,
conectados a redes. ciberespacio. personales e considerando la
información sensible preservación de la
de diferentes confidencialidad,
organizaciones. integridad y
disponibilidad.
1 CONCEPTOS

ACTIVOS DE INFORMACIÓN.-
Información o soporte en que ella reside, que es gestionado de acuerdo con las necesidades de negocios y los
requerimientos legales, de manera que puede ser entendida, compartida y usada. Es de valor para la empresa
y tiene un ciclo de vida. (Ejemplo: SICMAC Negocio, Portal web, iBusiness, Aplicativo Wayki, personas, PC, etc.).

Información Información Información Softwar Tangibl

Física Digital Audible e e

Personas Servicios Entorno Intangible

Fisico
 1 CONCEPTOS

La protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes
que afecten su disponibilidad, confidencialidad o integridad en el ciberespacio.

Disponibilidad Confidencialidad Integridad

Asegurar el acceso a la
Acceso a la información Garantía de la exactitud
información por parte de
por parte únicamente y el contenido completo
los usuarios autorizados
de quienes estén de la información.
en el momento que ellos
autorizados.
lo requieran.

Es un sistema complejo que no tiene existencia física, en el que

interactúan personas, dispositivos y sistemas informáticos.
 2 Autenticación y factores de autenticación
AUTENTICACIÓN FACTORES DE AUTENTICACIÓN

Proceso informático que permite verificar Empleados para verificar la identidad de un usuario, pueden
que un usuario es quien dice ser, a través de corresponder a las siguientes tres categorías, las cuales son
credenciales de seguridad. protecciones basadas en:
Puede usar uno o más factores de • Algo que solo el usuario conoce (Conocimiento): Contraseña, pin
autenticación con la finalidad de fortalecer de seguridad o tarjeta de coordenadas.
la seguridad en el acceso a la información • Algo que solo el usuario posee (Propiedad): Memoria USB con un
de cada sistema. identificador único, tarjeta de crédito, token digital, token físico o
llave informática.
• Algo que el usuario es (Biométrica): Incluye características
biométricas: huella dactilar, iris ocular, reconocimiento de voz,
velocidad de escritura o identificación de rostro.

Contraseña Token físico Huella dactilar

 3 ¿Como funciona el Doble Factor de autenticación?

1 Primer factor: Contraseña Segundo factor: Código de Seguridad 2

Al momento de realizar un intento de acceso con Se recibe una notificación en el celular corporativo para que
sus credenciales válidas (usuario y clave) a un confirme si permite el acceso al sistema.
sistema, desde un dispositivo que nunca antes ha
utilizado (computadora, laptop o tablet).

NOTA, De conformidad con la Resolución

SBS N°504-2021, cuando se acceden a los
sistemas de CMAC-Cusco, en especial
cuando corresponde a información
confidencial de nuestros
colaboradores y proveedores (Ley de
clientes,
3 Autenticación
PDP) y de forma obligada cuando se
accede a través de canales digitales
(Internet) se debe utilizar dos factores de
autenticación de categorías diferentes.
4 Riesgos y ataques más comunes que enfrentarán las empresas este 2023.

A través de la ingeniería social para obtener información confidencial de los usuarios. Entre estos se encuentran
los engaños por correo electrónico (phishing), por llamadas de voz (vishing) y por mensajes de texto (smishing).
En todos estos casos pueden afectar a personas naturales y también a ejecutivos que manejan y acceden a
Click para ver video de
Robo de información privilegiada dentro de sus organizaciones.
información phishing

El ransomware es un tipo de malware utilizado por los ciberdelincuentes para bloquear el acceso a un sistema
informático o a los datos que se encuentran en él, y solicitar a cambio del desbloqueo sumas cuantiosas de
dinero. El ransomware infecta plataformas informáticas o incluso dispositivos personales, con métodos como el
Secuestro de envío malicioso de emails y/o SMS (phishing, vishing y smishing) para que el usuario acceda al engaño, y una ClicK para ver video de
datos y sistemas vez infectado el dispositivo los ciberdelincuentes utilizan técnicas de distribución masiva para secuestrar otros
informáticos ransomware
equipos dentro de la red.

Tipo de ciberataque donde un actor malicioso interrumpe el funcionamiento de un ordenador u otro dispositivo
para que no esté disponible para los usuarios a los que está dirigido. Para lograrlo, sobrecarga las plataformas
informáticas (o el servicio) objetivo con solicitudes de acceso provenientes de diversos dispositivos (botnets)
Ataques de
denegación de ubicados en cualquier lugar, hasta generar un tráfico que no puede ser procesado y así genera una caída del
servicio (DDoS) servicio que afecta a cualquier usuario legítimo que quiera acceder.
5 Principales disposiciones de la Rs. SBS N°504-2021.

De las medidas mínimas, probablemente las más resaltantes sean las siguientes:
• Prevenir el acceso no autorizado a la información.
• Mantener la operación de los sistema de forma segura y controlada.
• Asegurar que se incluyan practicas de seguridad de la información en la planificación, desarrollo, implementación,
operación, soporte y desactivación en las aplicaciones y sistemas.
• Utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de la información
• Proteger de las amenazas a los activos de información
• Detectar incidentes de ciberseguridad.
• Responder con medidas que reduzcan el impacto de los incidentes.
• Recuperar las capacidades o servicios tecnológicos que pudieran ser afectados.

6 Algunas recomendaciones en caso de correos maliciosos

• Revisa que el correo origen pertenece al dominio de CMAC-Cusco (@cmac-cusco.com.pe). Dominio oficial de Caja Cusco
• Verifica que los sitios de navegación sean seguros (validar el candado de seguridad).
• No ingresar datos sensibles en formularios maliciosos.
• Reporta toda actividad sospechosa a OSI@cmac-cusco.com.pe
7 SOLICITUD DE ACCESOS

ACCESO A INFORMACIÓN:

Se debe de solicitar la autorización al Jefe Inmediato Superior y al dueño de la información, posterior a ello debe ser solicitada
al Área de Seguridad de la Información, y escalado al área de soporte quien define a quien deba asignar para su atención

USUARIO JEFE OSI SOPORTE INFRAESTRUCTURA

INMEDIATO Ó
DESARROLLO

ACCESO REMOTO:

El proceso debe de realizarse similar al del acceso a información, considerando coordinar con el Área de Seguridad de la
Información los requisitos para habilitar el acceso.

928606280
979716306
945912741
osi@Cmac-cusco.com.pe 932803319
oficialiaseguridadinformacion@cmac-cusco.com.pe 949973190
949973185
986176325
935905065
 GRACIAS

“La ciberseguridad participa en la mejora de los procesos y la calidad final de

todos los servicios”