ACTIVIDAD 2, ESTUDIO Y ANÁLISIS DE CASO (SGSI)

Estudiante: Daniel H. González Vásquez

Trabajo para entregar actividades de aprendizaje 3 y 4

Docente

Francisco Uribe

Protección de Activos II ASSO A

Universidad Militar Nueva Granada

Facultad de Estudios a Distancia

Administración de la Seguridad y Salud Ocupacional

Agosto 2019
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

DESARROLLO:

Primero que todo para poder analizar los riesgos, vulnerabilidades y amenazas para establecer

unas políticas de seguridad de la información a implementar en la empresa Ruyanos S.A.,

identificamos que es una empresa de servicios de transporte de paquetes puerta a puerta en todo el

territorio nacional con su sede en la zona franca de Bogotá D.C., la cual cuenta con 350 empleados

y presta servicios a importantes empresas comerciales que gozan de buen prestigio como BMW,

Alpina, entre otros, lo cual con su experiencia de 12 años en el mercado le ha permitido ubicarse

en el puesto No. 4 de las 10 empresas más importantes del sector, logro que los obliga a

implementar el SGSI bajo los parámetros de la ISO 27001, para poder seguir siendo competitivos

en el mercado, por lo cual se procedió hacer un pequeño estudio y tocar los siguientes puntos, así:

1. Detectar según las características de la empresa, los riesgos y vulnerabilidades que tiene en

materia de seguridad de la información.

Riesgos:

a) Siendo una empresa que se mueve en todo el territorio nacional, se debe tener en cuenta la

condición de algunas zonas del país identificadas como zonas rojas por su alteración del

orden publico lo cual puede generar el riesgo de los activos de la empresa por fuga de

información como rutas, horarios, etc.

b) Al no contar con un sistema de información meteorológico veras los riesgos naturales

relacionados con riesgos climáticos y meteorológicos los cuales pueden afectar la operación

del transporte o perdida de activos en estos.

2
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

c) Riesgo de reputación: Actualmente la empresa goza de buen prestigio lo cual la ha

posicionado donde esta y así mismo tiene una vasta experiencia brindando estos servicios a

empresas muy importantes y de renombre, por lo cual debe cuidarse de fraudes, insolvencia,

conducta irregular de los empleados, rumores, entre otros aspectos que pueden traer como

consecuencia la pérdida de credibilidad y confianza.

d) Riesgo especulativo: La fuga de información genera la posibilidad de obtener

instantáneamente un beneficio por parte de la competencia y una pérdida para la empresa.

e) Riesgo operativo: Es la posibilidad de pérdidas ocasionadas durante la ejecución de los

procesos y funciones de la empresa por fallas en los sistemas de información y

administración.

Vulnerabilidades:

a) Seguridad de los recursos humanos: Falta de entrenamiento en seguridad, falta de toma de

conciencia en seguridad, ausencia de mecanismos de monitoreo, falta de políticas para el uso

correcto de las telecomunicaciones, no eliminar los accesos al término del contrato de

trabajadores, carencia de procedimientos que aseguren la entrega de activos al término del

contrato de trabajo y empleados desmotivados.

b) Control de acceso: Segregación inapropiada de redes por el acceso libre otorgado por la

empresa, desorden por falta de políticas sobre escritorio y pantalla limpia, falta de protección

al equipo de comunicación móvil, política incorrecta para el control de acceso y paswords

por la libre navegación.

3
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

c) Gestión de operaciones y comunicación: Complicadas interfaces para usuarios, control del

cambio inadecuado, gestión de red inadecuada, carencia de mecanismos que aseguren el

envío y la recepción de mensajes, ausencia de tareas segregadas, falta de control de copiado

y falta de protección de redes públicas.

d) Mantenimiento, desarrollo y adquisición de sistemas de información: Protección inapropiada

de llaves criptográficas, políticas incompletas para uso de criptografía, carencia de

validación de datos procesados, falta de ensayos de software, documentación sobre el

software.

Teniendo en cuenta los tipos de vulnerabilidades antes mencionados se puede evidenciar que la

empresa Ruyanos S.A., por su actual organización, presenta las siguientes vulnerabilidades, así:

• Daño del sistema de monitoreo el cual se encuentra todo en un solo lugar, lo cual pondría en

riesgo la operación de la empresa.

• Robo de información por personal interno pues todos los computadores tienen acceso libre

a internet, así como la sustracción de información por los puertos USB los cuales están

habilitados para todos los equipos.

• Jaqueo del sistema el cual esta todo conectado a una sola red y comparte información entre

todos los equipos sin restricciones.

• Perdida y saturación de información teniendo en cuenta que la información de la pagina de

la empresa es actualizada y depurada cada mes.

• Robo de información vital de la empresa como lo es la información de sus empleados dentro

de la organización y sus respectivos cargos.

4
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

• Perdida de información de clientes y proveedores pues actualmente es de acceso publico

para todo empleado de la compañía.

