UNIVERSIDAD AUTÓNOMA

“GABRIEL RENÉ MORENO”

FACULTAD DE INGENIERÍA EN CIENCIAS
DE LA COMPUTACIÓN Y TELECOMUNICACIONES

Certified in Risk and Information Systems Controls

(CRISC)

CARRERA: ING. EN REDES Y TELECOMUNICACIONES

MATERIA: SEGURIDAD EN REDES Y TELECOMUNICACIONES

DOCENTE:

INTEGRANTES:

Jean Marcos Noza Quiroga

Jaime Ovando Nogales

Juan Pablo Plana Vaca

Santa Cruz – Bolivia

Certified in Risk and Information Systems Controls (CRISC)
2
ÍNDICE

1. INTRODUCCIÓN.......................................................................................................................................... 3
2. JUSTIFICACIÓN............................................................................................................................................ 4
3. PROBLEMA................................................................................................................................................. 4
3.1 SITUACIÓN PROBLEMÁTICA................................................................................................................................5
3.2 FORMULACIÓN DEL PROBLEMA...........................................................................................................................5
4. OBJETIVOS.................................................................................................................................................. 5
3.1 OBJETIVO GENERAL.................................................................................................................................................5
3.2 OBJETIVOS ESPECÍFICOS...........................................................................................................................................5
5. CRISC.......................................................................................................................................................... 6
5.1 SISTEMAS DE INFORMACIÓN..............................................................................................................................6
5.2 GESTIÓN DE RIESGOS........................................................................................................................................8
5.2.1 La gestión de riesgos: Un proceso continuo............................................................................................8
5.2.2 Respuesta a los riesgos...........................................................................................................................9
5.2.3 ¿Por qué emplear gestión de riesgos?..................................................................................................10
5.3 ¿QUÉ ES LA CERTIFICACIÓN?...................................................................................................................................11
5.4 ¿POR QUÉ REALIZAR LA CERTIFICACIÓN?...................................................................................................................12
5.5 ¿DÓNDE PUEDO REALIZAR LA CERTIFICACIÓN?............................................................................................................13
5.6 REQUISITOS Y EXPERIENCIA PARA LA CERTIFICACIÓN.....................................................................................................15
5.7 CONTENIDO DE LA CERTIFICACIÓN............................................................................................................................15
5.8 CURSO CAPACITACIÓN – COSTO Y TIEMPO.................................................................................................................18
5.9 EXAMEN – COSTO Y TIEMPO...................................................................................................................................21
5.10 ÁREA DE TRABAJO...............................................................................................................................................22
5.11 SALARIOS..........................................................................................................................................................22
6. CONCLUSIÓN............................................................................................................................................ 23
7. BIBLIOGRAFÍA........................................................................................................................................... 24
Certified in Risk and Information Systems Controls (CRISC)
3

1. INTRODUCCIÓN

Año tras año, los ciberataques se cuentan por millones en todo el mundo. Robos de

datos sensibles, suplantación de identidad, secuestros digitales… La tarea de prevenirlos y, en el

caso de que sea tarde, solventar sus efectos es troncal para la supervivencia de las

organizaciones y la seguridad de las sociedades en su conjunto. No es de extrañar, pues, que la

ciberseguridad sea hoy una profesión repleta de oportunidades laborales.

Todos los años, el Foro Económico Mundial publica un informe en el que señala las

principales amenazas a las que se enfrenta la sociedad internacional. En el último de los

presentados, The Global Risks Report 2022, destaca el extraordinario crecimiento del peligro

que suponen las ciberamenazas en este mundo globalizado. Los datos están ahí: los

ciberataques basados en software malicioso, o malware, se incrementaron en un 358% entre

2020 y 2021. Por su parte, los llamados secuestros informáticos o ransomware crecieron en un

435%.

