Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Universidad Tecnológica de
México
MAESTRÍA:
Seguridad en Tecnologías de la Información.
MATERIA:
Controles de Criptografía de Seguridad.
Nombre y matricula:
José Manuel Moncivais Santos 15329102
PRESENTACIÓN:
Implementación de un proceso de seguridad
(criptografía) para Bicicletas de México
1
ÍNDICE
Introducción………………………………..…...….……………………3
Objetivos…………………………………..…...….………………….…4
Selección de la organización………………………….……..…...…..5
Roles y responsabilidades de la organización……………………...7
Clasificación de la información de inventarios activos más
Importantes...………………………………………………………….10
Niveles de clasificación….…………..……………………………….11
Tablas de Confidencialidad e Integridad….……..…..……………..12
Tabla de Disponibilidad...…………………....................................13
Etiquetado de Activos de la Información…….……………………..14
Tabla de Etiquetado de Activos de Información………….………..15
Manejo y tratamiento seguro de la Información………………….. 16
Recomendaciones…..……………………......................................23
Conclusiones…………………………………………………..………24
Glosario…………………………………………………………...……25
Referencias………………………..…………………………………..26
2
INTRODUCCIÓN
3
OBJETIVOS
Con los resultados obtenidos se entregara un escrito donde podrán verse las
vulnerabilidades a las que están expuestos en materia de la información, sistemas
operativos (software) y hardware, así como las recomendaciones necesarias para
su corrección.
4
SELECCIÓN DE LA ORGANIZACIÓN.
Bicicletas de México es una empresa mexicana que fue fundada en 1951, la cual
comenzó a operar con la marca BMS y otros modelos bajo la licencia de Raleigh
Industries Limited, la marca más antigua y prestigiada de bicicletas del mundo.
A partir del año de 1986, Grupo Inversora Bursátil adquiere la mayor de las acciones
de Bicicletas de México, iniciándose una nueva era de bicicletas en México, que se
consolida al formar parte de Grupo Carso.
5
La confidencialidad implica el acceso a la información de quienes estén autorizados.
La integridad mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
La disponibilidad acceso a la información y los sistemas de tratamiento por parte de
los usuarios autorizados.
El control son los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel del riesgo asumido.
Con el uso de la norma ISO/IEC 27001 permitirá el impacto de riesgos sin necesidad
de realizar grandes inversiones en software, y sin gran cantidad de personal.
Nuestro análisis técnico de seguridad será una etapa importante para detectar los
riesgos.
6
Roles y responsabilidades de la organización
Bicicletas de México.
7
frente a los riesgos de las
operaciones de venta.
En la organización se encuentra
encargado de lo que suceda en
la parte tecnológica y toma
decisiones en los cambios que
puedan darse para la mejora.
Es el cargo de máxima
responsabilidad en todos los
procesos tecnológicos de la
compañía.
Supervisar el cumplimiento
normativo de la seguridad de la
información.
8
Supervisar la arquitectura de
seguridad de la información de la
empresa.
9
Clasificación de la información de inventarios activos más importantes.
(BIMEX)
Todos los activos se deben identificar de manera adecuada dentro de los inventarios
activos, clasificación y publicación.
Propiedades de los activos de información.
La propiedad de los activos se identifica en la matriz de inventarios de activos,
clasificación y publicación de la información, de acuerdo a:
10
Muchas veces la implantación de dichos controles específicos podría ser delegada
por el propietario de estos activos. No obstante el propietario permanece como
responsable de la adecuada protección de los activos.
Niveles de clasificación.
(BIMEX)
11
Clasificación de acuerdo a la confidencialidad.
CONFIDENCIALIDAD ACTIVOS PROPIETARIO
12
Clasificación de acuerdo a la disponibilidad.
DISPONIBILIDAD ACTIVOS
3
6.Accesos WEB
(BAJA)
13
Etiquetado de activos de Información.
