SOLUCION

ACTIVIDAD EVALUATIVA EJE 3

SISTEMAS DE GESTION DE SEGURIDAD INFORMATICA

PRESENTADO POR.
CRISTIAN JACOBO RIASCOS CORTES

DOCENTE
LUIS FRANCISCO LOPEZ URREA

UNIVERSIDAD AREA ANDINA

 IDENTIFICACION DE VUNERABILIDAD

Para la identificación de vulnerabilidad nos basamos en la definición que nos dice

que se refiere a una serie de características diferenciadas de la empresa u
organización, o subconjuntos de la misma, que la predisponen a sufrir daños
frente al impacto de un evento externo, y que dificultan su posterior recuperación.

Debemos tener en cuenta la funcionalidad, necesidad y efectividad; algunas

amenazas de TI son:

 Aplicaciones en condiciones vulnerables

 Sistemas Operativos, vulnerables y sin actualizaciones

 Tecnologías obsoletas

 Mal rendimiento de la infraestructura de TI

 Uso ilegal de la red empresarial (USUARIOS)

 IDENTIFICACION DE AMENAZAS

.Una amenaza se define como el peligro latente que representa la probable

ocurrencia o manifestación de un evento, que puede causar algún tipo de daño a
la empresa y producir efectos adversos en las personas, la producción, la
infraestructura y los bienes y servicios, es un factor de riesgo físico externo. Para
su evaluación se deben adelantar inventarios con participación de las
dependencias de la empresa, levantamientos y mediciones de campo y revisión de
información con el fin de conocer la magnitud y severidad actual y potencial de los
eventos o fenómenos peligrosos tales como:

 Falta de energia

 Fallas electricas

 Desastres naturales

o Inundación

o Terremoto

o Avalanchas

 Incendios
 RIESGOS

los riesgos los podemos definir como el resultado de la suma de las amenazas y
nuestras vulnerabilidades frente a nuestra capacidad de reacción y recuperación

Vulnerabilidad + Amenazas
de la información riesgo=
Capacidad de Reaccion

basados en el PHVA tenemos esta imagen que nos da un esquema del ciclo que
se lleva desde la idenificacion al tratamiento del riesgo teniendo en cuenta que
estos nunca va a desaparecer

Figura 1
 Fuente: NTC-ISOMEC 27005

De acuerdo a los riesgos establecidos anteriormente podemos tenemos diversas

alternativas para su gestión

REDUCCIO DEL Mediante la selección de Criterios de aceptación

RIESGO controles adecuados y del riesgo, requisitos
justificados legales, reglamentarios y
contractuales
RETENSION DEL Decisión de no montar
RIESGO controles sobre un riesgo
pues se puede retener
PREVENCION DEL Decisión para evitar por
RIESGO completo el riesgo
mediante el retiro de una
actividad existente o
planificada
TRANSFERENCIA DEL Decisión de compartir el
RIESGO riesgo con partes
externas. Se puede
transferir el riesgo pero
no el impacto
 Figura 2

Fuente: referente metodologías de análisis de riesgos de la información

TOPOLOGIA DE LA RED

VPN

Figura 3

Fuente Propia
En esta topología nos encontramos en un escenario de 1400 host en actividad
constante donde nuestro nivel de riesgo es alto debido a la cantidad de
interacciones que se generan teniedo en cuenta la independencia de cada una de
las redes; existen muchas soluciones informáticas pero debemos tener en cuenta
que son muy costosas y la mayoría de empresas no están dispuestas a cargar
este gasto y menos cuando no se trata de su actividad económica.

Entre las diferentes amenazas que podemos tener la amenaza de primer impacto
es que se vaya la energía en la oficina central, ya que en esta se encuentra
nuestros servidores y esto estancaría las operaciones de cada una de las sedes.