La ciberseguridad se ha convertido en una necesidad que compete a organismos

públicos y privados y que supone una amenaza a la estabilidad socioeconómica. Las

estimaciones de los expertos indican que en el año 2025 la ciberdelincuencia implicará un coste

que superará los 10 millones de dólares. ¿Qué se puede hacer contra ello? Por un lado, y

fundamental, sensibilizar a la sociedad sobre buenas prácticas que eviten caer en las redes de

los delincuentes. Por otro, formar y contar con especialistas capaces de adelantarse a las

amenazas y lidiar con ellas.

Certified in Risk and Information Systems Controls (CRISC)
4

En un campo tan crítico como es la ciberseguridad, las certificaciones que demuestran el

conocimiento por parte de los profesionales de las tecnologías vinculadas son muy valoradas

por las empresas en los procesos de selección de los candidatos.

2. JUSTIFICACIÓN

Las empresas están hoy interconectadas. La tecnología es parte fundamental de su

éxito, pero también genera una amenaza cambiante que no existía hace años. La ciberseguridad

se concibe como un elemento troncal en la estructura de cualquier empresa y compromete a

todos los profesionales de la misma. Pero son los expertos los que deben poner en marcha los

planes que ayuden a evitar los ataques de los delincuentes y resuelvan posibles problemas

vinculados a estos.

El presente trabajo se enfocará en el estudio de un software de código abierto sobre

cracking de contraseñas muy popular y potente que puede utilizarse para descifrar contraseñas

mediante fuerza bruta o ataques de diccionario.

3. PROBLEMA

3.1 Situación problemática

Hoy en día, la tecnología ha evolucionado de manera considerable tanto que existe la manera

rápida y sencilla de hackear las cuentas o plataformas de una empresa poniendo en riesgo toda

la información relevante.

3.2 Formulación del problema

Certified in Risk and Information Systems Controls (CRISC)
5

¿Qué es Jhon The Ripper y cuál es el método para hackear contraseñas?

4. OBJETIVOS

4.1 Objetivo general

Analizar la herramienta robusta, John the Ripper para fortalecer la gestión de

contraseñas y proteger la integridad de los sistemas.

4.2 Objetivos específicos

 Describir el algoritmo de cifrado que utiliza el software

 Evaluar los modos de operación que utiliza John The Ripper

 Valorar el uso ético de la herramienta

5. CRISC
Certified in Risk and Information Systems Controls (CRISC)
6

5.1 Sistemas de información

Un Sistema de Información (SI) es un conjunto de componentes interrelacionados que

trabajan juntos para recopilar, procesar, almacenar y difundir información para apoyar la toma

de decisiones. Además, apoyan la coordinación, control, análisis y visualización de una

organización.

Por otro lado, la tecnología TI describe cualquier tecnología que impulse o permita el

almacenamiento, procesamiento y flujo de comunicación dentro de una organización. Todo lo

relacionado con computadoras: software, redes, intranets, sitios web, servidores, bases de datos

y telecomunicaciones queda bajo el paradigma de TI.

La mayoría de las empresas modernas dependen, en gran medida, de los sistemas para

la gestión de sus operaciones y la toma de decisiones; desde el correo electrónico, hasta la

administración de la base de datos y sitios web.

La información comienza como flujo de datos sin procesar, representan eventos que

ocurren en organizaciones o en el entorno físico antes de que se hayan organizado en una forma

que las personas puedan entender y usar. Son la materia prima para el procesamiento y se

refieren a hechos, eventos y transacciones. Por lo tanto, el propósito de los SI es convertir los

recursos en bruto en información útil que pueda utilizarse para tomar decisiones en una

organización.

Si bien los Sistemas de Información pueden diferir en la forma en que se usan dentro de

una organización, todos tienen los siguientes componentes:

Certified in Risk and Information Systems Controls (CRISC)
7

 Hardware: los sistemas utilizan hardware local como una computadora o

servicios de Nube para su ejecución.

 Software: estos son los programas utilizados para administración,

procesamiento y análisis.

 Bases de datos: los sistemas trabajan con recursos organizados en tablas y

archivos.

 Red: se deben conectar diferentes recursos entre sí, especialmente si muchas

personas diferentes en una organización usan el mismo sistema.

