SGSI (information security management system, ISMS)

ALEXANDER PADILLA SANCHEZ

TUTORA
JENNY ARCOS

FUNDACION UNIVERSITARIA DEL AREA ANDINA

INGENIERIA DE SISTEMAS
2019
 Introducción

Las empresas están expuestas a diversos factores que afectan su operatividad,

funcionalidad, y continuidad en el mercado. Estos factores externos o internos
pueden llegar a causar el cierre definitivo de la compañía. Como miembros del
departamento de TI debemos apuntar a generar planes de acción que mitiguen o
minimicen los efectos de los factores que ataque la compañía, garantizado un plan
de continuidad que apalanque la gestión del negocio.
 Objetivos
Objetivo de aprendizaje

 Poner en práctica los conocimientos adquiridos, detectando riesgos,

amenazas, vulnerabilidades y generando un plan de gestión del negocio.
 Describir los principales problemas de seguridad informática con los que se
enfrentas los usuarios de computadoras.
 Conocer los conceptos de Integridad, confiabilidad y disponibilidad de la
información.
 Conocer los factores de riegos
Resultado de preguntas 1 y 2 en guía Eje 3
El siguiente análisis enfoca su fin en reconocer vulnerabilidades con mayor
relevancia en un sistema de información (distribución de dispositivos, servidores,
programas) de una subestación eléctrica digital. El producto obtenido es una
relación de vulnerabilidades detalladas y ofrecimiento de estrategias de solución.
Los puntos más vulnerables de las arquitecturas de comunicaciones se encuentran
en el bus de proceso, principalmente en los equipos de comunicaciones que
transportan todos los datos intercambiados entre los IEDs. El bus de proceso
comunica los protocolos; ambos tienen requerimientos de desempeño en cuanto a
tiempo de transporte muy exigentes, lo cual a su vez es lo que dificulta lograr un
nivel de seguridad cibernética deseada.

En la figura anterior se pueden ver claramente los puntos vulnerables en la

arquitectura de comunicaciones de las subestaciones eléctricas. En la arquitectura
se incluye la red WAN (Wide Area Network), a pesar de ser vulnerable ante malas
configuraciones, tiene un nivel de seguridad mayor al bus de proceso; a diferencia
de los protocolos multicast, el enrutamiento de protocolos TCP orientados a la
conexión logra una comunicación segura entre subestaciones. El atacante intentará
vulnerar el sistema a través de diferentes puntos débiles de la red en el bus de
proceso, por ejemplo, podría acceder a través de puntos de acceso inalámbrico sin
aislamiento entre la red del proceso y la red corporativa.
La alternativa que permite solucionar la falta de documentación en el estándar en
cuanto a temas de seguridad informática es la IEC 62351. El estándar IEC 62351
contiene información acerca del uso de Transport Layer Security (TLS) y esto puede
prevenir algunos de los ataques conocidos.

Resultado: 10 de riesgos de seguridad informática (de acuerdo a la ISO 27005 y a

la Guía 7 del ministerio de TIC), en donde se relacionan actividades de mitigación
del impacto por cada riesgo identificado.
 Aplicaciones en condiciones vulnerables (ISO 27005)
Instalar un cortafuegos para aplicaciones de uso web para ganar tiempo
mientras se corrigen las aplicaciones. Los cortafuegos de hadware o software
impiden que se exploten las vulnerabilidades del tráfico de la red y de las
aplicaciones web.

No instalar aplicaciones desconocidas con procedencia web u otra.

 Sistemas operativos, vulnerables y sin actualizaciones (ISO 27005)

Si bien los usuarios de Windows 7, Windows Server 2008 R2, y Windows
Server 2008 que tengan actualizaciones automáticas ya están protegidos,
Microsoft lanzó actualizaciones especiales para sistemas que también son
vulnerables a otras amenazas y para los cuales la compañía ya no ofrece
soporte, como son Windows XP y Windows Server 2013.

Instalación de versiones recientes de sistemas operativos, estos son

diseñados para evitar la exposición de las versiones anteriores.

 Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores

recurrentes (ISO 27005)
Desarrollar con los estándares establecidos para tal fin. No solo añadir
funciones y mejoras en la estabilidad, sino arreglar agujeros de seguridad
que podrían poner en riesgo la información.

Contratación con empresas desarrolladoras con certificaciones en calidad y

años de experiencia en el mercado.

 Tecnologías obsoletas (ISO 27005)

Realizar un plan de cambio de equipos y programas como una inversión y no
como un gasto, porque permite disfrutar de las mejores ventajas a la hora de
utilizar la tecnología para mejorar los procesos de negocio.

