“AÑO DEL BUEN SERVICIO AL CIUDADANO”

UNIVERSIDAD NACIONAL

TORIBIO RODRIGUEZ DE MENDOZA DE

AMAZONAS

FILIAL BAGUA

CURSO: SEGURIDAD INFORMATICA.

TEMA: SOLUCIONES DE SEGURIDAD INFORMATICA PARA

MICROEMPRESA

DOCENTE: MG. ING. IVAN ADRIANZEN OLANO

ALUMNA: YOLANDA SHAQUIRA MALCA ILATOMA

Bagua – Perú

2018
INTRODUCCION

Nuevas tecnologías han revolucionado la forma de proveer servicios y hacer negocios pero
también han introducido nuevos riesgos.  Es necesario reconocer y asumir que la seguridad
total no existe.  Incidentes de seguridad informática son un dato de la realidad y es necesario
desarrollar mecanismos para gestionarlos.  La complejidad para realizar un ataque sofisticado
ha disminuido significativamente y la motivación se ha diversificado e incrementado. 
Velocidad con la que las empresas y organizaciones puedan reconocer, analizar y responder a
un incidente limitará los daños y disminuirá los costos de recuperación.
Objetivos:
 Minimizar al máximo la posible incidencia de problemas de seguridad informática que
puedan interrumpir las labores del día a día de los empleados, afectando la productividad
e imagen de la empresa.
 Optimizar el uso de los recursos de correo e Internet de la empresa, asegurando una
correcta utilización por parte de los usuarios en general.
 Brindar una visión clara y una eficiente administración de los bienes informáticos con
los que cuenta la empresa.
 Mejorar la calidad y servicio de soporte a los usuarios finales internos de la empresa.
  Garantizar la privacidad e integridad de los datos por medio del aseguramiento del
perímetro
 de conectividad y procesos de respaldo
 Mantener una revisión constante acertada sobre los resultados obtenidos.

MARCO TEORICO

Para el establecimiento de un sistema de gestión de seguridad de la información se utilizan los

conceptos básicos referentes a seguridad y metodologías que proporcionan estándares de
seguridad y protección SGSI, como lo son ISO/IEC 27000, OSSTMM 3.0, ETHICAL hacking,
tendientes a garantizarlo y certificarlo como un sistema protegido, seguro y confiable.

 DEFINICION DE SEGURIDAD: la seguridad de la información es el conjunto de

estándares, procesos, procedimientos, estrategias, recursos informáticos, protección
debida y requerida a la información y a los recursos informáticos de una empresa,
institución o agencia gubernamental.
 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION(SGSI): UN
sistema de gestión de seguridad de la información (SGSI) debe responder a una política
estratégica de la organización , su objetivo es fortalecer y asegurar la continuidad de sus
operaciones , consolidando la ejecución de buenas prácticas, para reducir al mínimo los
daños causados por una contingencia ayudando así las altas directivas en la toma de
decisiones y optimizando la inversión en nuevas tecnologías para el correcto reguardo
de la información.
 PLANEACION DE LA SEGURIDAD EN LA RED: los objetivos de la seguridad se
deben crear de acuerdo con la estrategias de la organización, adicionalmente estos deben
ser comunicados a toda la organización , junto con su importancia de mantener el
sistema seguro, promoviendo una cultura de la seguridad debe tener en cuenta, además
de sus objetivos, las personas y entes que acceden al sistema , además deben propender
porque todos los participantes estén enfocados en mantener un sistema seguro; no basta
entonces con definir las políticas de seguridad si las personas involucradas no las
apropian de manera intrínseca.
 POLITICAS DE SEGURIDAD: Las políticas de seguridad deben responder a la
necesidad de mantener un ambiente seguro. Las políticas se deben poder poner en
práctica mediante procedimientos descritos en la administración del sistema, es decir,
estas deben poderse llevar a la práctica y obligar al cumplimiento de las acciones
relacionada mediantes herramientas de seguridad. Así mismo deben definir claramente
las áreas de responsabilidad de los usuarios, administradores y la dirección en sí,
teniendo un responsable para toda situación posible.