 Procedimientos: describen cómo se procesan y analizan los datos y recursos

específicos para obtener las respuestas para las que está diseñado el sistema

(“lógica del negocio”).

5.2 Gestión de riesgos

La gestión de riesgos es el proceso de identificar, analizar y responder a factores de

riesgo a lo largo de la vida de un proyecto y en beneficio de sus objetivos. La gestión de riesgos

adecuada implica el control de posibles eventos futuros. Además, es proactiva, en lugar de

reactiva.

Los sistemas de gestión de riesgos están diseñados para hacer más que solo identificar

el riesgo. El sistema también debe poder cuantificar el riesgo y predecir su impacto en el

proyecto. En consecuencia, el resultado es un riesgo aceptable o inaceptable. La aceptación o no

Certified in Risk and Information Systems Controls (CRISC)
8

aceptación de un riesgo depende, a menudo, del nivel de tolerancia del gerente de proyectos

por el riesgo.

Si la gestión de riesgos es configurada como un proceso continuo y disciplinado de la

identificación y resolución de un problema, entonces el sistema complementará con facilidad

otros sistemas. Esto incluye la organización, la planificación y el presupuesto y el control de

costos. Las sorpresas disminuirán porque el énfasis ahora será una gestión proactiva en lugar de

una reactiva.

5.2.1 La gestión de riesgos: Un proceso continuo

Una vez que el equipo de proyectos identifica todos los posibles riesgos que pueden

perjudicar el éxito del proyecto, debe escoger los que tienen más probabilidades de suceder.

Basará su decisión en las experiencias pasadas respecto de la probabilidad de ocurrencia, su

intuición, las lecciones aprendidas, los datos históricos, entre otros.

A inicios de un proyecto hay más en riesgo que a medida que este avanza hacia su

finalización. En consecuencia, la gestión de riesgos debe hacerse a inicios del ciclo de vida del

proyecto, así como de manera continua.

La importancia es que la oportunidad y el riesgo por lo general permanecen

relativamente altos durante la planificación del proyecto (al inicio del ciclo de vida), pero debido

al relativo bajo nivel de inversión en este punto, lo que está en juego permanece bajo. Por el

contrario, durante la ejecución del proyecto, el riesgo cae de forma progresiva a niveles

inferiores a medida que lo desconocido se convierte en conocido. Al mismo tiempo, lo que está

en juego aumenta de manera constante a medida que los recursos necesarios se invierten de

manera progresiva para completar el proyecto.

Certified in Risk and Information Systems Controls (CRISC)
9

El punto crítico es que la gestión de riesgos sea un proceso continuo y como tal se

realice no solo al inicio del proyecto, sino de manera continua a lo largo de la vida del proyecto.

5.2.2 Respuesta a los riesgos

La respuesta a los riesgos por lo general incluye:

 Prevención: Eliminación de una amenaza específica, a menudo al eliminar la

causa.

 Mitigación: Reducción del valor monetario estimado de un riesgo al reducir

la probabilidad de ocurrencia.

 Aceptación: Aceptar las consecuencias del riesgo. Con frecuencia, esto se

cumple al desarrollar un plan de contingencia para ejecutar si el riesgo llega

a ocurrir.

Al desarrollar un plan de contingencia, el equipo de proyectos participa en el

proceso de solución de un problema. El resultado final será un plan que se pueda aplicar al

momento.

Lo que el equipo de proyectos requiere es la habilidad de lidiar con los obstáculos para

completar de forma exitosa el proyecto, a tiempo y dentro del presupuesto. Los planes de

contingencia ayudarán a garantizar que el equipo pueda atender con rapidez la mayoría de

problemas que surjan.

Certified in Risk and Information Systems Controls (CRISC)
10

5.2.3 ¿Por qué emplear gestión de riesgos?

El propósito de la gestión de riesgos es la siguiente:

 Identificar posibles riesgos

 Reducir o dividir los riesgos

 Proporcionar una base racional para la toma de decisiones en relación con

todos los riesgos

 Planificar

Evaluar y gestionar riesgos es la mejor herramienta frente a las catástrofes en los

proyectos. Al evaluar el plan para potenciales problemas y al desarrollar estrategias para

abordarlos, mejorarán las probabilidades de éxito del proyecto.