2. Establecer la mayor cantidad de amenazas a la que se encuentra expuesta la organización en

cuanto a la seguridad de la información.

a) Amenazas tecnológicas como ataque de virus, hacking, perdida de datos, falla del hardware,

fallas de software, fallas en la red y fallas en las líneas de comunicación y monitoreo.

b) Amenazas a la operación como crisis financieras, perdida de vehículos y personal, fallas en

equipos, aspectos regulatorios y mala publicidad.

c) Las Amenazas sociales generan motines, protestas, sabotaje, vandalismo, violencia laboral y

terrorismo, por lo cual se debe llevar un control estricto de todos los canales de comunicación

y monitoreo para que la operación de la empresa pueda dar fluidez a esta.

Las amenazas más importantes a considerar de acuerdo a lo anterior son:

• El acceso no autorizado a la red, tanto producto de un ataque externo como interno.

• Pérdida de disponibilidad.

• La sustracción, alteración o pérdida de datos.

• Fuga de información clasificada

• La introducción de programas malignos.

• El empleo inadecuado de las tecnologías y sus servicios.

• Perdida y/o robo de material de carga.

• Perdida de vehículos.

5
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

3. Establezca una política de seguridad de la información en donde, según su criterio, qué se

debería hacer para subsanar las amenazas y riesgos detectados en seguridad de la información.

Políticas:

• Las propuestas de iniciativas encaminadas a mejorar el sistema de seguridad informática se

aprobarán por la junta directiva.

• El acceso a las tecnologías de la entidad será expresamente aprobado en cada caso y el personal

tiene que estar previamente preparado en los aspectos relativos a la seguridad informática.

• Los usuarios de las tecnologías informáticas y de comunicaciones responden por su protección

y están en la obligación de informar cualquier incidente o violación que se produzca a su jefe

inmediato superior.

• Se establecerán procedimientos que especifiquen quién y cómo se asignan y suspenden los

derechos y privilegios de acceso a los sistemas, así como a la navegación según los roles que

cumple cada departamento.

• En caso de violación o falla, se comunicará al jefe inmediato y a la oficina de seguridad y se

creará una comisión encargada de analizar lo ocurrido y proponer la medida correspondiente.

• Proteger la integridad del funcionamiento de la Red supervisando el trabajo de los servidores y

velando por el correcto funcionamiento de las comunicaciones tanto internas como externas.

• Garantizar que los servicios implementados sean utilizados para los fines que fueron creados.

• Participar en la elaboración de los procedimientos de recuperación ante incidentes y en sus

pruebas periódicas, realizar bakups diarios al termino de las labores de todos los servidores.

6
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

• Ante indicios de contaminación por virus informáticos u otros programas malignos,

descontaminar e informar al Especialista de Seguridad Informática de la entidad.

• Detectar posibles vulnerabilidades en los sistemas y aplicaciones y proponer acciones para su

solución.

• En el proceso de selección del personal, en caso que su trabajo se vincule con las tecnologías, se incluirá

una valoración de su nivel de preparación en seguridad de la información.

• La Dirección de Recursos Humanos será la responsable de la valoración y capacitación de cada

trabajador, que se requerirá. Debe quedar documentado el resultado de esta evaluación, así como el plan

de capacitación en caso que se requiera.

• En el caso de las áreas donde se procesan informaciones clasificadas o limitadas se tendrá en cuenta la

posición del equipamiento, garantizando que las computadoras estén situadas de forma tal que se impida

ver el monitor por personas que entren al local.

• Las reparaciones menores y los mantenimientos se realizan por el Departamento de Informática y las

reparaciones mayores por entidades contratadas y supervisadas por la empresa de seguridad.

• En caso de que sea necesario el traslado de un equipo fuera de la entidad, deberá reflejarse el movimiento

del medio básico, además de actualizar los controles internos que indiquen el lugar donde se encontrará

el equipo, su tiempo de permanencia en el taller y el técnico encargado de la reparación.

• Queda restringido el ingreso de personal ajeno a cada departamento.

7
PROTECCIÓN DE ACTIVOS II ASSO A (BLOQUE 1)

Bibliografía:

• UMNG FAEDIS. (2019). Aula virtual, Material de estudio segundo corte, Unidad 3 SGSI.

Recuperado de https://virtual2.umng.edu.co/moodle/mod/book/view.php?id=655386

• USS Seguridad Integral ©. (2019). USS Plan de Seguridad Informática para una empresa:

¿Cómo se lleva a cabo? Recuperado de https://uss.com.ar/corporativo/plan-de-seguridad-

informatica-para-una-empresa/

• WordPress, © Automattic Inc, Blog Cano J. (2017). Metodología para la elaboración del

plan de seguridad informática. Recuperado de

https://juliocanoramirez.files.wordpress.com/2017/02/plan_seguridad.pdf

• Universidad Internacional de Valencia ©. (2018). VIU Como crear un plan de seguridad

informática. Recuperado de https://www.universidadviu.com/crear-plan-seguridad-

informatica-facilmente/

• ALBOX Ingeniería SRL, Copyright ©. (1996-2018). Como armar un plan de seguridad

informatica. Recuperado de

http://www.albox.com.ar/capacitacion/seguridad_informatica/como_armar_un_plan_de_s

eguridad_informatica.htm