 Amenazas: Es todo aquello que puede causarle daño a un activo, pretende destruir o
dañar. Se representa por medio de una persona, una circunstancia o idea maliciosa, para
provocar daño en caso de que se viole la seguridad. Las amenazas informáticas que
viene en el futuro ya no son con la inclusión de troyanos en los sistemas o software
espía, sino con el hecho de que los ataques se han profesionalizado y manipulan el
significado del contenido virtual.
 Vulneralidades: Es la capacidad, las condiciones y características del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el
resultado de sufrir algún daño .En otras palabras, es la capacitad y posibilidad de un
sistema de responder o reaccionar a una amenaza o de recuperarse de un daño.
  Auditoría – análisis de riesgos: Realizamos un proceso de auditoría de seguridad en tu
empresa para determinar los controles adecuados y reducir el nivel de riesgo. Este
proceso comprende la identificación de activos de información, vulnerabilidades,
posibles amenazas y la probabilidad de ocurrencia e impacto. Revisamos de manera
exhaustiva tus puestos de usuario, redes de comunicaciones, servidores o aplicaciones
con el objetivo de identificar, enumerar y describir las vulnerabilidades.

DESARROLLO

Soluciones de Seguridad informática para microempresa

Ofrecer a nuestros clientes soluciones que dotan de la seguridad adecuada a la información de

la compañía, garantizando el acceso autorizado a la misma y su integridad.

Un sistema de seguridad informática permite a la empresa:

 Estar protegida frente a ataques informáticos

 Asegurar la continuidad del negocio
 Garantizar la seguridad de la información
En el entorno empresarial los ataques cibernéticos son una realidad a la que ninguna
organización es inmune, limitar su impacto, responder de forma inmediata, recuperar y reanudar
la operativa en el menor tiempo posible son los objetivos críticos e imprescindibles que toda
organización debe proteger.

En Abenet hemos establecido una red de alianzas para cooperar con los principales fabricantes
en el ámbito de la Seguridad y con empresas tecnológicas especializadas, de forma que
podamos ofrecer un amplio abanico de soluciones que permiten proteger y optimizar el acceso
a los centros de datos, controlar la navegación web, facilitar la entrega de aplicaciones,
gestionar los dispositivos móviles y el acceso a puestos de trabajo virtuales, y abordar de forma
garantizada el complejo reto planteado por BYOD (Bring Your Own Device). La tecnología
seleccionada permite disminuir el riesgo en los dispositivos de usuario, y proteger a la
organización de las amenazas que suponen los ataques cibernéticos.

Principales beneficios:

Visibilidad: Proporciona una visión completa de la empresa (dispositivos, extremos,

usuarios, aplicaciones, visitantes).

Seguridad: Protege los datos de la compañía y bloquea la actividad amenazante.

Productividad: Otorga el nivel de acceso correcto a cada persona y dispositivo según su

perfil.

Ahorro de costes: Elimina el tiempo de inactividad (no planificada) causado por ataques y
por dispositivos de red no autorizados.
SOLUCIONES COMPLETAS DE SEGURIDAD
Soluciones de Seguridad en la Red

Protección de la red y recursos de la organización de ataques y amenazas

Web Application Firewall

Next Generation Firewall (NGFW), DLP

Intrusion Prevention System (IPS) avanzado

Acceso remoto (VPN SSL)

NAC / BYOD / Gestión Invitados

Seguridad Datacenter (físico, virtual, Cloud) / Seguridad

Agentless en entornos virtuales.