Asimismo, la gestión de riesgos continua logrará lo siguiente:

 Garantizar que los riesgos de mayor prioridad sean gestionados de forma

agresiva y que todos los riesgos sean gestionados, cuidando los costos, a lo

largo del proyecto.

 Proporcionar gestión en todos los niveles con la información necesaria para

tomar decisiones informadas en problemas críticos para el éxito del

proyecto.

Si no se atacan de forma activa los riesgos, estos atacarán activamente.

Certified in Risk and Information Systems Controls (CRISC)
11

5.3 ¿Qué es la certificación?

Es una certificación independiente del proveedor que valida las habilidades de un

individuo en los campos de control de sistemas de información y gestión de riesgos. Es la única

credencial enfocada en la gestión de riesgos de TI empresarial. El objetivo es identificar y

gestionar los riesgos mediante la elaboración, implementación y mantenimiento de sistemas

adecuados de información de los controles. Es desarrollado, mantenido y probado por ISACA. Se

basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los

aportes de expertos en la materia de todo el mundo. CRISC está diseñado para personas que

ayudan a las empresas a implementar controles del sistema de información y mitigar los riesgos

comerciales. CRISC pretende reconocer la capacidad de los profesionales en:

• La valoración, evaluación e identificación de los riesgos.

• La respuesta ante el riesgo.

• La monitorización del riesgo.

• El diseño, implementación, monitorización y mantenimiento de controles.

La certificación CRISC está diseñada para aquellas personas expertas en gestión de

riesgos de TI, así como diseño, la implementación, el monitoreo y el mantenimiento de

controles de SI, por ejemplo:

• Los profesionales de TI

• Profesionales de riesgo

• Análisis económico

• Los gerentes de proyecto

Certified in Risk and Information Systems Controls (CRISC)
12

• Cumplimiento de los profesionales de la empresa

5.4 ¿Por qué realizar la certificación?

Por lo que es ideal para profesionales de TI y para quienes trabajan a nivel operativo

para mitigar los riesgos y que tienen experiencia de trabajo en las siguientes áreas:

identificación, valoración y evaluación de riesgos, responsable de riesgos, monitoreo de riesgos,

diseño e implementación del control de SI, monitoreo y mantenimiento del control SI

Para demostrar las habilidades y conocimientos en el uso de las mejores prácticas de

monitoreo y la generación de informes de riesgos continuos.

Para mejorar la administración empresarial y obtener mayor credibilidad de las partes

interesadas.

Los empleadores pueden estar seguros de que los profesionales certificados de CRISC

tienen la experiencia y el conocimiento para ayudar a las empresas a cumplir con los objetivos

de negocio, tales como operaciones efectivas y eficientes el diseño, implementación, monitoreo

y mantenimiento basado en el riesgo, con un eficiente control de la información y de TI.

5.5 ¿Dónde puedo realizar la certificación?

Se puede realizar o inscribir en el sitio web de ISACA y algunas organizaciones aprobadas

por ISACA.
Certified in Risk and Information Systems Controls (CRISC)
13

En Bolivia se puede inscribir desde algunas páginas como:

NobleProg (https://www.nobleprog.com.bo/cursos-crisc):

Cognos (https://cognos.com.bo/isaca/):
Certified in Risk and Information Systems Controls (CRISC)
14

Theknowledgeacademy (https://www.theknowledgeacademy.com/bo/):
Certified in Risk and Information Systems Controls (CRISC)
15

5.6 Requisitos y experiencia para la certificación

Para la certificación se requieren tres años de experiencia laboral en gestión de riesgos

de TI, diseñando e implementando controles de SI, lo que incluye experiencia en al menos dos

dominios de CRISC, uno de los cuales debe ser el Dominio 1 o el Dominio 2. No hay

convalidaciones por experiencia o sustituciones.