(BIMEX)
14
Etiquetado de activos de Información.
(BIMEX)
1. Documentos IPC-DE-A-1
electrónicos (DE). 1. DE 1. DE
IPC A 2. BD 1 2. BD IPC-BD-A-1
2. Bases de datos 3. MA
(BD). MA-1
3. Documentos en IPP-DP-2
Papel (DP).
IPP-CE-2
4. Correos 4. DP
IPP M 3. MA 2 IPP-MA-M
electrónicos (CE). 5. CE
5. Medio
almacenamiento (MA).
15
Manejo y tratamiento seguro de la Información.
(BIMEX)
16
SafeNet ProtectFile ofrece un cifrado transparente y automatizado de los datos
confidenciales a nivel del sistema de archivos en empresas distribuidas, que
incluye servidores Direct Attached Storage (DAS), Storage Área Network (SAN)
y Network Attached Storage (NAS) con protocolos para compartir archivos
CIFS/NFS.
La solución de cifrado de archivos empresariales protege los datos no
estructurados en servidores, tales como los números de tarjetas de crédito,
información personal, registros, contraseñas, configuraciones y más en una
amplia variedad de archivos. Los ejemplos incluyen documentos de
procesadores de palabras, hojas de cálculo, imágenes, archivos de bases de
datos, exportaciones, registros y copias de seguridad, así como
implementaciones de datos masivos (big data). SafeNet ProtectFile se puede
implementar en las instalaciones, de forma virtual, en nube pública y en entornos
híbridos.
Beneficios.
Colaboración protegida
• Colabore con otros empleados, sabiendo que únicamente
los usuarios autorizados y autenticados podrán ver su
información más delicada.
• Cifre su información de forma transparente, sin interrumpir
las operaciones de sus negocios, su rendimiento de
cómputo o la experiencia de su usuario final.
SafeNet ProtectFile proporciona seguridad para datos a
través de la automatización total del cifrado de datos no-
estructurados en servidores para archivos y unidades de red.
Trabajando en conjunto con un dispositivo SafeNet DataSecure, ProtectFile
combina políticas de cifrado y control de acceso para proteger a los fólderes y
archivos que residen en los servidores y unidades de red. Al elegir ProtectFile,
BIMEX puede facilitar la colaboración y las nuevas modalidades de productividad
con la confianza de que sus archivos siempre estarán seguros. Cuando una
organización sabe que su información confidencial está protegida de amenazas
internas y externas, éstas pueden enfocarse en el crecimiento, adquirir
conocimientos a través de una colaboración segura y disfrutar un incremento en
su productividad.
17
Gestión centralizada.
18
Aquí le presentamos una propuesta económica del producto para su necesidad de
lo analizado en activos en software.
SafeNet ProtectFile: Licencia de suscripción (1 año) + 1 Year Plus Support Plan -
1 licencia
19
Estrechamente integrado con Symantec Secure Web Gateway.
Aislar el tráfico web de directores ejecutivos y otros cargos importantes frente a los
riesgos de Internet.
Aislar los vínculos a sitios web maliciosos e impedir que el malware llegue
a los puntos finales.
20
las amenazas. Advanced Secure Gateway es un proxy ampliable diseñado para
proteger sus comunicaciones web y acelerar sus aplicaciones empresariales. La
arquitectura exclusiva del proxy le permite supervisar, controlar y proteger el tráfico
de forma eficaz para garantizar una experiencia segura tanto en Internet.
Documentos en papel.
Podemos dar dos opciones:
La digitalización y encriptación de documentos implica pasar documentación
física a formato digital. Son muchas las empresas que almacenan gran cantidad de
documentación que ocupa demasiado espacio y es difícil de consultar. Aunque este
proceso pueda resultar tedioso, una vez realizado puede suponer una ventaja
competitiva al hacer que la información sea accesible y segura.