Soluciones de Seguridad para Usuarios (internos/externos)

Control de acceso a los usuarios y permisos

Antivirus

AntiSpam

AntiRansomware

Control de accesos / presencia

CCTV Video vigilancia

Seguridad perimetral
 Equipo de alto rendimiento
 Firewall e IPS para inspección de paquetes
 Funcionalidad de proxy para optimizar el acceso a Internet
 Aplicación de reglas de salida de navegación
 VPN server para garantizar las conexiones para empleados desde el exterior

Inversión en hardware: Las empresas pueden mejorar su actividad diaria incorporando

elementos que les ayuden en las gestiones diarias. No solamente estamos hablando del típico
ordenador que puede mejorar los procesos de producción, distribución o promoción, sino
también soportes como tabletas que puedan mejorar la interacción con los clientes y lograr una
rentabilidad mayor en los procesos.
Seguridad para estaciones y servidores
Completo Anti-Malware y Firewall
Control de dispositivos USB para denegar/permitir acceso
Consola de administración tipo WEB (no requiere infraestructura local)
Mínimo consumo de recursos

Software personalizado: En la actualidad hay un montón de empresas que ofrecen servicios

de diseño de herramientas como webs o sistemas de gestión que pueden ayudar mucho en el
día a día de una empresa. De esta forma se crea un instrumento basado en las necesidades
propias de la empresa que puede llegar a ser muy útil en su desarrollo.

Externalización de un soporte técnico: Antes, las empresas solían incluir un departamento de

informática dentro de su organigrama, que se encargaba de introducir las novedades necesarias
en el entramado informático de la compañía y también de solucionar cualquier problema que
pudiese surgir tanto con el software como con el hardware. En los últimos tiempos esta
tendencia está cambiando, y estos servicios se externalizan para ahorrar costes. Así, hay muchas
empresas que ofrecen un paquete de servicios optimizados para pymes que incluyen
asesoramiento, instalación de software útil para la compañía y un soporte técnico de calidad
para cuando surja algún problema. Es sin duda una alternativa barata y de calidad para las
pequeñas empresas que no pueden permitirse crear un departamento específico.

Digitalización de las acciones: Lo mejor para las pequeñas empresas es orientarse hacia lo
digital, de forma que transformen los procesos diarios en otros más rentables. Por ejemplo, el
almacenamiento de datos en la nube es una forma eficaz de ganar espacio, gestionar el tiempo
y crear una copia de seguridad de los documentos. Además, permite el acceso de varios
empleados a una misma carpeta para hacer una gestión más efectiva de los recursos.

Backups: Por supuesto, gestionar la mayoría de las actividades de una empresa a través del
soporte informático requiere que se tomen unas medidas básicas de seguridad. De esta forma
evitaremos cualquier desajuste que pueda surgir o la pérdida de datos importantes. Hay
empresas que desarrollan soluciones que permiten hacer un backup sencillo cada cierto tiempo
para evitar problemas innecesarios.

Aspectos a tener en cuenta a la hora de introducir herramientas informáticas

Aunque como vemos hay un montón de herramientas disponibles para que las pequeñas
empresas saquen todo el partido que puedan de ellas, hay que tener en cuenta que la informática
para pequeñas empresas conlleva una serie de costes ocultos que hay que contemplar antes de
tomar estas decisiones. En esta guía de costes ocultos de la informática empresarial puedes
encontrar una relación de algunas de estas previsiones. Antes de tomar la decisión de incluir
algunas herramientas de este tipo debes entender que hay una serie de gastos añadidos que van
unidos a ellas.

Características de un Backups:
 Continuo: debe ser automático y continuo, sin intervenir en las tareas que realiza el
usuario.
 Seguro: muchos software incluyen cifrado de datos, lo cual Debe ser hecho localmente
en el equipo antes de ser enviado.
 Remoto: los datos deben quedar alojados en dependencias alejadas de su origen.
Tipos de Backups:
1. Backups completas
 Es una copia completa de todos los datos que selecciona el usuario al configurar la tarea
de respaldo.
 Los archivos copias se colocan en un solo archivo que se comprimen para ahorrar
espacio.
Beneficios y desventajas:
 Restauración más rápida de todos los archivos.
 Las copias de seguridad completas son grandes y requieren mucho tiempo para hacerse.
2. Backups diferencial
 Los backups diferenciales, que copian sólo los archivos nuevos o modificados, son un
método más rápido de copia de
 Seguridad que la creación de una copia de seguridad completa cada vez los backups
diferenciales son muy adecuados para estrategias de backups diarias o menos
frecuentes.
3. Backup incrementales