Ejecutar los cambios bajo la asesoría de un profesional en el área de las Tic´s

 Mal rendimiento de la infraestructura IT (ISO 27005)
La planificación, los proyectos de mejora y el monitoreo son solo algunos de
los procesos que forman parte de la gestión y que deben ser adaptados
según las necesidades de la organización en cuestión. La gestión de
incidentes, de problemas, de cambios, de configuración, de parches, de
capacidad, de proveedores, de seguridad, de continuidad del servicio y de
niveles de servicio debe entonces adaptarse a la compañía.

Obviamente, al modernizar tanto los servidores como las redes y los sistemas
de almacenamiento se está apostando por un sistema rápido en materia de
procesamiento o transferencia, pero son muchas las variables que deben
tomarse en cuenta al momento de aumentar el rendimiento de
la infraestructura informática. De hecho, seleccionar rigurosamente la
tecnología que se empleará sienta las bases del rendimiento venidero.

 Uso no autorizado del equipo (Guia 7 MinTic)

Uno de los mejores métodos para evitar que otras personas puedan tener
acceso a nuestra información personal y a nuestras cuentas consiste
en asegurarnos que la contraseña que hemos elegido para que se inicie la
sesión en el sistema operativo sea segura.

Todos los usuarios de computadoras deberían estar familiarizados con

los firewalls, programas antivirus y programas maliciosos. Estos programas
trabajan en conjunto y deben utilizarse para proveer el máximo nivel de
seguridad para proteger su computadora. Son necesarios para protegerlo de
amenazas que tienen como fin dañar, frustrar o infligir actividad ilegítima en
su computadora.

 Copia fraudulenta del software (Guia 7 MinTic)

Consolidación de todos los registros de licenciamiento en un reporte que
puede ser mantenido o modificado por la organización en el futuro.

Disponibilidad de asesoría y experiencia respecto a licenciamiento a través

de un proceso gratuito y con agentes especializados.

 Uso de software falso o copiado (Guia 7 MinTic)

Las empresas de software hacen las auditorías, inclusive con firmas de
abogados, y en algunos casos incluyen una visita no anunciada, en la que
llegan acompañadas de un perito, con el cual hacen un inventario de todo lo
instalado y solicitan las pruebas de licenciamiento. Luego comparan. Si hay
faltantes, se puede incurrir en ilegalidad, lo que genera tres consecuencias:
 Le obligan a comprar el software que está utilizando, indemnizar al fabricante
y adicionalmente pagar los trámites jurídicos.

 Corrupción de los datos (Guia 7 MinTic)

Si los mecanismos adecuados se emplean para detectar y remediar la
corrupción de los datos, la integridad de los datos se puede mantener.

Esto es particularmente importante en la banca, en donde un error puede

afectar drásticamente un saldo de la cuenta, y en el uso de cifrado o
compresión de datos, donde un pequeño error puede hacer que una amplia
base de datos inservible.

 Procesamiento ilegal de datos (Guia 7 MinTic)

Se deben presentar los principios y las garantías de protección de datos que
deben prevalecer y su aplicación e interpretación en un ambiente de
comercio electrónico u otro fin.
El derecho fundamental de la protección de los datos persigue garantizar a
la persona un poder de control sobre cualquier tipo de dato personal, sobre
su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la
dignidad y el derecho afectado
 Conclusiones
 Si bien día a día aparecen nuevos y complejos tipos de incidentes, aún se
registran fallas de seguridad de fácil resolución técnica, las cuales ocurren
en muchos casos por falta de conocimientos sobre los riesgos que acarrean.
Por otro lado, los incidentes de seguridad impactan en forma cada vez más
directa sobre las personas. En consecuencia, se requieren efectivas
acciones de concientización, capacitación y difusión de mejores prácticas.

 Es necesario mantener un estado de alerta y actualización permanente: la

seguridad es un proceso continuo que exige aprender sobre las propias
experiencias.

 Las organizaciones no pueden permitirse considerar la seguridad como un

proceso o un producto aislado de los demás. La seguridad tiene que formar
parte de las organizaciones.

 Debido a las constantes amenazas en que se encuentran los sistemas, es

necesario que los usuarios y las empresas enfoquen su atención en el grado
de vulnerabilidad y en las herramientas de seguridad con las que cuentan
para hacerle frente a posibles ataques informáticos que luego se pueden
traducir en grandes pérdidas.

 Los ataques están teniendo el mayor éxito en el eslabón más débil y difícil de
proteger, en este caso es la gente, se trata de uno de los factores que han
incentivado el número de ataques internos. No importando los procesos y la
tecnología, finalmente el evitar los ataques queda en manos de los usuarios.
 Referencias Bibliográficas

https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

IDENTIFICACIÓN DE VULNERABILIDADES DE SEGURIDAD EN EL CONTROL

DE ACCESO AL SISTEMA DE GESTIÓN DOCUMENTAL, MEDIANTE PRUEBAS
DE TESTEO DE RED EN LA EMPRESA INGELEC S.A.S, Pasto, 2015
https://core.ac.uk/download/pdf/47279344.pdf

https://www.iso.org/standard/75281.html