Riesgo locativo se ve ya que es una zona de alta probabilidad de inundación

aunque ya se tomaron medidas y instalo el centro de datos en la zona mas alta no
podemos dar por centado que ya con esto evitaremos la catástrofe

La siguiente imagen nos muestra los riesgos informáticos que se pueden

presentar y el impacto que generarían.
 MATRIZ DE RIESGOS OPERACIONALES
IDENTIFICACIÓN DEL RIESGO
Evaluación
Valoración del
Código Proceso Subproceso Evento Origen Probabilidad Consecuencia del Riesgo Control Asociado Responsable Tipo PLAN A DESARROLLAR PLAN ALTERNATIVO ULTIMA OPCIÓN BAJO
Riesgo Residual
Inherente
Servidor de contingencia disponible en horas para restablecer el Hacer un deploy en el servidor dedicado de la arquidiócesis u
INFORMATIC
servicio temporalmente otro similar para restablecer el servicio en cuestión de horas
AY SOPORTE
GF-6-1 Interno 3. Moderada 4. Mayor MEDIO Monitoreo utilizando The dude Asistente de redes MEDIO Preventivo Riesgoes urgentes MEDIO
COMUNICACI TECNICO
ONES
[SERVIDOR MOODLE] Estudiantes sin acceso a los recursos virtuales de
enseñanza
Instalar la conexión de impresoras localmente mediante el uso de Utilizar el servidor de impresoras del servidor serveruno. La
INFORMATIC archivos bat otra opción es utilizar alguno de los otros servidores linux para
1) mantener activa la alarma THE DUDE para
AY
GF-6-2 SOPORTE Interno 1. Casi Nunca 3 Alto BAJO que avise con sonido cuando ocurra una Asistente de soporte BAJO Correctivo evitar congestión cuanto impriman desde CGUNO Riesgos importantes
COMUNICACI
desconexión del servidor de impresión.
ONES Imposibilidad de imprimir documentos debido a que el servidor de impresión no
está disponible.
1) Solicitar la inclusión de los dispositivos móviles Incluir los dispositivos móviles en póliza de seguros Solicitar a cada colegio redactar un procedimiento/formato para
INFORMATIC
en la póliza de seguros.
AY control de entrada y salida de las tabletas (salida del depósito
GF-6-2 SOPORTE Externo 4. Muy probable 4. Mayor MEDIO 2) Solicitar a los colegios que establezcan formatos Coordinador de sistemas BAJO Preventivo Riesgos manejables ALTO
COMUNICACI hacia el aula o la biblioteca)
de préstamo para dispositivos móviles cuando
ONES
Dispositivos móviles sin asegurar ante robo o pérdida salgan de la institución.
Contar con switches gigabit, antenas, cable UTP de reserva para Configuración de switches capa 3 en cada sede para que la
posibles daños, comprar PoE Adapter, buscar cinta plástica para conexión interna no se caiga a pesar de desconectarse de la
INFORMATIC
AY 1) Monitorear las antenas y los SWITCH con THE etiquetadora 3M radio frecuencia
GF-6-3 REDES Interno 3. Moderada 4. Mayor MEDIO Administrador de redes BAJO Correctivo
COMUNICACI DUDE
ONES
[RED DE DATOS] Pérdida de conexión de red local en las sedes
Solicitar a cartera un cronograma de actividades donde se Implementar por parte de tecnología un horario de atención a
1) mantener activa la alarm a THE DUDE para
INFORMATIC que avise con sonido cuando ocurra una establezcan fechas y horas para las actualizaciones que ellos las solicitudes de cartera. Sólo dos dias a la semana y
AY SOPORTE desconexión. 2) Monitorear el nivel de carga Coordinador de sistemas, Asistente de necesitan en su programa de los recibos contabilizar el tiempo de desconexión
GF-6-1 Interno 1. Casi Nunca 4. Mayor BAJO BAJO Detectivo
COMUNICACI TECNICO de la UPS validando el nivel óptimo de carga soporte
ONES eléctrica para mantener funcionando en tiempo
extendido el sistema contable.
[CGUNO] Desconexión del sistema contable
1) Por socilitud de Contabilidad, program ar el Programar la ejecución del backup a las 12:30 según las Análizar y modificar los backups para reducir el tiempo de
INFORMATIC
backup de cg1 al medio dia para dism inuir el
AY SOPORTE Coordinador de sistemas, Asistente de necesidades de Contabilidad desconexión de casi dos horas a 20 minutos máximo.
GF-6-1 Interno 5. Siempre 4. Mayor ALTO tiem po de trabajo perdido ante incidentes BAJO Detectivo
COMUNICACI TECNICO soporte
adversos ya que el backup se ejecuta en las