Tiene solo los archivos que fueron creados o modificados desde el último backups
completo o incremental.
Los backups incrementales son una buena solución para las copias de seguridad más
frecuentes.
4. Backups a nivel de bloque
Se refieren básicamente al mismo método de copia de seguridad y que la diferenciaría de
incrementales y diferenciales que serían las tecnologías a nivel de archivo las técnicas de copia
a nivel de bloques sólo se aplican a los archivos modificados, no a nuevos archivos. Los nuevos
archivos, por supuesto, se copiaran de una manera normal.
Consumo de energía: La mayoría del hardware que podemos instalar en una empresa requiere
la conexión a una fuente de electricidad, por lo tanto el consumo de luz mensual aumentará al
instalarlo. Este es un coste que hay que prever a la hora de instalar estos componentes.

Administración de Seguridad
•Dispositivos de seguridad de correo electrónico IronPort de Cisco
•Cisco Security Manager
•Sistema de supervisión, análisis y respuesta de seguridad de Cisco

Costes de mantenimiento y reparación: Derivados de un mal uso, de una sobrecarga o de un

problema puntual. Si tenemos contratada una empresa externa proveedora de servicios puede
que incluya reparaciones de este tipo.

La incorporación de elementos informáticos a una pequeña empresa puede traer muchos beneficios a
su gestión, aunque hay que tener en consideración los costes tanto de instalación como los de
mantenimiento y consumo de energía. De esta forma se puede calcular fácilmente el retorno de la
inversión y lograr los mejores resultados.
Seguridad física y ambiental: (Inadecuado control de acceso físico a oficinas, salones y
edificios, ubicación en áreas propensas a inundaciones, almacenes desprotegidos, carencia de
programas de sustitución de equipos, equipos mal cuidados)
Gestión de operaciones y comunicación: Control de cambios inadecuados, gestión de red
inadecuada, carencia de mecanismos que aseguren la emisión y recepción de mensajes, carencia
de tareas segregadas, falta de protección en redes públicas de comunicación.
Firewall de red: Se tiende a minimizar el peligro y a relajarnos ante las amenazas reales que
sí que existen. Nadie dejaría la puerta de su negocio abierta de par en par al terminar la jornada
y diría: “total, no creo que me roben”. Es posible que se utilicen los equipos desprotegidos
como plataforma para realizar actos delictivos a terceros. Es una cuestión fundamental y hay
que darle la importancia que le corresponde.

Cableado: hay que minimizar los errores del día a día y a eso no ayuda las instalaciones
caóticas y “sujetas con pinzas”. A nadie se le ocurriría tener la instalación eléctrica en malas
condiciones y sin embargo todos reconocen que la informática es vital para su negocio, entonces
¿no tendría que estar ordenado, estructurado y organizado?
Software sin licencia: aparte de los problemas de propiedad intelectual que pueda suponer, el
utilizar programas que pueden haber sido manipulados, que provienen de fuentes dudosas y que
muchas veces ni siquiera son necesarios para el trabajo, tendría que hacer replantearnos si
realmente tenemos que usarlo o podemos utilizar otras alternativas.
MONITORIZACION: Las soluciones de monitorización de redes vigilan equipos (hardware)
y servicios (hardware) y generan alertas cuando el comportamiento de los mismos no es el
deseado. Son soluciones versátiles en las que se monitoriza y se puede consultar
prácticamente cualquier parámetro de interés de un sistema. Por ejemplo, servicios de red
(SMPT, POP3, HTTP, SNMP), recursos de los sistemas hardware (carga del procesador,
memoria, uso de discos) o pluggins específicos para nuevos sistemas.
Proporcionamos dos soluciones de monitorización: Navíos (software libre local) y OMS de
Azure (solución de monitorización en la nube).
Además, proporcionamos una solución que permite conocer 24/7 el estado de seguridad de
todos los sistemas informáticos de tu empresa. HP-Zeed analiza diariamente los equipos
informáticos e infraestructuras en busca de anomalías y amenazas externas, y confecciona
informes ejecutivos sobre la Ciberseguridad de tu negocio.