5.7 Contenido de la certificación

Módulo de teoría

Teoría y conceptos de la gestión de riesgos y control sobre los sistemas e información en

los dominios establecidos en los Job Practice Areas del CRISC 2021:

1. Gobierno de TI (26%)

 Estrategia organizacional, metas y objetivos

 Estructura organizacional, roles y responsabilidades

 Cultura organizacional

 Políticas y estándares

 Procesos de negocio

 Activos organizacionales
Certified in Risk and Information Systems Controls (CRISC)
16

2. Evaluación de riesgos de TI (20%)

 Gestión de riesgos empresariales y marcos de gestión de riesgos

 Las tres líneas de defensa

 Perfil de riesgo

 Apetito y tolerancia al riesgo

 Requerimientos legales, reguladores y contractuales

 Ética profesional de la gestión de riesgos

3. Informes y respuesta al riesgo (32%)

Respuesta al riesgo A

 Tratamiento del riesgo / opciones de respuesta al riesgo

 Propiedades de control y riesgo

 Gestión de riesgo de terceros

 Gestión de problemas, hallazgos y excepciones

 Gestión en riesgo emergente

Diseño e implementación de controles B

 Tipos de control, estándares y estructuras

 Diseño de control, selección y análisis

 Implementación del control

 Testeo de control y evaluación de efectividad

Seguimiento e informes de riesgos C

 Planes de tratamiento de riesgos

 Recopilación, agregación, análisis y validación de datos

Certified in Risk and Information Systems Controls (CRISC)
17

 Técnicas de seguimiento de riesgos y controles

 Técnicas de control de reporte de riesgos

 Indicadores clave de rendimiento

 Indicadores clave de riesgo

 Indicadores clave de control

4. Tecnologías de la información y seguridad (22%)

Principios de tecnología de la información A

 Arquitectura empresarial

 Gestión de operaciones IT

 Gestión de proyectos

 Gestión de recuperación ante desastres

 Gestión del ciclo de vida de los datos

 Ciclo de vida de desarrollo de sistemas

 Tecnologías emergentes

Principios de seguridad de la información B

 Conceptos, estructuras y estándares de la seguridad de la información

 Capacitación de concientización sobre seguridad de la información

 Gestión de la continuidad del negocio

 Principios de privacidad y protección de datos

Módulo de simulacro de examen

Certified in Risk and Information Systems Controls (CRISC)
18

 Gestión del riesgo y control en los sistemas de información desde un punto de

vista práctico.

 En los módulos de ejercicios de simulacros, además de las preguntas publicadas

por ISACA, se incluye una batería de preguntas y respuestas sustentadas y

referenciadas al manual de revisión CRISC. Los simulacros de examen consisten

en la realización y auto-corrección por parte de los alumnos de varios exámenes

de prueba. Durante la sesión indicada, se comentarán las dudas y errores

comunes con el profesor.

5.8 Curso capacitación – costo y tiempo

En NobleProg, los cursos son de manera virtual y tienen un costo individual de 7937

USD.

Tienen una duración de 21 horas.

Certified in Risk and Information Systems Controls (CRISC)
19

Actualmente, los cursos comienzan desde el 23 de diciembre.

En Cognos el curso de capacitación tiene una duración de 40 horas, sin embargo, todavía no se

tiene una fecha de inicio para los cursos.

Theknowledgeacademy tiene 3 modalidades de cursos:

 Online instructor-led: El participante toma el curso en la plataforma virtual

desde su casa con un instructor en vivo. Seguirá el mismo horario que el curso

presencial y podrá interactuar con el capacitador y otros delegados. Los cursos

comienzan desde el 5 de diciembre y tienen un costo de 2395 USD.

Certified in Risk and Information Systems Controls (CRISC)
20

 Online Self-paced: El participante realiza el curso de manera individual y en línea

desde la plataforma virtual. Los cursos en línea vienen con un acceso estándar

de 90 días que puede extenderse a pedido. Los capacitadores están

constantemente disponibles para resolver cualquier pregunta que pueda surgir.