ONES [CGUNO] Respaldo de la informacion noches para guardar el trabajo del dia
Activar la obligatoriedad para las políticas del correo, que es una
INFORMATIC 1) Establecer la app de Google Policies (Políticas de
AY SOPORTE acceso de gmail) como obligatorias para poder
aplicación que sirve para desconectar el dispositivo móvil del
GF-6-1 Externo 4. Muy probable 4. Mayor MEDIO Webmaster BAJO Preventivo
COMUNICACI TECNICO agregar el correo institucional a todo dispositivo correo corporativo y además borrar la información existente.
ONES Pérdida de control del acceso al correo electrónico institucional a través de movil Debemos establecer el instructivo para esos casos.
dispositivos móviles.
Tratar de cumplir con el cronograma haciendo uso de los Establecer tiempos de espera mayores, para la solución de las
INFORMATIC 1) Solicitud de nuevo cargo a Lider financiero.
AY 2) Uso de los practicantes disponibles para dar practicantes disponibles. solicitudes y requerimientos de soporte técnico, con el
GF-6-2 SOPORTE [MANTENIMIENTOS PREVENTIVOS Y CORRECTIVOS] No cumplir con el Interno 4. Muy probable 4. Mayor MEDIO Coordinador de sistemas MEDIO Preventivo
COMUNICACI respuesta a las necesidades de los usuarios propósito de emplear el tiempo de trabajo en mantenimientos
ONES cronograma de mantenimiento oportuna e idóneamente debido a la falta de internos
personal
Contar con conexiones a internet redundantes, con proveedores
diferentes
INFORMATIC 1) Monitorear las puertas de enlace a internet con
AY THE DUDE. 2)
GF-6-3 REDES Externo 5. Siempre 4. Mayor ALTO Asistente de redes MEDIO Preventivo
COMUNICACI Monitorear el ancho de banda entrante con las
ONES herramientas CACTI y MUNIN.
[INTERNET] Desconexión de internet: Zeti, correos con los entes
gubernamentales
Utilizar el NAS para resguardar el backup de Moodle Utilizar el DVD para realizar backup de moodle
INFORMATIC 1) Alerta al correo cuando se realiza el bakcup
AY SOPORTE de moodle en el servidor NAS.
GF-6-1 Externo 2. Improbable 5. Catastrófica MEDIO Coordinador, Asistente de soporte MEDIO Preventivo
COMUNICACI TECNICO 2) Verificar la integridad del backup antes de
ONES pasarlo a otro servidor NAS.
No realizar backup de la MOODLE
Probar el backup creando carpetas de prueba con un script Probar el backup descomprimiendo el archivo, probandolo
1) Probar el backup creando carpetas de prueba
automatizado, Apropiando a contabilidad para hacer backups conjuntamente con contabilidad, a fin de certificar el backup de
INFORMATIC
con un script automatizado. cifrados (para protegerlos de acceso indevido) distribuyendolos una fecha determinada, verificando la integridad de los datos
AY
GF-6-2 SOPORTE Interno 2. Improbable 5. Catastrófica MEDIO 2) Probar el backup descomprimiendo el archivo y Asistente de soporte BAJO Preventivo en 2 sedes propias lejanas a la sede principal hasta ese punto (para gestionar el espacio disponible)
COMUNICACI
haciendo checksum del mismo versus la carpeta
ONES
empresa
Integridad del backup CG1 comprometida.
Denegar permisos de eliminación a todos los usuarios del dominio Implementar backup diferencial con Windows Server 2012, de Capacitar al personal sobre el manejo y la clasificación
1) Denegar permisos de elim inación a todos
manera que el tiempo de respaldo sea más amplio de la información en las carpetas compartidas, para
INFORMATIC los usuarios del dominio.
AY 2) Realizar un seguim iento al cumplimiento que sean el primer filtro.
GF-6-2 SOPORTE Interno 4. Muy probable 5. Catastrófica ALTO Asistente de redes MEDIO Preventivo
COMUNICACI de las políticas institucionales de seguridad de la
ONES información con respecto a los datos y las
Pérdida de información administrativa por acción y/u omisión del usuario en carpetas compartidas
las carpetas compartidas por proceso.
1) Establecer permisos de todos los usuarios para Adquirir las licencias según la necesidad de toda la organización Solicitar apoyo a la gerencia para enfrentar la resistencia del
que no puedan instalar y desinstalar softw are en
INFORMATIC
que permita legalizar el alto índice de piratería usuario al implementar opciones libres para todo tipo de