CRIPTOLOGIA
Es decir que la Criptografía es la ciencia que consiste en transformar un mensaje inteligible
en otro que no lo es (mediante claves que sólo el emisor y el destinatario conocen), para
después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de
entenderlo.

ACCESS CONTROL LISTS (ACL)

Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos
provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos
concretos.
Por ejemplo pueden definirse sobre un Proxy una lista de todos los usuarios (o grupos de ellos)
a quien se le permite el acceso a Internet, FTP, etc. También podrán definirse otras
características como limitaciones de anchos de banda y horarios.

WRAPPERS
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper
literalmente cubre la identidad de este segundo programa, obteniendo con esto un más alto
nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs.
Estos programas nacieron por la necesidad de modificar el comportamiento del sistema
Operativo sin tener que modificar su funcionamiento.
Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de
Seguridad.
CALL BACK
Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El
usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al
número que en teoría pertenece al usuario.
La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolverá
al usuario legal y no al del intruso, siendo este desconectado. Como precaución
adicional, el usuario deberá verificar que la llamada-retorno proceda del número a donde llamó
previamente.
PROTOCOLOS DE SEGURIDAD
Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y
actividades programadas que cumplen con un objetivo específico mediante el uso de
esquemas de seguridad criptográfica.
Los principales protocolos que sirven para resolver algunos de los problemas de seguridad
como la integridad, la confidencialidad, la autenticación y el no rechazo, mediante sus
diferentes características, son: SSL ( Secure Sockets Layer) integrado en un Browser por
ejemplo Netscape el cual muestra un candado en la barra de herramientas cerrado y también la
dirección de Internet cambia de http a https. PGP que es un protocolo libre ampliamente
usado de intercambio de correo electrónico seguro. Otro conocido y muy publicitado SET que
es un protocolo que permite dar seguridad en las transacciones por Internet usando tarjeta de
crédito y proporciona seguridad en la conexión de IPsec Internet a un nivel más bajo.
SISTEMAS ANTI-SNIFFERS
Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se basan
en verificar el estado de la placa de red, para detectar el modo en el cual está actuando (recordar
que un Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.
CONCLUSIONES:
 La información se ha convertido un bien de incalculable valor para las
empresas y organizaciones.
 Por tal motivo, éstas no pueden darse el lujo por ser afectados por pérdida
de
Información, filtración de información o falta de accesibilidad como de
disponibilidad de ésta.
 Debido a la alta competitividad que existe entre las empresas es de vital
Importancia contar con un Sistema de Seguridad de la Información.
RECOMENDACIONES:
 Es necesario promover la importancia del CRM y resaltar el hecho de que es necesario
esquematizar un proceso organizacional integral y no limitarse solamente a la
adquisición o desarrollo de herramientas informáticas.
 Desplegar y mantener un Data Center eficaz que dé respuesta a las necesidades de
negocio exige una especialización IT, es decir unos conocimientos y una inversión en
tiempo y recursos humanos, que no todas las organizaciones pueden permitirse.
BIBLIOGRAFIA
https://www.ciset.es/seguridad-informatica/soluciones-de-seguridad-informatica
https://www.bitec.es/sistemas-it/seguridad-it/
http://www.iscr.com/site/pdf/seguridad/BrochureSolucionesdeSeguridad.pdf
http://controlgroup.es/sistemas/seguridad.html