 Onsite: En este caso, la capacitación se lleva a cabo en las instalaciones del

negocio del solicitante. Esta es la opción perfecta para requisitos de

Certified in Risk and Information Systems Controls (CRISC)
21

capacitación a mayor escala y significa menos tiempo fuera de la oficina. Para

ello, se requiere llenar un formulario antes.

5.9 Examen – costo y tiempo

Hay varias opciones en cuanto a lugares y tiempos para dar el examen de CRISC,

dependiendo de la zona de residencia del interesado y la disponibilidad de los horarios. La

duración del examen es de 4 horas (240 minutos) y contiene 150 preguntas de selección

múltiple. El examen de CRISC 2021 tiene un costo de 575 USD para miembros de ISACA y 760

USD para no miembros.

5.10 Área de trabajo

Se puede encontrar oportunidades laborales en CRISC en roles como estratega de

riesgos de seguridad, analista de seguridad de TI, analista de seguridad de la información,

supervisor de riesgos de auditoría de TI y analista de riesgos de tecnología.

5.11 Salarios
Certified in Risk and Information Systems Controls (CRISC)
22

El salario promedio anual de CRISC en los Estados Unidos es de USD 132,266, según

ZipRecruiter. Payscale informa que el salario CRISC promedio anual es de ₹ 2,000,000.

Salarios de CRISC por ciudad

A continuación, se muestra una lista de ciudades donde se ganaría considerablemente

más que el salario promedio de los Estados Unidos:

Promedio de salarios para CRISC por título de trabajar

El factor determinante del promedio salarial de un poseedor de certificado CRISC no es

siempre el lugar donde se trabaja. El título de trabajo del poseedor también afecta al promedio

salarial. A continuación, se muestra una lista de puestos de trabajo que buscan titulares de la

certificación CRISC y sus salarios promedio:

Certified in Risk and Information Systems Controls (CRISC)
23

6. CONCLUSIÓN

Para concluir podemos observar la importancia de tener una Certificación en control de

sistemas de información y riesgo, para crecer profesionalmente. Esta certificación asegura al

profesional que posee los conocimientos y habilidades para poder ejercer en el área de TI.
Certified in Risk and Information Systems Controls (CRISC)
24

También provee cierta ventaja competitiva en busca del crecimiento laboral y ayuda a tener un

alto estándar profesional para la educación continua y conducta ética.

7. BIBLIOGRAFÍA

Sistemas de información. (Septiembre 2019). En KIONetworks.

https://www.kionetworks.com/blog/data-center/los-sistemas-de-informacion-de-una-

empresa#:~:text=Un%20Sistema%20de%20Informaci%C3%B3n%20(SI,y%20visualizaci%C3%B3n

%20de%20una%20organizaci%C3%B3n.

Gestión de riesgos. (Agosto 26, 2016). En GERENS. https://gerens.pe/blog/gestion-de-

riesgos/

CRISC. En ISACA. https://engage.isaca.org/madridchapter/certificaciones/crisc.

https://www.isaca.org/credentialing/crisc

Cursos de CRISC. En NobleProg. https://www.nobleprog.com.bo/cursos-crisc

Curso de Preparación para la Certificación CRISC. En COGNOS. https://cognos-

capacitacion.com/Sistema/CursosCOGNOS/CRISC-001

Formación CRISC. En theknowledgeacademy.

https://www.theknowledgeacademy.com/bo/courses/crisc-training/#topicData

Capacitación para la certificación CRISC. (15 de febrero de 2022). En simplilearn.

https://www.simplilearn.com/crisc-certification-overview-benefits-and-career-path-article

Guía del candidato para los exámenes de ISACA. (2020).

https://www.isaca.org/-/media/files/isacadp/project/isaca/certification/exam-candidate-
Certified in Risk and Information Systems Controls (CRISC)
25

guides/exam-candidate-guide-continuous-testing-spanish.pdf?

la=en&hash=3565D00B9D0C3D1505E403BBAA93145020B24D4D

Salario promedio CRISC. (5 de enero de 2022). En INFOSEC.

https://resources.infosecinstitute.com/certification/value-certification-average-crisc-salary/