los equipos de cómputo. 2)
AY Actualizar inventario de equipos de cómputo y software.
GF-6-2 SOPORTE Interno 5. Siempre 5. Catastrófica ALTO Asistente de soporte MEDIO Correctivo
COMUNICACI compararlo contra la relación de softw are
ONES adquirido para detectar posibles diferencias.
3) Adquirir licencias privativas esenciales para el
[LICENCIAS SOFTWARE] Asuntos legales por infringir derechos de autor funcionamiento del negocio.
Migrar la información utilizada por los colegios a un sistema de Implementación de NAS (redundancia cruzada) en los colegios Guardar la información de Logros en discos compactos
INFORMATIC consulta en la intranet contando con los equipos salientes luego de la renovación a las DVD, al menos dos copias por colegio
AY 1) Centralizar la información para poder ejercer un Coordinador de sistemas, Asistente de
GF-6-2 SOPORTE Interno 4. Muy probable 5. Catastrófica ALTO BAJO Preventivo secretarias académicas.
COMUNICACI backup programado. soporte
ONES [LOGROS COLEGIOS] Pérdida de información académica histórica en los
computadores de las secretarias
Implementación de NAS profesional para la unidad administrativa Habilitar el uso de Google Drive sincronizando las carpetas
INFORMATIC
1) Establecer por lo menos 2 fuentes de con 3 RAID 1 de 4TB, uno disponible para la información que se personales en cada PC para salvar la información ante posibles
AY
GF-6-2 SOPORTE [BACKUP UNIDAD ADMINISTRATIVA] El backup lo hace cada proceso en Interno 4. Muy probable 5. Catastrófica ALTO recuperación de la información ante posibles Asistente de redes MEDIO Preventivo
COMUNICACI genera en los pc de cada empleado catástrofes
disco duro extraible: Posible pérdida o manipulación de información vital de la eventos inesperados.
ONES
compañía
Asegurar que las partes implicadas firmen la política antes de
INFORMATIC hacer uso de sus datos y si no la firman, no utilizarlos
Definir los conceptos técnicos para las políticas de tratamiento de datos, pasarlos a
AY Revisión técnica en informática, revisión jurídica y
GF-6-2 JURIDICO Interno 5. Siempre 5. Catastrófica ALTO Coordinador de sistemas MEDIO Preventivo revisión por los jurídicos, a dirección para su aprobación y luego publicarlas por
COMUNICACI revisión de la dirección
[PERMISO PARA TRATAMIENTO DE DATOS] Conceptos y definiciones poco medios oficiales
ONES
claros en las políticas para tratamiento de datos de empleados, proveedores
y clientes
Cambiar la UPS del centro de datos, y las sedes ciudad 2000 y San Disponer de un generador eléctrico nuevo en las sede Alfonso
INFORMATIC Pablo que actualmente otorga una autonomía de 20 a 25 minutos López
AY Adecuar autonomía eléctrica por 3 horas con UPS
GF-6-3 REDES Externo 4. Muy probable 5. Catastrófica ALTO Coordinador de sistemas MEDIO Preventivo por otra que tenga autosuficiencia de 3 horas mínimo,
COMUNICACI y planta eléctrica en el centro de datos.
ONES
[TELEFONÍA IP] Caida de la central telefonica por falla en la infraestructura
 Figura 3

Fuente propia

CONCLUSIONES

En conclusión el SGSI nos permite prever y reaccionar ante una

eventualidad buscando el menor impacto posible en el área de informática y
comunicaciones.
Podemos generar diversos tipos de respaldo de información y actualizarla
con la mayor frecuencia posible para mitigar perdidas minimas.
Se debe seguir las actividades y ejercicios que se plasmen en el SGSI, de
esta forma se pueden verificar y actualizar los procedimientos en caso de
ser necesario.
 REFERENCIAS BIBLIOGRAFICAS

MinTIC. Guía para la Gestión y clasificación de incidentes de seguridad de la

información. Recuperado de http://www.mintic.gov.co/gestionti/615/articles-
5482_G21_Gestion_Incidentes.pdf

ISO27001 ESPAÑOLA Sistemas de Gestión de la Seguridad de la Información

(SGSI). Recuperado de https://fuaa.epic-
sam.net/Resource/10925850/Assets/Estructura_modulos%20-
%20Pregrado/4_Lecturas_complementarias/U1_S1_Lecturas_PDF/1_Lectura.pdf

ISO 27001 COLOMBIANA de

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/No
rma.%20NTC-ISO-IEC%2027001.pdf