Otro aspecto importante será el realizar una copia de seguridad de la
documentación digitalizada. Así, se facilitará el no perder la información en caso de
que se elimine el archivo digital. Esto supondrá tener otra versión de los documentos
que evitará futuros problemas ante la pérdida de información.
Servicio de Custodia y Gestión de Documentos.
21
Seguridad. La gestión de documentos físicos requiere acciones distintas que la
gestión de sus homólogos electrónicos. Las empresas necesitan un equipo de
gestión de documentos capacitado para manipular registros físicos. El primer paso
en la custodia documental implica el proceso de identificación y autenticación,
generalmente a través de una cuestión de archivado y recuperación.
22
RECOMENDACIONES
-Control de Acceso
Cuestas Privilegiadas y Acceso a la red.
-Servicios
Radiografía de red y Auditoria de servicios.
23
CONCLUSIONES.
El estudio que se hizo a la compañía BIMEX nos ha demostrado los riesgos y las
vulnerabilidades a las que se encuentran sus activos de la información, y aplicar los
tratamientos necesarios para el evitar alguna pérdida o robo de la información.
El cifrado de los datos nos será útil para proteger la información, así que es posible
cifrar la información contenida en Discos, Carpetas y archivos individuales, para
evitar el acceso no permitido. El cifrado también nos ayudara para evitar algún robo
de identidad o los fraudes bancarios.
Es importante hacer conciencia de nuestros activos en la organización de datos, y
que tan valiosos puede ser nuestra pérdida de información, nos puede hacer perder
en el aspecto monetario; México se encuentre en el país más atacado a nivel
Latinoamérica y a nivel mundial el número 8. En todos los niveles de organización
en México debería de ser de suma importancia, la información a todos los niveles.
Existen varias amenazas por lo que es importante tener precaución con lo que se
abre en internet y en correos que mandan personas desconocidas, ya que, es
posible que la computadora sea infectada con un virus y cause problemas a la
misma, tales como la pérdida total o parcial de la información, falsificación de los
datos, interferencia en el funcionamiento, por lo que es importante concientizar a
todo el personal de nuestras organizaciones ya que podrían provocar un gran
problema con la perdida de información.
24
GLOSARIO.
AES
CIFS
Sistema común de archivos de Internet
CLA_CONF
Siglas utilizadas para etiquetar significado clasificación de la confidencialidad.
CLA_INT
Clasificación de la integridad.
CLA_DISP
Clasificación de la disponibilidad.
NFS
Sistema de archivos de red.
Firewall.
Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red
entrante y saliente y decide si permite o bloquea tráfico específico en función de un
conjunto definido de reglas de seguridad.
Malware.
El término se utiliza para hablar de todo tipo de amenazas informáticas o software
hostil, y existen distintos tipos entre ellos nos encontramos con los virus, gusanos,
troyanos, keyloggers, botnets, spyware, adware, ransomware y sacareware.
Phishing.
Método que los ciber-delincuentes utilizan para engañarle y conseguir que revele
información personal, como contraseñas o datos de tarjetas de crédito y de la
seguridad social y números de cuentas bancarias.
25
Ransomware.
Restringe el acceso a su sistema y exige el pago de un rescate para eliminar la
restricción.
REFERENCIAS
http://www.iso27000.es/download/doc_certificacion_all.pdf
Título: Certificación - doc_certificacion_all.pdf
Fecha: 10 de febrero de 2014 12:55:16 p.
https://www.esecforte.com/products/gemalto-safenet-authentication-solutions/
Título: Gemalto SafeNet Identity & Data Protection Solutions | Two Factor
Authentication.
https://www.symantec.com/es/es/solutions/internet-of-things
Título: Seguridad de Internet de las cosas | Symantec ES
http://www.comunidadbaratz.com/blog/archivo-fisico-y-archivo-electronico-una-
misma-necesidad-una-misma-solucion/
Título: Archivo físico y Archivo electrónico: una misma necesidad, una misma
solución.
Fecha: 09 de febrero de 2016.
26